Man kennt es aus Spionagefilmen: Eine Person lockt die andere in eine Liebesbeziehung, um an geheime Informationen zu gelangen. Dieses Phänomen existiert aber auch in der digitalen Welt und ist dort unter dem bildhaften Begriff Honeypot bekannt. Was es mit dem täuschend echten Computersystem auf sich hat und wofür Unternehmen es nutzen können, erfahren Sie in diesem Artikel.
Was ist ein Honeypot?
Ein Honeypot ist eine Attrappe, die ein echtes Computersystem simuliert. Der Honigtopf dient dabei als Falle für Hacker und sammelt bei einem ungewollten Zugriff Informationen der Angreiferinnen und Angreifer, etwa zur Vorgehensweise bei der Attacke. Alternativ kann ein Honeypot Kriminelle auch bewusst von vulnerablen Zielen ablenken.
Wie funktioniert ein Honeypot?
Während klassische Antivirensoftwares und Firewalls auf spezifische Schwachstellen ausgerichtet sind, steht bei Honeypots vor allem der Informationsgewinn im Vordergrund. Unternehmen können mit einem Honeypot nicht nur feststellen, wo Sicherheitslücken sind, sondern wie und wie oft sich Hacker Zugriff verschaffen. Die individuelle Bedrohung kann so besser identifiziert und zukünftig umgangen werden.
Damit ein Honeypot nicht als solcher enttarnt wird, enthält er verschiedene Anwendungen und Daten, die ein echtes Computersystem simulieren. Diese sollen jedoch nicht nur den Schein wahren, sondern sogar besonders attraktiv für Cyberkriminelle sein. So sind fingierte Kundendaten mit Zahlungsinformationen ideale Bestandteile eines Honeypots, da diese ein häufiges Ziel von Angreifenden sind.
Honeypots sind dabei bewusst fehlerhaft und enthalten Lücken in der Sicherheit, um die Angreiferinnen und Angreifer nicht nur einzufangen, sondern ihnen unbemerkt den Weg zu weisen. Sicherheitslücken in den Honeypot einzubauen, ist dabei relativ einfach. Schwache Passwörter sind eine Möglichkeit, aber auch anfällige Ports können mit Absicht offen gelassen werden, um die Hacker in das falsche System zu locken.
Honeypot: Low, Middle und High Interaction
Im Wesentlichen wird bei Honeypots zwischen drei Vorgehensweisen unterschieden, die beschreiben, wie viel Interaktion mit den Hackerinnen und Hackern stattfindet.
Honeypot mit Low Interaction
Bei geringer Interaktion mit den Angreifenden ahmt der Honeypot nur begrenzte Bereiche nach, beispielsweise eine Anwendung oder einen einzelnen Service. Solche Honigtöpfe sind einfach zu implementieren und fungieren vor allem als Frühwarnsystem, da sie schnell auf Cyberattacken reagieren. Allerdings erhalten Unternehmen, die sich für Low Interaction Honeypots entscheiden, weniger Informationen über die Kriminellen.
Honeypot mit Medium Interaction
Eine mittlere Interaktionsrate bei Honeypots erlaubt es Angreifenden, begrenzt mit dem System zu interagieren, das simuliert wird. Dadurch erhalten Unternehmen einen besseren Einblick in die Vorgehensweisen der Hacker und können mögliche Ziele besser identifizieren. Die Honeypots mit Medium Interaction simulieren im Gegensatz zu Low Interaction ganze Betriebssysteme und Netzwerke.
Honeypot mit High Interaction
Auch bei Honeypots mit hoher Interaktion wird ein ganzes Betriebssystem simuliert, die Kriminellen haben jedoch vermeintlich mehr Spielraum. So können sie beispielsweise auch mit anderen Anwendungen und Systemen interagieren und geben so möglicherweise umfassende Einblicke in ihre Motivationen und Taktiken. Solche aufwändigen Fallen sind jedoch weitaus komplexer als Low Interaction Honeypots und benötigen sowohl mehr Know How als auch Ressourcen, um sinnvoll eingesetzt zu werden.
Honeypot-Arten: E-Mail Trap, Malware und Co.
Jede Art Honeypot kann individuell auf eine Bedrohung zugeschnitten werden und diese damit möglichst effektiv untersuchen. Folgende Arten von Honeypots sind besonders beliebt:
E-Mail-Fallen und Spamfallen
Mit einer E-Mail Trap wird eine nicht genutzte E-Mail-Adresse so eingerichtet, dass sie ausschließlich von automatisierten E-Mail-Harvestern gefunden werden kann. Damit ist jede eingehende E-Mail auf diese Adresse Spam, wodurch künftige Nachrichten mit dem gleichen Inhalt automatisch abgewehrt werden. Diese Art Honeypot erlaubt es außerdem, die IPs der Cyberkriminellen zu blockieren.
Malware
Mit einem Malware-Honeypot lassen sich Sicherheitslücken in der API enttarnen und schließen. Dabei wird ein Malware-Angriff provoziert, indem APIs und Softwareanwendungen imitiert werden.
Spiders bzw. Webcrawler
Spiders, auch Webcrawler genannt, sind Search Bots, die Inhalte im Netz sichten und für Suchmaschinen indexieren. Spider-Honeypots erstellen Webseiten und Links, die ausschließlich für Webcrawler erreichbar sind. Durch den Zugriff auf die Seiten und Verlinkungen können schädliche Bots und Ad-Crawler identifiziert werden.
Honeypots: Vorteile und Nachteile im Überblick
Der Einsatz von Honeypots ist für Unternehmen keineswegs ein alltäglicher und ist damit oft mit Tücken verbunden. Gleichzeitig hat die Technologie in Punkto Cyber Security zahlreiche Argumente auf ihrer Seite. Das sind die Vor- und Nachteile auf einen Blick:
Vorteile von Honeypots
- Die frühzeitige Erkennung von Cyberattacken ermöglicht eine schnelle Reaktion und einen begrenzten Schaden.
- Unbekannte Bedrohungen, die von gängigen Sicherheitsmaßnahmen übersehen werden, können durch Honeypots identifiziert werden.
- Tatsächliche Ziele, auf die es Angreiferinnen und Angreifer absehen, werden durch die simulierten Daten und Systeme in den Hintergrund gerückt.
- Informationen zu den Taktiken und Strategien der Cyberkriminellen werden offengelegt und tragen dazu bei, das System besser zu schützen.
- Gesammelte Informationen über Angriffe können als Schulungsmaterial für Sicherheitspersonal dienen, um die realen Bedrohungen zu veranschaulichen.
Nachteile von Honeypots
- Honeypots können in Cyberattacken missbraucht werden, um durch die falschen Fährten in das richtige System zu gelangen.
- Hohe zeitliche und finanzielle Ressourcen erschweren die Einrichtung, Umsetzung und Wartung vor allem für kleine Unternehmen.
- Bei unsachgemäßer Konfiguration der Honeypots steigt das Risiko für die Unternehmen, sich angreifbar zu machen.
- Fehlalarme können ausgelöst werden, wenn Systeme die Honeypots als Bedrohung einstufen.
Fazit: Mit Honig und Brotkrumen Hacker anlocken
Nicht immer durchbrechen Angreifende einfach einer Firewall und gelangen so an wertvolle Daten. Bisweilen nutzen sie Social Engineering oder Brute Force.
Unternehmen aber haben dazugelernt: Wie die Hexe im Wald können sie mit einem Honeypot kleine Brotkrumen legen und so Angreiferinnen und Angreifer mit ihrer eigenen Waffe schlagen. So sind vor allem günstig umsetzbare Low Interaction Honeypots geeignet, um sich einen ersten Überblick über die Bedrohungslage zu verschaffen.
Alles in allem ist ein Honeypot eine ideale Lösung, um sich proaktiv vor Cyberangriffen zu schützen, sofern er sinnvoll in die bestehende Sicherheitsstrategie eines Unternehmens integriert wird.
Titelbild: Christopher Gower / Unsplash