Im Gegensatz zu IDS sind IPS in der Lage, auch Gegenmaßnahmen einzuleiten, wenn schädliche Aktivitäten oder Übertragungen erkannt werden. IPS unterscheiden sich jedoch nicht grundsätzlich von IDS, sondern stellen vielmehr eine Erweiterung der Funktionalität dar. Daher lösen sie auch deren Probleme nicht. Johan Beckers, Director of Technology Solutions bei Internet Security Systems (ISS), betont, dass eine strikte Trennung zwischen IDS und IPS außerdem nicht sinnvoll ist: "Ohne eine leistungsfähige Technik zur Einbruchserkennung ist auch keine Abwehr möglich."

Versprechen nicht immer gehalten

Auf Basis der Ergebnisse der IDS-Engine können IPS eingreifen und schädlichen Code blocken, bevor dieser tiefer ins Netz eindringen kann, erklärt ISS-Mann Beckers. Letztlich sei dies eine "logische Weiterentwicklung der Intrusion Detection".

Eine Einschätzung, die Detlef Weidenhammer, Geschäftsführer von GAI-Netconsult in Berlin, teilt. Der Experte hält IDS und IPS für eine durchaus sinnvolle Ergänzung bestehender Sicherheitslösungen, die "jedoch noch mit Fehlern behaftet" sind. Weidenhammer kritisiert unter anderem, dass "gerade bei neueren IPS Anspruch und Wirklichkeit noch ein Stück voneinander entfernt sind". Die Versprechen der Hersteller in Bezug darauf, welche verdächtigen Aktionen ihre Produkte wie genau erkennen können, würden nicht immer erfüllt.

Toralv Dirro, Sicherheitsspezialist bei Network Associates aus Hamburg, räumt ein, dass "sich niemals alle Attacken hundertprozentig erkennen lassen". Er vertritt jedoch die Ansicht, dass Lösungen zur Einbruchserkennung seit ein, zwei Jahren den Kinderschuhen entwachsen sind: "Inzwischen gibt es Produkte, die nicht mehr sofort bei jeder kleinen Ungewöhnlichkeit im Netz einen Alarm auslösen. Daher muss ich nicht extra jemanden einstellen, der sich nur um das IDS kümmert." Auch nicht speziell geschulte Administratoren seien in der Lage, ein solches Produkt zu betreuen.

Dem widerspricht Experte Weidenhammer entschieden. Beim Einsatz eines netzbasierenden Einbruchserkennungssystems in der Standardkonfiguration "ertrinkt man schier in gemeldeten Ereignissen", fasst er seine Erfahrungen zusammen. Die Produkte so anzupassen, dass sie nur das melden, was weiterverarbeitet werden muss, sei kein triviales Unterfangen. Er warnt Unternehmen deshalb davor, den personellen Aufwand beim Einsatz einer IDS-Lösung zu unterschätzen. Besonders während der Einführungs- und Anpassungsphase sei der Betreuungsaufwand "ziemlich groß."