Honeypot: Mit digitalen Honigtöpfen gegen Internetkriminelle!

Internetkriminalität zählt inzwischen zu den bedeutendsten Geschäftsrisiken. Umso entscheidender ist es für Unternehmen, die Taktiken, Techniken und Verhalten der Angreifer zu begutachten, um geeignete IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten treffen zu können. Ein bewährtes Tool dafür sind Honeypots. Was sich dahinter versteckt, wie sie funktionieren und weshalb es sich lohnt über deren Einsatz nachzudenken, erfahren Sie in dem nachfolgenden Blogbeitrag.

Die Zeiten, in welchen noch in den meisten Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Sabotage keinerlei ernstzunehmende Bedrohung darstellen, sind schon lange vorbei. Inzwischen reagieren immer mehr Unternehmen auf die bedrohliche IT-Sicherheitslage und investieren in die Verbesserung der IT-Sicherheitsstrategie und den Ausbau der IT- Sicherheitsmaßnahmen.

Allein 2021 haben knapp 54 Prozent der Unternehmen, laut der eco-IT-Sicherheitsumfrage 2022, die Ausgaben für die IT-Sicherheit angehoben.

Auch wenn die Bemühungen um mehr IT-Sicherheit wachsen, reicht es hinsichtlich der alarmierenden Schnelligkeit mit der neue Angriffsmethoden erfunden und gebraucht werden, keinesfalls mehr aus, bloß auf absolut präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu vertrauen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, die über die Tatsache hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ dingfest zu machen – etwa durch den Einsatz von allgemein sogenannten „Honeypots“.

Definition: Was ist ein Honeypot?

Bei „Honeypots“ handelt es sich um fiktive Fallen – zu vergleichen mit Honigködern für Bären- in Gestalt von allem Anschein nach verwundbaren IT-Systemen oder auch Unternehmensnetzwerken.

Im Gegensatz zu anderweitigen IT-Sicherheitslösungen sollen Honeypots Internetangriffe in erster Linie nicht abblocken. Im Gegensatz: Sie fungieren als Lockmittel, um Internetkriminelle anzulocken, ihre Angriffsmuster sowie Angriffsverhalten zu analysieren und sie im besten Fall zu erkennen.

Mit dem Ziel, dass das gelingt, müssen die eingesetzten Honeypots unter anderem echt scheinende Geschäftsprozesse ausführen, gängige Protokolle einsetzen, die gewöhnlichen Ports offen halten plus Geschäftsdaten enthalten, die sie erscheinen lassen, wie reale Systeme.

Serverseitige und clientseitige Honeypots: Welche Unterschiede gibt es?

Immer häufiger werden IT-Systeme sowie Unternehmensnetzwerke von Internetganoven attackiert. Um diesem entgegenzuwirken, setzen zunehmend mehr Betriebe digitale Lockfallen als weitere Sicherheitsmaßnahme ein. Je nachdem, welcher Zweck mit einem Honeypot verfolgt werden möchte, kann die Implementierung serverseitig oder clientseitig geschehen:

• Serverseitige Honeypots
  Die Grundidee des serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Teilbereich zu ködern sowie sie auf diese Weise von den eigentlichen interessanten und kritischen Netzwerkkomponenten fernzuhalten. Wird durch den Honeypot zum Beispiel ein simpler Webserver gekünstelt, schlägt dieser bei einem Internetangriff Alarm, verschickt Warnungen und zeichnet sämtliche feindliche Aktivitäten auf. So erhält die Unternehmens-IT Auskünfte davon, wie die Angriffe vonstattengehen und können auf dieser Datengrundlage ihre reale IT-Infrastruktur noch besser absichern.

• Clientseitige Honeypots
  Bei dem clientseitigen Honeypot werden Netzwerkkomponenten oder Nutzungen inszeniert, welche Server-Dienste brauchen. Vorzeigebeispiel hierfür ist die Simulation eines Webbrowsers, welcher gezielt unsichere Webseiten besucht, um Informationen über Gefahren zu sammeln. Erfolgt über einen der Punkte ein Angriff, wird jener für eine spätere Auswertung protokolliert.

Der Grad der Interaktivität ist maßgebend!

Honeypots zählen zu den spannendsten IT-Sicherheitskonzepten in der IT-Welt. Deren höchstes Ziel ist es die Attackierenden in die Irre zu führen und dabei geheim zu verbleiben. Denn je länger sich ein Attackierender blenden lässt, desto mehr Informationen können die „Honeypots“ über die Angriffsstrategie wie auch das Angriffsverhalten erfassen.

Eine der wichtigsten Faktoren zur Klassifikation von Honeypots ist daher der Grad der Interaktivität mit den Angreifern. Man differenziert in dem Rahmen sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots wie auch High-Interaction-Honeypots.

• Low-Interaction-Honeypots
  Bei Low-Interaction-Honeypots dreht es sich um Fallen mit einem minimalen Grad an Aktivität. Sie beruhen im Wesentlichen auf der Nachahmung realer Systeme oder Anwendungen. Dazu werden Dienste sowie Funktionen meist bloß so weit simuliert, dass ein Angriff möglich ist.

• High-Interaction-Honeypots
  Bei High-Interaction-Honeypots dagegen, dreht es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden in der Regel reale Systeme eingesetzt, welche Server-Dienste zur Verfügung stellen. Dies wiederum verlangt eine gute Überwachung und Absicherung. Ansonsten existiert die Gefahr, dass Angreifer die Honeypots übernehmen, das zu beschützende System infiltrieren oder von diesem ausgehend Angriffe auf andere Server im Netzwerk einleiten.

Honeypots: Welche Vorteile und Nachteile gibt es?

Die Vorteile von Honeypots sprechen für sich:

• Schutz vor externen Bedrohungen: Honeypots können durch die „täuschend echte“ Aufmachung Internetkriminelle von echten Zielen ablenken und deren Mittel binden.
• Schutz vor internen Bedrohungen: Weil Firewalls das Netzwerk bloß nach außen schützen, eignen sich Honeypots ebenso dazu, interne Gefahren aufzudecken sowie ungewollten Datenabfluss zu verhindern.
• zuverlässige Angriffserkennung: Honeypots werden so konzipiert, dass sie nicht durch Zufall vom Internet erreichbar sind. Damit wird ein „harmloser“ Traffic aus dem Internet weitgehend undurchführbar und jede erfasste Aktivität als Angriffsversuch gewertet.
• erkenntnisreiche Einblicke: Honeypots erfüllen die Eigenschaft einer risikofreien Umgebung, weshalb die Firmen-IT alle möglichen Angriffe ganz ohne zeitlichen Druck beobachten sowie analysieren kann. Des Weiteren können so auch Schwachpunkte der IT-Sicherheitsinfrastruktur behoben werden.
• Rückverfolgung von Angreifern: Im Kontrast zu sonstigen Sicherheitslösungen kann die Firmen-IT durch Honeypots, Angriffe zur Quelle zurückzuverfolgen, beispielsweise über die IP-Adressen.

Ein Honeypot allein schützt vor Angriff nicht!

Doch auch beim Gebrauch von Honeypots ist nicht alles Gold was glänzt. Die größte Gefährdung liegt darin, dass Honeypots bei mangelhafter Umsetzung durch Internetkriminelle gekapert sowie ausgenutzt werden können, um die Firmen-IT mit gefälschten Daten zu versorgen sowie noch mehr bösartige Angriffe auf andere Systeme im Partnernetzwerk einleiten werden.

Fazit: Mit digitalen Ködern Internetkriminelle abwehren!

Internetkriminalität gehört heutzutage zu den bedeutendsten Geschäftsrisiken.
Umso entscheidender ist es, dass Unternehmen neben hochwertigen Firewalls, effektiven Netzwerk-Intrusion-Detection- sowie Prevention-Lösungen wie auch leistungsfähigen Multi-Faktor-Authentifizierung-Lösungen sowie Verschlüsselungsverfahren ergänzende IT-Sicherheitsmaßnahmen ergreifen, um Angreifer auf frischer Tat zu ertappen. Und genau an dieser Stelle kommen Honeypots zum Tragen. Diese können, wenn sie richtig verwendet werden, bedeutende Bestandteile einer mehrschichtig konzipierten IT-Sicherheitsstrategie werden und das Unternehmen vor ausgeklügelten Internetangriffen, aber ebenso vor Insiderbedrohungen bewachen.