Was ist ein Honeypot?

Ähnlich wie Bären für Honig schwärmen, läuft Hackern beim Anblick eines unzureichend gesicherten Servers das Wasser im Mund zusammen. Für beides hat sich das Sinnbild des Honigtopfs etabliert. Als Honeypot wird in der Computerterminologie ein Sicherheitsmechanismus bezeichnet, mit dem Administratoren Hacker täuschen und Cyberattacken ins Leere laufen lassen. Ein solcher Honigtopf simuliert Netzwerkdienste oder Anwendungsprogramme, um Angreifer anzulocken und das Produktivsystem vor Schäden zu schützen. In der Praxis bedienen sich Nutzer serverseitiger und clientseitiger Technologien, um Honeypots einzurichten.

• Serverseitiges Honeypotting: Die Grundidee eines serverseitigen Honeypots ist es, Angreifer in isolierte Bereiche eines IT-Systems zu locken und so von kritischen Netzwerkkomponenten fernzuhalten. Darüber hinaus bieten Honeypots die Möglichkeit, das Vorgehen von Angreifern zu tracken. Dazu simuliert ein einfacher Honeypot eine Serveranwendung, die einen oder mehrere Dienste im Netzwerk bereitstellt – beispielsweise einen Webserver. Lässt sich ein Angreifer durch das Ablenkmanöver täuschen und startet einen Einbruchsversuch, zeichnet der Honeypot sämtliche Aktivitäten auf, schlägt Alarm oder leitet Gegenmaßnahmen ein. Im besten Fall liefert ein solcher Server-Honeypot Informationen darüber, wie automatisierte oder manuelle Angriffe vonstattengehen. Administratoren gewinnen auf diese Weise Daten, die Ihnen ermöglichen, das Produktivsystem zukünftig besser gegen Angriffe abzusichern.

• Clientseitiges Honeypotting: Ein clientseitiger Honeypot imitiert eine Anwendungssoftware, die Serverdienste in Anspruch nimmt. Das Paradebeispiel ist die Simulation eines Browsers, der gezielt unsichere Webseiten besucht, um Daten über Sicherheitsrisiken zu sammeln. Kommt es auf einer dieser Seiten zu einem Angriff auf den Browser oder Browser-Plug-ins, wird der Vorgang protokolliert. Eine Auswertung der ermittelten Daten dient im Nachhinein der Verbesserung der simulierten Software.

Forschungseinrichtungen, Behörden und das Militär nutzen sogenannte Research-Honeypots, um Informationen über neue Angriffsmuster zu sammeln und diese in aufbereiteter Form der Internet-Community zur Verfügung zu stellen. In Unternehmen werden Sicherheitsmechanismen dieser Art in erster Linie zum Schutz des Firmennetzwerks eingesetzt. Dazu installieren Administratoren sogenannte Production-Honeypots in Netzwerkbereichen, die im Normalbetrieb nicht angesprochen werden und weder Mitarbeitern noch Kunden Dienste zur Verfügung stellen. Ziel ist es, Angreifer, die das Netzwerk nach Schwachstellen durchsuchen, durch fingierte Sicherheitslücken in unbedenkliche Bereiche zu locken. Jeder Zugriff auf ein solches, normalerweise ungenutztes System wird als Angriff gewertet, überwacht und analysiert.

Werden mehrere Honigtöpfe zusammengeschlossen, um ein komplettes Netzwerk zu simulieren und Hackern ein besonders attraktives Angriffsziel zu bieten, spricht man von einem sogenannten Honeynet.

Um einen Honeypot einzurichten, stehen Administratoren grundsätzlich zwei Möglichkeiten zur Auswahl: Entweder wird der Honeypot als physisches System realisiert oder auf Basis von Virtualisierungs-Software implementiert.

• Physischer Honeypot: Bei einem physischen Honeypot handelt es sich um einen eigenständigen Rechner, der mit eigener Adresse in ein Netzwerk eingebunden wird.

• Virtueller Honeypot: Ein virtueller Honeypot ist ein logisches System, dass durch eine Virtualisierungs-Software Ressourcen eines physischen Rechners zugeteilt bekommt.

In beiden Fällen ist der Honeypot isoliert. Einem Angreifer darf es nicht möglich sein, vom Ablenksystem auf das Produktivsystem zuzugreifen.

Ziel des Honeypots ist es, unentdeckt zu bleiben. Je länger sich ein Angreifer täuschen lässt, desto mehr Informationen kann das System über dessen Strategie und Methoden sammeln. Eines der wichtigsten Kriterien zur Klassifizierung von Honeypots ist daher der Grad der Interaktivität mit dem Angreifer. Man unterscheidet in diesem Zusammenhang sowohl serverseitig als auch clientseitig zwischen Low-Interaction-Honeypots und High-Interaction-Honeypots.

• Low-Interaction-Honeypots: Honeypots mit einem geringen Grad an Interaktivität basieren im Wesentlichen auf der Nachahmung realer Systeme oder Anwendungen. Dabei werden Dienste und Funktionen in der Regel nur soweit simuliert, dass ein Angriff möglich ist.

• High-Interaction-Honeypots: Bei Honeypots mit einem hohen Grad der Interaktivität handelt es sich in der Regel um reale Systeme, die Server-Dienste anbieten und daher gut überwacht und abgesichert werden müssen. Wird ein High-Interaction-Honeypot nicht ausreichend vom Produktivstem abgeschirmt, besteht die Gefahr, dass ein Angreifer diesen übernimmt, das zu schützende System infiltriert oder von diesem ausgehend Angriffe auf andere Server im Netz einleitet.

Bei der einfachsten Form des Server-Honeypots handelt es sich lediglich um eine einzelne Anwendung, die Netzwerkdienste inklusive des Verbindungsaufbaus emuliert, sprich nachbildet. Da einem Angreifer bei dieser Art des Honeypottings nur begrenzte Möglichkeiten der Interaktion geboten werden, ist der Informationsgewinn durch einen Low-Interaction-Server-Honeypot vergleichsweise gering. Server-Honeypots mit geringer Interaktivität werden von Hackern in der Regel schnell entlarvt. Zum Einsatz kommen Sicherheitsmechanismen dieser Art daher vor allem, um automatisierte Angriffe auf Basis von Schadsoftware zu entdecken und zu protokollieren. Eine bekannte Open-Source-Lösung, mit der sich serverseitige Low-Interaction-Honeypots einrichten lassen, ist Honeyd.

• Honeyd: Die unter GPL veröffentlichte Software Honeyd ermöglicht Administratoren, verschiedene virtuelle Hosts in einem Computernetzwerk zu erstellen. Diese Rechner lassen sich so konfigurieren, dass sie diverse Servertypen abbilden, sodass ein gesamtes System inklusive der TCP/IP-Protokollstapel simuliert werden kann. Dennoch wird die Software zu den Low-Interaction-Honeypots gezählt, da Honeyd nicht alle System-Parameter simuliert, somit wenig Interaktion bietet und von Hackern schnell durchschaut werden kann. Die Software zeigt seit 2008 keine sichtbare Weiterentwicklung.

Bei clientseitigen Low-Interaction-Honeypots (auch Honeyclients genannt) handelt es sich um Programme, mit denen sich verschiedene Browser emulieren lassen. Anwender haben so die Möglichkeit, Webseiten zu besuchen und Angriffe auf die simulierten Webbrowser aufzuzeichnen. Bekannte Open-Source-Honeyclients mit geringer Interaktivität sind HoneyC, Monkey-Spider und PhoneyC.

• HoneyC: Der Low-Interaction-Honeyclient HoneyC ermöglicht es Anwendern, gefährliche Server im Internet zu identifizieren. Statt eines vollfunktionsfähigen Betriebssystems und einer entsprechenden Client-Software kommt bei HoneyC ein emulierter Client zum Einsatz, der Serverantworten auf schädliche Inhalte untersucht. Im Grundaufbau besteht die Software aus drei Komponenten: Die Visitor-Engine ist verantwortlich für die Interaktion mit dem Server und emuliert durch Module diverse Webbrowser. Die Queue-Engine erstellt eine Liste von Servern, die von der Visitor-Engine abgearbeitet wird. Eine Evaluation der Interaktion mit einem Webserver erfolgt durch die Analyse-Engine, die nach jedem Besuch prüft, ob die Sicherheitsregeln der Software verletzt wurden.

• Monkey-Spider: Bei Monkey-Spider handelt es sich um einen Webcrawler, der sich als clientseitiger Low-Interaction-Honeypot nutzen lässt. Dazu crawlt die Software Webseiten auf der Suche nach Schadcode, der eine Bedrohung für Webbrowser darstellen könnte.

• PhoneyC: PhoneyC ist ein in Python geschriebener Honeyclient, mit dem sich diverse Webbrowser imitieren lassen, um Webseiten nach schädlichen Inhalten zu durchsuchen. Die Software ist in der Lage, Skriptsprachen wie JavaScript oder VBScript zu verarbeiten und unterstützt De-Obfuskations-Funktionen, um verschleierten Schadcode zu entwirren. Darüber hinaus unterstützt PhoneyC diverse Methoden, um Webseiten zu analysieren – u. a. die Open-Source-Antivirus-Engine ClamAV.

Administratoren, die serverseitige Honigtöpfe mit vielen Interaktionsmöglichkeiten aufstellen möchten, setzen in der Regel auf vollfunktionsfähige Server, die als Ablenksysteme eingerichtet werden. Diese lassen sich entweder auf echter Hardware oder in virtuellen Umgebungen realisieren. Während sich Low-Interaction-Honeypots in erster Linie zur Identifikation und Analyse automatischer Angriffe eignen, nehmen High-Interaction-Honeypots manuell ausgeführte Angriffe ins Visier.

Vielversprechend ist serverseitiges Honeypotting, wenn Hackern ein besonders attraktives Angriffsziel mit einem hohen Grad an Interaktivität geboten wird. Der Aufwand, einen solchen Honeypot einzurichten und zu überwachen, ist jedoch deutlich größer als bei simplen Software-Lösungen, die Serverfunktionen lediglich imitieren. Kommt ein realer Server als Honeypot zum Einsatz, besteht zudem die Gefahr, dass ein Angreifer das infiltrierte System nach einem erfolgreichen Einbruch als Ausgangspunkt für weitere Angriffe auf andere Server im Internet nutzt. Dies kann u. U. auch rechtliche Konsequenzen nach sich ziehen, da der Betreiber eines Servers für sämtliche Aktivitäten haftet, die von diesem ausgehen.

Um Hackerattacken auf einem als Honeypot eingerichteten Server zu überwachen, kommen spezielle Monitoring-Tools wie das frei verfügbare Sebek zum Einsatz. Eine High-Interaction-Honeypot-Umgebung lässt sich mit der Software Argos realisieren.

• Sebek: Das Datenerfassungs-Tool Sebek kommt auf hochinteraktiven Honeypots zum Einsatz, um Hacker zu überwachen und Daten zu sicherheitskritischen Aktivitäten zu sammeln. Im Grundaufbau besteht die Software aus zwei Komponenten: Der Client läuft auf dem Honeypot und erfasst sämtlich Hackeraktivitäten wie Eingaben, Daten-Uploads oder Passwörter und übermittelt diese an einen Protokollserver, der auf einem unabhängigen System laufen kann.

• Argos: Die High-Interaction-Honeypot-Umgebung Argos basiert auf einem modifizierten QEMU-Hardware-Emulator. Die Software unterstützt diverse Gastbetriebssysteme, die in einer virtuellen Maschine ausgeführt werden und den Honeypot darstellen. Um Angriffe zu erkennen und zu protokollieren, kommt Argus ohne zusätzliche Monitoring-Software aus. Eingehender Datenverkehr, der über die Netzwerkkarte zum Honeypot gelangt, wird automatisch als „tainted“ (verunreinigt) gekennzeichnet und überwacht. Das Gleiche gilt für Daten, die aus verunreinigten Daten erzeugt werden. Durch den zusätzlichen Rechenaufwand für die Emulation des Betriebssystems und die Datenanalyse ist Argos deutlich langsamer als Produktivsysteme auf vergleichbarer Hardware.

Bei High-Interaction-Client-Honeypots handelt es sich um Software-Lösungen, die auf realen Betriebssystemen laufen und reguläre Webbrowser nutzen, um Angriffe aufzuzeichnen, die von Servern im Internet ausgehen. Bekannte Tools sind Capture-HPC und mapWOC.

• Capture-HPC: Der High-Interaction-Client-Honeypot Capture-HPC nutzt eine Client-Server-Architektur, bei der ein Server die zu besuchenden Websites festlegt und diverse Clients kontrolliert. Diese rufen die vorgehaltenen Seiten auf und senden Ergebnisdaten an den Server zurück. Mögliche Clients sind diverse Webbrowser, Office-Anwendungen, PDF-Reader oder Media-Player.

• mapWOC: Auch die freie Software mapWOC (kurz für massive automated passive Web Observation Center) lädt Webseiten mit realen Browsern. Diese laufen in einer virtuellen Maschine, deren Datenverkehr mit den Clients konstant überwacht wird, um Angriffe wie Drive-by-Downloads aufzuzeichnen und zu analysieren. Als Grundkomponenten nutzt mapWOC das Hostsystem Debian Squeeze, KVM zur Virtualisierung und ClamAV, um Schadsoftware zu untersuchen. Das Software-Projekt wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt.

Ein Honeypot kommt in der Regel als Ergänzung zu anderen IT-Sicherheitskomponenten wie dem Intrusion-Detection-System (IDS) und Firewalls zum Einsatz und bietet somit eine zusätzliche Kontrollfunktion. Ein zentraler Vorteil des Honeypottings ist der Gewinn von hochrelevanten Daten. Da Honeypots im Normalbetrieb keine Funktion übernehmen, stellt jede Aktivität in diesen Kontrollsystemen einen potenziellen Angriff dar. Sämtliche Daten, die durch Honeypots aufgezeichnet werden, sind somit sicherheitsrelevant. Werden hingegen Produktivsysteme überwacht, erfordert die Datenanalyse zunächst einen Arbeitsschritt, bei dem die für den Angriff relevanten Daten aus der Gesamtdatenmenge ausgefiltert werden.

Zu bedenken ist jedoch, dass nicht jeder Honeypot verwertbare Informationen liefert. Ist der Köder zu unattraktiv oder nur schwer erreichbar, finden möglicherweise keine Angriffe statt und die finanziellen und personellen Investitionen für die Bereitstellung des Sicherheitssystems laufen ins Leere.

Den möglichen Datengewinn durch Honeypots erkaufen sich Unternehmen zudem durch ein zusätzliches Risiko. Da Ablenksysteme Hacker gezielt ködern, besteht die Gefahr, dass diese bei einem Einbruch in den Honeypot weitere Schäden im Netzwerk anrichten. Reduzieren lässt sich dieses Risiko durch eine größtmögliche Trennung von Honeypots und Produktivsystemen und einer permanenten Überwachung aller Aktivitäten in den Ködersystemen. Wichtig ist zudem die Schadensbegrenzung nach außen. Um zu verhindern, dass Honeypots als Ausgangspunkte für Hackerangriffe auf andere Systeme missbraucht werden, sollten ausgehende Verbindungen auf ein Minimum reduziert werden.

Wird ein serverseitiger High-Interaction-Honeypot mit den gleichen Sicherheitssystemen wie das Produktivsystem ausgestattet, lässt sich dieser zur Qualitätssicherheit einsetzen. In diesem Fall erlauben die aufgezeichneten Daten einen direkten Rückschluss auf die Wirksamkeit des Sicherheitssystems. Wird ein Einbruch im Honeypot registriert, sollte überprüft werden, ob auch das Produktivsystem infiltriert wurde. Zudem müssen beide Systeme angepasst werden, um zukünftige Angriffe nach dem gleichen Muster abwehren zu können.

Auch Strafermittler haben sich in der Vergangenheit dem Prinzip des Honeypottings bedient, um Kriminelle bei der Suche nach illegalen Inhalten zu ertappen. Zudem wird diskutiert, ob Rechteinhaber Honeypots nutzen dürfen, um gegen die Verbreitung urheberrechtlich geschützter Inhalte vorzugehen.

Einem CNet-Bericht zufolge soll das FBI im Jahr 2006 Links in Internetforen platziert haben, die suggerierten, auf kinderpornografische Inhalte zu verweisen. US-Bürger, die diese Links aufriefen, bekamen kurze Zeit später Besuch von den Strafverfolgern.

Im Jahr 2007 wurde bekannt, dass das Bundeskriminalamt auf der eigenen Website eine Unterseite mit Informationen zur linksterroristischen Vereinigung „Millitante Gruppe“ betrieb, um zu registrieren, wer sich für das Thema interessiert. Dem Tagesspiegel zufolge zeichnete die Behörde seit September 2004 die IP-Adressen sämtlicher Besucher der Website auf und beantragte bei ausgewählten IP-Adressen die Identifizierung der Internetnutzer beim jeweiligen Provider.

Ein möglicher Einsatz von Honeypots wurde von der Internetgemeinde auch im Zusammenhang mit den Ermittlungen gegen Movie-Streaming- und File-Sharing-Plattformen wie Kinox.to diskutiert. Da einige dieser Seiten aus dem Netz genommen wurden, andere jedoch weiterhin online waren, wurde vermutet, dass Rechteinhaber oder Strafverfolger diese als Honeypots nutzen könnten. In Deutschland hätte ein solches Vorgehen jedoch keine rechtliche Grundlage. Es wäre sogar zu klären, ob das Betreiben eines Honeypots, der illegale oder urheberrechtlich geschützte Inhalte anbietet, eine rechtsstaatswidrige Tatprovokation darstellt.