Der so genannte Honeypot ist eines der spannendsten Konzepte im Bereich der IT-Sicherheit. Der Honeypot soll Angreifer gezielt anlocken - und schützt dadurch die sensiblen Daten im Unternehmensnetzwerk.
Der so genannte Honeypot ist eines der spannendsten Konzepte im Bereich der IT-Sicherheit. Die „Honigfalle“ soll Angreifer gezielt anlocken - und schützt dadurch die sensiblen Daten im Unternehmensnetzwerk.
Der Honeypot ist eine beliebte Methode, um (potenzielle) Angreifer sozusagen von ihrem Ziel wegzulocken. Aber was ist ein solcher Honeypot genau?
Gewissermaßen handelt es sich hierbei um eine Art „Scheinziel“. Mithilfe des Honeypots denken Hacker und andere Angreifer, dass sie ihr Ziel bereits erreicht haben. Auf diese Weise lassen sich potenzielle Cyberattacken oft abwenden, was wiederum die IT-Sicherheit erhöht.
Wichtig: Anders als klassische Sicherheitsplattformen oder Intrusion Detection Systeme geht es hier nicht nur darum, Cyber-Attacken abzuwehren. Vielmehr sollen die Angreifer hier „in die Honigfalle tappen“, sodass es möglich ist, Informationen zu ihrem Vorgehen zu gewinnen. Anschließend können IT-Experten die Strategie der Hacker analysieren.
Dieses Wissen bildet wiederum die Grundlage für eine erfolgreiche Schwachstellenanalyse (Vulnerability Assessment). Damit dieses Vorhaben gelingt, müssen Unternehmen ihren Honeypot-Server gezielt isolieren.
Der Begriff Honeypot bezieht sich auf ein Scheinziel, dass Angreifer von ihrem eigentlichen Ziel ablenkt. Seinen Ursprung hat der Begriff jedoch nicht in der IT-Security: Er basiert auf der Überlegung, dass Bären eher in eine aufgestellte Falle tappen, wenn man darin einen Honigtopf aufstellt.
Der Honeypot ist eine wichtige Maßnahme im Bereich der IT-Security. Mithilfe der Honigfalle ist es möglich, das Verhalten der Angreifer besser zu verstehen. Damit ist der Honeypot eine Alternative zu anderen, konventionellen Sicherheitsstrategien. Dabei bietet er folgende Vorteile:
Der Honeypot in der IT birgt jedoch drei große Gefahren:
Honeypots reagieren auf ähnliche Weise wie produktive Systeme. Das stellt sicher, dass der Angreifende die Honigfalle nicht als solches erkennt. Ein wichtiges Kriterium dafür ist beispielsweise der Grad der Interaktivität.
Der High-Interaction-Honeypot ist keine einfache Simulation. Es handelt sich dabei vielmehr um ein reales System mit echten Funktionalitäten. Das macht ihn aufwendiger im Betrieb und erfordert eine ausreichende Überwachung. Andernfalls kann es dem Hacker gelingen, diese Honigfalle zu kapern und den Server dann für weitere Angriffe zu nutzen.
Anders verhält es sich bei Low-Interaction-Honeypots. Sie täuschen einzelne Funktionen oder Dienste vor, sind jedoch kein reales System. Der Einsatz dieser Honeypots ist demnach wesentlich einfacher und weniger aufwendig.
Die OWASP Mobile Top 10 enthalten eine Vielzahl an möglichen Sicherheitslücken, die eine Bedrohung für das Unternehmensnetzwerk darstellen. Idealerweise leitet der Honeypot die Angriffe auf das nicht-produktive System um. In den folgenden Fällen hat sich die Verwendung von Honeypots bewährt:
Ein Honeypot für die IT-Security lässt sich schnell einrichten, erfordert jedoch eine gute Planung. Insgesamt sind vier Schritte notwendig, bevor man den Angreifer von seinem eigentlichen Ziel ablenken kann.
Für die Errichtung eines Honeypots bedarf es eines Servers. Da die Honigfalle nur wenige Ressourcen erfordert, reicht eine leistungsschwache Hardware aber vollkommen aus. Bei physischen Honigfallen ist allerdings wichtig, dass sie vom übrigen Netzwerk isoliert bleiben.
Wie auch bei der Durchführung von Pentests erfordert der Einsatz von Honeypots eine ausreichende Planung und ein fundiertes Konzept. Eine ausführliche Dokumentation, wie sie im Rahmen von Security Assessments üblich ist, ist auch bei der Nutzung von Honeypots sinnvoll.
Für die erfolgreiche Nutzung eines Honeypots ist eine durchdachte Konfiguration notwendig. Am einfachsten gelingt dies mit der Hilfe eines Sicherheitsexperten - wie beispielsweise Turingpoint. Schließlich sollte die Honigfalle nicht zu einfach zu erreichen sein. Andernfalls könnten Angreifer misstrauisch werden.
Um den Honeypot zu testen, schlüpfen Unternehmen selbst in die Rolle des Hackers. Eine Alternative dazu kann das Bug-Bounty-Hunting oder ein beauftragter ethischer Hacker sein. Nach einem Mindestmaß an Aktivität im Honeypot ist es essenziell, die Server-Logs zu kontrollieren und zu analysieren.
Es gibt verschiedene Arten von Honeypot-Software, die im Unternehmensalltag zum Einsatz kommen kann, wie die folgenden Beispiele zeigen. Zu den beliebtesten Varianten gehören:
Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: