Die Verwendung von einem HoneyPot kann die IT-Sicherheit eines Unternehmens stark verbessern. Jedoch ergibt sich ein hohes Risiko, wenn dieser HoneyPot nicht richtig konfiguriert ist. Wir haben uns sowohl die Vor- als auch die Nachteile angeschaut und generell betrachtet, was ein HoneyPot eigentlich macht.
Angreifer bleiben am Honig-Topf kleben
Der Begriff HoneyPot soll bildlich ein attraktives Objekt darstellen, an dem der Angreifer kleben bleibt. Genau dieses attraktive Objekt wird als HoneyPot bezeichnet, es kann aus diversen Dingen bestehen, bspw. einem Computer, einer Datenbank oder physisch betrachtet eine Tür. Das Ziel ist bei allen Typen gleich und zwar soll ein Angreifer dazu verleitet werden, dieses attraktive Objekt anzugreifen.
Um den Fokus des Angreifers auf das Objekt zu lenken, werden absichtlich Softwareversionen oder Hardware-Komponenten verwendet, die Sicherheitslücken beinhalten. Der Angreifer erkennt schnell, dass ein scheinbar verwundbares Ziel in dem Unternehmen vorhanden ist und versucht, die Sicherheitslücken auszunutzen. Im physischen Kontext könnte dieses verwundbare Ziel ein gekipptes Fenster sein. Möchte sich ein Einbrecher Zutritt zu einem Gebäude verschaffen, wird dieser eher das gekippte Fenster anvisieren als den gut bewachten Haupteingang.
Das Unternehmen bzw. der Besitzer des HoneyPots möchte nun Vorteile daraus ziehen, dass der mögliche Angriffspunkt der Angreifer bekannt ist. Häufig werden Alarmsysteme installiert, die jede fremde Verbindung sofort melden und jede Aktivität mitschneiden. Hierdurch können Angriffsmuster oder sogar direkte Angreifer erkannt werden und in Zukunft können die echten Systeme besser geschützt werden.
In diesem kurzen Video wird sehr gut erklärt, wie ein HoneyPot in einem Unternehmens-Netzwerk aufgebaut sein kann. Das Video ist auf Englisch verfügbar, kann jedoch mit Hilfe der Untertitel auch in Deutsch verstanden werden:
https://www.youtube.com/watch?v=c1UnNw_feQs
Vor- und Nachteile durch die Verwendung eines HoneyPot
Die Verwendung eines HoneyPots hat nicht nur Vorteile, denn bei einer falschen Verwendung oder Konfiguration kann eine extrem große Gefahr entstehen. Die Vorteile wurden zu einem großen Teil bereits erwähnt und lassen sich auf diese drei Punkte zusammenfassen:
- Ablenkung: Ein möglicher Angreifer wird von dem echten Ziel abgelenkt und greift lediglich einen HoneyPot an, der keine sensiblen Daten enthält.
- Informationsgewinn: Durch die mitgeschnittenen Angriffe können neue Angriffsmuster erkannt werden und die wichtigen Systeme können gegen diese geschützt werden.
- Rückverfolgung: Ist der Informationsgewinn sehr hoch, kann die Polizei durch diese Informationen den Angreifer zurückverfolgen und möglicherweise einen Kriminellen festnehmen.
Neben diesen Vorteilen sollte darauf geachtet werden, dass der HoneyPot so funktioniert, wie es gedacht ist. Mögliche Nachteile lauten:
- Isolation: Ist der HoneyPot nicht richtig von den echten Systemen getrennt, bieten wir dem Angreifer ein Einfallstor durch den angreifbaren HoneyPot.
- Aufwand: Ein neues System zu konfigurieren und langfristig zu verwalten ist ein hoher Aufwand. Zudem ist die Analyse der eingehenden Angriffe ein weiterer Arbeitsschritt, der Zeit kostet.
- Anlocken: Angreifer können durch HoneyPots angelockt werden und somit “herausgefordert” werden, die echten Systeme zu attackieren.
Als Fazit können wir sagen, dass ein HoneyPot eine sehr gute Möglichkeit ist, die IT-Sicherheit in dem eigenen Unternehmen zu verbessern. Es ist jedoch wichtig, diesen HoneyPot richtig zu konfigurieren und zu verwalten. Die Gefahr, die von einer Fehlkonfiguration ausgeht, ist sehr hoch, sodass die wirkliche Aufnahme eines HoneyPots detailliert und ausführlich geplant sein sollte.
