Phase 5: Integration

« zur Übersicht

In diesem Abschnitt wird das Vorgehen zur technischen und organisatorischen Integration des IDS beschrieben. Ziel des Leitfadens ist es, den Anwender bei der Vervollständigung des Feinkonzepts und bei der Realisierung und Integration des ausgewählten IDS auf der Grundlage der Vorgaben des Feinkonzepts zu unterstützen. Adressaten dieser Phase sind das IT-Sicherheitsmanagement bzw. das IDS-Projektteam, die IDS-Administration und die Systemadministration.

Die Integration und Konfiguration des IDS erfolgt zusammen mit der Systemadministration und der IDS-Administration. Folgende Arbeitspakete sind zu berücksichtigen:

• Vorbereitung der technischen Infrastruktur auf die Integration
• Integration und Inbetriebnahme des IDS
• Kalibrierung der Sensoren
• Aufnahme der Überwachungsziele in den Sicherheitsstandard (Policy)
• Zuweisung von IDS-Funktionen an Organisationseinheiten
• Festlegung der Eskalation bei IDS-Alarmen
• Schulung der IDS-Funktionsträger
• Vereinbarungen über den IDS-Betrieb mit dem Betriebs- bzw. Personalrat
• Integration in das Change-Management
• Festlegung von Verfahrensweisen zur Prüfung der Funktionsfähigkeit der Sensoren

5.1 Vorbereitung der technischen Infrastruktur auf die Integration

Als Voraussetzung für die Integration des IDS sind zunächst die für die Kommunikation zwischen den IDS-Komponenten erforderlichen Kommunikationsbeziehungen im Detail zu spezifizieren und im Feinkonzept zu dokumentieren. Dies betrifft insbesondere verwendete Portnummern und IP-Adressen. Details der Kommunikationsbeziehungen können erst jetzt festgelegt werden, da sie von IDS zu IDS verschieden sind.

Darauf folgend ist die technische Infrastruktur gemäß der Vorgaben aus dem Feinkonzept für die Integration des IDS vorzubereiten. Dies umfasst die folgenden Schritte:

1. Installation und Konfiguration der für das IDS benötigten Hardware- und Systemplattformen, sofern keine Appliances zum Einsatz kommen.
2. Integration (oder Anpassung) von Komponenten zum Abgriff des Netzverkehrs (Hub, Switch, TAP) an den zu überwachenden Positionen.
3. Integration der Plattformen für die IDS-Komponenten in die Infrastruktur. Damit verbunden ist auch die ggf. erforderliche Integration weiterer Komponenten (wie z. B. zusätzliche Paketfilter zur Entkopplung eines IDS-Netzes vom Produktionsnetz).

4. Durchführung der notwendigen Konfigurationsänderungen an Switches, Paketfiltern und Applikations-Gateways zur Freigabe der erforderlichen Kommunikationsbeziehungen. Dies betrifft

   • die IDS-Kommunikation zwischen Sensoren und Management- und Auswertungsstation,
   • den Remote-Zugriff von internen Clients auf die Management- und Auswertungsstation sowie
   • die für Intrusion-Response-Funktionen erforderlichen Kommunikationsbeziehungen. (z. B. Versenden von E-Mail durch die Auswertungsstation).

Falls die durchgeführten Aktivitäten die im Feinkonzept beschriebenen Vorgaben verfeinern oder ergänzen, ist das Feinkonzept entsprechend anzupassen.

5.2 Integration und Inbetriebnahme des IDS

Auf Basis der vorbereiteten technischen Infrastruktur können jetzt die IDS-Komponenten integriert und in Betrieb genommen werden. Die Integration umfasst folgende Schritte:

1. Installation und Inbetriebnahme der Management- und Auswertungsstation Dabei sind folgende Punkte zu beachten:

   • Die Installation und Inbetriebnahme umfasst auch ggf. erforderliche weitere Komponenten wie Datenbank oder Webserver.
   • Marktverfügbare IDS-Produkte weisen im Allgemeinen keine Benutzer- und Rechteverwaltung auf. Falls diese erforderlich ist, kann sie ggf. beschränkt auf Systemebene oder – bei web-basierten Oberflächen – im Webserver realisiert werden.
   • Sofern erforderlich ist der Remote-Zugriff auf die Management- und Auswertungsstation zu realisieren.
   • Die Intrusion-Response-Funktionen sind einzurichten und zu konfigurieren.

2. Schrittweise Installation und Inbetriebnahme der Sensoren
   Die Installation und Inbetriebnahme sollten Sensor für Sensor erfolgen. Dabei sollten zunächst Netzsensoren und danach Hostsensoren installiert und in Betrieb genommen werden, da die Integration von Netzsensoren unabhängig von bestehenden Systemen und daher typischerweise unproblematischer ist, als die Integration von Hostsensoren.
   Als Reihenfolge für die Inbetriebnahme der Netzsensoren empfiehlt sich ein Vorgehen von innen nach außen. Dies liegt darin begründet, dass weiter innen (zum internen Netz hin) bereits viele Angriffe durch vorgeschaltete Schutzkomponenten (Paketfilter, Applikations-Gateway) ausgefiltert wurden und für dort platzierte Netzsensoren daher sowohl die zu erwartende Anzahl gemeldeter Ereignisse geringer ist als auch die erkannten Ereignisse mit höherer Wahrscheinlichkeit sicherheitskritisch sind.
   Für jeden Sensor sind folgende Schritte durchzuführen:

   1. Installation des Sensors.
   2. Anbindung des Sensors an die Management- und Auswertungsstation sowie Registrierung des Sensors bei der Management- und Auswertungsstation.
   3. Es wird empfohlen, zu testen, ob der Sensor Zugriff auf die zu überwachenden Daten (Netzverkehr, Logdaten) hat. Ebenfalls sollte verifiziert werden, dass die Managementstation den Ausfall des Sensors sowie dessen erneute Aktivierung automatisch erkennt.
   4. Kalibrierung des Sensors

5.3 Kalibrierung der Sensoren

Im Rahmen der Kalibrierung wird für jeden Sensor festgelegt, was der Sensor erkennen soll und wie er – bzw. das IDS – auf das erkannte Ereignis reagieren soll. Das Erreichen der Einsatzziele hängt daher wesentlich von der Kalibrierung des IDS ab.

Einzelne Aktivitäten zur Kalibrierung sind detailliert in Anhang 5.2 aufgeführt. Da eine vollständige Kalibrierung grundsätzlich die Berücksichtigung jeder Signatur erfordert und die Anzahl der Signaturen heutiger IDS sehr hoch ist (bis zu einigen 1000), ist eine vollständige Kalibrierung des Sensors im Rahmen der Inbetriebnahme äußerst aufwändig. Unter Signatur wird hier allgemein – unabhängig von der Verfahrensweise – ein Mechanismus zur Erkennung eines bestimmten Ereignisses verstanden.

Empfohlen wird daher ein zweistufiges Vorgehen, bestehend aus einer Basiskalibrierung im Rahmen der Inbetriebnahme und der Verfeinerung der Kalibrierung im laufenden Betrieb.

Art und Möglichkeiten der Festlegung von Reaktionen auf erkannte Ereignisse unterscheiden sich von IDS zu IDS. Für die Beschreibung eines generalisierten Vorgehens zur Kalibrierung wird an dieser Stelle zwischen folgenden IDS-Reaktionen (Intrusion-Response) unterschieden:

• Alarmierung
  Eine Alarmierung ist für Signaturen vorzusehen, bei denen die zugrunde liegenden Ereignisse mit hoher Wahrscheinlichkeit schadenverursachend sind. Für die Signaturen sind dabei Alarmlevel festzulegen.
• Protokollierung zur Nachverfolgung
  Ereignisse werden zur Nachverfolgung protokolliert, falls die Auswirkungen des der Signatur zugrunde liegenden Ereignisses bislang nicht geklärt wurden, das Ereignis abhängig von Randbedingungen sehr unterschiedliche Auswirkungen haben kann oder die Signatur eine hohe Wahrscheinlichkeit von Fehlalarmen aufweist.
• Protokollierung für Auswertungszwecke
  Das der Signatur zugrunde liegende Ereignis hat keine schädlichen Auswirkungen, wird jedoch für Auswertungszwecke protokolliert.
• Deaktivierung
  Eine Signatur wird vollständig deaktiviert, wenn die durch die Signatur erkannten Ereignisse nachweislich unschädlich und auch für Auswertungszwecke nicht relevant sind.
• Protokollierung als "Unbearbeitet"
  Für Signaturen, deren zugrunde liegenden Ereignisse bislang nicht bewertet bzw. eingestuft wurden, sollte eine spezifische Kennzeichnung bei der Protokollierung vorgesehen werden.

Basiskalibrierung

Im Rahmen der Basiskalibrierung wird die Reaktion des IDS insbesondere für Signaturen festgelegt, die besonders relevant für die Einsatzziele des IDS sind. Hierzu kann auch die Parametrisierung bestehender Signaturen oder die Programmierung neuer Signaturen erforderlich sein. Des Weiteren werden die Signaturen des IDS deaktiviert, die zum Erreichen der Einsatzziele irrelevant sind.

• Für Signaturen, bei denen die zugrunde liegenden Ereignisse mit hoher Wahrscheinlichkeit schadenverursachend sind, ist eine Alarmierung vorzusehen. Beispiele:

  • Ein interner Client oder Server reagiert auf einen Netbus Scan aus dem Internet, d. h. der Angreifer ist im Begriff, die Kontrolle über den betreffenden Rechner zu übernehmen.
  • Ein Telnet-Request aus dem Internet auf ein geschütztes System ist unkritisch und ggf. zu Auswertungszwecken zu protokollieren. Alarmiert werden sollte, wenn das geschützte System mit einem Acknowledge reagiert.

• Signaturen, bei denen die zugrunde liegenden Ereignisse nachweislich keine Schadenswirkung auf die zu schützende IT-Infrastruktur haben, können deaktiviert werden. Für Auswertungszwecke kann es dennoch sinnvoll sein, auch diese Ereignisse zu protokollieren. Beispiele:

  • Falls ein Apache Webserver eingesetzt wird, können Angriffssignaturen, die speziell für den Microsoft Internet Information Server vorgesehen sind, deaktiviert werden.
  • Falls auf einem Webserver lediglich statische Web-Seiten bereitgestellt werden, sind Angriffe, die auf Schwächen von CGI-Scripten basieren, nicht relevant. Die entsprechenden Signaturen können deaktiviert werden.
  • Falls in einem zu schützendem Teilnetz ausschließlich UNIX-Systeme betrieben werden, können sämtliche Windows-spezifischen Angriffssignaturen deaktiviert werden.
  • Falls sämtliche zu schützenden Server-Systeme aufgrund installierter Security-Patches gegen einen bestimmten Angriff resistent sind, kann die zugehörige Signatur deaktiviert werden.
• Für alle sonstigen Signaturen wird zunächst die Protokollierung als "Unbearbeitet" vorgesehen.

Verfeinerung der Kalibrierung

Im Verlauf des IDS-Betriebs erfolgt die Verfeinerung der Kalibrierung. Die möglichen und realen Auswirkungen gemeldeter Ereignisse werden untersucht. Auf dieser Basis werden die zugehörigen Signaturen neu bewertet.

Ein Beispiel für den typischen zeitlichen Verlauf der Kalibrierung ist in der nachstehenden Abbildung dargestellt. Dabei wurde davon ausgegangen, dass im Rahmen der Basiskalibrierung ca. 10% der Signaturen deaktiviert wurden, für ca. 3% eine Alarmierung vorgesehen wurde und der Rest zur Verfolgung eingestuft wurde (unter diesen befinden sich zunächst auch die als "unbearbeitet" markierten Signaturen, die in der Abbildung nicht separat dargestellt sind). Anfänglich besteht deshalb ein hoher Aufwand zur Nachverfolgung der IDS-Meldungen und Verfeinerung der Kalibrierung. Mit der Zeit wird für mehr und mehr Signaturen geklärt, ob die zugrunde liegenden Ereignisse sicherheitskritisch sind, ob eine Protokollierung (für Auswertungszwecke) ausreicht oder ob die Signatur ganz deaktiviert werden kann. Parallel wächst die Menge der Erfahrungen der IDS-Administration und der im Mittel erforderliche Zeitaufwand für die manuelle Analyse zu verfolgender Ereignisse nimmt ab. Im Beispiel reduziert sich der Anteil der Signaturen, die eine Nachverfolgung bzw. Reaktion erfordern, schließlich auf ca. 25% (15% Verfolgung und 10% Alarmierung). Hierdurch entsteht für die IDS-Administration ein zeitlicher Freiraum, der z. B. zur Kalibrierung weiterer Sensoren genutzt werden kann.

Grundsätze für die Kalibrierung

• Es empfiehlt sich, zurückhaltend mit der Festlegung von Alarmen umzugehen. Falls das IDS einige Male alarmiert und sich die zugrunde liegenden Ereignisse als ungefährlich herausstellen, stumpft die Sensibilität des Incident-Response-Personals schnell ab und mit ihr die Akzeptanz des IDS als relevantes Instrument zur Erkennung von Sicherheitsverletzungen.
• Je detaillierter die Einsatzziele des IDS formuliert wurden und je genauer spezifiziert ist, was erkannt werden soll, desto einfacher gestaltet sich die Kalibrierung.
• Für Ereignisse, die gemäß Konfiguration anderer Sicherheitskomponenten oder vorgegebener Richtlinien nicht auftreten sollten, können die zugehörigen Signaturen aktiviert werden. Ihr Auftreten stellt eine Anomalie dar und weist möglicherweise auf die Fehlkonfiguration anderer Komponenten oder auf sicherheitsgefährdende Aktivitäten hin.
• Vor der Festlegung automatischer aktiver Reaktionen, wie etwa der Unterbrechung von Kommunikationsverbindungen oder der temporären Rekonfiguration einer Firewall, sind deren Auswirkungen im Fall von Fehlalarmen genau zu prüfen. Aktive Reaktionen des IDS können ggf. von Angreifern durch Herbeiführen von Fehlalarmen provoziert werden. Es ist sicherzustellen, dass von den festgelegten Reaktionen auch in diesem Fall keine Gefährdung ausgeht.
• Die Festlegung aktiver Reaktionen ist für solche Signaturen sinnvoll, durch die entstandene Schäden erkannt werden und bei denen eine Schadensbehebung oder -eingrenzung durch die Reaktion möglich ist. Ein Beispiel hierfür ist die automatische Rekonstruktion einer sensitiven Datei, nachdem eine Integritätsverletzung dieser Datei erkannt wurde.

5.4 Aufnahme der Überwachungsziele in den Sicherheitsstandard (Policy)

Sicherheitsstandards im Sinne einer Policy, die von der konkreten Technik und Organisation abstrahieren, spiegeln Sicherheitsziele und Leitsätze des Unternehmens wieder. Auf dieser Ebene sollte der Einsatz des IDS als Überwachungsinstrument zur Verbesserung des Schutzes am Netzübergang zum Internet verankert werden. Hierdurch wird die Entscheidung des Managements, IDS zu den beschriebenen Zwecken einzusetzen, dokumentiert und im Unternehmen kommuniziert.

5.5 Zuweisung der IDS-Funktionen an Organisationseinheiten

Im Rahmen des Grobkonzepts wurde bereits überlegt, welche Organisationseinheiten/Rollen bzw. Mitarbeiter die Funktion von IDS-Administration, IDS-Monitoring und IDS-Verantwortlichem übernehmen sollen. Diese Zuordnung ist jetzt auf Grundlage der konkretisierten Informationen zu überprüfen und bei Bedarf anzupassen.

Die Aufgabenbeschreibungen der für die Übernahme der Funktionen vorgesehenen Stellen sind um die entsprechenden Aufgaben, Zuständigkeiten und Verantwortlichkeiten zu erweitern. Ein Überblick über die zuzuordnenden Aufgaben, Zuständigkeiten und Verantwortlichkeiten ist in Anhang 5.1 gegeben.

Diese Zuordnung der Zuständigkeiten ist erst jetzt sinnvoll, da vor der Produktauswahl nicht feststand, ob ein IDS-Einsatz erfolgt.

5.6 Festlegung der Eskalation bei IDS-Alarmen

Wie auf IDS-Alarme zu reagieren ist wird im Rahmen eines Eskalationsplans festgelegt. Ein Beispiel für solche Festlegungen ist in Anhang 4.4 angegeben.

Zweck des IDS-Eskalationsplans

Der IDS-Eskalationsplan dient dazu, Mitarbeitern mit begrenzten technischen Kenntnissen (IDS-Monitoring), die Alarme entgegennehmen, dazu anzuleiten, wie sie bei Eintritt der Alarme zu reagieren haben. Der Plan muss so gestaltet sein, dass mit seiner Hilfe zu einem gegebenen Alarm in einfacher Weise die auszuführenden Eskalationsschritte ermittelt werden können.

Typischerweise dienen dabei vom IDS angezeigte Alarmlevel zur Einordnung des Alarms. Es kann jedoch auch die Festlegung ereignisspezifischer Eskalationen erforderlich sein.

Des Weiteren kann im Rahmen des Eskalationsplans festgelegt werden, unter welchen Bedingungen vom IDS-Incident-Response weiter zu eskalieren ist (etwa zum Abteilungsleiter).

Erstellung, Aktualisierung und Inhalt des IDS-Eskalationsplans

Verantwortlich für die Erstellung und regelmäßige Aktualisierung des IDS-Eskalationsplans ist der IDS-Manager. Er legt in Abstimmung mit dem IDS-Incident-Response und der IDS-Administration die jeweils erforderliche Eskalation fest. Im Rahmen der Kalibrierung ist für jede Signatur, für die eine IDS-Alarmierung vorgesehen wird, durch die IDS-Administration ein Alarmlevel einzustellen. Es ist zu prüfen, ob die im Eskalationsplan vorgesehen Eskalation geeignet ist. Bei Bedarf ist der Eskalationsplan anzupassen.

5.7 Schulung der IDS-Funktionsträger

Die Mitarbeiter, die in den IDS-Rollen wie IDS-Administration, IDS-Monitoring und IDS-Incident-Response tätig werden, sind in ihre Aufgabenstellungen einzuweisen und zu schulen. Die erforderlichen Kenntnisse der Funktionsträger wurden bereits in Kapitel 3.2.6 aufgeführt. Im Folgenden werden kurz für die Schulung und Einweisung relevante Punkte zu den unterschiedlichen Rollen aufgeführt.

IDS-Administration

Die Vermittlung der erforderlichen Grundlagen der Anwendung des IDS kann direkt im Rahmen der Hersteller- oder Integrator-Unterstützung bei der Installation und Inbetriebnahme des IDS erfolgen, die von den Mitarbeitern der IDS-Administration begleitet wird. Details zur Anwendung des IDS, wie insbesondere die Interpretation der Meldungen des IDS und Einzelheiten zur Kalibrierung, werden im Verlauf des IDS-Einsatzes erlernt. Wichtig ist, dass die IDS-Administration zu Beginn des IDS-Einsatzes die Grundlagen und Voraussetzungen dazu erlernt, wie das IDS im Betrieb als Werkzeug zu nutzen und den jeweiligen Zielsetzungen anzupassen ist. Die Grundlagen hierzu umfassen Kenntnisse darüber,

• wie das IDS zu bedienen ist (Kalibrierung, Auswertung des Ereignisprotokolls, etc.),
• wie ermittelt werden kann, wie die Ereigniserkennung durch die Signatur im Detail erfolgt,
• wie Signaturen verfeinert oder neue Signaturen erstellt werden können,
• wo Informationen über Angriffe und Sicherheitslücken abgefragt werden können.

IDS-Monitoring

Nach Fertigstellung einer ersten Version des IDS-Eskalationsplans sind die Mitarbeiter des IDS-Monitoring in dessen Anwendung einzuweisen. Dies betrifft die Ableitung der durchzuführenden Eskalationsschritte aus IDS-Alarmen (wer ist mit welcher Dringlichkeit zu benachrichtigen). Die Einweisung kann durch die IDS-Administration vorgenommen werden.

IDS-Manager

Der IDS-Manager kann sich die für ihn erforderlichen IDS-spezifischen Kenntnisse von der IDS-Administration erläutern lassen. Diese umfassen Nutzen und Grenzen des eingesetzten IDS, unterstützte Sensorarten sowie kontrollierbare Netze und Systeme. Kenntnisse über die Einsatzweise und Einsatzziele des IDS sowie der Organisation des Incident-Response erhält der IDS-Manager im Rahmen seiner Tätigkeit.

IDS-Incident-Response

Die angemessene Reaktion auf IDS-Alarmierungen verlangt das Vermögen zur realistischen Einschätzung der vom IDS gemeldeten Alarme.

Dies setzt Basiskenntnisse in der IDS-Bedienung voraus, z. B. zur Abfrage von Kontextinformationen zu Angriffen. Die Einweisung in die IDS-Bedienung kann durch die IDS-Administration erfolgen. Daneben sind jeweils aktuelle Kenntnisse über relevante Angriffe und Sicherheitslücken sowie über die Möglichkeiten des IDS zu deren Erkennung erforderlich. Um diese Kenntnisse aktuell zu halten, ist eine regelmäßige Abstimmung bzw. ein regelmäßiger Informationsaustausch zwischen IDS-Administration und IDS-Incident-Response notwendig.

5.8 Vereinbarungen über den IDS-Betrieb mit dem Betriebs- bzw. Personalrat

Die von IDS aufgezeichneten Daten sind teilweise personenbezogen bzw. lassen die Zuordnung von Personen zu bestimmten Aktivitäten zu. Beispiele hierfür sind

• die Aufzeichnung unberechtigter Zugriffsversuche auf Daten,
• die Aufzeichnung unberechtigter Zugangsversuche zu Anwendungen,
• die Aufzeichnung der IP-Adressen oder Domain-/Rechnernamen, von denen aus Angriffe oder Angriffsversuche gestartet wurden.

Da IDS über weitgehende Protokollierungs- und Auswertungsfunktionen verfügen, können sie des Weiteren dazu missbraucht werden, Verhaltensweisen von Mitarbeitern zu kontrollieren.

Beim Einsatz von IDS ist daher darauf zu achten, dass rechtliche Anforderungen sowohl des Datenschutzes als auch der Arbeitnehmer-Mitbestimmung berücksichtigt werden. Es wird empfohlen, hierzu geeignete Anforderungen zum IDS-Betrieb mit dem Betriebs- bzw. Personalrat sowie dem Datenschutzbeauftragten abzustimmen und umzusetzen. Entsprechende Anforderungen sind beispielhaft in Anhang 5.3 aufgeführt.

Eine Übersicht über die zu berücksichtigenden rechtlichen Vorgaben ist im Dokument "Einführung von Intrusion-Detection-Systemen – Rechtliche Aspekte beim Einsatz von IDS" angegeben.

5.9 Integration des IDS in das Change-Management

Bei der Integration des IDS in das Change-Management ist zu beachten, dass es für ein IDS besonders wichtig ist, Aktualisierungen zeitnah durchzuführen, da die Überwachungsfunktionalität des IDS wesentlich von dessen Aktualität abhängt. Dies betrifft insbesondere die folgenden Änderungen bzw. Aktualisierungen, die bereits in der Aufgabenbeschreibung der IDS-Rollen berücksichtigt wurden (siehe Anhang 5.1):

• Zeitnahes Einspielen von Signatur-Updates und Konfiguration bzw. Kalibrierung der neuen Signaturen.
• Zeitnahes Einspielen vorliegender Software-Patches für das IDS.

• Zeitnahe Anpassung des IDS bei Änderungen der zu schützenden IT-Infrastruktur. Relevant sind dabei insbesondere folgenden Änderungen:

  • Änderungen der Konfiguration zu schützender Systeme und Anwendungen,
  • Änderungen der überwachten Netz-Infrastruktur,
  • Änderungen der Konfiguration von anderer Schutzkomponenten (Firewall, Paketfilter, etc.).

5.10 Prüfung der Funktionsfähigkeit der Sensoren

Bereits bei der Integration des IDS sollte darüber nachgedacht werden, wie zukünftig im Betrieb des IDS die Funktionsfähigkeit der Sensoren geprüft werden kann. Dies gilt insbesondere für Sensoren, die aufgrund ihrer Platzierung und Kalibrierung im Normalfall kaum Ereignisse melden.

Die Funktionsfähigkeit von Sensoren, die häufig Angriffsversuchen ausgesetzt sind, ist implizit dadurch verifizierbar, dass sich Anzahl und Art der Ereignismeldungen normal verhalten. Ob das Verhalten normal ist oder nicht, entscheidet dabei die IDS-Administration auf Basis von Erfahrungswerten. Eine explizite Funktionsprüfung des Sensors sollte durchgeführt werden, falls signifikant weniger Ereignisse vom Sensor gemeldet werden als normal.

Für Sensoren, die aufgrund ihrer Platzierung und Kalibrierung im Normalfall kaum Ereignisse melden, sind regelmäßig explizite Funktionsprüfungen vorzusehen, z. B. durch das Einspielen von Angriffsmustern, die durch den Sensor gemeldet werden sollten.

Eine Möglichkeit die Funktion eines solchen Sensors zu prüfen, besteht darin, den Sensor so zu kalibrieren, dass er einige für die IT-Infrastruktur unkritische Ereignisse meldet, und diese Ereignisse zur Funktionsprüfung zu nutzen. Diese Ereignisse können dann auch zur Automatisierung der Funktionsprüfung eingesetzt werden, indem sie – z. B. skriptgesteuert – regelmäßig automatisch eingespielt werden. Es ist zu beachten, dass diese Prüfung lediglich die grundsätzliche Funktionsfähigkeit des Sensors nachweist, jedoch nicht, dass der Sensor insgesamt wie spezifiziert arbeitet.