{"id":12793,"date":"2022-10-07T12:30:48","date_gmt":"2022-10-07T10:30:48","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=12793"},"modified":"2022-10-07T12:25:21","modified_gmt":"2022-10-07T10:25:21","slug":"honeypot","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2022\/10\/07\/honeypot\/","title":{"rendered":"Honeypot \u2013 Wie man Cyberkriminelle anlockt"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_12793 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_12793')){$('.twoclick_social_bookmarks_post_12793').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2022\\\/10\\\/07\\\/honeypot\\\/\",\"post_id\":12793,\"post_title_referrer_track\":\"Honeypot+%E2%80%93+Wie+man+Cyberkriminelle+anlockt\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_12795\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-scaled.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-12795\" class=\"wp-image-12795 size-medium\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-300x200.jpg\" alt=\"Honig\" width=\"300\" height=\"200\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-300x200.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-1024x683.jpg 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-768x512.jpg 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-1536x1024.jpg 1536w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2022\/09\/honey-2048x1365.jpg 2048w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-12795\" class=\"wp-caption-text\">Quelle: <a href=\"https:\/\/de.freepik.com\/fotos-kostenlos\/honig_8172476.htm#&amp;position=1&amp;from_view=detail\">Freepik<\/a><\/p><\/div><\/p>\n<p>Manchmal ist die beste Defensive eine gute Offensive. Im Bereich der IT-Sicherheit sind offensive Sicherheitsma\u00dfnahmen gefragter denn je. Dabei wird oft auf Techniken und Ans\u00e4tze zur\u00fcckgegriffen, die eigentlich von kriminellen Hacker*innen genutzt werden, um uns in eine Falle zu locken. Doch auch Angreifer*innen k\u00f6nnen in die Falle gelockt werden. Honigt\u00f6pfe werden nicht nur eingesetzt, um B\u00e4ren anzulocken. Sie k\u00f6nnen auch Cyberkriminelle in die Falle locken. In diesem Beitrag erkl\u00e4ren wir euch, was ein Honeypot ist und wie er zur Steigerung der IT-Sicherheit eingesetzt werden kann.<!--more--><\/p>\n<h3><span style=\"color: #00549f;\">Was ist ein Honeypot?<\/span><\/h3>\n<p>In der Informationstechnologie bezeichnet ein Honeypot ein IT-System, das aufgesp\u00fcrt und angegriffen werden soll. Diese Systeme k\u00f6nnen dazu beispielsweise gro\u00dfe Mengen an Daten enthalten. Das macht sie f\u00fcr Hacker*innen besonders verlockend. Bei diesen Daten handelt es sich jedoch nicht um echte, sondern um gef\u00e4lschte Daten. Das System wird also absichtlich so pr\u00e4pariert, dass Cyberangriffe m\u00f6glich sind und ihr einziger Zweck ist es, gehackt zu werden.<\/p>\n<p>Ein Honeypot f\u00fchrt keine weiteren Aufgaben aus. Konkret bedeutet das, dass der Honeypot keine Interaktion mit anderen Rechnern oder Nutzenden im Netz hat. Sobald eine Interaktion stattfindet oder Daten mit diesem Rechner ausgetauscht werden, l\u00e4sst dies auf einen Angriff schlie\u00dfen. Diese Angriffe k\u00f6nnen dann beobachtet und dokumentiert werden. Somit lassen sich wertvolle Informationen \u00fcber die Vorgehensweise von Angreifer*innen sammeln. Diese Informationen k\u00f6nnen dann wiederum genutzt werden, um zum Beispiel produktive Systeme effektiver gegen Bedrohungen sch\u00fctzen zu k\u00f6nnen. Werden mehrere Honeypots zu einem Netzwerk zusammengeschlossen, so spricht man von einem Honeynet. Die Bildung eines solchen Honeynets kann unter Umst\u00e4nden ein produktives Netzwerk vollst\u00e4ndig simulieren.<\/p>\n<h3><span style=\"color: #00549f;\">Wie werden Honeypots eingerichtet?<\/span><\/h3>\n<p>Grunds\u00e4tzlich gibt es zwei M\u00f6glichkeiten, einen Honeypot einzurichten: physisch oder virtuell.<br \/>\nEin physischer Honeypot ist ein eigenst\u00e4ndiger Computer. Dieser Computer hat eine eigene Adresse und sollte vollst\u00e4ndig vom restlichen Netzwerk isoliert sein. Das bedeutet zum Beispiel, dass Konfigurationsarbeiten immer direkt auf dem Rechner vorgenommen werden m\u00fcssen. Dieser Computer ist zwar mit dem Internet verbunden, aber nicht mit dem LAN.<br \/>\nIn einem virtuellen Honeypot werden Systeme und Netzwerke lediglich simuliert, indem sie auf virtuellen Maschinen nachgebildet werden. Auch hier sollte der Honeypot vom tats\u00e4chlichen Netzwerk vollkommen isoliert sein. Auf diese Weise haben potenzielle Angreifer*innen keine M\u00f6glichkeit, vom Ablenkungssystem aus auf das produktive System zuzugreifen.<\/p>\n<h3><span style=\"color: #00549f;\">Interaktionsgrad eines Honeypots<\/span><\/h3>\n<p>Honeypots lassen sich unter anderem nach ihrem Interaktionsgrad kategorisieren. Dabei unterscheidet man allgemein unter High- und Low-Interaction Honeypots. Honeypots mit geringer Interaktion sind z. B. Programme, die einen oder mehrere Dienste emulieren oder Websites besuchen, ohne normale Webbrowser zu verwenden. Diese Programme versuchen dann, Angriffe auf die emulierten Dienste oder Browser zu erkennen und k\u00f6nnen sie anschlie\u00dfend protokollieren. Geringe Interaktion bedeutet, dass die Angreifer*innen keine M\u00f6glichkeit haben, mit dem T\u00e4uschungssystem zu interagieren. Honeypots mit geringer Interaktion k\u00f6nnen z. B. verwendet werden, um festzustellen, ob Angriffe stattfinden oder um automatisierte Angriffe zu erkennen. Wenn der Angriff manuell durchgef\u00fchrt wird, d\u00fcrften Angreifer*innen jedoch nicht lange brauchen, um zu erkennen, dass es sich bei dem System um einen Honeypot handelt.<\/p>\n<p>High Interaction Honeypots hingegen stellen voll funktionsf\u00e4hige Computersysteme mit echten Betriebssystemen dar. Nach Entdeckung einer vermeintlichen Sicherheitsl\u00fccke, k\u00f6nnen Hacker*innen vollst\u00e4ndig mit dem System interagieren. Aufgrund des hohen Interaktionsgrades k\u00f6nnen dann wesentlich mehr Daten \u00fcber die Angreifer*innen und ihre Vorgehensweise gesammelt werden. Je realer das System f\u00fcr Cyberkriminelle wirken soll, desto umfangreicher sollten die angebotenen Dienste und ihre Interaktionsm\u00f6glichkeiten sein. Der Einsatz von interaktionsstarken Honeypots ist daher immer mit einem hohen Aufwand verbunden.<\/p>\n<h3><span style=\"color: #00549f;\">Vorteile von Honeypots<\/span><\/h3>\n<p>Honeypots bieten viele Vorteile. Sie k\u00f6nnen zum Beispiel zur Fr\u00fcherkennung von Angriffen beitragen. Diese Angriffe k\u00f6nnen dann genau \u00fcberwacht und detailliert protokolliert werden. Dadurch k\u00f6nnen wertvolle Informationen \u00fcber Angreifer*innen und ihre Vorgehensweise gewonnen werden. Diese neuen Informationen k\u00f6nnen anschlie\u00dfend genutzt werden, um produktive Systeme fr\u00fchzeitig vor \u00e4hnlichen Angriffen zu sch\u00fctzen. Honeypots k\u00f6nnen zudem mit anderen Systemen, wie Firewalls und Intrusion Detection Systemen (IDS), zusammenarbeiten. Auf diese Weise k\u00f6nnen bestimmte Angriffsmuster und verd\u00e4chtige IP-Adressen \u00fcbermittelt werden. Somit k\u00f6nnen diese IP-Adressen und Angriffsmuster im Produktivsystem blockiert werden.<\/p>\n<p>Angriffe auf Honeypots k\u00f6nnen ohne gro\u00dfen Aufwand erkannt werden, da es sich um eine Umgebung handelt, in der kein legitimer Datenverkehr stattfindet. Wenn eine Interaktion mit einem Honeypot stattfindet, kann von einem Angriff ausgegangen werden. Falsche Alarme werden dabei in der Regel nicht ausgel\u00f6st. Auch der Ressourcenbedarf f\u00fcr den Einsatz eines Honeypots ist relativ gering, da es sich nicht um produktive Systeme handelt. Ausrangierte Server und veraltete Computer werden daher gerne f\u00fcr diesen Zweck eingesetzt.<\/p>\n<h3><span style=\"color: #00549f;\">Nachteile von Honeypots<\/span><\/h3>\n<p>Der Einsatz von Honeypots hat jedoch nicht nur Vorteile. Es k\u00f6nnen sogar einige Risiken damit verbunden sein. Honeypots sind darauf ausgelegt, angegriffen zu werden. Sie ziehen daher Aufmerksamkeit auf sich. Besteht eine Verbindung zwischen dem Honeypot und dem produktiven System, k\u00f6nnen Hacker*innen nach einem erfolgreichen Eindringen in einen Honeypot das Ablenkungssystem nutzen, um weitere Angriffe auf das produktive System zu initiieren. In diesem Fall h\u00e4tte der Honeypot lediglich Aufmerksamkeit erregt und sogar einen Angriff beg\u00fcnstigt.<\/p>\n<p>Dar\u00fcber hinaus muss immer wieder betont werden, dass Honeypots nicht die Rolle eines Fr\u00fchwarnsystems erf\u00fcllen. Die Tatsache, dass es keine Angriffe auf einen Honeypot gibt, bedeutet nicht, dass es keine Angriffe auf das produktive System gibt. Das Produktivsystem sollte daher permanent auf Schwachstellen untersucht und \u00fcberwacht werden, zum Beispiel mit Hilfe eines IDS. Das Internet bietet Cyberkriminellen unz\u00e4hlige potenzielle Angriffsziele. Die Wahrscheinlichkeit, dass ein Honeypot in dieser Masse untergeht, ist ebenfalls extrem hoch. Deshalb sollten sich Unternehmen beim Einsatz von Honeypots nie in falscher Sicherheit wiegen.<\/p>\n<h3><span style=\"color: #00549f;\">Das Honeynet des IT Centers<\/span><\/h3>\n<p>Auch an der RWTH Aachen werden Honeypots als Sicherheitsmechanismus eingesetzt. Das eigene Honeynet wird vom IT Center betrieben und dient der Analyse aktueller Bedrohungen und der Erkennung sich automatisch verbreitender Schadsoftware. Durch den Einsatz dieser auf mehreren virtuellen Maschinen verteilten Honeypots, konnten bereits zahlreiche wertvolle Informationen \u00fcber Angreifer*innen, ihre Methoden, Werkzeuge und Beweggr\u00fcnde gesammelt werden. Dar\u00fcber hinaus werden Low-Interaction-Honeypots auch zur Identifizierung von infizierten Rechnern im Netz der RWTH Aachen eingesetzt und sind ein fester Bestandteil des am IT Center entwickelten Intrusion Detection System, dem <a href=\"https:\/\/netstatus.rz.rwth-aachen.de\/status\/blastomat-view\/\">Blast-o-Mat<\/a>.<\/p>\n<p>Der Einsatz von Honeypots ist keine Garantie daf\u00fcr, dass ein produktives System nicht auch angegriffen wird. Honeypots versuchen zwar, Aufmerksamkeit zu erregen und Angriffe auf sich zu lenken, sollen aber vielmehr dazu genutzt werden, Erkenntnisse \u00fcber Angreifer*innen und ihre Vorgehensweise zu gewinnen. Honeypots sind eine von vielen Sicherheitsma\u00dfnahmen, die zur Verbesserung der <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/tag\/it-sicherheit\/\">IT-Sicherheit<\/a> ergriffen werden k\u00f6nnen. Besonders sinnvoll ist ihr Einsatz im Zusammenhang mit anderen Systemen wie Firewalls und IDS.<\/p>\n<p>&nbsp;<\/p>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags ist <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x2C5E1B0A3DA32A45AB293A42E93EEC07&amp;allou=1\">St\u00e9phanie Bauens<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Manchmal ist die beste Defensive eine gute Offensive. Im Bereich der IT-Sicherheit sind offensive Sicherheitsma\u00dfnahmen gefragter denn je. Dabei wird oft auf Techniken und Ans\u00e4tze zur\u00fcckgegriffen, die eigentlich von kriminellen [&hellip;]<\/p>\n","protected":false},"author":1859,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[305],"tags":[648,647,61,149],"class_list":["post-12793","post","type-post","status-publish","format-standard","hentry","category-themen","tag-honeynet","tag-honeypot","tag-it-sicherheit","tag-safetyfirst"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/12793","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/1859"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=12793"}],"version-history":[{"count":3,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/12793\/revisions"}],"predecessor-version":[{"id":12797,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/12793\/revisions\/12797"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=12793"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=12793"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=12793"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}