Honeypot

Was ist ein Honeypot?
Ein Honeypot ist ein absichtlich exponiertes IT-System oder eine Anwendung, das potenzielle Angreifer anlocken soll, um deren Verhalten zu beobachten, Exploits zu analysieren und Angriffsmuster frühzeitig zu erkennen. Im Gegensatz zu produktiven Systemen sind Honeypots isoliert und speziell konfiguriert, um keine kritischen Unternehmensdaten zu enthalten, sondern ausschließlich als Köder zu dienen. Ziel ist es, die Verteidigungsstrategie durch reale Angriffserkenntnisse zu stärken und neue Schwachstellen zu identifizieren, bevor sie produktive Systeme betreffen.

Technischer Aufbau & Varianten

Honeypots variieren in Komplexität und Interaktionsgrad:

• Low-Interaction-Honeypots:
  Simulieren eingeschränkte Dienste (z. B. ein Fake-SSH oder Webserver), minimaler Risiko- und Analyseumfang.

• High-Interaction-Honeypots:
  Voll funktionsfähige Systeme (z. B. reale Betriebssysteme mit Web-, Mail- oder Datenbankdiensten), erfordern starke Isolation (z. B. durch Virtualisierung) und kontinuierliches Monitoring.

• Honeynets:
  Netzwerke mehrerer Honeypots, die realistische IT-Umgebungen nachbilden (z. B. Produktionsnetz mit verschiedenen Segmenten).

Typische Komponenten:

• Logging & Alerting (z. B. mit ELK, Splunk)

• Netzwerküberwachung (z. B. Zeek, Wireshark)

• Malware-Capture-Mechanismen

• Isolierte Sandbox-Umgebungen

Relevanz in der Praxis

Honeypots liefern:

• Frühzeitige Erkennung neuer Angriffstechniken und Exploits

• Verhaltensanalyse automatisierter Angreifer (Bots, Würmer)

• Einsicht in Command-and-Control-Kommunikation

• Informationsgewinn zur Verbesserung von Intrusion Detection Systemen (IDS) und Threat Intelligence

Unternehmen nutzen Honeypots auch als Ablenkungsmaßnahme („Deception Technology“), um Angreifer vom produktiven System wegzulenken.

Standards & regulatorische Anforderungen

Es gibt keine verpflichtenden Standards für Honeypots, jedoch empfiehlt sich:

• Einsatz im Rahmen einer Security Monitoring Strategie

• Integration mit SIEM-Systemen

• Einhaltung von Datenschutzregelungen (z. B. bei Erhebung von IP-Adressen)

Verwandte Begriffe

• Intrusion Detection System (IDS)

• Malware

• Exploit

• Digitale Forensik

• Incident Response

Beispiel aus der Praxis

Ein mittelständisches Produktionsunternehmen installierte einen High-Interaction-Honeypot mit einem öffentlich erreichbaren Fake-Webserver. Innerhalb von 48 Stunden wurden mehr als 1.500 Verbindungsversuche verzeichnet, darunter ein SSH-Brute-Force-Versuch aus einem bekannten Botnetz. Die Analyse des Traffics führte zur automatischen Signaturgenerierung für die Unternehmensfirewall und half, zukünftige Angriffe präventiv zu blockieren.