Man kennt es aus Spionagefilmen: Eine Person lockt die andere in eine Liebesbeziehung, um an geheime Informationen zu gelangen. Dieses Phänomen existiert aber auch in der digitalen Welt und ist dort unter dem bildhaften Begriff Honeypot bekannt. Was es mit dem täuschend echten Computersystem auf sich hat und wofür Unternehmen es nutzen können, erfahren Sie in diesem Artikel.

→ Erfahren Sie, welche Optimierungen Sie an Ihrer Website unbedingt vornehmen  sollten [Kostenloses Tool]

Wie funktioniert ein Honeypot?

Während klassische Antivirensoftwares und Firewalls auf spezifische Schwachstellen ausgerichtet sind, steht bei Honeypots vor allem der Informationsgewinn im Vordergrund. Unternehmen können mit einem Honeypot nicht nur feststellen, wo Sicherheitslücken sind, sondern wie und wie oft sich Hacker Zugriff verschaffen. Die individuelle Bedrohung kann so besser identifiziert und zukünftig umgangen werden.

Damit ein Honeypot nicht als solcher enttarnt wird, enthält er verschiedene Anwendungen und Daten, die ein echtes Computersystem simulieren. Diese sollen jedoch nicht nur den Schein wahren, sondern sogar besonders attraktiv für Cyberkriminelle sein. So sind fingierte Kundendaten mit Zahlungsinformationen ideale Bestandteile eines Honeypots, da diese ein häufiges Ziel von Angreifenden sind.

Honeypots sind dabei bewusst fehlerhaft und enthalten Lücken in der Sicherheit, um die Angreiferinnen und Angreifer nicht nur einzufangen, sondern ihnen unbemerkt den Weg zu weisen. Sicherheitslücken in den Honeypot einzubauen, ist dabei relativ einfach. Schwache Passwörter sind eine Möglichkeit, aber auch anfällige Ports können mit Absicht offen gelassen werden, um die Hacker in das falsche System zu locken.

Honeypot: Low, Middle und High Interaction

Im Wesentlichen wird bei Honeypots zwischen drei Vorgehensweisen unterschieden, die beschreiben, wie viel Interaktion mit den Hackerinnen und Hackern stattfindet.

Honeypot mit Low Interaction

Bei geringer Interaktion mit den Angreifenden ahmt der Honeypot nur begrenzte Bereiche nach, beispielsweise eine Anwendung oder einen einzelnen Service. Solche Honigtöpfe sind einfach zu implementieren und fungieren vor allem als Frühwarnsystem, da sie schnell auf Cyberattacken reagieren. Allerdings erhalten Unternehmen, die sich für Low Interaction Honeypots entscheiden, weniger Informationen über die Kriminellen.

Honeypot mit Medium Interaction

Eine mittlere Interaktionsrate bei Honeypots erlaubt es Angreifenden, begrenzt mit dem System zu interagieren, das simuliert wird. Dadurch erhalten Unternehmen einen besseren Einblick in die Vorgehensweisen der Hacker und können mögliche Ziele besser identifizieren. Die Honeypots mit Medium Interaction simulieren im Gegensatz zu Low Interaction ganze Betriebssysteme und Netzwerke.

Honeypot mit High Interaction

Auch bei Honeypots mit hoher Interaktion wird ein ganzes Betriebssystem simuliert, die Kriminellen haben jedoch vermeintlich mehr Spielraum. So können sie beispielsweise auch mit anderen Anwendungen und Systemen interagieren und geben so möglicherweise umfassende Einblicke in ihre Motivationen und Taktiken. Solche aufwändigen Fallen sind jedoch weitaus komplexer als Low Interaction Honeypots und benötigen sowohl mehr Know How als auch Ressourcen, um sinnvoll eingesetzt zu werden.

Honeypot-Arten: E-Mail Trap, Malware und Co.

Jede Art Honeypot kann individuell auf eine Bedrohung zugeschnitten werden und diese damit möglichst effektiv untersuchen. Folgende Arten von Honeypots sind besonders beliebt:

E-Mail-Fallen und Spamfallen

Mit einer E-Mail Trap wird eine nicht genutzte E-Mail-Adresse so eingerichtet, dass sie ausschließlich von automatisierten E-Mail-Harvestern gefunden werden kann. Damit ist jede eingehende E-Mail auf diese Adresse Spam, wodurch künftige Nachrichten mit dem gleichen Inhalt automatisch abgewehrt werden. Diese Art Honeypot erlaubt es außerdem, die IPs der Cyberkriminellen zu blockieren.

Malware

Mit einem Malware-Honeypot lassen sich Sicherheitslücken in der API enttarnen und schließen. Dabei wird ein Malware-Angriff provoziert, indem APIs und Softwareanwendungen imitiert werden.

Spiders bzw. Webcrawler

Spiders, auch Webcrawler genannt, sind Search Bots, die Inhalte im Netz sichten und für Suchmaschinen indexieren. Spider-Honeypots erstellen Webseiten und Links, die ausschließlich für Webcrawler erreichbar sind. Durch den Zugriff auf die Seiten und Verlinkungen können schädliche Bots und Ad-Crawler identifiziert werden.

Honeypots: Vorteile und Nachteile im Überblick

Der Einsatz von Honeypots ist für Unternehmen keineswegs ein alltäglicher und ist damit oft mit Tücken verbunden. Gleichzeitig hat die Technologie in Punkto Cyber Security zahlreiche Argumente auf ihrer Seite. Das sind die Vor- und Nachteile auf einen Blick:

Vorteile von Honeypots

  • Die frühzeitige Erkennung von Cyberattacken ermöglicht eine schnelle Reaktion und einen begrenzten Schaden.
  • Unbekannte Bedrohungen, die von gängigen Sicherheitsmaßnahmen übersehen werden, können durch Honeypots identifiziert werden.
  • Tatsächliche Ziele, auf die es Angreiferinnen und Angreifer absehen, werden durch die simulierten Daten und Systeme in den Hintergrund gerückt.
  • Informationen zu den Taktiken und Strategien der Cyberkriminellen werden offengelegt und tragen dazu bei, das System besser zu schützen.
  • Gesammelte Informationen über Angriffe können als Schulungsmaterial für Sicherheitspersonal dienen, um die realen Bedrohungen zu veranschaulichen.

Nachteile von Honeypots

  • Honeypots können in Cyberattacken missbraucht werden, um durch die falschen Fährten in das richtige System zu gelangen.
  • Hohe zeitliche und finanzielle Ressourcen erschweren die Einrichtung, Umsetzung und Wartung vor allem für kleine Unternehmen.
  • Bei unsachgemäßer Konfiguration der Honeypots steigt das Risiko für die Unternehmen, sich angreifbar zu machen.
  • Fehlalarme können ausgelöst werden, wenn Systeme die Honeypots als Bedrohung einstufen.

Fazit: Mit Honig und Brotkrumen Hacker anlocken

Nicht immer durchbrechen Angreifende einfach einer Firewall und gelangen so an wertvolle Daten. Bisweilen nutzen sie Social Engineering oder Brute Force.

Unternehmen aber haben dazugelernt: Wie die Hexe im Wald können sie mit einem Honeypot kleine Brotkrumen legen und so Angreiferinnen und Angreifer mit ihrer eigenen Waffe schlagen. So sind vor allem günstig umsetzbare Low Interaction Honeypots geeignet, um sich einen ersten Überblick über die Bedrohungslage zu verschaffen.

Alles in allem ist ein Honeypot eine ideale Lösung, um sich proaktiv vor Cyberangriffen zu schützen, sofern er sinnvoll in die bestehende Sicherheitsstrategie eines Unternehmens integriert wird.

New Call-to-action

 website grader

Titelbild: Christopher Gower / Unsplash

Ursprünglich veröffentlicht am May 9, 2023 2:00:00 AM, aktualisiert am Mai 09 2023

Themen:

Cybersecurity