Honeypot: Alles, was Sie darüber wissen sollten!

Internetkriminalität gehört inzwischen zu den größten Geschäftsrisiken. Umso wichtiger ist es für Unternehmen, die Taktiken, Techniken und Verhalten der Attackierenden zu studieren, um geeignete IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten treffen zu können. Ein erprobtes Werkzeug dafür sind Honeypots. Was sich hinter dem Begriff versteckt, wie sie wirken und weshalb es sich lohnt über ihren Einsatz nachzudenken, erfahren Sie in dem folgenden Blogbeitrag.

Die Tage, an denen noch in den meisten Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Sabotage keine ernstzunehmende Gefahr verkörpern, sind schon lange vorbei. Inzwischen agieren immer mehr Unternehmen auf die bedrohliche IT-Sicherheitslage und investieren in eine Optimierung ihrer IT-Sicherheitsstrategie und den Ausbau der IT- Sicherheitsmaßnahmen.

Nur im Jahr 2021 haben knapp 54 Prozent der Betriebe, entsprechend der eco-IT-Sicherheitsumfrage 2022, die Unkosten für die IT-Sicherheit angehoben.

Selbst wenn die Bemühungen um mehr IT-Sicherheit steigen, reicht es angesichts der alarmierenden Geschwindigkeit mit der neue Angriffsmethoden entwickelt sowie gebraucht werden, nicht mehr aus, lediglich auf rein präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu setzen. Besser gesagt bedarf es einer IT-Sicherheitsstrategie, die darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ zu erwischen – beispielsweise durch den Gebrauch von sogenannten „Honeypots“.

Honeypot: Ein Definitionsversuch!

Bei „Honeypots“ dreht es sich um fiktive Fallen – zu vergleichen mit Honigködern für Bären- in Gestalt von allem Anschein nach verwundbaren IT-Systemen oder auch Unternehmensnetzwerken.

Im Gegensatz zu anderweitigen IT-Sicherheitslösungen sollen Honeypots Internetangriffe vor allem nicht abblocken. Im Gegensatz: Sie fungieren als Lockmittel, um Internetkriminelle anzulocken, ihre Angriffsmuster sowie Angriffsverhalten zu analysieren und sie im besten Fall zu erkennen.

Mit dem Ziel, dass das gelingt, müssen die eingesetzten Honeypots beispielsweise authentisch wirkende Geschäftsprozesse ausführen, gängige Protokolle einsetzen, die gewöhnlichen Ports geöffnet halten und Geschäftsdaten einbeziehen, welche sie erscheinen lassen, wie echte Systeme.

Serverseitige und clientseitige Honeypots!

Immer häufiger werden IT-Systeme und Unternehmensnetzwerke von Internetganoven attackiert. Um diesem entgegenzuwirken, setzen immer mehr Unternehmen digitale Lockfallen als weitere Sicherheitsmaßnahme ein. Je nachdem, welches Ziel mit einem Honeypot verfolgt werden möchte, kann die Implementierung serverseitig oder clientseitig erfolgen:

• Serverseitige Honeypots
Die Grundidee eines serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Teilbereich zu ködern und sie so von den tatsächlich spannenden wie auch kritischen Netzwerkkomponenten abzuschirmen. Wird durch einen Honeypot beispielsweise ein simpler Webserver simuliert, schlägt jener bei einem Internetangriff Alarm, versendet Warnungen und zeichnet sämtliche feindliche Aktivitäten auf. So bekommt die Unternehmens-IT Auskünfte davon, wie die Angriffe vonstattengehen und können auf dieser Datengrundlage deren reale IT-Infrastruktur noch ausgereifter schützen.

• Clientseitige Honeypots
Bei dem clientseitigen Honeypot werden Netzwerkkomponenten oder Nutzungen inszeniert, welche Server-Dienste benötigen. Vorzeigebeispiel hierfür ist die Simulation eines Webbrowsers, welcher ganz gezielt unsichere Webseiten aufruft, um Informationen über Gefahren zu sammeln. Geschieht über einen dieser Punkte ein Angriff, wird dieser für eine spätere Auswertung protokolliert.

Wie werden Honeypots klassifiziert?

Honeypots gehören zu den interessantesten IT-Sicherheitskonzepten in der IT-Welt.
Ihr vorrangiges Ziel ist es die Attackierenden in die Irre zu führen und dabei geheim zu bleiben.
Denn je länger sich ein Angreifer blenden lässt, desto mehr Daten können die „Honeypots“ über dessen Angriffsstrategie wie auch das Angriffsverhalten erfassen.

Eine der bedeutendsten Faktoren zur Klassifikation von Honeypots ist daher der Grad der Interaktivität mit den Angreifern. Man unterscheidet in diesem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots wie auch High-Interaction-Honeypots.

• Low-Interaction-Honeypots: Bei Low-Interaction-Honeypots handelt es sich um Fallen mit einem geringen Grad an Aktivität. Sie beruhen im Wesentlichen auf der Imitation realer Systeme oder Anwendungen. Dazu werden Dienste sowie Funktionen meist nur so weit simuliert, dass eine Attacke möglich ist.

• High-Interaction-Honeypots: Bei High-Interaction-Honeypots hingegen, handelt es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden in der Regel reale Systeme eingesetzt, die Server-Dienste zur Verfügung stellen. Das wiederum erfordert eine gute Observation wie auch Absicherung. Ansonsten existiert die Gefährdung, dass Angreifer die Honeypots übernehmen, das zu schützende System infiltrieren oder von diesem ausgehend Angriffe auf andere Server im Netzwerk einleiten.

Honeypots: Die Vorteile und Nachteile!

Die Vorzüge von Honeypots sprechen für sich:

• Schutz vor externen Bedrohungen: Honeypots können durch die „täuschend echte“ Aufmachung Internetkriminelle von echten Zielen ablenken und deren Mittel binden.

• Schutz vor internen Bedrohungen: Weil Firewalls das Netzwerk bloß äußerlich schützen, dienen Honeypots ebenso dazu, innere Gefahren aufzudecken sowie unerwünschten Datenabfluss zu verhindern.

• zuverlässige Angriffserkennung: Honeypots werden so konzipiert, dass diese nicht durch Zufall vom Internet zugänglich sind. Damit wird ein „harmloser“ Datentraffic aus dem Internet größtenteils undurchführbar und jede erfasste Bewegung als Angriffsversuch gewertet.

• erkenntnisreiche Einblicke: Honeypots erfüllen die Funktion einer risikofreien Umgebung, weshalb die Unternehmens-IT sämtliche Angriffe ohne zeitlichen Druck beobachten sowie untersuchen kann. Überdies können auf diese Weise auch Schwachpunkte der IT-Sicherheitsinfrastruktur beseitigt werden.

• Rückverfolgung von Angreifern: Im Kontrast zu sonstigen Sicherheitslösungen kann die Unternehmens-IT mithilfe von Honeypots, Angriffe zum Ursprung zurückzuverfolgen, beispielsweise über die IP-Adressen.

Ein Honeypot allein schützt vor Angriff nicht!

Auch beim Gebrauch von Honeypots ist nicht alles Gold was glänzt. Die größte Gefahr liegt darin, dass Honeypots bei mangelhafter Umsetzung durch Internetkriminelle gekapert sowie ausgebeutet werden könnten, um die Firmen-IT mit gefälschten Daten zu versorgen und noch mehr bösartige Angriffe auf andere Systeme im Partnernetzwerk starten werden.

Fazit: Virtuelles Fallenstellen leicht gemacht!

Internetkriminalität zählt heutzutage zu den größten Geschäftsrisiken.
Umso entscheidender ist es, dass Firmen neben professionellen Firewalls, effektiven Netzwerk-Intrusion-Detection- und Prevention-Lösungen und leistungsstarken Multi-Faktor-Authentifizierung-Lösungen plus Verschlüsselungsverfahren zusätzliche IT-Sicherheitsmaßnahmen ergreifen, um Eindringlinge auf frischer Tat zu ertappen. Und exakt hier kommen Honeypots zum Einsatz. Diese können, wenn sie korrekt verwendet werden, wertvolle Elemente einer mehrschichtig konzipierten IT-Sicherheitsstrategie werden und das Unternehmen vor ausgeklügelten Internetangriffen, aber ebenso vor Insiderbedrohungen bewachen.

Wollen auch Sie durch den Einsatz von Honeypots, Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Infrastruktur mit noch effektiveren IT-Sicherheitsmaßnahmen stärken.


Oder haben Sie noch Anliegen zum Thema? Sprechen Sie uns an!