Honeypot-Prinzip

Wie Hacker in die Falle gelockt werden

Von in IT-Support
04
Jul
'19

Honig. Er ist so süß, dass er eine überaus große Versuchung darstellt. So mancher Bär konnte ihr in der Vergangenheit nicht widerstehen und tappte in die von Jägern aufgestellte Falle. Dieses Honeypot-Prinzip wird jetzt auf Hacker angewendet. 

Wir erklären, was ein Honeypot beziehungsweise ein Honeypot-Server ist und wie er die Hackerjagd unterstützt.

Honeypot als Schutz vor Hackern

Das Bild eines Honeypot (deutsch: Honigtopf) als Lockmittel ist das Sinnbild schlechthin für das Verfahren, mit dem Hackern das Handwerk gelegt werden soll. Es handelt sich hierbei um Computersysteme oder Netzwerkkomponenten, die gezielt Angreifer anlocken, die dann bei dem Versuch, in das Computersystem einzudringen, auf frischer Spur entdeckt und im besten Fall geschnappt werden können.

Damit ein Honeypot auch wirklich funktioniert, bauen die Entwickler ein Computersystem so auf, dass es wie ein echter Rechner aussieht – also so wie alle anderen realen Rechner innerhalb des Netzwerks auch. Tatsächlich ist dieses bestimmte System darin aber isoliert und steht unter ständiger Überwachung. Das funktioniert bei Honeypot-Servern (auch: Honeypot Server) genauso.

Durch Honeypot-Computer oder Honeypot-Server lassen sich Hacker nicht nur direkt fassen – im besten Fall. Vielmehr geht es zum einen auch darum, sie von anderen, wichtigen Systemen abzulenken, und zum anderen darum, durch diese Honeypots auch ihre Methoden zu studieren und daraus Lehren für die IT-Sicherheit zu ziehen

Was ist ein Honeypot? – Eine Antwort bekommen Sie in unserem IT-Lexikon.

 

Zu sehen ist eine Glasschale mit Honig auf einem marmorierten Hintergrund. Der Honigtopf steht sinnbildlich für Honeypot. Bild: Pexels/Roman Odintsov

Ein Honigtopf als Lockmittel – das ist die Idee hinter dem Honeypot-Prinzip. Es soll Hacker in die Falle locken. Bild: Pexels/Roman Odintsov

Unterschied: Honeypot vs. Honeypot-Server

Generell wird zwischen client- und serverseitigen Honeypots unterschieden. Beim clientseitigen Honeypot wird eine Netzwerkkomponente oder eine Anwendung vorgetäuscht, die Server-Dienste benötigt. Es kann sich dabei beispielsweise um einen Browser handeln, der ganz gezielt auf unsicheren Websites im Netz surft. Alle Angriffe auf den als Browser getarnten Honeypot lassen sich somit protokollieren und danach analysieren.

Die Idee von Honeypot-Servern ist es, Hacker innerhalb eines Systems in einen isolierten Bereich zu locken. Das Ziel dessen ist es, sie von den eigentlich interessanten, kritischen Netzwerkkomponenten abzulenken. Wird durch einen Honeypot zum Beispiel ein einfacher Webserver simuliert, schlägt dieser Honeypot-Server bei einem Angriff gleich Alarm. Zudem werden die Aktivitäten aufgezeichnet, um durch diesen Angriff auf den Honeypot-Server wichtige Daten über den generellen Ablauf von Cyber-Angriffen gewinnen zu können. Die gewonnenen Erkenntnisse können dann dabei helfen, die tatsächlichen Systeme in Zukunft noch besser abzusichern.

Funktioniert das Honeypot-Prinzip in der Umsetzung?

Ja, Honeypots im Allgemeinen und Honeypot-Server im Besonderen funktionieren. Zuletzt hat das eine Untersuchung der Telekom gezeigt. Das Telekommunikationsunternehmen nutzt Honeypots zu bereits genannten Analysezwecken. Das Ziel dabei ist es, sowohl die eigenen Systeme als auch die Systeme der Telekom-Kunden durch Honeypots sicherer zu machen. Im April 2019 hatte die Telekom 3.000 solcher Honeypot-Fallen aufgestellt und anschließend eine Auswertung erarbeitet.

Diese fördert ziemlich erschreckende Zahlen zutage: Im Schnitt gab es 31 Millionen Angriffe pro Tag. An Spitzentagen vermeldeten die Honeypots sogar 46 Millionen Angriffe. Das bedeutet, dass die Angriffszahlen exponentiell gestiegen sind. Denn: Für den April 2018 meldete die Telekom noch 12 Millionen, für den April 2017 sogar nur 4 Millionen Angriffe. Darunter konnten täglich drei bis acht unbekannte Angriffstaktiken beobachten werden – monatlich waren das 250 neue Hacker-Tricks.

Ebenfalls erschreckend ist die Beobachtung der Telekom, dass seit Jahren eine regelrechte Hacker-Industrie entsteht. Gruppen würden sich auf bestimmte Angriffstypen spezialisieren und diese anbieten. Kunden könnten sich dann je nach Bedarf die Services verschiedener Gruppen gezielt zusammenstellen. Dadurch, dass die Hackergruppen dabei verstärkt auf künstliche Intelligenz setzen, zeigen sich die Angriffe heute deutlich erfolgreicher.

Ein Laptop steht auf einem Schreibtisch und jemand tippt auf der Tastatur. Hacker-Angriffe sind besonders gefährlich. Bild: Pexels/Mati Mango

Hacker verfeinern ihre Angriffsmethoden immer mehr und zielen dabei besonders auf Unternehmen. Honeypots sollen sie in die Falle locken. Bild: Pexels/Mati Mango

Gefahr für Unternehmen durch Honeypot-Server bannen

Die Statistik zu den Angriffen auf die Telekom-Lockfallen geht noch weiter ins Detail: 51 Prozent der Attacken zielten auf die Netzwerksicherheit und konzentrierten sich dabei auf Schnittstellen für die Fernwartung von Computern; in 26 Prozent der Fälle ging es um die Kontrolle über einen fremden Rechner; rund 7 Prozent der Attacken zielten auf Passwörter; 5 Prozent der Angriffe galten Internetseiten. Aus zweierlei Gründen stehen besonders Unternehmen im Fadenkreuz der Hacker.

Der erste Grund dafür resultiert daraus, dass Unternehmen besonders häufig Schnittstellen zur Fernwartung verwenden – und sich dies in Zukunft auch noch deutlich verstärken wird. Das hat mit der Zukunftsvision Industrie 4.0 zu tun. Ein Bestandteil darin sieht vor, dass beispielsweise in einem Maschinenpark jede einzelne Maschine digital aufbereitet wird, sodass von überall auf ihre Daten zugegriffen werden kann – das alles selbstverständlich im Rahmen eines sicheren Unternehmensnetzwerks.

Der zweite Grund: Zwangsläufig müssen Firmen laut Telekom manche Datenwege freihalten und können sie nicht durch Firewalls schützen. Das ruft die Angreifer und ihre Botnetze auf den Plan. Diese bestehen aus einer großen Zahl gekaperter Systeme, von denen aus Datenpakete auf ein Ziel gesendet werden – verträgt dieses den massiven Datenansturm nicht, bricht es zusammen.

Wie lässt sich ein Honeypot aufstellen?

Ähnlich wie die Telekom können auch andere Unternehmen einen Honeypot beziehungsweise einen Honeypot-Server aufstellen. Dazu gilt es, ein Betriebssystem vollständig ohne Updates zu installieren und dann die Standard-Einstellungen und -Optionen zu verwenden. Wichtig ist, dass sich auf diesem System nur Daten befinden, die problemlos gelöscht oder auch zerstört werden dürfen. Zuletzt muss eine Anwendung zur Überwachung des virtuellen Honigtopfes installiert werden. Sie ist in der Lage, die Aktivitäten eines potenziellen Eindringlings aufzuzeichnen.

Allerdings ist der Aufwand für solche Honeypots beziehungsweise des Honeypot-Servers verhältnismäßig groß. Zu bedenken ist, dass sich die Mitarbeiter Ihres Unternehmens vermutlich zuerst einmal in die Thematik einarbeiten müssten, was natürlich einer gewissen Zeit bedarf. Und: Dass man einen Hacker durch das Honeypot-Prinzip tatsächlich fasst, ist eher selten. Folglich steht das Sammeln von Erfahrungen bei der Honeypot-Methode deutlich im Vordergrund.

Also: Wenn Sie für Ihr Unternehmen einen verlockenden Honeypot (deutsch: Honigtopf) aufstellen wollen, übergeben Sie diese Aufgabe besser einem externen Experten. Der versteht nicht nur etwas von der Einrichtung, sondern auch davon, wie man die Ergebnisse der Honeypots und Honeypot-Server richtig liest.

Zu sehen ist ein Bildschirm auf dem jemand programmiert. Betriebssysteme werden genutzt um einen Honeypot aufzustellen. Bild: Pexels/Markus Winkler

Um einen Honeypot aufzustellen ist ein Betriebssystem nötig, auf dem sich nur Daten befinden, die auch verloren gehen können. Bild: Pexels/Markus Winkler

Honeypot-Prinzip zeigt: Cyber-Sicherheit ist ein Muss

Insgesamt zeigen Honeypot-Fallen oder Honeypot-Server-Fallen im Allgemeinen und die aktuelle Honeypot-Statistik der Telekom im Besonderen vor allem eines: Die Notwendigkeiten von wirksamen Maßnahmen zur Cyber-Sicherheit steigen. Dazu sagt Dirk Backofen, Leiter Telekom Security: „Fünfzig Milliarden Geräte werden wir nächstes Jahr im Internet sehen. Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten. Dafür teilen wir unser erlerntes Wissen für eine Immunisierung der Gesellschaft gegen Cyber-Attacken. Nur im Schulterschluss zwischen Politik, Wissenschaft und der Privatwirtschaft werden wir erfolgreich die Hacker in die Schranken weisen können.“

Das IT-SERVICE.NETWORK leistet mit seinen Services zur IT-Sicherheit ebenfalls einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit von Unternehmen. Informieren Sie sich, wie auch Sie sich das Wissen unserer Experten aus dem IT-SERVICE.NETWORK zunutze machen können – und zwar nicht nur, wenn es um einen Honeypot (deutsch: Honigtopf) oder auch Honeypot-Server geht.

Ein Beispiel: der Penetrationstest. Dabei simulieren unsere Spezialisten Angriffe von außen und decken dadurch mögliche Schwachstellen und Schlupflöcher auf. Auf diese Weise lassen sich Probleme frühzeitig erkennen und lösen – noch bevor es überhaupt zu einem Angriff kommt.


Weiterführende Links:
Telekom, Security-Insider

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.