Honig. Er ist so süß, dass er eine überaus große Versuchung darstellt. So mancher Bär konnte ihr in der Vergangenheit nicht widerstehen und tappte in die von Jägern aufgestellte Falle. Dieses Honeypot-Prinzip wird jetzt auf Hacker angewendet.
Wir erklären, was ein Honeypot beziehungsweise ein Honeypot-Server ist und wie er die Hackerjagd unterstützt.
Dieser Beitrag im Überblick:
Honigtopf als Schutz vor Hackern
Das Bild eines Honeypot (deutsch: Honigtopf) als Lockmittel ist das Sinnbild schlechthin für das Verfahren, mit dem Hackern das Handwerk gelegt werden soll. Es handelt sich hierbei um Computersysteme oder Netzwerkkomponenten, die gezielt Angreifer anlocken, die dann bei dem Versuch, in das Computersystem einzudringen, auf frischer Spur entdeckt und im besten Fall geschnappt werden können.
Damit so ein bildlicher Honigtopf auch wirklich funktioniert, bauen die Entwickler ein Computersystem so auf, dass es wie ein echter Rechner aussieht – also so wie alle anderen realen Rechner innerhalb des Netzwerks auch. Tatsächlich ist dieses bestimmte System darin aber isoliert und steht unter ständiger Überwachung. Das funktioniert bei Honeypot-Servern (auch: Honeypot Server) genauso.
Durch Honeypot-Computer oder Honeypot-Server lassen sich Hacker nicht nur direkt fassen – im besten Fall. Vielmehr geht es zum einen auch darum, sie von anderen, wichtigen Systemen abzulenken, und zum anderen darum, durch diese Honeypots auch ihre Methoden zu studieren und daraus Lehren für die IT-Sicherheit zu ziehen
Was ist ein Honeypot? – Eine Antwort bekommen Sie in unserem IT-Lexikon.
Unterschied: Honeypot vs. Honeypot-Server
Generell wird zwischen client- und serverseitigen Honeypots unterschieden. Beim clientseitigen Honeypot wird eine Netzwerkkomponente oder eine Anwendung vorgetäuscht, die Server-Dienste benötigt. Es kann sich dabei beispielsweise um einen Browser handeln, der ganz gezielt auf unsicheren Websites im Netz surft. Alle Angriffe auf den als Browser getarnten Honeypot lassen sich somit protokollieren und danach analysieren.
Die Idee von Honeypot-Servern ist es, Hacker innerhalb eines Systems in einen isolierten Bereich zu locken. Das Ziel dessen ist es, sie von den eigentlich interessanten, kritischen Netzwerkkomponenten abzulenken. Wird auf diese Weise zum Beispiel ein einfacher Webserver simuliert, schlägt dieser Honeypot-Server bei einem Angriff gleich Alarm. Zudem werden die Aktivitäten aufgezeichnet, um durch diesen Angriff wichtige Daten über den generellen Ablauf von Cyber-Angriffen gewinnen zu können. Die gewonnenen Erkenntnisse können dann dabei helfen, die tatsächlichen Systeme in Zukunft noch besser abzusichern.
Funktioniert das Honeypot-Prinzip in der Umsetzung?
Ja, Honeypots im Allgemeinen und Honeypot-Server im Besonderen funktionieren. Zuletzt hat das eine Untersuchung der Telekom gezeigt. Das Telekommunikationsunternehmen nutzt Honeypots zu bereits genannten Analysezwecken. Das Ziel dabei ist es, sowohl die eigenen Systeme als auch die Systeme der Telekom-Kunden sicherer zu machen. Im April 2019 hatte die Telekom 3.000 solcher Honeypot-Fallen aufgestellt und anschließend eine Auswertung erarbeitet.
Diese fördert ziemlich erschreckende Zahlen zutage: Im Schnitt gab es 31 Millionen Angriffe pro Tag. An Spitzentagen vermeldeten die Honeypots sogar 46 Millionen Angriffe. Das bedeutet, dass die Angriffszahlen exponentiell gestiegen sind. Denn: Für den April 2018 meldete die Telekom noch 12 Millionen, für den April 2017 sogar nur 4 Millionen Angriffe. Darunter konnten täglich drei bis acht unbekannte Angriffstaktiken beobachten werden – monatlich waren das 250 neue Hacker-Tricks.
Ebenfalls erschreckend ist die Beobachtung der Telekom, dass seit Jahren eine regelrechte Hacker-Industrie entsteht. Gruppen würden sich auf bestimmte Angriffstypen spezialisieren und diese anbieten. Kunden könnten sich dann je nach Bedarf die Services verschiedener Gruppen gezielt zusammenstellen. Dadurch, dass die Hackergruppen dabei verstärkt auf künstliche Intelligenz setzen, zeigen sich die Angriffe heute deutlich erfolgreicher.
Gefahr für Unternehmen durch Honeypot-Server bannen
Die Statistik zu den Angriffen auf die Telekom-Lockfallen geht noch weiter ins Detail: 51 Prozent der Attacken zielten auf die Netzwerksicherheit und konzentrierten sich dabei auf Schnittstellen für die Fernwartung von Computern; in 26 Prozent der Fälle ging es um die Kontrolle über einen fremden Rechner; rund 7 Prozent der Attacken zielten auf Passwörter; 5 Prozent der Angriffe galten Internetseiten. Aus zweierlei Gründen stehen besonders Unternehmen im Fadenkreuz der Hacker.
Der erste Grund dafür resultiert daraus, dass Unternehmen besonders häufig Schnittstellen zur Fernwartung verwenden – und sich dies in Zukunft auch noch deutlich verstärken wird. Das hat mit der Zukunftsvision Industrie 4.0 zu tun. Ein Bestandteil darin sieht vor, dass beispielsweise in einem Maschinenpark jede einzelne Maschine digital aufbereitet wird, sodass von überall auf ihre Daten zugegriffen werden kann – das alles selbstverständlich im Rahmen eines sicheren Unternehmensnetzwerks.
Der zweite Grund: Zwangsläufig müssen Firmen laut Telekom manche Datenwege freihalten und können sie nicht durch Firewalls schützen. Das ruft die Angreifer und ihre Botnetze auf den Plan. Diese bestehen aus einer großen Zahl gekaperter Systeme, von denen aus Datenpakete auf ein Ziel gesendet werden – verträgt dieses den massiven Datenansturm nicht, bricht es zusammen.
Wie lässt sich ein Honeypot aufstellen?
Ähnlich wie die Telekom können auch andere Unternehmen einen Honeypot beziehungsweise einen Honeypot-Server aufstellen. Dazu gilt es, ein Betriebssystem vollständig ohne Updates zu installieren und dann die Standard-Einstellungen und -Optionen zu verwenden. Wichtig ist, dass sich auf diesem System nur Daten befinden, die problemlos gelöscht oder auch zerstört werden dürfen. Zuletzt muss eine Anwendung zur Überwachung des virtuellen Honigtopfes installiert werden. Sie ist in der Lage, die Aktivitäten eines potenziellen Eindringlings aufzuzeichnen.
Allerdings ist der Aufwand für solche Honeypots verhältnismäßig groß. Zu bedenken ist, dass sich die Mitarbeiter Ihres Unternehmens vermutlich zuerst einmal in die Thematik einarbeiten müssten, was natürlich einer gewissen Zeit bedarf. Und: Dass man einen Hacker durch das Honeypot-Prinzip tatsächlich fasst, ist eher selten. Folglich steht das Sammeln von Erfahrungen bei der Honeypot-Methode deutlich im Vordergrund.
Also: Wenn Sie für Ihr Unternehmen einen verlockenden Honigtopf aufstellen wollen, übergeben Sie diese Aufgabe besser einem externen Experten. Der versteht nicht nur etwas von der Einrichtung, sondern auch davon, wie man die Ergebnisse der Honeypots richtig liest.
Honeypot-Prinzip zeigt: Cyber-Sicherheit ist ein Muss
Insgesamt zeigen Honeypot-Fallen im Allgemeinen und die aktuelle Statistik der Telekom im Besonderen vor allem eines: Die Notwendigkeiten von wirksamen Maßnahmen zur Cyber-Sicherheit steigen. Dazu sagt Dirk Backofen, Leiter Telekom Security: „Fünfzig Milliarden Geräte werden wir nächstes Jahr im Internet sehen. Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten. Dafür teilen wir unser erlerntes Wissen für eine Immunisierung der Gesellschaft gegen Cyber-Attacken. Nur im Schulterschluss zwischen Politik, Wissenschaft und der Privatwirtschaft werden wir erfolgreich die Hacker in die Schranken weisen können.“
Das IT-SERVICE.NETWORK leistet mit seinen Services zur IT-Sicherheit ebenfalls einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit von Unternehmen. Informieren Sie sich, wie auch Sie sich das Wissen unserer Experten aus dem IT-SERVICE.NETWORK zunutze machen können – und zwar nicht nur, wenn es um einen Honeypot (deutsch: Honigtopf) oder auch Honeypot-Server geht.
Ein Beispiel: der Penetrationstest. Dabei simulieren unsere Spezialisten Angriffe von außen und decken dadurch mögliche Schwachstellen und Schlupflöcher auf. Auf diese Weise lassen sich Probleme frühzeitig erkennen und lösen – noch bevor es überhaupt zu einem Angriff kommt.
Update vom 24.05.2023: Mehr als 40 Millionen Attacken in 24 Stunden!
Mit einem sogenannten Sicherheitstacho kann die Deutsche Telekom inzwischen ein ziemlich genaues Bild der Sicherheitslage aufzeigen. Auf einer Weltkarte kann man auf der Website des Sicherheitstachos regelrecht dabei zuschauen, wie innerhalb einer Minute abertausende Attacken auf die Honeypot-Infrastruktur der Deutschen Telekom und ihrer Partner gefahren werden. Dabei lassen sich auch die Standorte der Angreifer und ihrer Opfer nachvollziehen – ein zugleich spannendes wie erschreckendes Szenario.
Und auch die Zahlen dahinter sind erschreckend: Oft spielen sich innerhalb einer Minute weltweit mehr als 38.000 Attacken ab, pro Stunde sind es oft um die 2 Millionen und innerhalb eines Tages verzeichnet der Sicherheitstacho gut und gerne 40 Millionen Cyberattacken – und das wie erwähnt allein auf die Honeypot-Infrastruktur der Telekom!
Schauen Sie doch einmal selbst dort vorbei! Spätestens dann wird auch dem letzten Unternehmen klar, wie wichtig die Absicherung der eigenen IT-Infrastruktur ist. Wir unterstützen Sie gern mit umfassenden IT-Sicherheitsmaßnahmen!
Weiterführende Links:
Telekom, Security-Insider, Sicherheitstacho
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung