22 Jun 2025
22 Jun 2025
Woran denkst du beim Begriff Honeypot? An fleissige Bienen? Ein leckeres Frühstück? Vielleicht sogar an Winnie Pooh? IT-Fachleute assoziieren mit einem Honeypot die IT-Sicherheit von Unternehmen. Honeypots gehören nämlich zu den bewährten Cybersecurity Tools - und funktionieren dabei völlig anders, als man es sonst von Schutzmassnahmen zur Prävention von Cyberangriffen kennt. Statt Hacker mit allen Mitteln von den eigenen Systemen fernzuhalten, versucht man mit einem Honeypot nämlich, Angreifer anzulocken. Hört sich paradox an? Lass mich dir ein bisschen mehr darüber erzählen.
Betrachten wir zunächst die Grundlagen eines Honeypots in der IT. Darunter versteht man ein sogenanntes Decoy- oder Bait System, was wörtlich übersetzt so viel wie Lockvogel-System heisst. Dieses System enthält viele Daten, die für Hacker sehr attraktiv sind - Passwörter, Kreditkarteninformationen oder persönliche Daten zum Beispiel. Da es sich beim Honeypot allerdings um eine Hackerfalle handelt, sind die Lockvogeldateien natürlich nicht echt.
Das bedeutet, im Gegensatz zu anderen IT-Sicherheitsmassnahmen werden Hacker mithilfe eines Honeypots bewusst angelockt. Vielleicht fragst du dich jetzt, wofür das gut ist? In erster Linie, um die Vorgehensweise von Hackern beobachten und angemessen darauf reagieren zu können. Ausserdem ist die Wahrscheinlichkeit hoch, dass im Falle eines Cyberangriffs zuerst das Decoy-System attackiert wird, weil es scheinbar besonders interessante Informationen enthält. Das verschafft im Ernstfall wertvolle Zeit, um die übrigen Systeme zu schützen, bevor sie infiltriert werden.
Je nachdem, welches Ziel mit einem Honeypot verfolgt wird, eignen sich verschiedene Arten besser als andere. Low Interaction Honeypots stellen dabei die einfachste Form dar. Sie sind eine rudimentäre Hackerfalle, die mit einigen Daten befüllt wurden, aber davon abgesehen keine Interaktionen durchführen. Anders sieht es bei High Interaction Honeypots aus. Diese beinhalten Anwendungen, Programme und ganze Systeme und binden das Interesse von Angreifern deutlich länger. Dadurch lassen sich auch deutlich mehr Informationen über die Hacker sammeln. Darüber hinaus unterscheidet man noch Research Honeypots, bei denen der Informationsgewinn im Vordergrund steht, und Production Honeypots, die für Unternehmen besonders interessant sind.
In Unternehmen kommen also überwiegend Production Honeypots zum Einsatz. Dabei handelt es sich um Netzwerke, die parallel zu den echten Systemen laufen - nur mit bewusst eingebauten Sicherheitslücken und gefälschten Daten. Stösst nun ein Hacker unwissentlich auf das Decoy-System, schiessen ihm vermutlich zwei Dinge durch den Kopf: Interessante Daten, die hier gespeichert sind! und Hier kann ich mir kinderleicht Zugriff verschaffen! Der Honeypot schlägt jedoch - richtig konfiguriert - bei Angriffen Alarm - und ermöglicht so den IT-Sicherheitsexperten, frühzeitig auf die Bedrohung zu reagieren.
Noch anschaulicher wird es mit einem Beispiel: Für ein kleines Reisebüro erstellte ich einmal einen Honeypot in Form einer Datenbank. Darin waren verschiedene Ziele und Pauschalreisen sowie Daten zu allen Kunden, die jemals dort eine Reise gebucht hatten, gespeichert - natürlich allesamt komplett erfundene Datensätze. Tatsächlich wurde der Honeypot später angegriffen, worüber ich augenblicklich informiert wurde. Dadurch konnte ich die echte Datenbank sofort vorübergehend vom Netz nehmen, und gleichzeitig analysieren, wie die Hacker vorgegangen waren, um zusätzliche Sicherheitsvorkehrungen zu treffen.
Das funktioniert allerdings nur, wenn der Honeypot auch wirklich ein lohnenswertes Ziel für die Hacker darstellt. Hätte die Lockvogel-Datenbank keine Kundendaten enthalten, wäre es vermutlich nie zum Angriff auf das Decoy-System gekommen.
Ganz klar: nein. Weder für KMU noch für Grosskonzerne sind Honeypots als Schutz vor Hackern geeignet. Zumindest nicht unmittelbar. Erst durch die Kombination mit anderen Tools, auf die ich nachher noch genauer eingehen werde, lässt sich die IT-Sicherheit im Unternehmen erhöhen. Dennoch sollten gerade KMU über die Errichtung eines Trap Servers oder eines anderen Cyber Köders als Hackerfalle nachdenken. Denn in kleineren Unternehmen ohne eigene IT-Fachkraft weist die Cybersecurity oft grosse Defizite auf - und öffnet damit Tür und Tor für Angreifer.
Besonders interessant: Honeypot-Angebote gibt es auch komplett kostenlos, beispielsweise den T-Pot von der Telekom Security. Ein Installationsassistent führt benutzerfreundlich durch die Einrichtung, danach zeigt eine grafische Oberfläche, von wo potenzielle Angreifer ins System eindringen.
Es gibt grundsätzlich zwei Möglichkeiten, wie du einen Honeypot in deinem Netzwerk implementieren kannst: Entweder bindest du ihn physisch, also als eigenständigen Rechner ein, oder virtuell, wofür eine Virtualisierungssoftware notwendig ist. In jedem Fall muss der Honeypot sicher von deinen eigentlichen Systemen getrennt werden - andernfalls könnte er dir zum Verhängnis werden, denn dann können Hacker über das einfach zu knackende Lockvogel-System in das Netzwerk eindringen, das du eigentlich schützen wolltest.
Um den Honeypot zu isolieren, musst du ihn in einem eigenen Teil deines Netzwerks einrichten. Es kommt dementsprechend ein eigener Rechner zum Einsatz, der nicht mit dem LAN deines Netzwerks verbunden ist, sondern ganz im Gegenteil mithilfe einer Firewall davon getrennt und geschützt wird. Anschliessend installierst du auf dem Trap Server die Honeypot-Software. Hierfür stehen dir verschiedene Programme zur Auswahl, überlege dir also schon im Vorfeld, was du mit dem Decoy-System erreichen willst. Zuletzt musst du deine Hackerfalle präparieren. Hier ist ein wenig Fingerspitzengefühl gefragt: Einerseits braucht es genug Anreize, zum Beispiel in Form von geöffneten Ports, damit dein Honeypot zum attraktiven Ziel wird. Andererseits darf der Wink mit dem Zaunpfahl natürlich auch nicht zu offensichtlich sein, sonst wittern Hacker deine Falle und halten sich fern.
Um sicherzustellen, dass dein Honeypot auch wirklich als Frühwarnsystem geeignet ist, solltest du nach der Einrichtung und Konfiguration seine Arbeitsweise testen. Versuche also, dir Zugriff zu den Dateien zu verschaffen und beobachte, wie dir diese von deinem Honeypot mitgeteilt werden.
Gleich vorweg: Wer ausser einem Honeypot keine weiteren Cybersecurity Tools nutzt, geht ein grosses Risiko ein, denn Cyber Köder alleine garantieren keinen Schutz vor Hackern. Ganz im Gegenteil läuft man schnell Gefahr, sich in falscher Sicherheit zu wiegen. Wenn keine Angriffe auf den Honeypot erfolgen, bedeutet das nämlich nicht, dass dein System generell nicht angegriffen wird - vielleicht ist nur einfach der Köder zu unattraktiv gestaltet. Auch die Annahme, dass sich potenzielle Angriffe ab sofort ausschliesslich auf den Honeypot konzentrieren, entspricht leider nicht immer der Wahrheit. Durch eine möglichst strikte Trennung des Bait Systems von deinem übrigen Netzwerk sorgst du allerdings dafür, dass der Trap Server nicht zum Einfalltor wird.
Ein weiterer Aspekt, der bei der Verwendung eines Honeypots beachtet werden muss, ist die Einhaltung des Datenschutzes, schliesslich sammelt die Hackerfalle auch personenbezogene Daten, etwa IP-Adressen oder Kombinationen aus Benutzername und Passwort. Um gegen keine gesetzlichen Bestimmungen zu verstossen, musst du also für eine Anonymisierung oder Pseudonymisierung der gesammelten Informationen sorgen. Hier kann dich ein IT-Experte, der sich mit den Bestimmungen deines Landes auskennt, unterstützen.
Sein ganzes Potenzial entfaltet der Honeypot in der IT erst dann, wenn er mit anderen Cybersecurity Tools kombiniert wird. Wenn die Informationen, die das Bait System sammelt, mit einem Intrusion Detection oder Intrusion Prevention System (IDS/IPS) gekoppelt werden, lassen sich Angreifer frühzeitig erkennen und anschliessend sogar blockieren. Ein Security Information and Event Management System (SIEM), das Informationen aus dem Honeypot erhält, sorgt hingegen dafür, dass Sicherheitsvorfälle frühzeitig erkannt und gemeldet werden. Threat Intelligence Plattformen sind weitere Cybersecurity Tools, die potenzielle Bedrohungen erkennen. Kombiniert mit einem Honeypot wird das Programm effizienter und präziser.
Sobald eine umfassende Strategie für die IT-Sicherheit von Unternehmen entwickelt wurde, empfiehlt sich die Durchführung eines Penetration Tests. Nur so lässt sich sicherstellen, dass der Honeypot genug Sicherheitsrisiken aufweist, um für Hacker attraktiv zu sein, und dass er gleichzeitig zuverlässig vom übrigen System isoliert ist.
Wie vielfältig Honeypots eingesetzt werden können, sollen zwei weitere Beispiele illustrieren. Der Cybersecurity-Tool-Anbieter Trend Micro führte 2020 eine sechsmonatige Studie zum Gefährdungspotenzial von Industriefabriken durch. Dafür wurde ein Honeypot erzeugt - eine realistische, aber gefälschte Steuerungseinheit einer Fabrik. Wie sich herausstellte, erfolgten tatsächlich zahlreiche Angriffe, die dank des Honeypots keinen wirklichen Schaden anrichteten.
Eine andere Möglichkeit ist die Verwendung eines Honeypots zur Spamvermeidung bei Kontaktformularen. Dabei wird ein unsichtbares Feld im Formular integriert; enthält dieses eine Eingabe, wird die eingehende Nachricht blockiert. Grundlage ist das Verhalten von Spambots, die Webseiten anders lesen als menschliche User.
Wie funktioniert ein Honeypot in der IT-Sicherheit? Geschickt mit anderen Cybersecurity Tools kombiniert leitet er Cyberangriffe von deinen realen Systemen um auf ein speziell dafür erstelltes Lockvogel-System. Möchtest auch du die IT-Sicherheit für dein Unternehmen mithilfe eines Honeypots auf ein neues Level heben? Ich unterstütze dich gerne dabei und stelle sicher, dass dein Unternehmensnetzwerk strikt vom Bait System getrennt bleibt - damit der Honeypot sich nicht als Bärendienst erweist!
Jetzt für mehr Sicherheit im Unternehmen sorgen
Quellenangaben:
Und keine Neuigkeiten mehr verpassen
Beantworte einfach ein paar Fragen und finde direkt heraus, wie sicher dein Unternehmen wirklich ist.
Warum sollte man Hackern den Zugriff auf Systeme ermöglichen? Um ihnen eine Falle zu stellen! Alles über Honeypots in der IT erfährst du hier!
Effektive Cybersecurity muss nicht teuer sein - auch mit dem kleinsten Budget kannst du dein Unternehmen schützen. Wie? Erfahre hier mehr!
Cybersecurity-Investitionen werden von KMU oft vernachlässigt. Das rächt sich, wenn es zu einem Cyberangriff kommt. Hier geht's zum Kostenvergleich!
