Was ist ein Honeypot?

Ähnlich wie Bären für Honig schwärmen, läuft Hackern beim Anblick eines un­zu­rei­chend ge­si­cher­ten Servers das Wasser im Mund zusammen. Für beides hat sich das Sinnbild des Ho­nig­topfs etabliert. Als Honeypot wird in der Com­pu­ter­ter­mi­no­lo­gie ein Si­cher­heits­me­cha­nis­mus be­zeich­net, mit dem Ad­mi­nis­tra­to­ren Hacker täuschen und Cy­ber­at­ta­cken ins Leere laufen lassen. Ein solcher Honigtopf simuliert Netz­werk­diens­te oder An­wen­dungs­pro­gram­me, um Angreifer an­zu­lo­cken und das Pro­duk­tiv­sys­tem vor Schäden zu schützen. In der Praxis bedienen sich Nutzer ser­ver­sei­ti­ger und cli­ent­sei­ti­ger Tech­no­lo­gien, um Honeypots ein­zu­rich­ten.

• Ser­ver­sei­ti­ges Ho­ney­po­tting: Die Grundidee eines ser­ver­sei­ti­gen Honeypots ist es, Angreifer in isolierte Bereiche eines IT-Systems zu locken und so von kri­ti­schen Netz­werk­kom­po­nen­ten fern­zu­hal­ten. Darüber hinaus bieten Honeypots die Mög­lich­keit, das Vorgehen von An­grei­fern zu tracken. Dazu simuliert ein einfacher Honeypot eine Ser­ver­an­wen­dung, die einen oder mehrere Dienste im Netzwerk be­reit­stellt – bei­spiels­wei­se einen Webserver. Lässt sich ein Angreifer durch das Ab­lenk­ma­nö­ver täuschen und startet einen Ein­bruchs­ver­such, zeichnet der Honeypot sämtliche Ak­ti­vi­tä­ten auf, schlägt Alarm oder leitet Ge­gen­maß­nah­men ein. Im besten Fall liefert ein solcher Server-Honeypot In­for­ma­tio­nen darüber, wie au­to­ma­ti­sier­te oder manuelle Angriffe von­stat­ten­ge­hen. Ad­mi­nis­tra­to­ren gewinnen auf diese Weise Daten, die Ihnen er­mög­li­chen, das Pro­duk­tiv­sys­tem zukünftig besser gegen Angriffe ab­zu­si­chern.

• Cli­ent­sei­ti­ges Ho­ney­po­tting: Ein cli­ent­sei­ti­ger Honeypot imitiert eine An­wen­dungs­soft­ware, die Ser­ver­diens­te in Anspruch nimmt. Das Pa­ra­de­bei­spiel ist die Si­mu­la­ti­on eines Browsers, der gezielt unsichere Webseiten besucht, um Daten über Si­cher­heits­ri­si­ken zu sammeln. Kommt es auf einer dieser Seiten zu einem Angriff auf den Browser oder Browser-Plug-ins, wird der Vorgang pro­to­kol­liert. Eine Aus­wer­tung der er­mit­tel­ten Daten dient im Nach­hin­ein der Ver­bes­se­rung der si­mu­lier­ten Software.

For­schungs­ein­rich­tun­gen, Behörden und das Militär nutzen so­ge­nann­te Research-Honeypots, um In­for­ma­tio­nen über neue An­griffs­mus­ter zu sammeln und diese in auf­be­rei­te­ter Form der Internet-Community zur Verfügung zu stellen. In Un­ter­neh­men werden Si­cher­heits­me­cha­nis­men dieser Art in erster Linie zum Schutz des Fir­men­netz­werks ein­ge­setzt. Dazu in­stal­lie­ren Ad­mi­nis­tra­to­ren so­ge­nann­te Pro­duc­tion-Honeypots in Netz­werk­be­rei­chen, die im Nor­mal­be­trieb nicht an­ge­spro­chen werden und weder Mit­ar­bei­tern noch Kunden Dienste zur Verfügung stellen. Ziel ist es, Angreifer, die das Netzwerk nach Schwach­stel­len durch­su­chen, durch fingierte Si­cher­heits­lü­cken in un­be­denk­li­che Bereiche zu locken. Jeder Zugriff auf ein solches, nor­ma­ler­wei­se un­ge­nutz­tes System wird als Angriff gewertet, überwacht und ana­ly­siert.

Werden mehrere Ho­nig­töp­fe zu­sam­men­ge­schlos­sen, um ein kom­plet­tes Netzwerk zu si­mu­lie­ren und Hackern ein besonders at­trak­ti­ves An­griffs­ziel zu bieten, spricht man von einem so­ge­nann­ten Honeynet.

Um einen Honeypot ein­zu­rich­ten, stehen Ad­mi­nis­tra­to­ren grund­sätz­lich zwei Mög­lich­kei­ten zur Auswahl: Entweder wird der Honeypot als phy­si­sches System rea­li­siert oder auf Basis von Vir­tua­li­sie­rungs-Software im­ple­men­tiert.

• Phy­si­scher Honeypot: Bei einem phy­si­schen Honeypot handelt es sich um einen ei­gen­stän­di­gen Rechner, der mit eigener Adresse in ein Netzwerk ein­ge­bun­den wird.

• Vir­tu­el­ler Honeypot: Ein vir­tu­el­ler Honeypot ist ein logisches System, dass durch eine Vir­tua­li­sie­rungs-Software Res­sour­cen eines phy­si­schen Rechners zugeteilt bekommt.

In beiden Fällen ist der Honeypot isoliert. Einem Angreifer darf es nicht möglich sein, vom Ab­lenk­sys­tem auf das Pro­duk­tiv­sys­tem zu­zu­grei­fen.

Ziel des Honeypots ist es, un­ent­deckt zu bleiben. Je länger sich ein Angreifer täuschen lässt, desto mehr In­for­ma­tio­nen kann das System über dessen Strategie und Methoden sammeln. Eines der wich­tigs­ten Kriterien zur Klas­si­fi­zie­rung von Honeypots ist daher der Grad der In­ter­ak­ti­vi­tät mit dem Angreifer. Man un­ter­schei­det in diesem Zu­sam­men­hang sowohl ser­ver­sei­tig als auch cli­ent­sei­tig zwischen Low-In­ter­ac­tion-Honeypots und High-In­ter­ac­tion-Honeypots.

• Low-In­ter­ac­tion-Honeypots: Honeypots mit einem geringen Grad an In­ter­ak­ti­vi­tät basieren im We­sent­li­chen auf der Nach­ah­mung realer Systeme oder An­wen­dun­gen. Dabei werden Dienste und Funk­tio­nen in der Regel nur soweit simuliert, dass ein Angriff möglich ist.

• High-In­ter­ac­tion-Honeypots: Bei Honeypots mit einem hohen Grad der In­ter­ak­ti­vi­tät handelt es sich in der Regel um reale Systeme, die Server-Dienste anbieten und daher gut überwacht und ab­ge­si­chert werden müssen. Wird ein High-In­ter­ac­tion-Honeypot nicht aus­rei­chend vom Pro­duk­tivs­tem ab­ge­schirmt, besteht die Gefahr, dass ein Angreifer diesen übernimmt, das zu schüt­zen­de System in­fil­triert oder von diesem ausgehend Angriffe auf andere Server im Netz einleitet.

Bei der ein­fachs­ten Form des Server-Honeypots handelt es sich lediglich um eine einzelne Anwendung, die Netz­werk­diens­te inklusive des Ver­bin­dungs­auf­baus emuliert, sprich nach­bil­det. Da einem Angreifer bei dieser Art des Ho­ney­po­ttings nur begrenzte Mög­lich­kei­ten der In­ter­ak­ti­on geboten werden, ist der In­for­ma­ti­ons­ge­winn durch einen Low-In­ter­ac­tion-Server-Honeypot ver­gleichs­wei­se gering. Server-Honeypots mit geringer In­ter­ak­ti­vi­tät werden von Hackern in der Regel schnell entlarvt. Zum Einsatz kommen Si­cher­heits­me­cha­nis­men dieser Art daher vor allem, um au­to­ma­ti­sier­te Angriffe auf Basis von Schad­soft­ware zu entdecken und zu pro­to­kol­lie­ren. Eine bekannte Open-Source-Lösung, mit der sich ser­ver­sei­ti­ge Low-In­ter­ac­tion-Honeypots ein­rich­ten lassen, ist Honeyd.

• Honeyd: Die unter GPL ver­öf­fent­lich­te Software Honeyd er­mög­licht Ad­mi­nis­tra­to­ren, ver­schie­de­ne virtuelle Hosts in einem Com­pu­ter­netz­werk zu erstellen. Diese Rechner lassen sich so kon­fi­gu­rie­ren, dass sie diverse Ser­ver­ty­pen abbilden, sodass ein gesamtes System inklusive der TCP/IP-Pro­to­koll­sta­pel simuliert werden kann. Dennoch wird die Software zu den Low-In­ter­ac­tion-Honeypots gezählt, da Honeyd nicht alle System-Parameter simuliert, somit wenig In­ter­ak­ti­on bietet und von Hackern schnell durch­schaut werden kann. Die Software zeigt seit 2008 keine sichtbare Wei­ter­ent­wick­lung.

Bei cli­ent­sei­ti­gen Low-In­ter­ac­tion-Honeypots (auch Ho­ney­cli­ents genannt) handelt es sich um Programme, mit denen sich ver­schie­de­ne Browser emulieren lassen. Anwender haben so die Mög­lich­keit, Webseiten zu besuchen und Angriffe auf die si­mu­lier­ten Web­brow­ser auf­zu­zeich­nen. Bekannte Open-Source-Ho­ney­cli­ents mit geringer In­ter­ak­ti­vi­tät sind HoneyC, Monkey-Spider und PhoneyC.

• HoneyC: Der Low-In­ter­ac­tion-Ho­ney­cli­ent HoneyC er­mög­licht es Anwendern, ge­fähr­li­che Server im Internet zu iden­ti­fi­zie­ren. Statt eines voll­funk­ti­ons­fä­hi­gen Be­triebs­sys­tems und einer ent­spre­chen­den Client-Software kommt bei HoneyC ein emu­lier­ter Client zum Einsatz, der Ser­ver­ant­wor­ten auf schäd­li­che Inhalte un­ter­sucht. Im Grund­auf­bau besteht die Software aus drei Kom­po­nen­ten: Die Visitor-Engine ist ver­ant­wort­lich für die In­ter­ak­ti­on mit dem Server und emuliert durch Module diverse Web­brow­ser. Die Queue-Engine erstellt eine Liste von Servern, die von der Visitor-Engine ab­ge­ar­bei­tet wird. Eine Eva­lua­ti­on der In­ter­ak­ti­on mit einem Webserver erfolgt durch die Analyse-Engine, die nach jedem Besuch prüft, ob die Si­cher­heits­re­geln der Software verletzt wurden.
• Monkey-Spider: Bei Monkey-Spider handelt es sich um einen Web­craw­ler, der sich als cli­ent­sei­ti­ger Low-In­ter­ac­tion-Honeypot nutzen lässt. Dazu crawlt die Software Webseiten auf der Suche nach Schadcode, der eine Bedrohung für Web­brow­ser dar­stel­len könnte.
• PhoneyC: PhoneyC ist ein in Python ge­schrie­be­ner Ho­ney­cli­ent, mit dem sich diverse Web­brow­ser imitieren lassen, um Webseiten nach schäd­li­chen Inhalten zu durch­su­chen. Die Software ist in der Lage, Skript­spra­chen wie Ja­va­Script oder VBScript zu ver­ar­bei­ten und un­ter­stützt De-Ob­fus­ka­ti­ons-Funk­tio­nen, um ver­schlei­er­ten Schadcode zu entwirren. Darüber hinaus un­ter­stützt PhoneyC diverse Methoden, um Webseiten zu ana­ly­sie­ren – u. a. die Open-Source-Antivirus-Engine ClamAV.

Ad­mi­nis­tra­to­ren, die ser­ver­sei­ti­ge Ho­nig­töp­fe mit vielen In­ter­ak­ti­ons­mög­lich­kei­ten auf­stel­len möchten, setzen in der Regel auf voll­funk­ti­ons­fä­hi­ge Server, die als Ab­lenk­sys­te­me ein­ge­rich­tet werden. Diese lassen sich entweder auf echter Hardware oder in vir­tu­el­len Um­ge­bun­gen rea­li­sie­ren. Während sich Low-In­ter­ac­tion-Honeypots in erster Linie zur Iden­ti­fi­ka­ti­on und Analyse au­to­ma­ti­scher Angriffe eignen, nehmen High-In­ter­ac­tion-Honeypots manuell aus­ge­führ­te Angriffe ins Visier.

Viel­ver­spre­chend ist ser­ver­sei­ti­ges Ho­ney­po­tting, wenn Hackern ein besonders at­trak­ti­ves An­griffs­ziel mit einem hohen Grad an In­ter­ak­ti­vi­tät geboten wird. Der Aufwand, einen solchen Honeypot ein­zu­rich­ten und zu über­wa­chen, ist jedoch deutlich größer als bei simplen Software-Lösungen, die Ser­ver­funk­tio­nen lediglich imitieren. Kommt ein realer Server als Honeypot zum Einsatz, besteht zudem die Gefahr, dass ein Angreifer das in­fil­trier­te System nach einem er­folg­rei­chen Einbruch als Aus­gangs­punkt für weitere Angriffe auf andere Server im Internet nutzt. Dies kann u. U. auch recht­li­che Kon­se­quen­zen nach sich ziehen, da der Betreiber eines Servers für sämtliche Ak­ti­vi­tä­ten haftet, die von diesem ausgehen.

Um Ha­cker­at­ta­cken auf einem als Honeypot ein­ge­rich­te­ten Server zu über­wa­chen, kommen spezielle Mo­ni­to­ring-Tools wie das frei ver­füg­ba­re Sebek zum Einsatz. Eine High-In­ter­ac­tion-Honeypot-Umgebung lässt sich mit der Software Argos rea­li­sie­ren.

• Sebek: Das Da­ten­er­fas­sungs-Tool Sebek kommt auf hoch­in­ter­ak­ti­ven Honeypots zum Einsatz, um Hacker zu über­wa­chen und Daten zu si­cher­heits­kri­ti­schen Ak­ti­vi­tä­ten zu sammeln. Im Grund­auf­bau besteht die Software aus zwei Kom­po­nen­ten: Der Client läuft auf dem Honeypot und erfasst sämtlich Ha­cker­ak­ti­vi­tä­ten wie Eingaben, Daten-Uploads oder Pass­wör­ter und über­mit­telt diese an einen Pro­to­koll­ser­ver, der auf einem un­ab­hän­gi­gen System laufen kann.

• Argos: Die High-In­ter­ac­tion-Honeypot-Umgebung Argos basiert auf einem mo­di­fi­zier­ten QEMU-Hardware-Emulator. Die Software un­ter­stützt diverse Gast­be­triebs­sys­te­me, die in einer vir­tu­el­len Maschine aus­ge­führt werden und den Honeypot dar­stel­len. Um Angriffe zu erkennen und zu pro­to­kol­lie­ren, kommt Argus ohne zu­sätz­li­che Mo­ni­to­ring-Software aus. Ein­ge­hen­der Da­ten­ver­kehr, der über die Netz­werk­kar­te zum Honeypot gelangt, wird au­to­ma­tisch als „tainted“ (ver­un­rei­nigt) ge­kenn­zeich­net und überwacht. Das Gleiche gilt für Daten, die aus ver­un­rei­nig­ten Daten erzeugt werden. Durch den zu­sätz­li­chen Re­chen­auf­wand für die Emulation des Be­triebs­sys­tems und die Da­ten­ana­ly­se ist Argos deutlich langsamer als Pro­duk­tiv­sys­te­me auf ver­gleich­ba­rer Hardware.

Bei High-In­ter­ac­tion-Client-Honeypots handelt es sich um Software-Lösungen, die auf realen Be­triebs­sys­te­men laufen und reguläre Web­brow­ser nutzen, um Angriffe auf­zu­zeich­nen, die von Servern im Internet ausgehen. Bekannte Tools sind Capture-HPC und mapWOC.

• Capture-HPC: Der High-In­ter­ac­tion-Client-Honeypot Capture-HPC nutzt eine Client-Server-Ar­chi­tek­tur, bei der ein Server die zu be­su­chen­den Websites festlegt und diverse Clients kon­trol­liert. Diese rufen die vor­ge­hal­te­nen Seiten auf und senden Er­geb­nis­da­ten an den Server zurück. Mögliche Clients sind diverse Web­brow­ser, Office-An­wen­dun­gen, PDF-Reader oder Media-Player.
• mapWOC: Auch die freie Software mapWOC (kurz für massive automated passive Web Ob­ser­va­ti­on Center) lädt Webseiten mit realen Browsern. Diese laufen in einer vir­tu­el­len Maschine, deren Da­ten­ver­kehr mit den Clients konstant überwacht wird, um Angriffe wie Drive-by-Downloads auf­zu­zeich­nen und zu ana­ly­sie­ren. Als Grund­kom­po­nen­ten nutzt mapWOC das Host­sys­tem Debian Squeeze, KVM zur Vir­tua­li­sie­rung und ClamAV, um Schad­soft­ware zu un­ter­su­chen. Das Software-Projekt wird vom Bundesamt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) un­ter­stützt.

Ein Honeypot kommt in der Regel als Ergänzung zu anderen IT-Si­cher­heits­kom­po­nen­ten wie dem Intrusion-Detection-System (IDS) und Firewalls zum Einsatz und bietet somit eine zu­sätz­li­che Kon­troll­funk­ti­on. Ein zentraler Vorteil des Ho­ney­po­ttings ist der Gewinn von hoch­re­le­van­ten Daten. Da Honeypots im Nor­mal­be­trieb keine Funktion über­neh­men, stellt jede Aktivität in diesen Kon­troll­sys­te­men einen po­ten­zi­el­len Angriff dar. Sämtliche Daten, die durch Honeypots auf­ge­zeich­net werden, sind somit si­cher­heits­re­le­vant. Werden hingegen Pro­duk­tiv­sys­te­me überwacht, erfordert die Da­ten­ana­ly­se zunächst einen Ar­beits­schritt, bei dem die für den Angriff re­le­van­ten Daten aus der Ge­samt­da­ten­men­ge aus­ge­fil­tert werden.

Zu bedenken ist jedoch, dass nicht jeder Honeypot ver­wert­ba­re In­for­ma­tio­nen liefert. Ist der Köder zu un­at­trak­tiv oder nur schwer er­reich­bar, finden mög­li­cher­wei­se keine Angriffe statt und die fi­nan­zi­el­len und per­so­nel­len In­ves­ti­tio­nen für die Be­reit­stel­lung des Si­cher­heits­sys­tems laufen ins Leere.

Den möglichen Da­ten­ge­winn durch Honeypots erkaufen sich Un­ter­neh­men zudem durch ein zu­sätz­li­ches Risiko. Da Ab­lenk­sys­te­me Hacker gezielt ködern, besteht die Gefahr, dass diese bei einem Einbruch in den Honeypot weitere Schäden im Netzwerk anrichten. Re­du­zie­ren lässt sich dieses Risiko durch eine größt­mög­li­che Trennung von Honeypots und Pro­duk­tiv­sys­te­men und einer per­ma­nen­ten Über­wa­chung aller Ak­ti­vi­tä­ten in den Kö­der­sys­te­men. Wichtig ist zudem die Scha­dens­be­gren­zung nach außen. Um zu ver­hin­dern, dass Honeypots als Aus­gangs­punk­te für Ha­cker­an­grif­fe auf andere Systeme miss­braucht werden, sollten aus­ge­hen­de Ver­bin­dun­gen auf ein Minimum reduziert werden.

Wird ein ser­ver­sei­ti­ger High-In­ter­ac­tion-Honeypot mit den gleichen Si­cher­heits­sys­te­men wie das Pro­duk­tiv­sys­tem aus­ge­stat­tet, lässt sich dieser zur Qua­li­täts­si­cher­heit einsetzen. In diesem Fall erlauben die auf­ge­zeich­ne­ten Daten einen direkten Rück­schluss auf die Wirk­sam­keit des Si­cher­heits­sys­tems. Wird ein Einbruch im Honeypot re­gis­triert, sollte überprüft werden, ob auch das Pro­duk­tiv­sys­tem in­fil­triert wurde. Zudem müssen beide Systeme angepasst werden, um zu­künf­ti­ge Angriffe nach dem gleichen Muster abwehren zu können.

Auch Straf­er­mitt­ler haben sich in der Ver­gan­gen­heit dem Prinzip des Ho­ney­po­ttings bedient, um Kri­mi­nel­le bei der Suche nach illegalen Inhalten zu ertappen. Zudem wird dis­ku­tiert, ob Rech­te­inha­ber Honeypots nutzen dürfen, um gegen die Ver­brei­tung ur­he­ber­recht­lich ge­schütz­ter Inhalte vor­zu­ge­hen. Einem CNet-Bericht zufolge soll das FBI im Jahr 2006 Links in In­ter­net­fo­ren platziert haben, die sug­ge­rier­ten, auf kin­der­por­no­gra­fi­sche Inhalte zu verweisen. US-Bürger, die diese Links aufriefen, bekamen kurze Zeit später Besuch von den Straf­ver­fol­gern. Im Jahr 2007 wurde bekannt, dass das Bun­des­kri­mi­nal­amt auf der eigenen Website eine Un­ter­sei­te mit In­for­ma­tio­nen zur links­ter­ro­ris­ti­schen Ver­ei­ni­gung „Mil­li­tan­te Gruppe“ betrieb, um zu re­gis­trie­ren, wer sich für das Thema in­ter­es­siert. Dem Ta­ges­spie­gel zufolge zeichnete die Behörde seit September 2004 die IP-Adressen sämt­li­cher Besucher der Website auf und be­an­trag­te bei aus­ge­wähl­ten IP-Adressen die Iden­ti­fi­zie­rung der In­ter­net­nut­zer beim je­wei­li­gen Provider. Ein möglicher Einsatz von Honeypots wurde von der In­ter­net­ge­mein­de auch im Zu­sam­men­hang mit den Er­mitt­lun­gen gegen Movie-Streaming- und File-Sharing-Platt­for­men wie Kinox.to dis­ku­tiert. Da einige dieser Seiten aus dem Netz genommen wurden, andere jedoch weiterhin online waren, wurde vermutet, dass Rech­te­inha­ber oder Straf­ver­fol­ger diese als Honeypots nutzen könnten. In Deutsch­land hätte ein solches Vorgehen jedoch keine recht­li­che Grundlage. Es wäre sogar zu klären, ob das Betreiben eines Honeypots, der illegale oder ur­he­ber­recht­lich ge­schütz­te Inhalte anbietet, eine rechts­staats­wid­ri­ge Tat­pro­vo­ka­ti­on darstellt.