Internetkriminalität zählt inzwischen zu den größten Geschäftsrisiken. Umso wichtiger ist es für Betriebe, die Taktiken, Techniken und Verhalten der Angreifer zu begutachten, um geeignete IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten treffen zu können. Ein erprobtes Tool dafür sind Honeypots. Was sich hinter dem Begriff verbirgt, wie diese wirken und warum es sich lohnt über ihren Einsatz nachzudenken, erfahren Sie in dem nachfolgenden Blogbeitrag.

Die Zeiten, in welchen noch in vielen Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Manipulation keine ernstzunehmende Bedrohung verkörpern, sind schon lange passé. Mittlerweile agieren zunehmend mehr Unternehmen auf die bedrohliche IT-Sicherheitslage und investieren in eine Verbesserung der IT-Sicherheitsstrategie und die Weiterentwicklung der IT- Sicherheitsmaßnahmen.

Allein 2021 haben rund 54 Prozent der Unternehmen, entsprechend der eco-IT-Sicherheitsumfrage 2022, die Unkosten für die IT-Sicherheit erhöht.
Selbst wenn die Aktivitäten um mehr IT-Sicherheit wachsen, reicht es angesichts der alarmierenden Geschwindigkeit mit der frische Angriffsmethoden erfunden und gebraucht werden, nicht mehr aus, bloß auf rein präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu setzen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, die darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ dingfest zu machen – etwa durch den Gebrauch von sogenannten „Honeypots“.

Honeypot – Was ist das eigentlich?

Bei „Honeypots“ dreht es sich um fiktive Fallen – vergleichbar mit Honigködern für Bären- in Form von augenscheinlich verwundbaren IT-Systemen oder auch Unternehmensnetzwerken. Im Gegensatz zu anderweitigen IT-Sicherheitslösungen sollen Honeypots Internetangriffe vor allem nicht abwehren. Im Gegenteil: Sie dienen als Köder, um Internetkriminelle anzulocken, deren Angriffsmuster und Angriffsverhalten zu analysieren und sie im Idealfall zu erkennen. Mit dem Ziel, dass das gelingt, müssen die eingesetzten Honeypots beispielsweise authentisch wirkende Geschäftsprozesse abwickeln, gängige Protokolle verwenden, die gewöhnlichen Ports geöffnet halten plus Geschäftsdaten einbeziehen, die diese erscheinen lassen, wie reale Systeme.

Serverseitige und clientseitige Honeypots: Welche Unterschiede gibt es?

Immer öfter werden IT-Systeme und Unternehmensnetzwerke von Internetganoven attackiert. Um dem entgegenzuwirken, setzen immer mehr Betriebe digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welches Ziel mit dem Honeypot verfolgt werden soll, kann die Einführung serverseitig oder clientseitig erfolgen:

• Serverseitige Honeypots 

Die Grundidee eines serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Teilbereich zu locken sowie sie so von den tatsächlich spannenden und kritischen Netzwerkkomponenten fernzuhalten. Wird durch den Honeypot zum Beispiel ein simpler Server gekünstelt, schlägt dieser bei einem Internetangriff Alarm, verschickt Warnungen und zeichnet sämtliche feindliche Tätigkeiten auf. Auf diese Weise erhält die Unternehmens-IT Informationen darüber, wie die Angriffe vonstattengehen und können auf selbiger Datengrundlage ihre reale IT-Infrastruktur noch ausgereifter absichern.

• Clientseitige Honeypots 
Bei einem clientseitigen Honeypot werden Netzwerkkomponenten oder Nutzungen vorgetäuscht, die Server-Dienste brauchen. Vorzeigebeispiel dafür ist die Simulation eines Webbrowsers, der ganz gezielt unsichere Internetseiten besucht, um Daten über Sicherheitsrisiken zu erwerben. Erfolgt über einen der Punkte ein Angriff, wird dieser für eine spätere Auswertung protokolliert.

Klassifizierung der Honeypots nach Level der Interaktion!

Honeypots gehören zu den interessantesten IT-Sicherheitskonzepten in der IT-Welt. Deren vorrangiges Ziel ist es die Attackierenden in die Irre zu führen und dabei unentdeckt zu bleiben. Denn je länger sich ein Attackierender blenden lässt, desto mehr Daten können die „Honeypots“ über die Angriffsstrategie und das Angriffsverhalten erfassen.
Eine der wichtigsten Kriterien zur Klassifikation von Honeypots ist daher der Grad der Interaktivität mit den Angreifern. Man differenziert in diesem Zusammenhang sowohl serverseitig wie auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.
  • Low-Interaction-Honeypots: Bei Low-Interaction-Honeypots dreht es sich um Lockfallen mit einem geringen Grad an Interaktivität. Sie basieren grundlegend auf der Imitation realer Systeme oder auch Anwendungen. Dabei werden Dienste sowie Funktionen in der Regel nur so weit nachgeahmt, dass ein Angriff machbar ist.
  • High-Interaction-Honeypots: Bei High-Interaction-Honeypots dagegen, handelt es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden meist reale Systeme eingesetzt, die Server-Dienste zur Verfügung stellen. Dies hingegen erfordert eine gute Observation wie auch Absicherung. Ansonsten besteht die Gefährdung, dass Angreifer die Honeypots übernehmen, das zu schützende System infiltrieren oder von diesem startend Angriffe auf weitere Server im Netzwerk einleiten.

Honeypots: Welche Vorteile und Nachteile bringt der Einsatz von Honeypots!

Die Vorteile von Honeypots sprechen für sich:
  • Schutz vor externen Bedrohungen: Honeypots können durch die „täuschend echte“ Form Internetkriminelle von realen Zielen ablenken wie auch ihre Mittel binden.
  • Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk bloß nach außen schützen, eignen sich Honeypots auch dazu, innere Sicherheitsrisiken aufzudecken und unerwünschten Datenabfluss zu verhindern.
  • zuverlässige Angriffserkennung: Honeypots werden so konfiguriert, dass diese nicht durch Zufall aus dem Internet erreichbar sind. Dadurch wird ein „harmloser“ Datentraffic aus dem Internet weitgehend undurchführbar und jede erfasste Bewegung als Angriffsversuch gewertet.
  • erkenntnisreiche Einblicke: Honeypots erfüllen die Eigenschaft einer risikofreien Umgebung, sodass die Unternehmens-IT alle möglichen Angriffe ohne zeitlichen Druck anschauen und untersuchen kann. Des Weiteren können so auch Schwachstellen der IT-Sicherheitsinfrastruktur beseitigt werden.
  • Rückverfolgung von Angreifern: Im Gegensatz zu sonstigen Sicherheitslösungen kann die Unternehmens-IT durch Honeypots, Angriffe zum Ursprung zurückzuverfolgen, beispielsweise über die IP-Adressen.

Ein Honeypot allein bewahrt vor Angriff nicht!

Auch beim Gebrauch von Honeypots ist nicht alles Gold was glänzt. Die größte Gefährdung liegt darin, dass Honeypots bei mangelhafter Implementation durch Internetkriminelle übernommen sowie ausgenutzt werden könnten, um die Firmen-IT mit falschen Daten zu füttern und weitere bösartige Angriffe auf andere Systeme im Partnernetzwerk einleiten werden.

Fazit: Auf frischer Tat ertappt!

Internetkriminalität zählt mittlerweile zu den bedeutendsten Geschäftsrisiken. Umso entscheidender ist es, dass Firmen neben professionellen Firewalls, wirksamen Netzwerk-Intrusion-Detection- und Prevention-Lösungen wie auch leistungsstarken Multi-Faktor-Authentifizierung-Lösungen plus Verschlüsselungsverfahren zusätzliche IT-Sicherheitsmaßnahmen ergreifen, um Angreifer auf frischer Tat zu ertappen. Und exakt hier kommen Honeypots zum Einsatz. Sie können, wenn sie richtig verwendet werden, bedeutende Elemente einer mehrschichtig konzipierten IT-Sicherheitsstrategie sein und das Unternehmen vor rafinierten Internetangriffen, aber auch vor Insiderbedrohungen bewachen.

Möchten auch Sie durch den Gebrauch von Honeypots, Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Infrastruktur mit noch effektiveren IT-Sicherheitsmaßnahmen bestärken. Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!