Internetkriminalität zählt inzwischen zu den bedeutendsten Geschäftsrisiken. Umso wichtiger ist es für Betriebe, die Taktiken, Techniken und Verhalten der Angreifer zu begutachten, um geeignete IT-Sicherheitsmaßnahmen zum Schutz ihrer IT-Infrastruktur sowie ihren geschäftskritischen Daten machen zu können. Ein erprobtes Tool dafür sind Honeypots. Was sich hinter dem Begriff versteckt, wie diese funktionieren und weshalb es sich lohnt über ihren Einsatz nachzudenken, lesen Sie in dem folgenden Blogbeitrag.
Die Zeiten, in welchen noch in den meisten Unternehmen die Auffassung vorherrschte, dass Datendiebstahl, Spionage sowie Manipulation keine ernstzunehmende Bedrohung verkörpern, sind längst vorbei. Inzwischen agieren immer mehr Unternehmen auf die bedrohliche IT-Sicherheitslage und investieren in eine Optimierung ihrer IT-Sicherheitsstrategie und die Weiterentwicklung ihrer IT- Sicherheitsmaßnahmen.
Allein im Jahr 2021 haben rund 54 Prozent der Unternehmen, laut der eco-IT-Sicherheitsumfrage 2022 (https://www.eco.de/presse/eco-it-sicherheitsumfrage-2022-unternehmen-reagieren-auf-angespannte-cybersicherheitslage/), die Ausgaben für die IT-Sicherheit angehoben.
Selbst wenn die Aktivitäten um mehr IT-Sicherheit steigen, reicht es angesichts der alarmierenden Geschwindigkeit mit der frische Angriffsmethoden erfunden und eingesetzt werden, keinesfalls mehr aus, bloß auf absolut präventive, detektive sowohl reaktive IT-Sicherheitsmaßnahmen zu vertrauen. Besser gesagt bedarf es einer IT-Sicherheitsstrategie, die darüber hinaus IT-Sicherheitsmechanismen vorsieht, um Internetganoven auf „frischer Tat“ dingfest zu machen – beispielsweise durch den Einsatz von allgemein sogenannten „Honeypots“.
Definition: Was ist ein Honeypot?
Bei „Honeypots“ dreht es sich um fiktive Fallen – zu vergleichen mit Honigködern für Bären- in Form von allem Anschein nach verwundbaren IT-Systemen oder auch Unternehmensnetzwerken.
Im Unterschied zu anderen IT-Sicherheitslösungen sollen Honeypots Internetangriffe in erster Linie nicht abwehren. Im Gegensatz: Sie fungieren als Lockmittel, um Internetkriminelle anzulocken, ihre Angriffsmuster sowie Angriffsverhalten zu durchleuchten und sie im Idealfall zu erkennen.
Mit dem Ziel, dass das gelingt, müssen diese verwendeten Honeypots unter anderem echt scheinende Geschäftsprozesse ausführen, gängige Protokolle einsetzen, die gewöhnlichen Ports offen halten plus Geschäftsdaten enthalten, welche diese erscheinen lassen, wie echte Systeme.
Serverseitige und clientseitige Honeypots!
Immer öfter werden IT-Systeme und Unternehmensnetzwerke von Internetganoven attackiert. Um diesem entgegenzuwirken, setzen zunehmend mehr Unternehmen digitale Lockfallen als ergänzende Sicherheitsmaßnahme ein. Je nachdem, welcher Zweck mit einem Honeypot verfolgt werden soll, kann die Einführung serverseitig oder clientseitig geschehen:
• Serverseitige Honeypots
Die Idee eines serverseitigen Honeypots ist es, Bedrohungsakteure binnen eines Systems in einen isolierten Bereich zu locken sowie sie auf diese Weise von den eigentlichen spannenden wie auch kritischen Netzwerkkomponenten fernzuhalten. Wird durch einen Honeypot zum Beispiel ein simpler Server gekünstelt, schlägt dieser bei einem Internetangriff Gefahr, versendet Warnungen und zeichnet sämtliche feindliche Aktivitäten auf. Auf diese Weise erhält die Unternehmens-IT Informationen davon, wie die Angriffe ablaufen und können auf dieser Datengrundlage deren reale IT-Infrastruktur noch besser schützen.
• Clientseitige Honeypots
Bei dem clientseitigen Honeypot werden Netzwerkkomponenten oder Anwendungen vorgetäuscht, welche Server-Dienste brauchen. Paradebeispiel dafür ist die Vortäuschung eines Webbrowsers, welcher ganz gezielt unsichere Internetseiten aufruft, um Informationen über Gefahren zu sammeln. Geschieht über einen der Punkte ein Angriff, wird dieser für eine spätere Auswertung protokolliert.
Klassifizierung der Honeypots nach Level der Interaktion!
Honeypots gehören zu den interessantesten IT-Sicherheitskonzepten in der IT-Welt.
Deren höchstes Ziel ist es die Angreifer hinters Licht zu führen und unterdies geheim zu bleiben.
Denn je länger sich ein Angreifer blenden lässt, desto mehr Daten können die „Honeypots“ über die Angriffsstrategie und das Angriffsverhalten erfassen.
Eine der wichtigsten Kriterien zur Klassifizierung von Honeypots ist daher der Grad der Aktivität mit den Angreifern. Man differenziert in diesem Rahmen sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots wie auch High-Interaction-Honeypots.
• Low-Interaction-Honeypots: Bei Low-Interaction-Honeypots dreht es sich um Lockfallen mit einem minimalen Grad an Aktivität. Sie beruhen grundlegend auf der Imitation realer Systeme oder Anwendungen. Dazu werden Dienste und Funktionen in der Regel nur so weit nachgeahmt, dass ein Angriff machbar wäre.
• High-Interaction-Honeypots: Bei High-Interaction-Honeypots dagegen, handelt es sich um Lockfallen mit einem großen Grad der Interaktivität. Es werden in der Regel reale Systeme gebraucht, welche Server-Dienste anbieten. Dies wiederum verlangt eine gute Überwachung und Absicherung. Andernfalls existiert die Gefährdung, dass Angreifer die Honeypots an sich reißen, das zu beschützende System infiltrieren oder von diesem ausgehend Angriffe auf weitere Server im Netzwerk einleiten.
Honeypots: Die Vorteile und Nachteile!
Die Vorteile von Honeypotslassen sich sehen:
• Schutz vor externen Bedrohungen: Honeypots können durch ihre „täuschend echte“ Aufmachung Internetkriminelle von echten Zielen weglenken und ihre Mittel binden.
• Schutz vor internen Bedrohungen: Da Firewalls das Netzwerk bloß nach außen schützen, dienen Honeypots auch dazu, innere Sicherheitsrisiken aufzudecken und unerwünschten Datenabfluss zu verhindern.
• zuverlässige Angriffserkennung: Honeypots werden so konfiguriert, dass sie nicht durch Zufall vom Internet zugänglich sind. Dadurch wird ein „harmloser“ Datentraffic aus dem Internet weitgehend undurchführbar und jede erfasste Aktivität als Angriffsversuch gewertet.
• erkenntnisreiche Einblicke: Honeypots erfüllen die Funktion einer risikofreien Umgebung, weshalb die Unternehmens-IT alle möglichen Angriffe ganz ohne zeitlichen Druck beobachten und analysieren kann. Des Weiteren können auf diese Weise auch Schwachstellen der IT-Sicherheitsinfrastruktur behoben werden.
• Rückverfolgung von Angreifern: Im Gegensatz zu sonstigen Sicherheitslösungen kann die Firmen-IT durch Honeypots, Angriffe zur Quelle zurückzuverfolgen, beispielsweise über die IP-Adressen.
Ein Honeypot allein bewahrt vor Angriff nicht!
Auch beim Einsatz von Honeypots ist nicht alles Gold was glänzt. Die größte Gefährdung liegt darin, dass Honeypots bei mangelhafter Implementation durch Internetkriminelle übernommen sowie ausgebeutet werden können, um die Firmen-IT mit gefälschten Daten zu versorgen und noch mehr bösartige Angriffe auf andere Systeme im Netzwerk starten werden.
Resümee: Mit digitalen Ködern Internetangriffe abfangen!
Internetkriminalität gehört heutzutage zu den bedeutendsten Geschäftsrisiken.
Umso wichtiger ist es, dass Unternehmen neben hochwertigen Firewalls, effektiven Netzwerk-Intrusion-Detection- und Prevention-Lösungen wie auch leistungsfähigen Multi-Faktor-Authentifizierung-Lösungen plus Verschlüsselungsverfahren ergänzende IT-Sicherheitsmaßnahmen wahrnehmen, um Angreifer auf frischer Tat zu ertappen. Und exakt hier kommen Honeypots zum Einsatz. Sie können, wenn sie korrekt eingesetzt werden, bedeutende Bestandteile einer mehrschichtig konzipierten IT-Sicherheitsstrategie sein und das Unternehmen vor ausgeklügelten Internetangriffen, aber auch vor Insiderbedrohungen bewachen.
Möchten auch Sie durch den Gebrauch von Honeypots, Ihre IT-Sicherheitsstrategie verbessern und Ihre IT-Infrastruktur mit noch effektiveren IT-Sicherheitsmaßnahmen bestärken. Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!
