Skip to content

Erklären Sie den Unterschied zwischen einem IDS und einem IPS.

Kurzantwort

Ein IDS (Intrusion Detection System) überwacht den Datenverkehr und löst Alarme aus, blockiert aber nicht — es liegt typischerweise außerhalb des Datenpfads. Ein IPS (Intrusion Prevention System) sitzt inline im Datenpfad und kann bösartigen Verkehr aktiv verwerfen oder blockieren. Das IPS verhindert, aber ein Fehlalarm kann legitimen Verkehr unterbrechen.

Diese beiden Technologien wirken auf dem Papier fast identisch — beide untersuchen den Datenverkehr auf bösartige Muster — aber die eine beobachtet und die andere handelt, und dieser Unterschied bestimmt, wo und wie man sie einsetzt.

IDS — Intrusion Detection System

Ein IDS überwacht und alarmiert. Es erhält typischerweise eine Kopie des Datenverkehrs außerhalb des Datenpfads (über einen SPAN-Port oder einen Netzwerk-Tap), liegt also nicht im Live-Datenpfad. Wenn es etwas Verdächtiges entdeckt, erzeugt es einen Alarm, den ein Mensch untersuchen muss. Da es keine Pakete verwerfen kann, ist ein Fehlalarm harmlos — er erzeugt nur Rauschen. Der Nachteil ist, dass es von sich aus nichts stoppt; bis Sie reagieren, ist der Verkehr bereits durch.

IPS — Intrusion Prevention System

Ein IPS sitzt inline, direkt im Datenpfad, sodass es Verbindungen in Echtzeit blockieren, verwerfen oder zurücksetzen kann. Das bedeutet, es kann einen Angriff tatsächlich stoppen, während er geschieht. Der Preis ist das Risiko: Ein Fehlalarm kann legitimen Verkehr verwerfen und einen Ausfall verursachen, und da es inline liegt, kann es zu einem Leistungsengpass oder einem Single Point of Failure werden.

Erkennungsmethoden

Beide können signaturbasierte Erkennung (Abgleich mit bekannten bösartigen Mustern — schnell und präzise, aber blind für neuartige Angriffe) und anomaliebasierte Erkennung (Kennzeichnung von Abweichungen vom Normalzustand — erkennt neue Bedrohungen, erzeugt aber mehr Fehlalarme) verwenden.

Wie Teams sie einsetzen

Viele Organisationen feinjustieren Regeln zunächst im IDS-Modus (nur Alarm), um Fehlalarme zu messen, und befördern vertrauenswürdige Regeln dann in den IPS-Blockiermodus, sobald sie sicher sind. Das balanciert die Prävention gegen das Risiko, die Produktion zu unterbrechen.

Warum das wichtig ist

Interviewer möchten die Kernunterscheidung — erkennen/alarmieren gegen inline/blockieren — plus das Bewusstsein für den Zielkonflikt. Zu erwähnen, dass Sie Regeln im Erkennungsmodus testen würden, bevor Sie das Blockieren aktivieren, zeigt operative Reife, nicht nur Lehrbuchwissen.

Wahrscheinliche Anschlussfragen

  • Was ist das Risiko, ein IPS im Blockiermodus zu betreiben?
  • Vergleichen Sie signaturbasierte und anomaliebasierte Erkennung.
  • Wo würden Sie jedes im Netzwerk platzieren?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.