Intrusion Detection-Systeme: im eigenen Netz gefangen?

Für all die hoffnungslos überarbeiteten IT-Mitarbeiter schien mit dem Aufkommen der ersten Intrusion Detection Systems (IDS) Ende der 90er-Jahre ein Traum in Erfüllung zu gehen. Auf einmal gab es ein Werkzeug, das Einzelsysteme (Host-basierte IDS) sowie Netzwerkverkehr (Netzwerk-IDS) überwachen konnte, um unberechtigte Aktivitäten aufzuspüren. Und noch besser: Es konnte sogar automatisch die Verbindung unterbrechen oder den Eindringling dingfest machen, so dass dessen Identität gerichtsverwertbar festgestellt wurde.

Diese IDS schienen fast so etwas wie Türsteher für den Netzwerk-Gateway – der Traum aller IT-Manager und ein hervorragend klingender Business-Case für Chefs, die in Sachen Netzwerk-Sicherheit immer gern die Nase vorn haben wollten.

Schade nur, dass das nicht funktioniert. Oder um es genauer zu sagen, schade, dass das zu gut funktioniert. Denn in einem durchschnittlichen Firmennetzwerk oder auf einem Server zeichnen IDS-Systeme in der Tat eingehende Daten auf.

Sie können auch tatsächlich Anomalien herausfiltern, etwa massenhafte Verbindungsanfragen, die auf eine DoS-Attacke hinweisen (Denial of Service). Sie können dank einer sich laufend verbessernden Technologie sogar zeitlich getrennte Eindringversuche aufspüren, die von den meisten Sicherheitssystemen unerkannt bleiben.

Leider sind die heutigen IDS-Systeme immer noch viel zu empfindlich. Die unendliche Vielzahl der im Alltag verwendeten vernetzten Anwendungen bedingt, dass IDS-Systeme oft fälschlich Alarm schlagen, auch wenn gar nichts Anstößiges passiert. So werden Sicherheits-Administratoren zu vergeblichen Verfolgungsjagden veranlasst – die mitunter nur zur Tarnung wirklicher Attacken dienen -, wertvolle Ressourcen verschwendet und das Sicherheitspersonal allmählich immer weiter abgestumpft. Angesichts ihrer extremen Empfindlichkeit sind IDS-Systeme die Auto-Alarmanlagen der Sicherheitswelt – sie springen oft an, werden von den meisten aber nur noch als lästiges Hintergrundgeräusch wahrgenommen.

Egal wie effektiv sie auch sein mögen, eine Sache können alle IDS-Systeme gleichermaßen gut: Daten erzeugen – und zwar Unmengen davon. Tatsächlich sind diese Datenmengen so enorm, dass eine zunehmende Zahl von Kunden nach ein paar Wochen die Notbremse zieht und ihre IDS-Systeme einfach abschaltet.

„Die Leute glauben, dass IDS eine Technologie ist, die Probleme löst, aber sie stellen sehr schnell fest, dass es eine Menge an Know-how bedarf um sie auch effizient einsetzen zu können“, meint Pierre Noel, internationaler Sicherheitsstratege beim Sicherheits-Consulting-Unternehmen TruSecure.

Noel erinnert sich an den Fall eines Kunden: Eine große Regierungsorganisation mit einer sehr beliebten Website wollte ihr Netzwerk absichern. Die Organisation erwarb ein IDS als Komponente eines umfangreicheren IT-Sicherheitssystems, stellte aber schnell fest, dass das System so viele Daten sammelte (600 MByte pro Tag), dass die Festplatte des IDS-Servers bald randvoll war.

Noch schlimmer war, dass die Organisation gesetzlichen Vorschriften entsprechend diese Daten für sieben Jahre aufbewahren musste. Deshalb war man gezwungen, ein Verfahren zu entwickeln, um die Daten regelmäßig auf CD zu kopieren und diese CDs dann in einem Datenzentrum verfügbar zu halten. Natürlich war dieses Vorgehen kaum geeignet, dem IDS bei der Auswertung der Datenberge zu helfen um so Netzwerk-Attacken aufspüren zu können.
„Technologie alleine löst nie ein Problem.“

Solche Einzelfälle sind für die technischen Herausforderungen eines IDS exemplarisch, ebenso wie für das mangelhafte Verständnis der Kunden, die erwarten, dass die Anwendungen nur angeschlossen werden müssen und dann selbständig arbeiten. Für Noel sind die Schwierigkeiten beim derzeitigen Einsatz von IDS ein Anzeichen dafür, dass die Technologie in ihrer jetzigen Form nur geringe Überlebenschancen haben dürfte.

„Nach meiner persönlichen Erfahrung schalten 50 bis 70 Prozent der Kunden, die ein IDS angeschafft haben, dieses nach circa zwei Wochen einfach ab“, so Noel. „Die meisten Kunden werden auch künftig keinen konkreten Nutzen in der Installation eines IDS sehen. Von daher glaube ich, dass IDS-Systeme [als separate Lösung] wieder verschwinden werden.“

Diese Einschätzung wird auch in einem im Juni erschienenen und seitdem oft zitierten Bericht der Analysten von Gartner geteilt, die IDS ihrem Information Security Hype Cycle hinzugefügt haben und prognostizieren, dass die hohe Rate an Fehlalarmen, die Notwendigkeit der ständigen Überwachung durch IT-Mitarbeiter, ein „Prozess der betriebswirtschaftlichen Bewertung von Incident-Response-Maßnahmen“ sowie die Unfähigkeit von IDS-Systemen, Netzwerk-Traffic mit mehr als 600 MBit/s zu scannen, die Technologie bis 2005 obsolet machen würden.