Internetkriminalität zählt inzwischen zu den größten Geschäftsrisiken. Umso wichtiger ist es für Betriebe, die Taktiken, Techniken und Verhalten der Angreifer zu begutachten, um geeignete IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten treffen zu können. Ein erprobtes Tool dafür sind Honeypots. Was sich hinter dem Begriff verbirgt, wie diese wirken und warum es sich lohnt über ihren Einsatz nachzudenken, erfahren Sie in dem nachfolgenden Blogbeitrag.
Die Zeiten, in welchen noch in vielen Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Manipulation keine ernstzunehmende Bedrohung verkörpern, sind schon lange passé. Mittlerweile agieren zunehmend mehr Unternehmen auf die bedrohliche IT-Sicherheitslage und investieren in eine Verbesserung der IT-Sicherheitsstrategie und die Weiterentwicklung der IT- Sicherheitsmaßnahmen.
Honeypot – Was ist das eigentlich?
Serverseitige und clientseitige Honeypots: Welche Unterschiede gibt es?
Immer öfter werden IT-Systeme und Unternehmensnetzwerke von Internetganoven attackiert. Um dem entgegenzuwirken, setzen immer mehr Betriebe digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welches Ziel mit dem Honeypot verfolgt werden soll, kann die Einführung serverseitig oder clientseitig erfolgen:
Die Grundidee eines serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Teilbereich zu locken sowie sie so von den tatsächlich spannenden und kritischen Netzwerkkomponenten fernzuhalten. Wird durch den Honeypot zum Beispiel ein simpler Server gekünstelt, schlägt dieser bei einem Internetangriff Alarm, verschickt Warnungen und zeichnet sämtliche feindliche Tätigkeiten auf. Auf diese Weise erhält die Unternehmens-IT Informationen darüber, wie die Angriffe vonstattengehen und können auf selbiger Datengrundlage ihre reale IT-Infrastruktur noch ausgereifter absichern.
Klassifizierung der Honeypots nach Level der Interaktion!
- Low-Interaction-Honeypots: Bei Low-Interaction-Honeypots dreht es sich um Lockfallen mit einem geringen Grad an Interaktivität. Sie basieren grundlegend auf der Imitation realer Systeme oder auch Anwendungen. Dabei werden Dienste sowie Funktionen in der Regel nur so weit nachgeahmt, dass ein Angriff machbar ist.
- High-Interaction-Honeypots: Bei High-Interaction-Honeypots dagegen, handelt es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden meist reale Systeme eingesetzt, die Server-Dienste zur Verfügung stellen. Dies hingegen erfordert eine gute Observation wie auch Absicherung. Ansonsten besteht die Gefährdung, dass Angreifer die Honeypots übernehmen, das zu schützende System infiltrieren oder von diesem startend Angriffe auf weitere Server im Netzwerk einleiten.
Honeypots: Welche Vorteile und Nachteile bringt der Einsatz von Honeypots!
- Schutz vor externen Bedrohungen: Honeypots können durch die „täuschend echte“ Form Internetkriminelle von realen Zielen ablenken wie auch ihre Mittel binden.
- Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk bloß nach außen schützen, eignen sich Honeypots auch dazu, innere Sicherheitsrisiken aufzudecken und unerwünschten Datenabfluss zu verhindern.
- zuverlässige Angriffserkennung: Honeypots werden so konfiguriert, dass diese nicht durch Zufall aus dem Internet erreichbar sind. Dadurch wird ein „harmloser“ Datentraffic aus dem Internet weitgehend undurchführbar und jede erfasste Bewegung als Angriffsversuch gewertet.
- erkenntnisreiche Einblicke: Honeypots erfüllen die Eigenschaft einer risikofreien Umgebung, sodass die Unternehmens-IT alle möglichen Angriffe ohne zeitlichen Druck anschauen und untersuchen kann. Des Weiteren können so auch Schwachstellen der IT-Sicherheitsinfrastruktur beseitigt werden.
- Rückverfolgung von Angreifern: Im Gegensatz zu sonstigen Sicherheitslösungen kann die Unternehmens-IT durch Honeypots, Angriffe zum Ursprung zurückzuverfolgen, beispielsweise über die IP-Adressen.
Ein Honeypot allein bewahrt vor Angriff nicht!
Auch beim Gebrauch von Honeypots ist nicht alles Gold was glänzt. Die größte Gefährdung liegt darin, dass Honeypots bei mangelhafter Implementation durch Internetkriminelle übernommen sowie ausgenutzt werden könnten, um die Firmen-IT mit falschen Daten zu füttern und weitere bösartige Angriffe auf andere Systeme im Partnernetzwerk einleiten werden.
Fazit: Auf frischer Tat ertappt!
Internetkriminalität zählt mittlerweile zu den bedeutendsten Geschäftsrisiken. Umso entscheidender ist es, dass Firmen neben professionellen Firewalls, wirksamen Netzwerk-Intrusion-Detection- und Prevention-Lösungen wie auch leistungsstarken Multi-Faktor-Authentifizierung-Lösungen plus Verschlüsselungsverfahren zusätzliche IT-Sicherheitsmaßnahmen ergreifen, um Angreifer auf frischer Tat zu ertappen. Und exakt hier kommen Honeypots zum Einsatz. Sie können, wenn sie richtig verwendet werden, bedeutende Elemente einer mehrschichtig konzipierten IT-Sicherheitsstrategie sein und das Unternehmen vor rafinierten Internetangriffen, aber auch vor Insiderbedrohungen bewachen.