Manchmal ist die beste Defensive eine gute Offensive. Im Bereich der IT-Sicherheit sind offensive Sicherheitsmaßnahmen gefragter denn je. Dabei wird oft auf Techniken und Ansätze zurückgegriffen, die eigentlich von kriminellen Hacker*innen genutzt werden, um uns in eine Falle zu locken. Doch auch Angreifer*innen können in die Falle gelockt werden. Honigtöpfe werden nicht nur eingesetzt, um Bären anzulocken. Sie können auch Cyberkriminelle in die Falle locken. In diesem Beitrag erklären wir euch, was ein Honeypot ist und wie er zur Steigerung der IT-Sicherheit eingesetzt werden kann.
Was ist ein Honeypot?
In der Informationstechnologie bezeichnet ein Honeypot ein IT-System, das aufgespürt und angegriffen werden soll. Diese Systeme können dazu beispielsweise große Mengen an Daten enthalten. Das macht sie für Hacker*innen besonders verlockend. Bei diesen Daten handelt es sich jedoch nicht um echte, sondern um gefälschte Daten. Das System wird also absichtlich so präpariert, dass Cyberangriffe möglich sind und ihr einziger Zweck ist es, gehackt zu werden.
Ein Honeypot führt keine weiteren Aufgaben aus. Konkret bedeutet das, dass der Honeypot keine Interaktion mit anderen Rechnern oder Nutzenden im Netz hat. Sobald eine Interaktion stattfindet oder Daten mit diesem Rechner ausgetauscht werden, lässt dies auf einen Angriff schließen. Diese Angriffe können dann beobachtet und dokumentiert werden. Somit lassen sich wertvolle Informationen über die Vorgehensweise von Angreifer*innen sammeln. Diese Informationen können dann wiederum genutzt werden, um zum Beispiel produktive Systeme effektiver gegen Bedrohungen schützen zu können. Werden mehrere Honeypots zu einem Netzwerk zusammengeschlossen, so spricht man von einem Honeynet. Die Bildung eines solchen Honeynets kann unter Umständen ein produktives Netzwerk vollständig simulieren.
Wie werden Honeypots eingerichtet?
Grundsätzlich gibt es zwei Möglichkeiten, einen Honeypot einzurichten: physisch oder virtuell.
Ein physischer Honeypot ist ein eigenständiger Computer. Dieser Computer hat eine eigene Adresse und sollte vollständig vom restlichen Netzwerk isoliert sein. Das bedeutet zum Beispiel, dass Konfigurationsarbeiten immer direkt auf dem Rechner vorgenommen werden müssen. Dieser Computer ist zwar mit dem Internet verbunden, aber nicht mit dem LAN.
In einem virtuellen Honeypot werden Systeme und Netzwerke lediglich simuliert, indem sie auf virtuellen Maschinen nachgebildet werden. Auch hier sollte der Honeypot vom tatsächlichen Netzwerk vollkommen isoliert sein. Auf diese Weise haben potenzielle Angreifer*innen keine Möglichkeit, vom Ablenkungssystem aus auf das produktive System zuzugreifen.
Interaktionsgrad eines Honeypots
Honeypots lassen sich unter anderem nach ihrem Interaktionsgrad kategorisieren. Dabei unterscheidet man allgemein unter High- und Low-Interaction Honeypots. Honeypots mit geringer Interaktion sind z. B. Programme, die einen oder mehrere Dienste emulieren oder Websites besuchen, ohne normale Webbrowser zu verwenden. Diese Programme versuchen dann, Angriffe auf die emulierten Dienste oder Browser zu erkennen und können sie anschließend protokollieren. Geringe Interaktion bedeutet, dass die Angreifer*innen keine Möglichkeit haben, mit dem Täuschungssystem zu interagieren. Honeypots mit geringer Interaktion können z. B. verwendet werden, um festzustellen, ob Angriffe stattfinden oder um automatisierte Angriffe zu erkennen. Wenn der Angriff manuell durchgeführt wird, dürften Angreifer*innen jedoch nicht lange brauchen, um zu erkennen, dass es sich bei dem System um einen Honeypot handelt.
High Interaction Honeypots hingegen stellen voll funktionsfähige Computersysteme mit echten Betriebssystemen dar. Nach Entdeckung einer vermeintlichen Sicherheitslücke, können Hacker*innen vollständig mit dem System interagieren. Aufgrund des hohen Interaktionsgrades können dann wesentlich mehr Daten über die Angreifer*innen und ihre Vorgehensweise gesammelt werden. Je realer das System für Cyberkriminelle wirken soll, desto umfangreicher sollten die angebotenen Dienste und ihre Interaktionsmöglichkeiten sein. Der Einsatz von interaktionsstarken Honeypots ist daher immer mit einem hohen Aufwand verbunden.
Vorteile von Honeypots
Honeypots bieten viele Vorteile. Sie können zum Beispiel zur Früherkennung von Angriffen beitragen. Diese Angriffe können dann genau überwacht und detailliert protokolliert werden. Dadurch können wertvolle Informationen über Angreifer*innen und ihre Vorgehensweise gewonnen werden. Diese neuen Informationen können anschließend genutzt werden, um produktive Systeme frühzeitig vor ähnlichen Angriffen zu schützen. Honeypots können zudem mit anderen Systemen, wie Firewalls und Intrusion Detection Systemen (IDS), zusammenarbeiten. Auf diese Weise können bestimmte Angriffsmuster und verdächtige IP-Adressen übermittelt werden. Somit können diese IP-Adressen und Angriffsmuster im Produktivsystem blockiert werden.
Angriffe auf Honeypots können ohne großen Aufwand erkannt werden, da es sich um eine Umgebung handelt, in der kein legitimer Datenverkehr stattfindet. Wenn eine Interaktion mit einem Honeypot stattfindet, kann von einem Angriff ausgegangen werden. Falsche Alarme werden dabei in der Regel nicht ausgelöst. Auch der Ressourcenbedarf für den Einsatz eines Honeypots ist relativ gering, da es sich nicht um produktive Systeme handelt. Ausrangierte Server und veraltete Computer werden daher gerne für diesen Zweck eingesetzt.
Nachteile von Honeypots
Der Einsatz von Honeypots hat jedoch nicht nur Vorteile. Es können sogar einige Risiken damit verbunden sein. Honeypots sind darauf ausgelegt, angegriffen zu werden. Sie ziehen daher Aufmerksamkeit auf sich. Besteht eine Verbindung zwischen dem Honeypot und dem produktiven System, können Hacker*innen nach einem erfolgreichen Eindringen in einen Honeypot das Ablenkungssystem nutzen, um weitere Angriffe auf das produktive System zu initiieren. In diesem Fall hätte der Honeypot lediglich Aufmerksamkeit erregt und sogar einen Angriff begünstigt.
Darüber hinaus muss immer wieder betont werden, dass Honeypots nicht die Rolle eines Frühwarnsystems erfüllen. Die Tatsache, dass es keine Angriffe auf einen Honeypot gibt, bedeutet nicht, dass es keine Angriffe auf das produktive System gibt. Das Produktivsystem sollte daher permanent auf Schwachstellen untersucht und überwacht werden, zum Beispiel mit Hilfe eines IDS. Das Internet bietet Cyberkriminellen unzählige potenzielle Angriffsziele. Die Wahrscheinlichkeit, dass ein Honeypot in dieser Masse untergeht, ist ebenfalls extrem hoch. Deshalb sollten sich Unternehmen beim Einsatz von Honeypots nie in falscher Sicherheit wiegen.
Das Honeynet des IT Centers
Auch an der RWTH Aachen werden Honeypots als Sicherheitsmechanismus eingesetzt. Das eigene Honeynet wird vom IT Center betrieben und dient der Analyse aktueller Bedrohungen und der Erkennung sich automatisch verbreitender Schadsoftware. Durch den Einsatz dieser auf mehreren virtuellen Maschinen verteilten Honeypots, konnten bereits zahlreiche wertvolle Informationen über Angreifer*innen, ihre Methoden, Werkzeuge und Beweggründe gesammelt werden. Darüber hinaus werden Low-Interaction-Honeypots auch zur Identifizierung von infizierten Rechnern im Netz der RWTH Aachen eingesetzt und sind ein fester Bestandteil des am IT Center entwickelten Intrusion Detection System, dem Blast-o-Mat.
Der Einsatz von Honeypots ist keine Garantie dafür, dass ein produktives System nicht auch angegriffen wird. Honeypots versuchen zwar, Aufmerksamkeit zu erregen und Angriffe auf sich zu lenken, sollen aber vielmehr dazu genutzt werden, Erkenntnisse über Angreifer*innen und ihre Vorgehensweise zu gewinnen. Honeypots sind eine von vielen Sicherheitsmaßnahmen, die zur Verbesserung der IT-Sicherheit ergriffen werden können. Besonders sinnvoll ist ihr Einsatz im Zusammenhang mit anderen Systemen wie Firewalls und IDS.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.