/ Honeypot

Honeypot - Was ist das eigentlich?

Der Honeypot, zu Deutsch Honigtopf, ist eine süß duftende Versuchung. Ein Lockmittel, von dem sich schon der ein oder andere Bär hat täuschen lassen. Dieses Verfahren lässt sich auch auf den IT-Bereich übertragen. Ein Computersystem, der metaphorische Honigtopf, wird absichtlich mit Sicherheitslücken ausgestattet, um Hacker gezielt anzulocken und zu überführen.

Honig tropft in Honigglas (Honigglas = Honeypot)
Hacker beim Angriff, der Honeypot könnte ihn aufhalten

Einrichtung von Honeypots

  • Betriebssystem ohne Updates und mit Standard-Einstellungen und
    -Optionen installieren
  • System nur mit Daten ausstatten, die risikofrei gelöscht oder zerstört werden können
  • Anwendung installieren, die die Aktivitäten des Angreifers aufzeichnet

Wie funktioniert das Honeypotting?

Immer häufiger werden Computersysteme Opfer von Hackerangriffen. Um dem entgegenzuwirken, werden Honeypots als Maßnahme zur Ergänzung von Firewalls eingesetzt. Bei einem Angriff ist die Wahrscheinlichkeit groß, dass zunächst der Honeypot angegriffen wird, da dieser nicht wie die anderen Server des Computersystems durch eine Firewall geschützt ist. Während eines Angriffs versendet die Überwachungsanwendung Warnungen, zeichnet die Aktivitäten des Hackers auf und blockiert dessen IP-Adresse.

Prozess des Honeypot-Prinzips
Produktions- und Forschungs-Honeypot

Unterteilung in Produktion und Forschung

Je nach Zielsetzung können Honeypots in Produktions- und Forschungs-Honeypots unterteilt werden. Erstere haben eine begrenzte Informationserfassung und dienen vor allem der Sicherheit eines Unternehmen, letztere sind komplexer und finden ihren Einsatz in Forschungs-, Verwaltungs- und Militäreinrichtungen.

Serverseitiges Honeypotting:
  • Honeypot simuliert eine Serveranwendung (z. B. einen Webserver)
  • Angreifer werden in diesen isolierten Bereich gelockt
  • Sobald Einbruch versucht wird, zeichnet Honeypot Aktivitäten auf, meldet Vorgang oder startet Gegenmaßnahmen
  • Nutzung der gesammelten Informationen zur effektiveren Sicherung des Computersystems
Clientseitiges Honeypotting:
  • Imitation einer Anwendungssoftware, die unsichere Websites aufruft
  • Angriffe auf Browser werden protokolliert
  • Nutzung der Informationen zur Verbesserung der Software und Verminderung von Sicherheitsrisiken
  • erfassen und analysieren multidimensionale Informationen
  • Organisationen wie das Honeypot-Netzwerk "Project Honey Pot" nutzen sie zur Sammlung von Daten (z.B. IP-Adressen)
  • steigern Wissen, welche Vorgehensweise und Werkzeuge Angreifer momentan nutzen
  • Erkenntnisse aus der Forschung werden für die Allgemeinheit veröffentlicht

Welche Chancen und Risiken gibt es?

  • Sammlung, Protokolle und Analyse von Daten
  • Zusätzliche Kontrollfunktion zum Intrusion Detection System (=Angriffserkennungssystem) und zur Firewall
  • Verwendung zur Überwachung der Wirksamkeit der Sicherheitssysteme = Qualitätssicherung
  • bei ordentlicher Überwachung von Honeypots gibt es keine Falschmeldungen
  • Sicherheitssysteme können von hohem Datenverkehr überfordert sein, das führt zu Verlust von Datenpaketen
  • Wenn Honeypot nicht gefunden wird, verfehlt er Sinn
  • Gefahr, dass ein Einbruch auf Honeypot erfolgreich ist und dieser für weitere Angriffe gegen das Netzwerk genutzt wird
  • Keine Gesetzesregelung, Anwendung von Honeypots könnte je nach Applikation Straftat darstellen (Beihilfe zum Einbruch)

Honeypotting in der Praxis

Bei Unternehmen wie der Telekom

Die Telekom hat im April 3.000 Honeypot-Fallen aufgestellt. Diese haben in der Spitze bereits 46 Mio., im Schnitt 31 Mio. Angriffe pro Tag verzeichnet. Dirk Backofen, Leiter Telekom Security: „Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten. Dafür teilen wir unser Wissen für eine Immunisierung der Gesellschaft gegen Cyber-Attacken.“

In der Strafverfolgung

Strafermittlern nutzen Honeypotting, um Kriminelle bei der Suche nach illegalen Inhalten zu ertappen.  Das Bundeskriminalamt betrieb zum Beispiel auf der eigenen Website eine Unterseite mit Informationen zur linksterroristischen Vereinigung „Millitante Gruppe“ und das FBI implementierte Links in Internetforen, die suggerierten, auf kinderpornografische Inhalte zu verweisen. Die Aufrufer wurden anschließend strafrechtlich verfolgt.

Interesse an weiteren Infos zu Honeypots?

Hier gibt es ausführliches Fachwissen zu den Arten und der Verwendung von Honeypots:

Ihre Ansprechpartner

Projektleiter: /scouts: Prof. Dr. Christian Dietrich

Prof. Dr. Christian Dietrich

Projektleiter

Projektmitarbeiter: /scouts: Thorsten Platzek

Thorsten Platzek

Projektmitarbeiter

zurück

Kontakt zu connect.emscherlippe

Projektkoordinator connect.emscherlippe
Martin Spiecker
Westfälische Hochschule
Neidenburger Str. 43
45897 Gelsenkirchen

Logo vom Verbdungsprojekt connect emscherlippe
Logo - We are part of Smart Region Emscher-Lippe

Gefördert vom Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen

Logo Fördermittelgeber: Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen
Logo: Westfälische Hochschule Gelsenkirchen Bocholt Recklinghausen