In der Podcast-Folge „Finger weg vom Honigtopf! – Honeypots und Honeynets in der IT-Sicherheit“ der „Datenpragmaten“ tauchen Nico Schunter und Henning Dey, beide erfahrene Business Architects bei Serviceware, tief in die Welt der digitalen Täuschung ein. Sie beleuchten, wie Honeypots und Honeynets als raffinierte Werkzeuge zur Erkennung und Analyse von Cyberangriffen eingesetzt werden können.
Der Fokus in diesem Blogartikel liegt auf der Frage, wie Unternehmen – unabhängig von ihrer Größe – von diesen Technologien profitieren können, um Angreifer in eine Falle zu locken und wertvolle Erkenntnisse über deren Vorgehensweise zu gewinnen. Die Hosts diskutieren verschiedene Arten von Honeypots, deren Vor- und Nachteile und zeigen auf, warum diese Methoden längst nicht mehr nur für große Konzerne relevant sind.
Hören Sie die komplette Podcast-Folge hier: Die Datenpragmaten - Die IT-Podcast-Serie
Was sind Honeypots und warum sind sie wichtig?
Nico Schunter: Willkommen zum heutigen Talk! Unser Thema: Honeypots und Honeynets. Henning, du bist ja tief in der Materie drin – was genau ist ein Honeypot?
Henning Dey: Hey Nico! Ja, super spannendes Thema. Also, ein Honeypot ist im Prinzip ein Köder, eine Art digitale Falle für Cyberangreifer. Man richtet ein System ein, das wie ein echtes Ziel aussieht – beispielsweise ein verwundbarer Server, Dienst oder System –, aber eigentlich nur dazu dient, Angreifer anzulocken und ihr Verhalten zu analysieren. Wir sprechen heute also von sogenannten Deception Technologien und dem Honeypot oder dem Honeynet als Täuschung.
Nico Schunter: Also eine Art elektronische Mausefalle für Hacker?
Henning Dey: Genau! Nur dass wir in diesem Fall nicht die Hacker selbst fangen, sondern ihre Methoden und Angriffsmuster untersuchen. Indem wir einen solchen "Decoy" aufstellen, der von Angreifen potenziell attackiert wird, bekommen wir wertvolle Einblicke in aktuelle Bedrohungen und können entsprechende Schutzmaßnahmen entwickeln.
Was ist der Unterschied zwischen Honeypots und Honeynets?
Nico Schunter: Und wie unterscheidet sich ein Honeynet von einem Honeypot?
Henning Dey: Ein Honeynet ist quasi die Weiterentwicklung. Statt nur eines einzelnen Honeypots haben wir ein ganzes Netzwerk aus ihnen, das sich verhält wie eine realistische IT-Umgebung. Das gibt uns ein noch detaillierteres Bild davon, wie sich Cyberkriminelle bewegen, welche Strategien sie nutzen und wie sie miteinander kommunizieren.
Nico Schunter: Bedeutet das, dass Honeynets komplexer zu betreiben sind?
Henning Dey: Absolut! Ein einzelner Honeypot kann relativ einfach aufgesetzt werden, aber ein Honeynet erfordert ein tiefes Verständnis der Netzwerksicherheit, um realistische Szenarien zu simulieren, ohne dabei echte Systeme zu gefährden.
Welche Arten von Honeypots gibt es?
Nico Schunter: Welche Typen von Honeypots gibt es eigentlich?
Henning Dey: Man unterscheidet grundsätzlich zwischen Low-Interaction- und High-Interaction-Honeypots. Erstere sind einfach zu betreiben und simulieren nur bestimmte Dienste, wie zum Beispiel eine offene SSH-Schnittstelle, die Login-Versuche aufzeichnet. High-Interaction-Honeypots sind dagegen komplexer, interagieren realistischer mit Angreifern, erfordern aber mehr Wartung. Sie können ein komplettes Betriebssystem mit Schwachstellen simulieren, sodass Angreifer glauben, ein echtes Ziel zu attackieren.
Nico Schunter: Was wären konkrete Beispiele für solche Honeypots?
Henning Dey: Ein passendes Beispiel für einen Low-Interaction-Honeypot wäre ein Fake-MySQL-Server. Er lauscht auf Port 3306 und gibt sich als veraltete Version aus. Angreifer versuchen, sich zu verbinden, aber der Server erlaubt keine echte Interaktion – er protokolliert nur die Zugriffe.
Umgesetzt wird das einfach mit einem Docker-Container oder einer VM. Sobald jemand zugreift, sendet der Honeypot eine Benachrichtigung z.B. per E-Mail oder speichert die IP-Adresse. Das ist mit einem Deception Anbieter schnell und einfach aufgebaut und zudem meist super kostengünstig.
On demand Webinar
Angriffsvektor digitale Identität: Mitarbeitende ausbilden - Systeme stärken
Warum nur nach Lücken in der Firewall suchen, wenn es auch einfacher geht? 74% aller erfolgreichen Angriffe beinhalten eine menschliche Komponente, da kompromittierte Zugangsdaten für einen Hacker der ideale Angriffsvektor sind.
Welche Vorteile haben Honeypots in der Cybersicherheit?
Nico Schunter: Was genau kann man mit den gesammelten Informationen anfangen?
Henning Dey: Vieles! Sicherheitsteams nutzen sie, um Schutzmaßnahmen zu verbessern, Schwachstellen früher zu erkennen oder auch Angriffsmuster in Echtzeit zu tracken. Man kann sozusagen in die Denkweise der Angreifer eintauchen. Gerade im Bereich der Cybersicherheit ist das extrem wertvoll, weil es hilft, proaktiv Bedrohungen zu bekämpfen, bevor sie Schaden anrichten.
Nico Schunter: Gibt es bekannte Beispiele für den Einsatz von Honeypots?
Henning Dey: Oh ja! Eines der berühmtesten Projekte ist das "Honeynet Project" – eine weltweite Initiative, die Angriffe dokumentiert. Große Unternehmen und Regierungen setzen ebenfalls auf solche Systeme, um ihre Netzwerke zu schützen. Beispielsweise verwenden Finanzinstitute Honeypots, um Betrugsversuche zu erkennen, oder Cloud-Anbieter setzen sie ein, um Angriffe auf ihre Infrastruktur zu analysieren.
Gibt es Risiken bei der Nutzung von Honeypots?
Nico Schunter: Aber gibt es nicht auch Risiken? Könnte ein Angreifer nicht den Honeypot kapern und ihn für seine Zwecke nutzen?
Henning Dey: Gute Frage! Das nennt sich ein "Rogue Honeypot". Deshalb muss man solche Fallen gut absichern, damit sie nicht missbraucht werden. Eine Methode ist es, den Honeypot isoliert zu betreiben, sodass er keinen Zugriff auf echte Systeme hat. Man kann auch Logging-Mechanismen einbauen, um verdächtige Aktivitäten schnell zu erkennen.
Nico Schunter: Und was, wenn ein Angreifer den Honeypot durchschaut?
Henning Dey: Das passiert durchaus. Manche Angreifer erkennen Honeypots und versuchen dann, falsche Spuren zu legen, um die Verteidiger in die Irre zu führen. Man muss also geschickt sein und den Honeypot möglichst echt aussehen lassen.
Nico Schunter: Gibt es noch weitere Risiken?
Henning Dey: Ja, Honeypots müssen ständig gewartet werden. Ein veralteter oder falsch konfigurierter Honeypot kann selbst zur Schwachstelle werden. Und es gibt natürlich auch rechtliche Fragen, die man beachten muss.
Wie schwer ist es, einen Honeypot zu betreiben?
Nico Schunter: Kann jeder einen Honeypot einfach so betreiben?
Henning Dey: Grundsätzlich kann das jeder, aber man sollte wissen, was man tut. Ein falsch konfigurierter Honeypot kann selbst zum Sicherheitsrisiko werden. Es gibt viele Open-Source-Projekte, die einem den Einstieg erleichtern. Aber man sollte immer darauf achten, dass der Honeypot nicht ungewollt echten Schaden verursacht.
Nico Schunter: Also nicht einfach ein Skript runterladen und laufen lassen?
Henning Dey: Genau. Ein schlecht abgesicherter Honeypot kann im schlimmsten Fall als Sprungbrett für weitere Angriffe genutzt werden. Daher ist es wichtig, sich vorher gut zu informieren. Trotzdem ist es ziemlich einfach einen Low-Interaction-Honeypot zu installieren. Das ist auch nicht sonderlich teuer.
Welche rechtlichen Aspekte muss man beachten?
Nico Schunter: Gibt es rechtliche Aspekte, die man beachten muss?
Henning Dey: Absolut! In vielen Ländern gibt es strenge Gesetze zur IT-Sicherheit und zum Datenschutz. Wer einen Honeypot betreibt, muss sicherstellen, dass er keine persönlichen Daten speichert oder ungewollt in illegale Machenschaften verwickelt wird. Besonders wenn man Angriffe aufzeichnet, muss man sich fragen, ob man die Daten speichern und analysieren darf.
Nico Schunter: Kann ein Unternehmen haftbar gemacht werden, wenn ein Angreifer über den Honeypot Angriffe startet?
Henning Dey: Ja, in manchen Ländern könnte das tatsächlich passieren. Deshalb ist eine starke Isolation vom produktiven Netzwerk so wichtig.
Nico Schunter: Also am besten vorher juristischen Rat einholen?
Henning Dey: Genau! Gerade Unternehmen sollten sicherstellen, dass sie sich innerhalb der gesetzlichen Rahmenbedingungen bewegen.
Welche Tipps hast du für Einsteiger?
Nico Schunter: Hast du noch Tipps für Einsteiger, die sich mit Honeypots beschäftigen wollen?
Henning Dey: Klar! Am besten startet man mit einem Low-Interaction-Honeypot. Man sollte ein dediziertes System nutzen und niemals einen Honeypot im eigenen Produktivnetzwerk betreiben. Es ist sicherlich sinnvoll sich einen Partner dazu an die Hand zu nehmen. Außerdem ist es wichtig seine Workflows klar zu strukturieren und festzulegen, damit kein Chaos entsteht.
Nico Schunter: Henning, das war super spannend. Vielen Dank für die Einblicke!
Henning Dey: Sehr gern! Jeder, der sich mit IT-Sicherheit beschäftigt, sollte sich mal mit Honeypots und Honeynets auseinandersetzen. Es lohnt sich!
Fazit
Honeypots und Honeynets sind wertvolle Werkzeuge zur Erkennung und Analyse von Cyberangriffen. Sie ermöglichen es Sicherheitsexperten, das Verhalten von Angreifern besser zu verstehen und präventive Schutzmaßnahmen zu entwickeln. Trotz gewisser Risiken und rechtlicher Herausforderungen bieten sie enorme Vorteile für Unternehmen, Institutionen und Forschungseinrichtungen. Wer sich für IT-Sicherheit interessiert, sollte unbedingt in diese spannende Technik eintauchen.
➡️Jetzt mehr erfahren und Termin vereinbaren!
Begriffe und Bedeutungen
Honeypot: Eine Falle für Angreifer, die vorgetäuscht verwundbare Systeme simuliert.
Honeynet: Ein Netzwerk aus mehreren Honeypots zur detaillierten Angriffsanalyse.
Low-Interaction-Honeypot: Ein einfacher Honeypot, der nur begrenzte Interaktion mit Angreifern erlaubt.
High-Interaction-Honeypot: Ein komplexer Honeypot, der realistische Angriffszenarien simuliert.
Rogue Honeypot: Ein kompromittierter Honeypot, den Angreifer für eigene Zwecke nutzen
The Honeynet Project: Eine Organisation zur Erforschung von Cyberangriffen mit Honeypots.
Logging: Die Aufzeichnung von Aktivitäten zur Analyse von Angriffen.
