Honeypot: Nehmen Sie Internetkriminelle ins Visier!

Internetkriminalität gehört mittlerweile zu den bedeutendsten Geschäftsrisiken. Umso entscheidender ist es für Betriebe, die Taktiken, Techniken sowie Verhalten der Attackierenden zu begutachten, um passende IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten machen zu können. Ein erprobtes Tool dafür sind Honeypots. Was sich hinter dem Begriff versteckt, wie diese wirken und weshalb es sich lohnt über deren Einsatz nachzudenken, erfahren Sie in dem folgenden Blogbeitrag.

Die Tage, an denen noch in vielen Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Manipulation keinerlei ernstzunehmende Bedrohung darstellen, sind längst passé. Mittlerweile reagieren zunehmend mehr Unternehmen auf die angespannte IT-Sicherheitslage und investieren in die Optimierung ihrer IT-Sicherheitsstrategie sowie die Weiterentwicklung der IT- Sicherheitsmaßnahmen.

Nur im Jahr 2021 haben knapp 54 Prozent der Betriebe, entsprechend der eco-IT-Sicherheitsumfrage 2022, die Unkosten für die IT-Sicherheit angehoben.

Auch wenn die Bemühungen um mehr IT-Sicherheit wachsen, reicht es angesichts der alarmierenden Schnelligkeit mit der neue Angriffsmethoden erfunden sowie eingesetzt werden, keinesfalls mehr aus, lediglich auf rein präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu setzen. Besser gesagt bedarf es einer IT-Sicherheitsstrategie, welche über die Tatsache hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ zu erwischen – etwa durch den Einsatz von sogenannten „Honeypots“.

Definition: Was ist ein Honeypot?

Bei „Honeypots“ dreht es sich um virtuelle Fallen - zu vergleichen mit Honigködern für Bären- in Gestalt von allem Anschein nach verwundbaren IT-Systemen oder Unternehmensnetzwerken.

Im Unterschied zu anderweitigen IT-Sicherheitslösungen sollen Honeypots Internetangriffe vor allem nicht abwehren. Im Gegensatz: Sie fungieren als Köder, um Internetkriminelle anzulocken, deren Angriffsmuster und Angriffsverhalten zu analysieren und sie im Idealfall zu identifizieren.

Damit das gelingt, müssen die verwendeten Honeypots unter anderem authentisch scheinende Unternehmensprozesse abwickeln, gängige Protokolle einsetzen, die gewöhnlichen Ports offen halten plus Geschäftsdaten enthalten, welche sie erscheinen lassen, wie reale Systeme.

Serverseitige und clientseitige Honeypots: Welche Unterschiede gibt es?

Immer häufiger werden IT-Systeme sowie Unternehmensnetzwerke von Internetganoven attackiert. Um diesem entgegenzuwirken, setzen immer mehr Unternehmen digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welches Ziel mit dem Honeypot verfolgt werden soll, kann die Implementierung serverseitig oder clientseitig geschehen:

Serverseitige Honeypots

Die Grundidee eines serverseitigen Honeypots ist es, Bedrohungsakteure innerhalb eines Systems in einen isolierten Bereich zu ködern und sie so von den eigentlichen interessanten und kritischen Netzwerkkomponenten fernzuhalten. Wird durch den Honeypot zum Beispiel ein simpler Server gekünstelt, schlägt dieser bei einem Internetangriff Alarm, versendet Warnungen und zeichnet sämtliche feindliche Aktivitäten auf. Auf diese Weise bekommt die Unternehmens-IT Informationen darüber, wie die Angriffe vonstattengehen und können auf selbiger Datengrundlage deren reale IT-Infrastruktur noch ausgereifter schützen.

Clientseitige Honeypots

Bei einem clientseitigen Honeypot werden Netzwerkkomponenten oder Nutzungen vorgetäuscht, die Server-Dienste brauchen. Paradebeispiel hierfür ist die Simulation eines Webbrowsers, der ganz gezielt unsichere Internetseiten aufruft, um Informationen über Sicherheitsrisiken zu sammeln. Geschieht über einen dieser Punkte ein Angriff, wird jener für eine spätere Auswertung protokolliert.

Der Grad der Interaktivität ist maßgebend!

Honeypots zählen zu den spannendsten IT-Sicherheitskonzepten in der IT-Welt.
Deren vorrangiges Ziel ist es die Attackierenden hinters Licht zu führen und unterdies unentdeckt zu verbleiben.
Denn je länger sich ein Attackierender blenden lässt, desto mehr Informationen können die „Honeypots“ über dessen Angriffsstrategie wie auch das Angriffsverhalten sammeln.

Eine der wichtigsten Faktoren zur Klassifizierung von Honeypots ist daher das Ausmaß der Interaktivität mit den Angreifern. Man differenziert in diesem Rahmen sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots wie auch High-Interaction-Honeypots.

Low-Interaction-Honeypots

Bei Low-Interaction-Honeypots handelt es sich um Lockfallen mit einem geringen Grad an Aktivität. Sie basieren im Wesentlichen auf der Nachahmung realer Systeme oder auch Anwendungen. Dabei werden Dienste und Funktionen meist nur so weit nachgeahmt, dass ein Angriff möglich wäre.

High-Interaction-Honeypots

Bei High-Interaction-Honeypots dagegen, handelt es sich um Lockfallen mit einem hohen Grad der Interaktivität. Es werden in der Regel reale Systeme eingesetzt, welche Server-Dienste zur Verfügung stellen. Das wiederum verlangt eine gute Überwachung wie auch Absicherung. Ansonsten besteht die Gefährdung, dass Angreifer die Honeypots übernehmen, das zu beschützende System infiltrieren oder von diesem startend Angriffe auf andere Server im Netzwerk einleiten.

Honeypots: Die Vorteile und Nachteile!

Die Vorteile von Honeypots sprechen für sich:

• Schutz vor externen Bedrohungen: Honeypots können durch ihre „täuschend echte“ Form Internetkriminelle von echten Zielen weglenken wie auch deren Ressourcen binden.
• Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk nur nach außen absichern, dienen Honeypots ebenso dazu, interne Gefahren aufzudecken und unerwünschten Datenabfluss zu verhindern.
• zuverlässige Angriffserkennung: Honeypots werden so konzipiert, dass sie nicht durch Zufall vom Internet zugänglich sind. Dadurch wird ein „harmloser“ Traffic aus dem Internet weitgehend ausgeschlossen und jede erfasste Bewegung als Angriffsversuch gewertet.
• erkenntnisreiche Einblicke: Honeypots erfüllen die Funktion einer risikofreien Umgebung, sodass die Unternehmens-IT alle möglichen Angriffe ohne zeitlichen Druck beobachten sowie analysieren kann. Des Weiteren können so auch Schwachstellen der IT-Sicherheitsinfrastruktur beseitigt werden.
• Rückverfolgung von Angreifern: Im Kontrast zu sonstigen Sicherheitslösungen kann die Unternehmens-IT durch Honeypots, Angriffe zur Quelle zurückzuverfolgen, etwa über die IP-Adressen.

Ein Honeypot allein bewahrt vor Attacken nicht!

Doch auch beim Einsatz von Honeypots ist nicht alles Gold was glänzt. Die größte Gefahr besteht darin, dass Honeypots bei mangelhafter Implementation durch Internetkriminelle übernommen sowie ausgenutzt werden könnten, um die Unternehmens-IT mit falschen Informationen zu füttern und weitere bösartige Angriffe auf andere Systeme im Partnernetzwerk einleiten werden.

Fazit: Honeypots sind ein Muss!

Internetkriminalität zählt mittlerweile zu den größten Geschäftsrisiken.
Umso entscheidender ist es, dass Firmen neben hochwertigen Firewalls, wirksamen Netzwerk-Intrusion-Detection- sowie Prevention-Lösungen wie auch leistungsfähigen Multi-Faktor-Authentifizierung-Lösungen plus Verschlüsselungsverfahren ergänzende IT-Sicherheitsmaßnahmen ergreifen, um Angreifer auf frischer Mission zu ergreifen. Und exakt hier kommen Honeypots zum Tragen. Diese können, wenn sie richtig verwendet werden, wertvolle Bestandteile einer mehrschichtig konzipierten IT-Sicherheitsstrategie werden und das Unternehmen vor ausgeklügelten Internetangriffen, doch ebenso vor Insiderbedrohungen schützen.

Wollen auch Sie durch den Einsatz von Honeypots, Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Landschaft mit noch effektiveren IT-Sicherheitsmaßnahmen stärken. Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!