Honeypots in der IT-Security

Der sogenannte Honeypot ist eines der spannendsten Konzepte im Bereich der IT-Sicherheit. Die „Honigfalle” soll Angreifer gezielt anlocken -- und schützt dadurch die sensiblen Daten im Unternehmensnetzwerk.

Die Honigfalle: Was ist ein Honeypot?

Der Honeypot ist eine bewährte Methode, um potenzielle Angreifer von ihrem eigentlichen Ziel abzulenken. Doch was genau verbirgt sich hinter diesem Konzept?

Im Wesentlichen handelt es sich um ein „Scheinziel”. Mithilfe des Honeypots glauben Hacker und andere Angreifer, ihr Ziel bereits erreicht zu haben. Auf diese Weise lassen sich potenzielle Cyberattacken häufig abwenden, was die IT-Sicherheit deutlich erhöht.

Wichtig: Anders als klassische Sicherheitsplattformen oder Intrusion Detection Systeme geht es beim Honeypot nicht nur darum, Angriffe abzuwehren. Die Angreifer sollen vielmehr „in die Honigfalle tappen”, damit Sie wertvolle Informationen über deren Vorgehen gewinnen können. Anschließend lässt sich die Strategie der Hacker im Detail analysieren.

Dieses Wissen bildet die Grundlage für eine erfolgreiche Schwachstellenanalyse (Vulnerability Assessment). Damit das gelingt, müssen Sie Ihren Honeypot-Server gezielt vom übrigen Netzwerk isolieren.

Begriffserklärung

Der Begriff Honeypot bezieht sich auf ein Scheinziel, das Angreifer von ihrem eigentlichen Ziel ablenkt. Seinen Ursprung hat der Begriff jedoch nicht in der IT-Security: Er basiert auf der Überlegung, dass Bären eher in eine aufgestellte Falle tappen, wenn man darin einen Honigtopf aufstellt.

Nutzen und Vorteile von Honeypots

Der Honeypot ist eine wichtige Maßnahme im Bereich der IT-Security. Mithilfe der Honigfalle lässt sich das Verhalten von Angreifern besser nachvollziehen. Damit stellt der Honeypot eine wirkungsvolle Ergänzung zu konventionellen Sicherheitsstrategien dar. Er bietet folgende Vorteile:

• Angriffserkennung: Aufgrund seiner spezifischen Konfiguration ist ein Honeypot-Server nicht zufällig über das Internet erreichbar. Jede Aktivität auf dem Server lässt sich daher eindeutig als Angriffsversuch werten.
• Ressourcen: Da es sich nicht um Produktivsysteme handelt, ist der Ressourcenbedarf gering.
• Informationen: Mit einem Honeypot sammeln Experten wertvolle Daten über Angriffsversuche. Die gewonnenen Erkenntnisse lassen sich beispielsweise zur Planung und Entwicklung von Strategien beim Schwachstellenscan nutzen. Auch DDoS-Angriffe können durch den Einsatz von Honeypots leichter abgewehrt werden.

In falscher Sicherheit: Die Nachteile von Honeypots

Der Honeypot in der IT birgt jedoch drei wesentliche Risiken:

• Der Einsatz von Honeypots verleitet Unternehmen mitunter dazu, ihre eigentlichen Sicherheitsmaßnahmen zu vernachlässigen. Sie wiegen sich in falscher Sicherheit und verzichten beispielsweise auf einen fortlaufenden Schwachstellenscan (Continuous Vulnerability Scanning). Auch Kennzahlen wie die Mean Time to Detect (MTTD) geraten dabei oft aus dem Blick.
• Raffinierte Hacker können es dennoch schaffen, in das produktive System einzudringen. Eine gut vorbereitete Security Incident Response hilft Ihnen, ein solches Problem schnell in den Griff zu bekommen.
• Ist der Honeypot nicht täuschend echt gestaltet, könnten Hacker gefälschte Informationen an die Netzwerkadministratoren weiterleiten.

Verschiedene Arten von "Honigfallen"

Honeypots reagieren auf ähnliche Weise wie produktive Systeme. Das stellt sicher, dass Angreifer die Honigfalle nicht als solche erkennen. Ein wichtiges Kriterium ist dabei der Grad der Interaktivität.

High- vs. Low-Interaction-Honeypots

Der High-Interaction-Honeypot ist keine einfache Simulation, sondern ein vollwertiges System mit echten Funktionalitäten. Das macht ihn aufwendiger im Betrieb und erfordert eine sorgfältige Überwachung. Andernfalls kann es Hackern gelingen, die Honigfalle zu kapern und den Server für weitere Angriffe zu missbrauchen.

Anders verhält es sich bei Low-Interaction-Honeypots. Sie simulieren einzelne Funktionen oder Dienste, stellen jedoch kein vollständiges System dar. Der Einsatz dieser Variante ist daher wesentlich einfacher und weniger aufwendig.

Verschiedene Bedrohungsarten

Die OWASP Mobile Top 10 listen zahlreiche Sicherheitslücken auf, die eine Bedrohung für das Unternehmensnetzwerk darstellen. Idealerweise leitet der Honeypot Angriffe auf das nicht-produktive System um. In folgenden Szenarien hat sich der Einsatz von Honeypots besonders bewährt:

• Datenbank-Attrappen helfen dabei, SQL-Injections oder gefälschte Log-ins zu erkennen.
• E-Mail-Traps erkennen Spam und schützen dadurch den regulären Posteingang.
• Spider-Honeypots sind ausschließlich für Webcrawler zugänglich und helfen dabei, diese zu blockieren.
• Malware-Honeypots imitieren Software und APIs, um Schadsoftware-Angriffe zu analysieren.
• Honeylinks lassen sich nur über die HTML-Codeanalyse aufspüren und leiten umfassende Schutzmaßnahmen ein, sobald der Link aufgerufen wird.
• Tarpits verringern die Ausbreitungsgeschwindigkeit von Würmern und behindern Portscans.

Honeypots erfolgreich implementieren - in 4 Schritten

Ein Honeypot für die IT-Security lässt sich schnell einrichten, erfordert jedoch eine sorgfältige Planung. In vier Schritten können Sie Angreifer gezielt von Ihrem eigentlichen Netzwerk ablenken.

Schritt 1: Server auswählen

Für die Einrichtung eines Honeypots benötigen Sie einen Server. Da die Honigfalle nur wenige Ressourcen beansprucht, reicht leistungsschwache Hardware vollkommen aus. Bei physischen Honigfallen ist jedoch entscheidend, dass sie vom übrigen Netzwerk isoliert bleiben.

Schritt 2: Honeypot-Software installieren

Wie bei der Durchführung von Pentests erfordert auch der Einsatz von Honeypots eine gründliche Planung und ein fundiertes Konzept. Eine ausführliche Dokumentation, wie sie bei Security Assessments üblich ist, empfiehlt sich auch bei der Nutzung von Honeypots.

Schritt 3: Konfiguration

Für den erfolgreichen Betrieb eines Honeypots ist eine durchdachte Konfiguration unerlässlich. Am einfachsten gelingt dies mit Unterstützung eines Sicherheitsexperten -- wie beispielsweise turingpoint. Die Honigfalle sollte nicht zu leicht erreichbar sein, da Angreifer sonst misstrauisch werden könnten.

Schritt 4: Testen

Um den Honeypot zu testen, schlüpfen Sie selbst in die Rolle des Hackers. Alternativ können Sie auf Bug-Bounty-Hunting oder einen beauftragten ethischen Hacker zurückgreifen. Sobald eine gewisse Aktivität im Honeypot verzeichnet wurde, sollten Sie die Server-Logs gründlich kontrollieren und analysieren.

Honeypot-Software: 3 Möglichkeiten im Überblick

Es gibt verschiedene Honeypot-Softwarelösungen, die sich im Unternehmensalltag bewährt haben. Zu den beliebtesten Varianten gehören:

• T-Pot: Die All-in-One-Multi-Honeypot-Plattform bietet eine multi-hierarchische Architektur mit hervorragender Visualisierung der eingesetzten Honeypots.
• Honeytrap: Das erweiterbare Open-Source-System hilft Ihnen dabei, Honeypots auszuführen, zu überwachen und zu verwalten. Es bietet umfangreiche Konfigurationsmöglichkeiten und stellt zahlreiche Agenten bereit.
• Cowrie: Dieser Telnet- und SSH-Honeypot zielt darauf ab, Brute-Force-Angriffe zu protokollieren. So lässt sich das Verhalten von Angreifern gezielt beobachten.