Intrusion-Detection-Systeme werden zum Schutz vor Angriffen von IT-Systemen eingesetzt. Sie erkennen Missbrauch, indem sie Systemereignisse mit bekannten Angriffsmustern vergleichen. Der praktische Einsatz dieser Systeme ist häufig von Fehlalarmen geprägt. Die Ursache liegt in unzureichenden Angriffsmustern. Der Autor stellt hier Ansätze zur Steigerung der Wirksamkeit von Missbrauchserkennung im praktischen Einsatz vor. Systematisch untersucht er Anforderungen an die Repräsentation von Angriffsmustern. Er entwickelt einen an Petri-Netze angelehnten Ansatz zur grafischen Modellierung, Veranschaulichung und Erkennung von Angriffsmustern.