Honeypot: Klebefalle für Hacker

Der 7. Dezember ist der offizielle „Tag des Honigs“. Für uns einmal Anlass, um über den Einsatz von „Honigtöpfen“ bei der Virenbekämpfung zu schreiben. Doch was hat Honig und IT-Sicherheit gemeinsam?

Cyberkriminelle sind neugierig und immer auf der Suche nach offenen IT-Systemen und IT-Netzen. Diese Angewohnheit nutzte Lance Spitzner mit ein paar Kollegen im Jahr 1999 aus, um mehr über die Angreifer zu erfahren und sie nach Möglichkeit auch aufzuhalten. Er stellte einen Server ins Internet, der aussah, als gehörte er zu einem aktiven Firmennetz. In Wirklichkeit war der Computer strikt abgeschottet und jede Aktivität wurde genau überwacht. Die Hacker ließen nicht lange auf sich warten und offenbarten unter dem Brennglas der Forscher ihre Interessen und Vorgehensweisen – der Honeypot, ein leckerer Topf voller Honig, um Bären oder, in diesem Fall Hacker, anzulocken, war geboren.

Inzwischen gibt es nicht nur Honeypots, sondern auch Honeynets, mehr oder weniger komplexe Gebilde aus Servern, Diensten und Netzverbindungen, um die Angreifer noch länger zu beschäftigen und aufzuhalten. Dabei unterscheidet man zwischen zwei Spielarten, dem Forschungs- und dem Produktionstyp. Beim Forschungs-Honeypot geht es um die Analyse. Die Betreiber versuchen möglichst viel über die Angreifer herauszufinden. Das kann wertvolle Hinweise zum Schutz tatsächlicher Firmennetze liefern, neue Angriffstools beispielsweise oder Informationen über immer gleiche Vorgehensweisen bei den Hackern. Eine Anordnung aus vielen Forschungs-Honeypots und den entsprechenden Analysesystemen nennt man Honeyfarm.

Ein Produktions-Honeypot hingegen richtet sich direkt gegen die Angreifer. Er wird parallel zu „echten“ Netzen und Servern installiert, ist leichter zugänglich als diese und soll die Aufmerksamkeit der Angreifer auf sich ziehen. Administratoren und IT-Sicherheitsbeauftragte bekommen eine Frühwarnung sobald ein Angriff im Gang ist und können ihre unternehmenswichtigen Systeme schützen oder die Verteidigungsmaßnahmen schärfer stellen. Solche Honeypots sind oft Bestandteil eines übergeordneten Intrusion Detection Systems (IDS).

Für Endanwender sind solche Maßnahmen wenig sinnvoll, auch wenn beispielsweise mit honeyd eine Open-Source Software zur Verfügung steht. Die Taktik erfordert sehr viel Aufwand und kann schnell zu einer Bedrohung werden, wenn der Angreifer es schafft, aus dem isolierten Bereich auszubrechen. Indirekt profitiert aber jeder Nutzer einer aktuellen Antivirussoftware von den Daten, die durch Honeynets und Honeypots gewonnen werden: Durch ihre Hilfe kennen die Schutzprogramme jederzeit die neuesten Tricks und Tools der Angreifer und schützen den eigenen PC vor Attacken und Schadsoftware.