Honeypots in der IT-Security

Der so genannte Honeypot ist eines der spannendsten Konzepte im Bereich der IT-Sicherheit. Die „Honigfalle“ soll Angreifer gezielt anlocken - und schützt dadurch die sensiblen Daten im Unternehmensnetzwerk.

Die Honigfalle: Was ist ein Honeypot?

Der Honeypot ist eine beliebte Methode, um (potenzielle) Angreifer sozusagen von ihrem Ziel wegzulocken. Aber was ist ein solcher Honeypot genau? Gewissermaßen handelt es sich hierbei um eine Art „Scheinziel“. Mithilfe des Honeypots denken Hacker und andere Angreifer, dass sie ihr Ziel bereits erreicht haben. Auf diese Weise lassen sich potenzielle Cyberattacken oft abwenden, was wiederum die IT-Sicherheit erhöht. Wichtig: Anders als klassische Sicherheitsplattformen oder Intrusion Detection Systeme geht es hier nicht nur darum, Cyber-Attacken abzuwehren. Vielmehr sollen die Angreifer hier „in die Honigfalle tappen“, sodass es möglich ist, Informationen zu ihrem Vorgehen zu gewinnen. Anschließend können IT-Experten die Strategie der Hacker analysieren. Dieses Wissen bildet wiederum die Grundlage für eine erfolgreiche Schwachstellenanalyse (Vulnerability Assessment). Damit dieses Vorhaben gelingt, müssen Unternehmen ihren Honeypot-Server gezielt isolieren.

Begriffserklärung

Der Begriff Honeypot bezieht sich auf ein Scheinziel, dass Angreifer von ihrem eigentlichen Ziel ablenkt. Seinen Ursprung hat der Begriff jedoch nicht in der IT-Security: Er basiert auf der Überlegung, dass Bären eher in eine aufgestellte Falle tappen, wenn man darin einen Honigtopf aufstellt.

Nutzen und Vorteile von Honeypots

Der Honeypot ist eine wichtige Maßnahme im Bereich der IT-Security. Mithilfe der Honigfalle ist es möglich, das Verhalten der Angreifer besser zu verstehen. Damit ist der Honeypot eine Alternative zu anderen, konventionellen Sicherheitsstrategien. Dabei bietet er folgende Vorteile:

• Angriffserkennung: Aufgrund seiner spezifischen Konfiguration ist ein Honeypot-Server nicht zufällig über das Internet erreichbar. Deshalb lässt sich jede Aktivität auf dem Server definitiv als Angriffsversuch werten.
• Ressourcen: Da es sich bei diesen Systemen nicht um Produktivsysteme handelt, ist der Bedarf an Ressourcen gering.
• Informationen: Mit einem Honeypot sammeln Experten Informationen über Angriffsversuche. Die gewonnen Erkenntnisse lassen sich beispielsweise zur Planung und Entwicklung von Strategien beim Schwachstellenscan nutzen. Aber auch DDoS-Angriffe können durch den Einsatz von Honeypots leichter abgewandt werden.

In falscher Sicherheit: Die Nachteile von Honeypots

Der Honeypot in der IT birgt jedoch drei große Gefahren:

• Der Einsatz von Honeypots führt oft dazu, dass Unternehmen ihre tatsächlichen Sicherheitsvorrichtungen vernachlässigen. Sie wiegen sich in falscher Sicherheit und verzichten zum Beispiel auf einen fortlaufenden Schwachstellenscan (Continuous Vulnerability Scanning). Auch Kennzahlen wie die Mean Time to Detect (MTTD) werden dabei oft außer Acht gelassen.
• Es ist möglich, dass raffinierte Hacker dennoch in das produktive System eindringen. Eine exzellente Security Incident Response hilft dabei, ein solches Problem schnell in den Griff zu bekommen.
• Ist der Honeypot nicht täuschend echt, könnten Hacker gefälschte Informationen an die Netzwerkadministratoren weiterleiten.

Verschiedene Arten von "Honigfallen"

Honeypots reagieren auf ähnliche Weise wie produktive Systeme. Das stellt sicher, dass der Angreifende die Honigfalle nicht als solches erkennt. Ein wichtiges Kriterium dafür ist beispielsweise der Grad der Interaktivität.

High- vs. Low-Interaction-Honeypots

Der High-Interaction-Honeypot ist keine einfache Simulation. Es handelt sich dabei vielmehr um ein reales System mit echten Funktionalitäten. Das macht ihn aufwendiger im Betrieb und erfordert eine ausreichende Überwachung. Andernfalls kann es dem Hacker gelingen, diese Honigfalle zu kapern und den Server dann für weitere Angriffe zu nutzen. Anders verhält es sich bei Low-Interaction-Honeypots. Sie täuschen einzelne Funktionen oder Dienste vor, sind jedoch kein reales System. Der Einsatz dieser Honeypots ist demnach wesentlich einfacher und weniger aufwendig.

Verschiedene Bedrohungsarten

Die OWASP Mobile Top 10 enthalten eine Vielzahl an möglichen Sicherheitslücken, die eine Bedrohung für das Unternehmensnetzwerk darstellen. Idealerweise leitet der Honeypot die Angriffe auf das nicht-produktive System um. In den folgenden Fällen hat sich die Verwendung von Honeypots bewährt:

• Datenbank-Attrappen helfen dabei, SQL-Injections oder gefälschte Log-ins zu erkennen.
• E-Mail-Traps erkennen Spam und schützen dadurch den regulären Posteingang.
• Spider-Honeypots sind lediglich für Webcrawler zugängig und helfen dabei, diese zu blockieren.
• Malware-Honeypots imitieren Software und APIs, um Malware-Angriffe zu analysieren. Honeylinks lassen sich nur über die HTML-Codeanalyse aufspüren und leiten umfassende Schutzmaßnahmen ein, sobald der Link aufgerufen wird.
• Tarpits verringern die Ausbreitungsgeschwindigkeit von Würmern und behindern Portscans.

Honeypots erfolgreich implementieren - in 4 Schritten

Ein Honeypot für die IT-Security lässt sich schnell einrichten, erfordert jedoch eine gute Planung. Insgesamt sind vier Schritte notwendig, bevor man den Angreifer von seinem eigentlichen Ziel ablenken kann.

Schritt 1: Server auswählen

Für die Errichtung eines Honeypots bedarf es eines Servers. Da die Honigfalle nur wenige Ressourcen erfordert, reicht eine leistungsschwache Hardware aber vollkommen aus. Bei physischen Honigfallen ist allerdings wichtig, dass sie vom übrigen Netzwerk isoliert bleiben.

Schritt 2: Honeypot-Software installieren

Wie auch bei der Durchführung von Pentests erfordert der Einsatz von Honeypots eine ausreichende Planung und ein fundiertes Konzept. Eine ausführliche Dokumentation, wie sie im Rahmen von Security Assessments üblich ist, ist auch bei der Nutzung von Honeypots sinnvoll.

Schritt 3: Konfiguration

Für die erfolgreiche Nutzung eines Honeypots ist eine durchdachte Konfiguration notwendig. Am einfachsten gelingt dies mit der Hilfe eines Sicherheitsexperten - wie beispielsweise Turingpoint. Schließlich sollte die Honigfalle nicht zu einfach zu erreichen sein. Andernfalls könnten Angreifer misstrauisch werden.

Schritt 4: Testen

Um den Honeypot zu testen, schlüpfen Unternehmen selbst in die Rolle des Hackers. Eine Alternative dazu kann das Bug-Bounty-Hunting oder ein beauftragter ethischer Hacker sein. Nach einem Mindestmaß an Aktivität im Honeypot ist es essenziell, die Server-Logs zu kontrollieren und zu analysieren.

Honeypot-Software: 3 Möglichkeiten im Überblick

Es gibt verschiedene Arten von Honeypot-Software, die im Unternehmensalltag zum Einsatz kommen kann, wie die folgenden Beispiele zeigen. Zu den beliebtesten Varianten gehören:

• T-Pot: Die All-in-One-Multi-Honeypot-Plattform ist eine multi-hierarchische Plattform mit einer hervorragenden Visualisierung der zahlreichen Honeypots.
• Honeytrap: Das erweiterbare Open-Source-System hilft Unternehmen dabei, Honeypots auszuführen, zu überwachen und zu verwalten. Es bietet weitreichende Konfigurationsmöglichkeiten und stellt zahlreiche Agenten bereit.
• Cowrie: Hierbei handelt es sich um einen Telnet- und SSH-Honeypot, der darauf abzielt, Brute-Force-Angriffe zu protokollieren. Dadurch ermöglicht er es, das Verhalten von Angreifern dediziert zu beobachten.