Honeypot

Honeypot: Angreifer vom Ziel ablenken und in die Falle locken

Ein Honeypot, übersetzt Honigtopf, ist eine Sicherheitslösung für Computer-Netzwerke. Es handelt sich dabei um einen Server oder ein Computerprogramm, das ein Netzwerk oder das Verhalten eines Anwenders simuliert. Sicherheitsexperten nutzen die Programme zum Analysieren von Angriffsmustern und können mit den Resultaten passende Sicherheitsmaßnahmen gegen Attacken ergreifen.

Die Softwarelösungen ersetzen keine traditionellen Sicherheitssysteme im Internet, sie bilden vielmehr eine zusätzliche Schicht. Ziel: Wie der Bär vom Honigtopf angelockt wird, wird der Angreifer vom eigentlichen Ziel abgelenkt oder in eine Falle gelockt. Cyberkriminelle werden nicht abgewehrt, sondern das Verhalten protokolliert. Die Programme analysieren die Angriffsmethoden und decken Schwächen im System auf.

Was erfolgt beim Zugriff?

Ein Honeypot ist ein spezielles Netzwerk, das dem tatsächlichen Netzwerk täuschend ähnlich ist und Rechner, Daten sowie Angriffsmöglichkeiten bietet. Solch ein Honigtopf ist also ein Fake-Rechner mit Fake-Daten. Häufig handelt es sich um einen einzelnen Server, der real oder virtualisiert betrieben wird. Das Honeypot-Netzwerk ist vom restlichen Netzwerk abgeschottet und speziell gesichert. Wenn ein Angreifer auf den virtuellen Nutzer oder Dienst zugreift, werden durchgeführte Aktionen protokolliert. Dabei bleibt der reale Nutzer oder Dienst von den Angriffsversuchen verschont. Die Dienste des Honigtopfs bieten für den Anwender keinen Nutzen und werden im normalen Betrieb nicht aufgerufen. Wenn ein Cyberkrimineller das System auf Schwachstellen abklopft, wird ein Dienst des Honeypots genutzt und in der Folge protokolliert. Jeder Zugriff ist daher als potenzieller Angriff zu verstehen. Solch ein Honigtopf arbeitet mit anderen Systemen wie einer Firewall zusammen. Wird ein Angreifer entdeckt, übergibt das Programm dessen IP-Adresse. In der Folge wird die IP-Adresse blockiert. Selbst aktiv wird ein Honeypot nicht, das Programm informiert stattdessen andere Systeme.

Was sind Honeyclients und Honeynets?

Mit einem Honeyclient wird ein aktiver Nutzer simuliert. Der virtuelle Anwender nutzt einen normalen Webbrowser und besucht Webseiten. So lassen sich Angriffe auf ein Browser-Plugin oder den Browser selbst feststellen. Es besteht die Möglichkeit mehrere Honeypots zu einem vernetzten Topf zusammenzuschließen, dann ist vom Honeynet die Rede. Solch ein Honeynet liefert im Idealfall detaillierte Informationen über das Verhalten von Angreifern und deren Angriffsmuster. Die Erkenntnisse dienen zur stetigen Verbesserung der Sicherheit.

Wie werden Honeypots unterschieden?

Die Honigtöpfe unterscheiden sich in der Art der Implementierung, üblich sind

  • physische Honigtöpfe in Form echter Computer im Netzwerk mit eigener Netzwerkadresse,
  • virtuelle Honigtöpfe in Form simulierter eigenständige Systeme,
  • Client-Honigtöpfe die reale Server mit einer Honeypot-Software ansprechen und
  • Server-Honigtöpfe, bei denen echte Clients von einer Honeypot-Software angesprochen werden.

Low-interaction- und High-interaction-Honeypots

Abhängig vom Grad der Interaktion wird zwischen low-interaction- und high-interaction-Honeypots unterschieden.

Ein low-interaction-Client-Honeypot ist ein Programm, das Angriffe auf den emulierten (nachgebildeten) Browser erkennen soll, ohne einen normalen Webbrowser zu verwenden. Ziel ist es beim Besuch einer Webseite zu prüfen, ob bekannte Sicherheitslücken in Browsern oder deren Erweiterungen dabei angegriffen werden.

Ein low-interaction-Server-Honeypot ist eine Software, die eine oder mehrere Dienste emuliert, meist werden statistische Daten ermittelt. Solch ein Honigtopf wird von erfahrenen Angreifern allerdings schnell erkannt.

Auf der anderen Seite handelt es sich bei einem high-interaction Honeypot in der Regel um komplette Server mit ihren Diensten. Die Einrichtung und Verwaltung ist aufwendiger als bei den low-interaction-Systemen, dabei sollen auch manuell durchgeführte Angriffe erfolgreich protokolliert werden. Neue Angriffsmethoden soll die Software auf diese Weise rechtzeitig erkennen und Alarm schlagen.

Und im Gegensatz zu den low-interaction-Client-Honeypots laufen die high-interaction-Client-Honeypots auf dem tatsächlichen Betriebssystem und verwenden den regulären Webbrowser für die Identifizierung von Angriffen.

Der Einsatz von Honeypots durch Behörden

Honigtöpfe werden unter anderem vom US-amerikanischen FBI eingesetzt, um Konsumenten von illegalen Inhalten zu entlarven. Das Vorhandensein von dem illegalen Material wird zum Anlocken vorgetäuscht und die Zugriffe von der Software protokolliert. Die Identität der Person lässt sich anschließend mithilfe des Internetdienstanbieters ermitteln. In Deutschland nutzt zum Beispiel die Telekom die Technik, um Angreifer auf die falsche Fährte zu führen.

Einen Honeypot für Windows-Server einrichten

Meist ist ein Windows-Server oder Windows-PC das Ziel von Cyber Attacken. Beim Einsatz der Programme legen Anwender unter anderem fest, welche Dienste zur Verfügung stehen sollen und wählen offene Ports aus. Im Falle eines Angriffs kann sich der Nutzer über Mails informieren lassen. Alternativ stehen virtuelle Lösungen zur Auswahl, die beispielsweise auf Rechnern mit Oracle VirtualBox gestartet werden.

Honeypots sind eine wichtige Säule in Frühwarnsystemen von Unternehmen, die gewonnenen Erkenntnisse dienen der kontinuierlichen Weiterentwicklung der Sicherheitskonzepte. Für Unternehmen wird dieser zusätzliche Schutz zunehmend immer wichtiger.