Intrusion Detection ist kompliziert und ungenau

17.09.2003
Von Martin Seiler
MÜNCHEN (COMPUTERWOCHE) - Lösungen zur Einbruchserkennung und -bekämpfung - neudeutsch Intrusion-Detection- oder Intrusion-Prevention-Systems (IDS/IPS) stehen in der Kritik. Während Hersteller die technische Reife und die Leistungsfähigkeit loben, sind Analysten und Berater skeptisch. Die Technik ist zwar vielversprechend, birgt aber noch Probleme.
Foto: Photodisc
Foto: Photodisc

"Intrusion Detection ist tot", erklärte John Pescatore, Vice-President Internet Security auf der diesjährigen RSA-Conference in San Francisco. In das gleiche Horn stößt Mike Rasmussen, Analyst bei Forrester Research: "IDS hat auf breiter Front versagt." Der Spezialist hat "viele verschiedene Systeme eingesetzt, und ungefähr 75 Prozent davon sind unbrauchbar."

Gartner-Analyst Allan Anthony erläutert die Gründe für das harte Urteil seiner Kollegen: "IDS kämpfen noch immer mit Performance-Problemen. Sie erkennen nicht alle Angriffe und neigen zu Fehlalarmen. Außerdem sind sie bei hohen Transferraten im Netz nicht in der Lage, tatsächlich alle Datenpakete zu untersuchen."

Alarmsystem ohne Schutz

Problematischer ist aus Sicht von Gartner jedoch die generelle Funktionsweise von IDS: "Im Grunde handelt es sich dabei um ein Alarmsystem, das keinerlei Schutz bietet, sondern Unternehmen lediglich potenziell schädliche Aktivitäten anzeigt", erklärt Anthony. Sowohl Lösungen für den Einsatz im Netz- (Network-based Intrusion Detection = NIDS) als auch im Server-Bereich (Host-based Intrusion Detection = HIDS) reagieren nur mit Alarmen, tun aber nichts gegen unerlaubte Eindringlunge. Gartner rät daher Unternehmen, nicht mehr in solche Lösungen zu investieren, sondern eher zu Intrusion-Prevention-Tools zu greifen.