Honeypot: Von A bis Z!

Internetkriminalität gehört mittlerweile zu den größten Geschäftsrisiken. Umso entscheidender ist es für Betriebe, die Taktiken, Techniken und Verhalten der Angreifer zu begutachten, um geeignete IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur und ihren geschäftskritischen Daten machen zu können. Ein bewährtes Tool dafür sind Honeypots. Was sich dahinter versteckt, wie diese wirken und weshalb es sich lohnt über ihren Einsatz nachzudenken, liest Du in dem folgenden Blogbeitrag.

Die Tage, an denen noch in vielen Unternehmen die Meinung vorherrschte, dass Datendiebstahl, Spionage und Sabotage keinerlei ernstzunehmende Gefahr darstellen, sind schon lange passé. Inzwischen agieren immer mehr Unternehmen auf die angespannte IT-Sicherheitslage und investieren in die Verbesserung der IT-Sicherheitsstrategie und den Ausbau ihrer IT-Sicherheitsmaßnahmen.

Nur 2021 haben knapp 54 Prozent der Unternehmen, laut der eco-IT-Sicherheitsumfrage 2022, die Ausgaben für die IT-Sicherheit angehoben.

Auch wenn die Aktivitäten um mehr IT-Sicherheit steigen, reicht es angesichts der alarmierenden Geschwindigkeit, mit der frische Angriffsmethoden erfunden sowie gebraucht werden, keinesfalls mehr aus, lediglich auf rein präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu vertrauen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, welche über die Tatsache hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ dingfest zu machen – beispielsweise durch den Einsatz von sogenannten „Honeypots“.

Honeypot: Ein Definitionsversuch!

Bei „Honeypots“ dreht es sich um fiktive Fallen – vergleichbar mit Honigködern für Bären- in Gestalt von allem Anschein nach verwundbaren IT-Systemen oder Unternehmensnetzwerken.

Im Gegensatz zu anderen IT-Sicherheitslösungen sollen Honeypots Internetangriffe in erster Linie nicht abblocken. Im Gegenteil: Sie dienen als Köder, um Internetkriminelle anzulocken, deren Angriffsmuster und Angriffsverhalten zu analysieren und sie im besten Fall zu identifizieren.

Mit dem Ziel, dass das gelingt, müssen die eingesetzten Honeypots beispielsweise echt wirkende Geschäftsprozesse ausführen, gängige Protokolle einsetzen, die gewöhnlichen Ports geöffnet halten und Geschäftsdaten enthalten, die sie aussehen lassen, wie echte Systeme.

Serverseitige und clientseitige Honeypots!

Immer häufiger werden IT-Systeme sowie Unternehmensnetzwerke von Internetganoven angegriffen. Um dem entgegenzuwirken, setzen immer mehr Betriebe digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welches Ziel mit einem Honeypot verfolgt werden soll, kann die Implementierung serverseitig oder clientseitig geschehen:

• Serverseitige Honeypots
Die Idee eines serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Bereich zu ködern und sie so von den tatsächlich interessanten und kritischen Netzwerkkomponenten abzuschirmen. Wird durch den Honeypot beispielsweise ein einfacher Webserver gekünstelt, schlägt dieser bei einem Internetangriff Gefahr, versendet Warnungen und zeichnet sämtliche feindliche Tätigkeiten auf. So erhält die Unternehmens-IT Informationen darüber, wie die Angriffe vonstattengehen und können auf selbiger Datengrundlage deren reale IT-Infrastruktur noch ausgereifter schützen.

• Clientseitige Honeypots
Bei dem clientseitigen Honeypot werden Netzwerkkomponenten oder Anwendungen inszeniert, die Server-Dienste benötigen. Paradebeispiel dafür ist die Vortäuschung eines Webbrowsers, der ganz gezielt unsichere Webseiten besucht, um Daten über Gefahren zu erwerben. Erfolgt über einen der Punkte ein Angriff, wird dieser für eine spätere Auswertung protokolliert.

Der Grad der Interaktivität ist maßgebend!

Honeypots gehören zu den interessantesten IT-Sicherheitskonzepten in der IT-Welt.
Ihr vorrangiges Ziel ist es, die Attackierenden in die Irre zu führen und unter dies unentdeckt zu bleiben.
Denn je länger sich ein Attackierender blenden lässt, desto mehr Informationen können die „Honeypots“ über dessen Angriffsstrategie und das Angriffsverhalten erfassen.

Eine der wichtigsten Faktoren zur Klassifikation von Honeypots ist deshalb das Ausmaß der Interaktivität mit den Angreifern. Man differenziert in diesem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.

• Low-Interaction-Honeypots: Bei Low-Interaction-Honeypots dreht es sich um Lockfallen mit einem geringen Grad an Interaktivität. Jene basieren grundlegend auf der Nachahmung realer Systeme oder Nutzungen. Dazu werden Dienste und Funktionen in der Regel nur so weit nachgeahmt, dass eine Attacke machbar ist.

• High-Interaction-Honeypots: Bei High-Interaction-Honeypots dagegen, handelt es sich um Lockfallen mit einem hohen Grad der Interaktivität. Es werden meist reale Systeme eingesetzt, die Server-Dienste anbieten. Dies hingegen erfordert eine gute Observation wie auch Absicherung. Ansonsten besteht die Gefährdung, dass Angreifer die Honeypots an sich reißen, das zu schützende System infiltrieren oder von diesem ausgehend Angriffe auf weitere Server im Netzwerk eröffnen.

Honeypots: Die Vorteile und Nachteile!

Die Vorzüge von Honeypots sprechen für sich:

• Schutz vor externen Bedrohungen: Honeypots können durch ihre „täuschend echte“ Aufmachung Internetkriminelle von realen Zielen weglenken und ihre Mittel binden.
• Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk bloß nach außen schützen, dienen Honeypots auch dazu, interne Gefahren aufzudecken und ungewollten Datenabfluss zu vermeiden.
• zuverlässige Angriffserkennung: Honeypots werden so konfiguriert, dass sie nicht durch Zufall aus dem Internet erreichbar sind. Damit wird ein „harmloser“ Datentraffic aus dem Internet größtenteils undurchführbar und jegliche erfasste Bewegung als Angriffsversuch bewertet.
• erkenntnisreiche Einblicke: Honeypots haben die Funktion einer risikofreien Umgebung, weshalb die Unternehmens-IT sämtliche Angriffe ganz ohne Zeitdruck anschauen sowie untersuchen kann. Überdies können so auch Schwachstellen der IT-Sicherheitsinfrastruktur behoben werden.
• Rückverfolgung von Angreifern: Im Gegensatz zu sonstigen Sicherheitslösungen kann die Firmen-IT mithilfe von Honeypots, Angriffe zur Quelle zurückzuverfolgen, beispielsweise über die IP-Adressen.

Ein Honeypot allein bewahrt vor Angriff nicht!

Doch auch beim Einsatz von Honeypots ist nicht alles Gold was glänzt. Die größte Gefahr liegt hierin, dass Honeypots bei mangelhafter Umsetzung durch Internetkriminelle gekapert sowie ausgebeutet werden können, um die Unternehmens-IT mit gefälschten Daten zu versorgen sowie weitere bösartige Angriffe auf andere Systeme im Partnernetzwerk einleiten werden.

Resümee: Auf frischer Tat ertappt!

Internetkriminalität zählt mittlerweile zu den größten Geschäftsrisiken.
Umso wichtiger ist es, dass Firmen neben professionellen Firewalls, effektiven Netzwerk-Intrusion-Detection- sowie Prevention-Lösungen wie auch leistungsstarken Multi-Faktor-Authentifizierung-Lösungen plus Verschlüsselungsverfahren ergänzende IT-Sicherheitsmaßnahmen wahrnehmen, um Angreifer auf frischer Mission zu ergreifen. Und exakt hier kommen Honeypots zum Einsatz. Diese können, wenn sie richtig eingesetzt werden, wertvolle Elemente einer mehrschichtig konzipierten IT-Sicherheitsstrategie werden und das Unternehmen vor ausgeklügelten Internetangriffen, aber auch vor Insiderbedrohungen schützen.

Hast du noch Fragen? Du erreichst uns gerne unter der Nummer: +49 221 7880 59-200 oder schreib uns eine Mail: beratung@coretress.de