Produkte

Honeypot: Die perfekte Hacker-Falle!

09.01.2023 - Internetkriminalität gehört inzwischen zu den größten Geschäftsrisiken. Umso entscheidender ist es für Unternehmen, die Taktiken, Techniken und Verhalten der Angreifer zu begutachten, um passende IT-Sicherheitsmaßnahmen zur Sicherheit ihrer IT-Infrastruktur sowie ihren geschäftskritischen Daten machen zu können. Ein bewährtes Werkzeug hierfür sind Honeypots. Was sich hinter dem Begriff verbirgt, wie diese wirken und weshalb es sich lohnt über ihren Einsatz nachzudenken, lesen Sie in dem folgenden Blogbeitrag.

Sehr geehrte Leser*innen,

Die Zeiten, in denen noch in den meisten Unternehmen die Auffassung vorherrschte, dass Datendiebstahl, Spionage sowie Manipulation keine ernstzunehmende Bedrohung verkörpern, sind längst vorbei. Inzwischen reagieren zunehmend mehr Unternehmen auf die bedrohliche IT-Sicherheitslage und investieren in die Optimierung der IT-Sicherheitsstrategie und den Ausbau ihrer IT-Sicherheitsmaßnahmen.

Nur 2021 haben knapp 54 Prozent der Betriebe, laut der eco-IT-Sicherheitsumfrage 2022, die Ausgaben für die IT-Sicherheit erhöht.

Auch wenn die Bemühungen um mehr IT-Sicherheit steigen, reicht es hinsichtlich der alarmierenden Schnelligkeit mit der frische Angriffsmethoden entwickelt und eingesetzt werden, keinesfalls mehr aus, lediglich auf absolut präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu setzen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, welche darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ dingfest zu machen – beispielsweise durch den Gebrauch von allgemein sogenannten „Honeypots“.

Was versteht man unter einem Honeypot!

Bei „Honeypots“ handelt es sich um virtuelle Fallen - zu vergleichen mit Honigködern für Bären- in Form von allem Anschein nach verwundbaren IT-Systemen oder auch Unternehmensnetzwerken.

Im Gegensatz zu anderen IT-Sicherheitslösungen sollen Honeypots Internetangriffe vor allem nicht abblocken. Im Gegensatz: Sie fungieren als Köder, um Internetkriminelle anzulocken, ihre Angriffsmuster und Angriffsverhalten zu analysieren und sie im Idealfall zu identifizieren.

Damit das funktioniert, müssen diese verwendeten Honeypots beispielsweise authentisch scheinende Unternehmensprozesse ausführen, gängige Protokolle verwenden, die üblichen Ports offen halten und Geschäftsdaten enthalten, welche diese erscheinen lassen, wie reale Systeme.

Serverseitige und clientseitige Honeypots: Welche Unterschiede gibt es?

Immer häufiger werden IT-Systeme und Unternehmensnetzwerke von Internetganoven attackiert. Um dem entgegenzuwirken, setzen zunehmend mehr Betriebe digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welches Ziel mit dem Honeypot verfolgt werden soll, kann die Einführung serverseitig oder clientseitig erfolgen:

• Serverseitige Honeypots
Die Grundidee des serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Teilbereich zu locken sowie sie so von den tatsächlich interessanten wie auch kritischen Netzwerkkomponenten abzuschirmen. Wird durch einen Honeypot zum Beispiel ein einfacher Webserver gekünstelt, schlägt jener bei einem Internetangriff Gefahr, verschickt Warnungen und zeichnet sämtliche feindliche Tätigkeiten auf. Auf diese Weise erhält die Unternehmens-IT Informationen darüber, wie die Angriffe vonstattengehen und können auf dieser Datengrundlage deren reale IT-Infrastruktur noch besser absichern.

• Clientseitige Honeypots
Bei einem clientseitigen Honeypot werden Netzwerkkomponenten oder Nutzungen vorgetäuscht, die Server-Dienste benötigen. Vorzeigebeispiel hierfür ist die Simulation eines Webbrowsers, welcher ganz gezielt unsichere Internetseiten besucht, um Informationen über Sicherheitsrisiken zu erwerben. Erfolgt über einen der Punkte ein Angriff, wird dieser für eine spätere Begutachtung protokolliert.

Die unterschiedlichen Honeypot-Typen auf einem Blick!

Honeypots zählen zu den interessantesten IT-Sicherheitskonzepten in der IT-Welt.
Ihr höchstes Ziel ist es, die Angreifer in die Irre zu führen und unterdies unentdeckt zu bleiben.
Denn je länger sich ein Angreifer blenden lässt, desto mehr Daten können die „Honeypots“ über dessen Angriffsstrategie und das Angriffsverhalten sammeln.

Eine der bedeutendsten Faktoren zur Klassifikation von Honeypots ist deshalb der Grad der Aktivität mit den Angreifern. Man unterscheidet in dem Zusammenhang sowohl serverseitig, wie auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.

• Low-Interaction-Honeypots:
Bei Low-Interaction-Honeypots handelt es sich um Lockfallen mit einem minimalen Grad an Interaktivität. Jene basieren im Wesentlichen auf der Imitation realer Systeme oder auch Nutzungen. Dazu werden Dienste sowie Funktionen in der Regel bloß so weit nachgeahmt, dass eine Attacke möglich ist.
• High-Interaction-Honeypots:
Bei High-Interaction-Honeypots dagegen, dreht es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden in der Regel reale Systeme eingesetzt, welche Server-Dienste anbieten. Das wiederum verlangt eine gute Observation und Absicherung. Ansonsten besteht die Gefährdung, dass Angreifer die Honeypots an sich reißen, das zu beschützende System infiltrieren oder von diesem startend Angriffe auf weitere Server im Netzwerk eröffnen.

Honeypots: Welche Vorteile und Nachteile gibt es?

Die Vorzüge von Honeypotslassen sich sehen:

• Schutz vor externen Bedrohungen: Honeypots können durch die „täuschend echte“ Form Internetkriminelle von realen Zielen ablenken wie auch deren Ressourcen binden.
• Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk bloß nach außen schützen, eignen sich Honeypots ebenso dazu, innere Sicherheitsrisiken aufzudecken und unerwünschten Datenabfluss zu vermeiden.
• zuverlässige Angriffserkennung: Honeypots werden so konfiguriert, dass sie nicht durch Zufall vom Internet zugänglich sind. Damit wird ein „harmloser“ Datentraffic aus dem Internet größtenteils ausgeschlossen und jede erfasste Bewegung als Angriffsversuch gewertet.
• erkenntnisreiche Einblicke: Honeypots erfüllen die Funktion einer risikofreien Umgebung, sodass die Unternehmens-IT alle möglichen Angriffe ganz ohne Zeitdruck beobachten sowie analysieren kann. Überdies können auf diese Weise auch Schwachpunkte der IT-Sicherheitsinfrastruktur beseitigt werden.
• Rückverfolgung von Angreifern: Im Gegensatz zu sonstigen Sicherheitslösungen kann die Unternehmens-IT mithilfe von Honeypots, Angriffe zur Quelle zurückzuverfolgen, beispielsweise über die IP-Adressen.

Ein Honeypot allein schützt vor Angriff nicht!

Auch beim Gebrauch von Honeypots ist nicht alles Gold, was glänzt. Die größte Gefahr besteht hierin, dass Honeypots bei mangelhafter Umsetzung durch Internetkriminelle übernommen und ausgenutzt werden können, um die Unternehmens-IT mit falschen Daten zu füttern sowie noch mehr bösartige Angriffe auf andere Systeme im Partnernetzwerk einleiten werden.

Resümee: Mit digitalen Ködern Internetkriminelle abwehren!

Internetkriminalität gehört heutzutage zu den bedeutendsten Geschäftsrisiken.
Umso wichtiger ist es, dass Firmen neben hochwertigen Firewalls, effektiven Netzwerk-Intrusion-Detection- sowie Prevention-Lösungen wie auch leistungsstarken Multi-Faktor-Authentifizierung-Lösungen sowie Verschlüsselungsverfahren zusätzliche IT-Sicherheitsmaßnahmen wahrnehmen, um Angreifer auf frischer Mission zu ertappen. Und genau an dieser Stelle kommen Honeypots zum Einsatz. Diese können, wenn sie korrekt eingesetzt werden, wertvolle Bestandteile einer mehrschichtig konzipierten IT-Sicherheitsstrategie werden und das Unternehmen vor ausgeklügelten Internetangriffen, aber ebenso vor Insiderbedrohungen schützen.

Wollen auch Sie durch den Gebrauch von Honeypots, Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Infrastruktur mit noch effektiveren IT-Sicherheitsmaßnahmen bestärken. Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-9814100 Montag bis Freitag von 08:00 bis 17:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme

Onlinetermin buchen