Finanzielle Verluste aufgrund von Cyber-Kriminalität gehen meist in die Millionen, da der Geschäftsbetrieb beziehungsweise Transaktionen massiv unterbrochen werden. Firewalls bieten zwar eine gewisse Kontrolle über offene Ports, sind aber letztlich nicht ausreichend, da sie keinen Schutz bei den immer weiter verbreiteten Angriffen durch Hybrid- und Denial-of-Service-Attacken (DoS) sowie bei Protokollabweichungen bieten.

Pattern Matching nicht ausreichend
Als Ergänzung sind daher Intrusion-Detection-Lösungen im Anhang an die Firewall am weitesten verbreitet. Dieser Ansatz ist aber durch seinen Aufbau eher reaktiv als proaktiv und sichert vor allem größere Unternehmen nicht ausreichend ab. Schädliche Dateianhänge oder externe Attacken lassen sich damit in der Regel lediglich anhand bereits bekannter, also vorgegebener Verhaltensmuster entdecken. Diese Methode ist unter dem Begriff „Pattern Matching“ bekannt. Die Wahl zwischen restriktivem und eher laxem Pattern Matching ist eine gefährliche Gratwanderung. Etwas besser funktionieren die intelligenteren Signaturmustervergleiche des „Stateful Matching“, wie es einige Systeme bieten. Dennoch ist bei allen Intrusion-Detection-Lösungen der Bearbeitungsaufwand für den Administrator sehr hoch. Das Hauptproblem sind zu viele Fehlalarme, die von Hand abzuarbeiten sind. Diese manuelle Analyse der Aktivitäten sprengt das Zeitbudget der Sicherheitsverantwortlichen beziehungsweise ist bei schnelleren Geschwindigkeiten im Netzwerk schlicht nicht mehr durchführbar. Außerdem ist nach einem „False Positive“ teilweise eine erneute Konfiguration der Server und des Netzwerks durchzuführen.