Was ist ein Honeypot?
Honeypot – vielleicht haben Sie den Begriff schon gehört und sich gefragt, was ein solcher „Honigtopf“ sein soll und wie er Computersysteme sicherer machen kann. In diesem Artikel erfahren Sie alles Wissenswerte zu Honeypots und ihrer Rolle in einer effektiven Cybersicherheitsstrategie.
Honeypot – ein Definitionsversuch
Um sich das Honeypot-Prinzip klarzumachen, hilft eine Analogie mit der Honigfalle aus der Welt der Geheimdienste: Hier locken Spione einander häufig in Liebesbeziehungen, um an Informationen zu gelangen. Ist ein feindlicher Agent erst kompromittiert, lässt sich leicht die Herausgabe von Geheimnissen erpressen.
Cyber-Honeypots gehen ganz ähnlich vor, um Hackern eine Falle zu stellen. Simulierte Computersysteme werden gleich einer Attrappe als lohnende Ziele für Cyberangriffe platziert. Sobald Hacker ihr Glück versuchen, sammelt der Honeypot durch eine Analyse der Eindringversuche Informationen zu den Cyberkriminellen und ihren Methoden oder versucht, sie von anderen Zielen abzulenken.
So funktionieren Honeypots
Ein Honeypot ist einem echten Computersystem täuschend ähnlich. Er enthält Anwendungen und Daten und sieht für Cyberkriminelle wie ein authentisches Angriffsziel aus. Ein geeigneter Köder in Unternehmen sind beispielsweise fingierte Kundenabrechnungssysteme, da Kriminelle hier häufig nach Kreditkartennummern suchen. Sobald sich die Hacker Zugriff auf das System verschafft haben, können sie verfolgt werden. Außerdem werden alle ihre Aktionen ausgewertet, um effektivere Sicherheitsmaßnahmen für das echte Netzwerk abzuleiten.
Damit Honeypots für Hacker attraktiv sind, werden absichtlich Sicherheitslücken in sie eingebaut. Das können Ports sein, die auf einen Port-Scan antworten, oder auch schwache Passwörter. Manchmal werden gezielt anfällige Ports offengelassen, damit Angreifer die Honeypot-Umgebung ins Visier nehmen statt des besser abgesicherten Live-Netzwerks.
Anders als Firewalls oder Antivirensoftware sind Honeypots nicht auf ein spezifisches Problem ausgelegt. Bei ihnen geht es um Informationsgewinnung. Unternehmen können sich mit Honeypots ein Bild von ihrer individuellen Bedrohungslage machen und neue Bedrohungen frühzeitig identifizieren. Mit den gesammelten Daten lassen sich ihre Sicherheitsmaßnahmen dann priorisieren und gezielter umsetzen.
Honeypot-Arten und ihre Funktionsweise
Es gibt verschiedene Arten von Honeypots, die jeweils auf ganz bestimmte Bedrohungen zugeschnitten sind. Ein möglicher Definitionsansatz ist daher die Unterscheidung der Honeypots nach der Art der Bedrohung, gegen die sie eingesetzt werden. Egal, für welche Variante Sie sich entscheiden – ein Honeypot gehört in jede gründliche und effektive Cybersicherheitsstrategie.
Bei E-Mail-Traps oder Spam-Traps wird eine fiktive E-Mail-Adresse an einem verborgenen Ort eingerichtet, an dem sie nur von automatisierten E-Mail-Harvestern gefunden werden kann. Da die Adresse ausschließlich als Spam-Trap verwendet wird, ist jede eingehende E-Mail mit absoluter Sicherheit Spam. Alle Nachrichten, die den gleichen Inhalt haben wie die in der Spam-Trap gelandeten E-Mails, können automatisch blockiert werden. Zusätzlich lassen sich die Quell-IPs der Absender zu einer Denylist hinzufügen.
Mit Datenbankattrappen können Sie Sicherheitslücken in Software aufspüren und Angriffe identifizieren, die unsichere Systemarchitekturen ausnutzen. Auch SQL-Einschleusung, Exploits von SQL-Diensten und Rechtemissbrauch lassen sich mit einem solchen Honeypot erkennen.
Ein Malware-Honeypot imitiert Softwareanwendungen und APIs, um Malware-Angriffe zu provozieren. Die Malware wird anschließend analysiert. So lassen sich Sicherheitslücken in der API schließen und es kann geeignete Anti-Malware-Software entwickelt werden.
Spider-Honeypots erstellen Webseiten und Links, die nur für Webcrawler zugänglich sind. Diese kleinen Programme werden auch Spiders genannt – daher der Name dieses Honeypot-Typs. Eine effektive Crawler-Erkennung hilft Ihnen, Strategien für die Blockierung von schädlichen Bots und Crawlern von Anzeigennetzwerken auszuarbeiten.
Wenn Sie den Datenverkehr überwachen, der in das Honeypot-System fließt, lassen sich zahlreiche interessante Fragen beantworten:
- Wo sitzen die Cyberkriminellen?
- Wie ernst ist die Bedrohung?
- Welche Methode wird eingesetzt?
- Welche Daten oder Anwendungen sind das Ziel?
- Wie wirksam sind Ihre Sicherheitsvorkehrungen gegen Cyberangriffe?
Ein anderer Definitionsansatz unterscheidet Honeypots nach ihrem Interaktionslevel: Ist er hoch oder niedrig? Honeypots mit niedrigem Interaktionslevel nutzen weniger Ressourcen und erfassen grundlegende Informationen zu Gefahrenpotenzial und Art einer Bedrohung sowie zu ihrem Ursprung. Sie lassen sich schnell und unkompliziert einrichten. In der Regel genügt die Simulation einiger einfacher TCP/IP-Protokolle und Netzwerkdienste. Allerdings verlieren Angreifer schnell das Interesse an solchen Honeypots, sodass sich keine detaillierten Informationen zu ihren Gewohnheiten oder zu komplexen Bedrohungen erfassen lassen.
Honeypots mit hohem Interaktionslevel dagegen sind speziell darauf ausgelegt, Hacker so lange wie möglich in der simulierten Umgebung zu halten und möglichst viele Informationen zu sammeln. Was sind die Absichten und Ziele der Kriminellen? Welche Sicherheitslücken nutzen sie aus? Wie gehen sie genau vor? Einfach ausgedrückt legen solche Honeypots zusätzliche verlockende Köder aus – Datenbanken, Systeme und Prozesse, die Hacker viel länger beschäftigen. Forscher können so genau verfolgen, wie sich die Angreifer auf der Suche nach vertraulichen Informationen durch das System bewegen, mit welchen Tools sie sich erweiterte Rechte verschaffen und mit welchen Exploits sie in das System gelangt sind.
Der Nachteil von Honeypots mit hohem Interaktionslevel ist ihr intensiver Ressourcenbedarf. Ihre Einrichtung und ihre Überwachung sind schwieriger und zeitaufwendiger. Darüber hinaus können sie auch ein Risiko sein: Ist ein solcher Honeypot nicht durch eine Honeywall abgesichert, könnte ein hinreichend entschlossener und raffinierter Hacker ihn für Angriffe auf andere Internet-Hosts nutzen oder über einen kompromittierten Rechner Spam versenden.
Beide Honeypot-Arten können einen Beitrag zur Cybersicherheit leisten. Wenn Sie sie miteinander kombinieren, erhalten Sie ein differenziertes Bild der Bedrohungslage: grundlegende Informationen zu den relevanten Bedrohungsarten vom Honeypot mit niedrigem Interaktionslevel und Informationen zu Absichten, Kommunikationswegen und Exploits vom Honeypot mit hohem Interaktionslevel.
Mit einem Threat-Intelligence-Framework aus Cyber-Honeypots können Unternehmen sicherstellen, dass sie ihr Cybersicherheitsbudget richtig investieren, und Schwachstellen in ihrer Sicherheitsinfrastruktur identifizieren.
Vorteile von Honeypots
Honeypots eignen sich hervorragend, um Schwachstellen in wichtigen Systemen offenzulegen. Beispielsweise können Sie mit ihnen herausfinden, wie hoch Ihr Risiko für Angriffe auf IoT-Geräte ist. Auch Verbesserungspotenzial in Sicherheitsinfrastrukturen lässt sich mit Honeypots identifizieren.
Gegenüber der Bedrohungserkennung im echten System haben Honeypots verschiedene Vorteile. Zum einen fließt in eine Honeypot-Umgebung per definitionem kein legitimer Datenverkehr – jede erfasste Aktivität ist mit ziemlicher Sicherheit ein Ausspäh- oder Eindringversuch.
Muster lassen sich so sehr viel einfacher erkennen, beispielsweise Netzwerk-Sweeps über ähnliche IP-Adressen oder IP-Adressen, die alle aus demselben Land stammen. Im Kernnetzwerk mit seinem hohen Aufkommen an legitimem Datenverkehr sind solche charakteristischen Anzeichen für einen Angriff leicht zu übersehen. In einer Honeypot-Umgebung dagegen werden vielleicht nur die schädlichen oder gefährlichen Adressen angezeigt und der Angriff ist leichter zu entdecken.
Durch das begrenzte Datenverkehrsaufkommen sind Honeypots außerdem sehr ressourcensparend. Sie stellen keine großen Ansprüche an die Hardware und lassen sich sogar auf alten Computern einrichten, die nicht mehr genutzt werden. Ihr internes Team muss auch keine eigene Software entwickeln: In Online-Repositories finden sich zahlreiche fertig programmierte Honeypot-Anwendungen.
Zudem generieren Honeypots nur wenige Fehlalarme – ganz anders als herkömmliche Systeme zur Erkennung von Eindringversuchen (IDS, Intrusion Detection Systems), die mitunter sehr viele Falschmeldungen produzieren. Auch damit halten Honeypots den Ressourcenbedarf niedrig und helfen bei der Priorisierung von Sicherheitsmaßnahmen. (Wenn Sie die von Honeypots gesammelten Daten zu anderen Systemprotokollen und Firewall-Protokollen in Beziehung setzen, können Sie sogar die Konfiguration Ihres IDS anpassen, um aussagekräftigere Warnungen zu erhalten und die Anzahl von Fehlalarmen zu reduzieren. Honeypots helfen also auch bei der Optimierung und Verbesserung anderer Cybersicherheitssysteme.)
Honeypots können Ihnen einen zuverlässigen Überblick darüber geben, wie Bedrohungen sich weiterentwickeln. Sie geben Aufschluss über Angriffsvektoren, Exploits und Malware – und im Falle von E-Mail-Traps auch über Spammer und Phishing-Angriffe. Hacker verfeinern ihre Angriffstechniken kontinuierlich. Mit einem Cyber-Honeypot können Sie neue Bedrohungsvarianten und Eindringmethoden frühzeitig erkennen. Auch blinde Flecken in Ihrer Sicherheitsinfrastruktur lassen sich mit einem durchdachten Einsatz von Honeypots aufdecken.
Nicht zuletzt sind Honeypots ideale Übungsobjekte für Sicherheitstechniker. In ihren kontrollierten und abgesicherten Umgebungen lässt sich ohne Risiko studieren, wie Angreifer vorgehen und wie unterschiedliche Arten von Bedrohungen funktionieren. Da es im Honeypot keinen echten Datenverkehr gibt, kann Ihr Sicherheitsteam sich vollkommen auf die Bedrohung konzentrieren.
Auch als Falle für interne Bedrohungen sind Honeypots geeignet. In den meisten Unternehmen liegt der Fokus auf dem Perimeter – sie wollen Außenstehende und Eindringlinge daran hindern, in die Infrastruktur einzudringen. Wird aber nur der Perimeter abgesichert, können Hacker, die es hinter die Firewall geschafft haben, nach Belieben schalten und walten.
Firewalls können ebenfalls nichts gegen interne Bedrohungen ausrichten, wie Mitarbeiter, die vor der Kündigung noch schnell ein paar Dateien stehlen möchten. Ein Honeypot hingegen liefert auch zu internen Bedrohungen Informationen und zeigt Schwachstellen auf, beispielsweise Berechtigungen, mit denen Insider in das System gelangen können.
Ebenfalls nicht zu verachten: Wenn Sie einen Honeypot aufsetzen, helfen Sie damit anderen Computernutzern. Je länger Hacker ihre Zeit mit Ihrem Honeypot verschwenden, desto weniger Zeit haben sie für Angriffe auf echte Systeme, in denen sie wirklichen Schaden anrichten können, für Sie und andere.
Risiken von Honeypots
Honeypots können Ihnen als Cybersicherheitstool dabei helfen, sich einen Überblick über die Bedrohungslandschaft zu verschaffen. Erfasst werden dabei allerdings nur Aktivitäten, die unmittelbar auf den Honeypot abzielen. Nur weil ein Angreifer sich nicht an Ihrem Honeypot versucht, heißt das nicht, dass er Ihre echte Umgebung ignoriert. Daher sollten Sie sich bei der Bedrohungserkennung keinesfalls ausschließlich auf Honeypots verlassen und sich immer über die neuesten Entwicklungen im Bereich IT-Sicherheit auf dem Laufenden halten.
Ein leistungsstarker, richtig konfigurierter Honeypot kann Angreifer davon überzeugen, dass sie sich Zugriff auf Ihr echtes System verschafft haben. Er gibt dieselben Warnmeldungen bei der Anmeldung aus, zeigt dieselben Datenfelder an und hat sogar dasselbe Layout und dieselben Logos wie das echte System. Sobald der Angreifer jedoch erkennt, dass er sich in einem Honeypot befindet, kann er ihn ignorieren und sich stattdessen auf Ihre übrigen Systeme konzentrieren.
Ist die Tarnung eines Honeypot erstmal dahin, können Hacker mit fingierten Angriffen von einem echten Exploit ablenken, mit dem sie auf Ihre Produktionssysteme abzielen. Ebenso können sie den Honeypot mit falschen Informationen füttern.
Schlimmer noch: Raffinierte Angreifer können über den Honeypot in Ihre Systeme gelangen. Deswegen sind Honeypot-Umgebungen niemals ein Ersatz für effektive Sicherheitskontrollen wie Firewalls und andere Systeme zur Erkennung von Eindringversuchen. Da sie selbst zum Einfallstor werden können, müssen alle Honeypots wirksam geschützt werden. Eine Honeywall bietet grundlegende Sicherheit für Honeypot-Umgebungen und verhindert, dass Angriffe auf Ihr Live-System überspringen können.
Sie sollten durchaus einen Honeypot nutzen, um bei Ihrer Cybersicherheitsstrategie die richtigen Prioritäten setzen zu können – er kann die Strategie aber nicht ersetzen. Ganz gleich, wie viele Honeypots Sie einrichten: Sie sollten parallel ein Lösungspaket wie Kaspersky Endpoint Security Cloud implementieren, um die Systeme und Ressourcen Ihres Unternehmens zu schützen. (Kaspersky nutzt eigene Honeypots zur Erkennung von Internetbedrohungen und nimmt Ihnen damit die Einrichtung ab.)
Insgesamt gilt jedoch: Die Vorteile von Honeypots überwiegen ihre Risiken deutlich. Allzu oft stellen wir uns Hacker als eine entfernte, unsichtbare Gefahr vor. Ein Honeypot zeigt Ihnen in Echtzeit exakt, was Angreifer tun, sodass Sie sie stoppen können, bevor sie ihr Ziel erreichen.
Weitere interessante Artikel:
Angriffsziel IoT:Kaspersky verzeichnet mehr als 100 Millionen Angriffe auf Smartgeräte im 1. Halbjahr 2019
Was ist ein Honeypot?
Kaspersky
