Was ist ein Honeypot? 🤔

Ein Honeypot (deutsch: Honigtopf) ist ein gezielt eingerichtetes Täuschungssystem in der IT-Sicherheit. Es handelt sich um eine Ressource (z.B. ein Computersystem, eine Anwendung, ein Netzwerkdienst oder ein Datensatz), die absichtlich so gestaltet ist, dass sie für potenzielle Angreifer attraktiv wirkt und diese anlocken soll. Der Honeypot imitiert ein legitimes Ziel, hat jedoch keinen echten produktiven Wert oder autorisierte Nutzer. Sein einziger Zweck besteht darin, angegriffen oder kompromittiert zu werden.

Durch die Überwachung aller Interaktionen mit dem Honeypot können Sicherheitsexpert*innen wertvolle Informationen über Angreifer sammeln: ihre Methoden, die verwendeten Werkzeuge, die ausgenutzten Schwachstellen und möglicherweise ihre Herkunft. Honeypots können auch dazu dienen, Angreifer von den eigentlichen, wertvollen Produktionssystemen abzulenken und ihre Ressourcen zu binden. Entscheidend ist, dass Honeypots sorgfältig vom produktiven Netzwerk isoliert werden, um zu verhindern, dass ein erfolgreicher Angriff auf den Honeypot auf reale Systeme übergreift.

Arten von Honeypots (Interaktionsgrad)

Honeypots werden häufig nach dem Grad der Interaktion klassifiziert, den sie einem Angreifer ermöglichen:

• Low-Interaction Honeypots: Diese simulieren nur grundlegende Dienste und Protokolle (z.B. offene Ports für SSH, Telnet, HTTP, FTP) oder geben einfache, erwartete Antworten, ohne jedoch ein vollständiges Betriebssystem oder eine komplexe Anwendung bereitzustellen. Sie sind relativ einfach einzurichten und zu verwalten und bergen ein geringeres Risiko. Allerdings sammeln sie nur begrenzte Informationen, meist über die erste Kontaktaufnahme (Scans, Verbindungsversuche, einfache Malware-Verbreitungsversuche). Sie eignen sich gut zur Erkennung von automatisierten Angriffen durch Würmer oder Botnetze und zur Sammlung von IP-Adressen von Angreifern.
• High-Interaction Honeypots: Diese bieten eine wesentlich realistischere und interaktivere Umgebung. Oft laufen hier echte (aber sorgfältig isolierte und überwachte) Betriebssysteme und Anwendungen, möglicherweise sogar mit scheinbar echten Benutzerdaten. Angreifer können tief mit dem System interagieren, Befehle ausführen, Werkzeuge hochladen und versuchen, sich weiter im (simulierten) Netzwerk auszubreiten. Solche Honeypots liefern sehr detaillierte Informationen über komplexe Angriffe und die Taktiken, Techniken und Prozeduren (TTPs) der Angreifer. Ihr Betrieb ist jedoch deutlich komplexer, ressourcenintensiver und riskanter, da eine Kompromittierung und ein Ausbruch aus der isolierten Umgebung unbedingt verhindert werden müssen.

Zwischen diesen beiden Extremen gibt es auch Medium-Interaction Honeypots, die mehr Funktionalität als Low-Interaction-Systeme emulieren, aber nicht die volle Komplexität von High-Interaction-Systemen aufweisen. Ein Verbund mehrerer Honeypots wird als Honeynet bezeichnet.

Ziele und Einsatzzwecke

Der Einsatz von Honeypots dient verschiedenen Zielen im Bereich der Cybersicherheit:

• Gewinnung von Threat Intelligence: Sammeln von Informationen über aktuelle Angriffsmethoden, neue Malware-Varianten, ausgenutzte Schwachstellen, verwendete Angriffswerkzeuge und die Vorgehensweisen (TTPs) von Angreifern.
• Malware-Analyse: Automatisiertes oder manuelles Sammeln von Malware-Samples in einer kontrollierten Umgebung (Sandbox) zur späteren Untersuchung.
• Angriffserkennung (Intrusion Detection): Da Honeypots keinen legitimen Traffic haben sollten, ist jede Interaktion ein potenzieller Hinweis auf einen Angriffsversuch im Netzwerk. Sie können als Frühwarnsystem dienen.
• Ablenkung und Täuschung (Deception): Angreifer auf die wertlosen Honeypots lenken und sie so von den eigentlichen Produktionssystemen fernhalten.
• Forschung: Einsatz in der akademischen oder kommerziellen Sicherheitsforschung, um Angriffstrends und Angreiferverhalten zu studieren.
• Identifikation von Spammern: Spezielle Honeypots wie ungenutzte E-Mail-Adressen können helfen, Spammer und ihre Techniken zu identifizieren (Spam-Traps).

Vorteile und Risiken

Honeypots bieten spezifische Vorteile, bergen aber auch Risiken:

Vorteile:

• Sammeln von realen Angriffsdaten, die für die Verbesserung der eigenen Verteidigung genutzt werden können.
• Sehr geringe False-Positive-Rate bei Alarmen, da legitime Interaktionen ausgeschlossen sind.
• Potenzial als Frühwarnsystem für neue oder gezielte Angriffe.
• Möglichkeit, Angreifer abzulenken und deren Ressourcen zu binden.

Risiken und Nachteile:

• Komplexität und Aufwand: Einrichtung, Wartung und vor allem die sichere Überwachung (insbesondere bei High-Interaction) können sehr aufwendig sein.
• Risiko der Kompromittierung: Ein schlecht konfigurierter oder übersehener Honeypot kann von Angreifern übernommen und selbst als Plattform für weitere Angriffe (z.B. DDoS, Spam-Versand) missbraucht werden. Absolute Priorität hat die sichere Isolation.
• Rechtliche und ethische Bedenken: Das gezielte Anlocken von Angreifern und das Mitschneiden ihrer Aktivitäten kann rechtliche Fragen aufwerfen (z.B. im Hinblick auf Datenschutzgesetze wie die DSGVO oder den Vorwurf der "Falle"/Anstiftung).
• Aufmerksamkeit: Ein Honeypot kann mehr Angriffsversuche anziehen, als man vielleicht bearbeiten kann oder möchte.
• Begrenzte Sicht: Erfasst nur Angriffe, die direkt auf ihn zielen, und gibt kein vollständiges Bild aller Bedrohungen für das gesamte Netzwerk.