Lesedauer ‚Honeypots – Mit digitalen Honigtöpfen gegen Internetkriminelle‘ 8 Minuten

Internetkriminalität zählt zu den bedeutendsten Geschäftsrisiken. Umso entscheidender ist es für Unternehmen, Taktik, Techniken und Verhalten der Attackierenden zu studieren, um passende IT-Sicherheitsmaßnahmen zum Schutz ihrer IT-Infrastruktur und geschäftskritische Daten implementieren zu können. Ein erprobtes Werkzeug dafür sind sog. Honeypots. Was sich hinter dem Begriff verbirgt, wie Honeypots funktionieren und weshalb es sich lohnt, über ihren Einsatz nachzudenken, lesen Sie im folgenden Blogbeitrag.

Die Zeiten, als in den meisten Unternehmen noch die Meinung vorherrschte, dass Datendiebstahl, Spionage und Sabotage keinerlei ernstzunehmende Bedrohung darstellen, sind längst passé. Mittlerweile agieren zunehmend mehr Unternehmen auf die angespannte IT-Sicherheitslage und investieren in die Optimierung ihrer IT-Sicherheitsstrategie sowie die Weiterentwicklung ihrer IT-Sicherheitsmaßnahmen.

Entsprechend der eco-IT-Sicherheitsumfrage 2022 haben alleine im Jahr 2021 circa 54 Prozent der deutschen Unternehmen die Ausgaben für IT-Sicherheit erhöht.

Allerdings: Selbst wenn die Bemühungen hinsichtlich höherer IT-Sicherheit wachsen, genügt es angesichts der alarmierenden Schnelligkeit, mit der neue Angriffsmethoden entwickelt und eingesetzt werden, längst nicht mehr, ausschließlich auf präventive und reaktive IT-Sicherheitsmaßnahmen zu vertrauen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, welche darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetkriminelle auf ‚frischer Tat‘ dingfest zu machen – zum Beispiel durch den Einsatz von Honeypots.

Honeypots – was ist das eigentlich?

Bei Honeypots (dt.: Honigtöpfe) handelt es sich um fiktive Fallen, zu vergleichen mit Honigködern für Bären. Für Internetkriminelle stellen sie sich wie augenscheinlich verwundbare IT-Systemen oder ganze Unternehmensnetzwerke dar.

Im Unterschied zu anderen IT-Sicherheitslösungen sollen Honeypots Internetangriffe in erster Linie nicht abwehren. Ganz im Gegenteil: Sie dienen als Köder, um Internetkriminelle anzulocken und so ihre Angriffsmuster und ihr Angriffsverhalten zu durchleuchten. Im Idealfall sorgt dies für eine Früherkennung bei künftigen Attacken. Damit dies auch in der Praxis funktioniert und die gewünschten Ergebnisse liefert, müssen die verwendeten Honeypots möglichst authentisch sein. Sie können beispielsweise tatsächliche Prozesse abbilden, dabei gängige Protokolle verwenden, die üblichen Ports offen halten und scheinbar sensible Geschäftsdaten verwenden – all diese Maßnahmen lassen Honeypots wie echte Systeme erscheinen.

Server- und Client-seitige Honeypots

Wir erwähnten bereits, dass IT-Systeme und Unternehmensnetzwerke immer öfter von Internetkriminellen attackiert werden. Um dieser Entwicklung entgegenzuwirken und je nachdem, welches konkrete Ziel erreicht werden soll, haben Unternehmen bei der Einführung und Nutzung von Honeypots die Wahl, diese Server- oder Client-seitig einzusetzen:

Server-seitige Honeypots

Server-seitig werden Honeypots mit dem Ziel eingesetzt, Bedrohungsakteure innerhalb eines IT-Systems in einen isolierten Teilbereich zu locken und sie auf diese Weise von wirklich interessanten bzw. kritischen Netzwerksektoren fernzuhalten. Wird durch solche Honeypots beispielsweise ein Webserver simuliert, schlägt jener bei einem Internetangriff Alarm, verschickt Warnungen und zeichnet sämtliche feindlichen Tätigkeiten auf. So erhalten die IT-Verantwortlichen des attackierten Unternehmens Informationen darüber, wie solche Angriffe ablaufen. Auf dieser Grundlage ist es ihnen mögliche, die reale IT-Infrastruktur noch effizienter zu schützen und abzusichern.

Client-seitige Honeypots

Mit Client-seitigen Honeypots werden Netzwerkkomponenten oder Anwendungen simuliert, welche (meist außerhalb der IT-Infrastruktur) auf sich aufmerksam machen mit dem Ziel, Angriffe aktiv zu provozieren. Ein praktisches Beispiel hierfür ist die Simulation eines Webbrowsers, welcher sich absichtlich auf unsicheren Internetseiten bewegt. Erfolgt über eine dieser Seiten tatsächlich ein Angriff, wird dieser für eine spätere Auswertung protokolliert.

Der Grad der Interaktivität ist maßgebend

Honeypots zählen zu den spannendsten IT-Sicherheitskonzepten in der IT-Welt. Deren vorrangiges Ziel ist es, Angreifer hinters Licht zu führen und dabei unentdeckt zu bleiben. Denn je länger sich ein solcher Angreifer täuschen lässt, desto mehr Informationen können Honeypots über Angriffsstrategie und -verhalten sammeln. Eine der bedeutendsten Kriterien bezüglich der Wirksamkeit von Honeypots ist deshalb das Ausmaß der Interaktivität mit den Angreifern. Man differenziert in diesem Zusammenhang – beim Server- wie auch Client-seitigen Einsatz – zwischen Low- und High-Interaction-Honeypots.

Low-Interaction-Honeypots

Bei Low-Interaction-Honeypots dreht es sich um Fallen mit einem minimalen Grad an Aktivität. Sie beruhen grundlegend auf der Nachahmung realer Systeme oder Anwendungen. Dabei werden Dienste sowie Funktionen in der Regel nur so weit simuliert, dass eine Attacke möglich wäre.

High-Interaction-Honeypots

High-Interaction-Honeypots hingegen sind Fallen mit einem hohen Grad an Interaktivität. Meist werden reale Systeme verwendet, welche Server-Dienste anbieten. Diese Konfiguration verlangt eine gute Überwachung und Absicherung. Andernfalls existiert die Gefahr, dass Angreifer die Honeypots an sich reißen, zu einer echten Bedrohung machen und so das gesamte Internehmensnetzwerk infiltrieren.

Die Vorteile sprechen für sich

  • Schutz vor externen Bedrohungen – Honeypots können durch ihre ‚täuschend echte Aufmachung‘ Internetkriminelle von realen Zielen ablenken und deren verfügbare Ressourcen binden.
  • Schutz vor internen Bedrohungen – Da Firewalls das Netzwerk nur nach außen schützen, eignen sich Honeypots ebenso dazu, innere Sicherheitsrisiken aufzudecken sowie ungewollten Datenabfluss zu verhindern.
  • Zuverlässige Angriffserkennung – Honeypots werden so konfiguriert, dass sie nicht per Zufall aus dem Internet zugänglich sind. Dadurch wird harmloser Datenverkehr aus dem Internet weitgehend ausgeschlossen und jede erfasste Aktivität kann als potenzieller Angriffsversuch gewertet werden.
  • Erkenntnisreiche Einblicke – Honeypots bieten eine risikofreie Umgebung. So können IT-Verantwortliche sämtliche Angriffe ohne Zeitdruck beobachten und untersuchen. Überdies können auf diese Weise auch Schwachpunkte der IT-Sicherheitsinfrastruktur erkannt und behoben werden.
  • Rückverfolgung von Angreifern – Im Gegensatz zu anderen Sicherheitslösungen kann das IT-Personal mithilfe von Honeypots Angriffe zur Quelle zurückzuverfolgen, etwa über die IP-Adressen.

Honeypots alleine bewahren Sie nicht vor Attacken!

Auch beim Einsatz dieser Methode zur Gefahrenprävention ist nicht alles Gold was glänzt. Die größte Gefahr liegt in der mangelhaften Planung bzw. Umsetzung – Honeypots können dann durch Internetkriminelle übernommen und für ihre Machenschaften genutzt werden. So wird aus dem Bärenköder im Handumdrehen ein Trojanisches Pferd.

Fazit: Mit einem Löffel Honig fängt man mehr Fliegen als mit einem Fass voll Essig!

Heutzutage ist entscheidend, dass sich Unternehmen im Bereich IT-Sicherheit breit aufstellen: Sauber konfigurierte Firewalls, effektive Netzwerk-Intrusion-Detection- sowie Prevention-Lösungen, leistungsstarke Multi-Faktor-Authentifizierung und Verschlüsselungsverfahren … und eben auch Honeypots. Korrekt verwendet, sind diese ‚digitalen Köder‘ wertvolles Element einer vielschichtig konzipierten IT-Sicherheitsstrategie und liefern dem Unternehmen einzigartige Informationen zu Methodik und Vorgehen externer (und interner) Angreifer.

 

Möchten auch Sie durch den Einsatz von Honeypots Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Landschaft mit noch effektiveren IT-Sicherheitsmaßnahmen stärken? Haben Sie Fragen zu diesem oder weiteren Themen? Wir beraten Sie gerne! Kontaktieren Sie uns kostenfrei unter der Nummer 0800 4883 338.

Foto © Adonyi Gábor @ Pexels

Weiterführende Links

Hier finden Sie weiterführende Informationen zu IT-Sicherheitskonzepten im Allgemeinen sowie zum Thema Datensicherheit. Zu den Sicherheitsanalysen aus Angreifersicht unserer IT Security-Tochter CRISEC geht es hier.