slider

Honeypot - Prof. Dr. Norbert Pohlmann

Honeypot

Honeypot - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Ein Honeypot ist ein Cyber-Sicherheitsmechanismus, mit dem gezielt Angreifer angelockt werden sollen. Er lässt sich einsetzen, um den Angreifer in die Irre zu führen oder dessen Tätigkeit zu analysieren. Das kann bedeuten, ihn vom eigentlichen Angriffsziel abzulenken oder seine Angriffsmethoden / Angriffsvektoren auf den Honeypot zu protokollieren und zu analysieren oder ihn während des Angriffes zu identifizieren.
Ein Honeypot simuliert ein IT-System (Server, PC, Notebook, Smartphone, IoT-Gerät, …) mit den entsprechenden Anwendungen, das scheinbar „Informationen“ oder/und „wertvolle Ressourcen“ für Angreifer enthält. Der Honeypot ist von den produktiven IT-Systemen und Netzwerken der eigenen Organisation isoliert, so dass durch das Eindringen eines Angreifers auf diesen keine Schäden entstehen können.
Dabei hilft ein Honeypot-System zu verstehen, welche Arten von Angriffen aktuell umgesetzt werden (Malware, Exploits, Angriffsstrategien, …). Mit den daraus gewonnenen Erkenntnissen lassen sich die eigenen produktiven IT-Systeme und Netzwerke schützen.

Generierung von sicherheitsrelevanten Informationen (Angriffsvektoren)
Alle Interaktionen mit Honeypots als „Fake-Services“ sind Angriffsmechanismen, die der Angreifer auch auf einem echten IT-System durchgeführt hätte. Obwohl keine realen Angriffe gemessen werden, sondern nur Angriffe auf einem „Fake-Service“ zeigen jedoch die Informationen, die dabei gewonnen werden, in der Regel ein gutes Angriffspotenzial auf und sind daher sehr hilfreich.

Unterschiedliche Honeypot-Lösungen
Je nach der notwendigen Interaktion des betreibenden Cyber-Sicherheitsexperten werden bei Honeypot „Low-Interaktion = Emulation“-Lösungen und „High-Interaktion = Full-Service-Stack“-Lösungen unterschieden. Honeypot ist ein passives Messverfahren. Die Organisation verwendet zum Beispiel nicht genutzte öffentliche IP-Adressen, um Honeypots im Internet zu betreiben. Mehrere Honeypots lassen sich zu einem Honeynet verbinden.

Vor- und Nachteile beim Einsatz von Honeypots oder Honeynets
Vorteile von Honeypots oder Honeynets:

  • Ablenkung der Angreifer von echten Zielen der zu schützenden Organisation
  • Sammlung von sicherheitsrelevanten Informationen über verschiedene Angriffsmethoden / Angriffsvektoren, die genutzt werden können, um sich besser zu schützen
  • weiterverwendbare IT-Sicherheitserkenntnisse durch die Analyse aller Aktivitäten
  • Rückverfolgung von Angreifern, um reale Angriffe zu vermeiden

Potenzielle Nachteile von Honeypots und Honeynets:

  • Gefahr für produktive IT-Systeme durch mangelnde Isolation des Honeypots
  • großer Aufwand bei der Installation, Wartung und Überwachung des Honeypot-Systems sowie der Analyse und Auswertung der Angriffe
  • Honeypots und Honeynets können Hacker anlocken, die anschließend versuchen die produktiven IT-Systeme anzugreifen
  • Angreifer sind in der Lage, Honeypots zu erkennen


Weitere Informationen zum Begriff “Honeypot”:

Vorlesung: “Cyber-Sicherheit Frühwarn- und Lagebildsysteme”

Informationen über das Lehrbuch: „Lehrbuch Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Honeypot - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Honeypot Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten