H wie Honeypot

In unserem Azubi-Blog erklären wir jede Woche einen Begriff aus dem ABC der IT-Security. Heute: H wie Honeypot.

Was ist ein Honeypot? Ins Deutsche übersetzt heißt es Honigtopf. Ein Honeypot ist ein Computersystem, das bewusst Angriffe anlocken soll. Der Angreifer soll bildlich gesehen am Honigtopf kleben bleiben. Nur warum macht man sowas überhaupt? So kann man etwas über die Angriffe erlernen, um sich besser zu schützen. Außerdem kann man so Hacker von anderen wichtigen Systemen ablenken oder ihnen sogar eine Falle stellen. Das Ziel des Honeypot ist also, die komplette Aufmerksamkeit auf sich zu ziehen und so den Angreifer in die Irre zu führen.

Wie funktioniert das Ganze? Von außen betrachtet stellt der Honeypot dem Angreifer ein interessantes System dar, was unter Umständen wissentlich mit Sicherheitslücken versehen ist, sodass der Hacker anbeißen möchte. Ein Honeypot ist von den produktiven IT-Systemen isoliert, damit durch das Eindringen eines Angreifers kein Schaden entstehen kann. Mithilfe der auf einem Honeypot analysierten Angriffe und daraus gewonnenen Erkenntnisse lassen sich die produktiven Systeme besser schützen. Damit ein Honeypot für den Angreifer möglichst real wirkt und für Angriffe attraktiv ist, sind echte Services und Anwendungen oder Fake-Daten auf dem System hinterlegt. Aufgrund dessen, dass diese Daten nicht von realen Benutzern verwendet werden, ist davon auszugehen, dass jede Kontaktaufnahme mit den Services oder jede Nutzung der Anwendungen mit hoher Wahrscheinlichkeit missbräuchlichen Hintergrund hat.

Wie wird es umgesetzt? Ein virtueller Honeypot ist auf einem einzigen Server zu realisieren, der sich nach außen wie ein komplettes Netzwerk verhalten kann. Dadurch benötigt man für die Simulation eines angreifbaren Netzes nur einen Sever und nicht mehrere Systeme. Die Dienste des Servers werden anschließend veröffentlicht. Wichtig ist hierbei, dass der Schein eines Produktivsystems gewahrt wird.