Honeypot: Der perfekte Köder!
Internetkriminalität zählt inzwischen zu den größten Geschäftsrisiken. Umso entscheidender ist es für Betriebe, die Taktiken, Techniken und Verhalten der Attackierenden zu begutachten, um geeignete IT-Sicherheitsmaßnahmen zum Schutz ihrer IT-Infrastruktur sowie ihren geschäftskritischen Daten machen zu können. Ein erprobtes Tool dafür sind Honeypots. Was sich dahinter versteckt, wie diese funktionieren und warum es sich lohnt über deren Einsatz nachzudenken, lesen Sie in dem folgenden Blogbeitrag.
Die Tage, an welchen noch in vielen Unternehmen die Auffassung vorherrschte, dass Datendiebstahl, Spionage sowie Sabotage keinerlei ernstzunehmende Gefahr verkörpern, sind schon lange passé. Inzwischen reagieren immer mehr Unternehmen auf die angespannte IT-Sicherheitslage und investieren in die Verbesserung ihrer IT-Sicherheitsstrategie sowie den Ausbau der IT- Sicherheitsmaßnahmen.
Nur 2021 haben rund 54 Prozent der Betriebe, entsprechend der eco-IT-Sicherheitsumfrage 2022, die Ausgaben für die IT-Sicherheit angehoben.
Selbst wenn die Bemühungen um mehr IT-Sicherheit steigen, reicht es angesichts der alarmierenden Schnelligkeit mit der neue Angriffsmethoden entwickelt und gebraucht werden, keinesfalls mehr aus, bloß auf absolut präventive, detektive und reaktive IT-Sicherheitsmaßnahmen zu vertrauen. Vielmehr bedarf es einer IT-Sicherheitsstrategie, welche darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ zu erwischen – etwa durch den Einsatz von allgemein sogenannten „Honeypots“.
Honeypot: Ein Definitionsversuch!
Bei „Honeypots“ handelt es sich um fiktive Fallen – zu vergleichen mit Honigködern für Bären- in Gestalt von allem Anschein nach verwundbaren IT-Systemen oder Unternehmensnetzwerken.
Im Unterschied zu anderweitigen IT-Sicherheitslösungen sollen Honeypots Internetangriffe vor allem nicht abwehren. Im Gegensatz: Sie fungieren als Köder, um Internetkriminelle anzulocken, ihre Angriffsmuster sowie Angriffsverhalten zu durchleuchten und sie im Idealfall zu identifizieren.
Mit dem Ziel, dass das funktioniert, müssen diese verwendeten Honeypots unter anderem authentisch scheinende Unternehmensprozesse abwickeln, gängige Protokolle einsetzen, die gewöhnlichen Ports geöffnet halten plus Geschäftsdaten enthalten, die sie aussehen lassen, wie reale Systeme.
Serverseitige und clientseitige Honeypots: Welche Unterschiede gibt es?
Immer öfter werden IT-Systeme und Unternehmensnetzwerke von Internetganoven angegriffen. Um dem entgegenzuwirken, setzen zunehmend mehr Unternehmen digitale Lockfallen als weitere Sicherheitsmaßnahme ein. Je nachdem, welcher Zweck mit einem Honeypot verfolgt werden möchte, kann die Einführung serverseitig oder clientseitig erfolgen:
- Serverseitige Honeypots
Die Idee eines serverseitigen Honeypots ist es, Bedrohungsakteure innerhalb eines Systems in einen isolierten Teilbereich zu locken sowie sie auf diese Weise von den eigentlichen interessanten wie auch kritischen Netzwerkkomponenten fernzuhalten. Wird durch den Honeypot beispielsweise ein einfacher Server simuliert, schlägt jener bei einem Internetangriff Alarm, verschickt Warnungen und zeichnet sämtliche feindliche Aktivitäten auf. Auf diese Weise erhält die Unternehmens-IT Informationen davon, wie die Angriffe ablaufen und können auf selbiger Datengrundlage deren reale IT-Infrastruktur noch ausgereifter schützen. - Clientseitige Honeypots
Bei dem clientseitigen Honeypot werden Netzwerkkomponenten oder Anwendungen vorgetäuscht, welche Server-Dienste benötigen. Paradebeispiel dafür ist die Vortäuschung eines Webbrowsers, welcher gezielt unsichere Webseiten aufruft, um Daten über Sicherheitsrisiken zu sammeln. Erfolgt über einen der Punkte ein Angriff, wird jener für eine spätere Begutachtung protokolliert.
Die unterschiedlichen Honeypot-Typen auf einem Blick!
Honeypots gehören zu den spannendsten IT-Sicherheitskonzepten in der IT-Welt.
Deren höchstes Ziel ist es die Angreifer in die Irre zu führen und dabei geheim zu bleiben.
Denn je länger sich ein Attackierender blenden lässt, desto mehr Daten können die „Honeypots“ über die Angriffsstrategie wie auch das Angriffsverhalten erfassen.
Eine der wichtigsten Faktoren zur Klassifikation von Honeypots ist daher das Ausmaß der Aktivität mit den Angreifern. Man differenziert in diesem Zusammenhang sowohl serverseitig wie auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.
- Low-Interaction-Honeypots: Bei Low-Interaction-Honeypots handelt es sich um Fallen mit einem geringen Grad an Aktivität. Jene basieren im Wesentlichen auf der Nachahmung realer Systeme oder Anwendungen. Dazu werden Dienste sowie Funktionen meist nur so weit nachgeahmt, dass eine Attacke machbar wäre.
- High-Interaction-Honeypots: Bei High-Interaction-Honeypots hingegen, dreht es sich um Lockfallen mit einem hohen Grad der Interaktivität. Es werden meist reale Systeme gebraucht, die Server-Dienste anbieten. Dies wiederum verlangt eine gute Observation wie auch Absicherung. Andernfalls existiert die Gefahr, dass Angreifer die Honeypots an sich reißen, das zu beschützende System infiltrieren oder von diesem startend Angriffe auf weitere Server im Netzwerk einleiten.
Honeypots: Die Vorteile und Nachteile!
Die Vorzüge von Honeypotslassen sich sehen:
- Schutz vor externen Bedrohungen: Honeypots können durch ihre „täuschend echte“ Form Internetkriminelle von echten Zielen weglenken und ihre Ressourcen binden.
- Schutz vor internen Bedrohungen: Weil Firewalls das Netzwerk bloß nach außen absichern, eignen sich Honeypots ebenso dazu, interne Gefahren aufzudecken sowie unerwünschten Datenabfluss zu verhindern.
- zuverlässige Angriffserkennung: Honeypots werden so konzipiert, dass sie nicht per Zufall aus dem Internet erreichbar sind. Dadurch wird ein „harmloser“ Datentraffic aus dem Internet größtenteils undurchführbar und jegliche erfasste Aktivität als Angriffsversuch gewertet.
- erkenntnisreiche Einblicke: Honeypots erfüllen die Eigenschaft einer risikofreien Umgebung, sodass die Firmen-IT alle möglichen Angriffe ganz ohne Zeitdruck beobachten und analysieren kann. Des Weiteren können so auch Schwachstellen der IT-Sicherheitsinfrastruktur beseitigt werden.
- Rückverfolgung von Angreifern: Im Kontrast zu anderen Sicherheitslösungen kann die Unternehmens-IT durch Honeypots, Angriffe zum Ursprung zurückzuverfolgen, beispielsweise über die IP-Adressen.
Ein Honeypot allein bewahrt vor Angriff nicht!
Auch beim Gebrauch von Honeypots ist nicht alles Gold was glänzt. Die größte Gefahr besteht darin, dass Honeypots bei mangelhafter Implementation durch Internetkriminelle übernommen und ausgenutzt werden können, um die Firmen-IT mit falschen Informationen zu füttern sowie weitere bösartige Angriffe auf andere Systeme im Netzwerk starten werden.
Resümee: Mit digitalen Ködern Internetangriffe abfangen!
Internetkriminalität zählt heutzutage zu den größten Geschäftsrisiken.
Umso wichtiger ist es, dass Firmen neben professionellen Firewalls, wirksamen Netzwerk-Intrusion-Detection- sowie Prevention-Lösungen wie auch leistungsstarken Multi-Faktor-Authentifizierung-Lösungen sowie Verschlüsselungsverfahren ergänzende IT-Sicherheitsmaßnahmen wahrnehmen, um Eindringlinge auf frischer Tat zu ertappen. Und exakt an dieser Stelle kommen Honeypots zum Einsatz. Sie können, wenn sie korrekt eingesetzt werden, bedeutende Elemente einer mehrschichtig konzipierten IT-Sicherheitsstrategie sein und das Unternehmen vor rafinierten Internetangriffen, doch auch vor Insiderbedrohungen bewachen.
Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.
