Honeypots – eine durchtriebene Security-Technik wird erwachsen

Eine der innovativsten Methoden, das Firmennetz sauber zu halten, sind Honeypots im globalen Datennetz. Befürworter der Technik werben für den Einsatz im Unternehmensalltag.

Honeypots sind schwer im Kommen. Sie sind nicht zu verwechseln mit herkömmlichen Intrusion-Prevention-Systemen, weil sie wie eine Art Falle die Attacken auf fremde Netze greifbarer machen. Dieser Überzeugung sind die Befürworter der Technik, die in Open-Source-Umgebungen und Gemeinden weit verbreitet ist und bunt weitergestrickt wird. Jetzt wird die Technik jedoch langsam erwachsen und muss sich in mehr und mehr Firmennetzen bewähren. Dennoch bleibt den Verwaltern eines solchen Fallensystems im Web oft nichts als eine Lernerfahrung über die Arbeitsweise von Cyber-Kriminellen. Die Technik kann die Angreifer nicht dingfest machen.
Dabei bezeichnet man als Honeypot ein System von Computern oder anderen Web-fähigen Geräten (Honeytokens), das wie eine gesicherte Umgebung aufgebaut ist, einem echten Netzwerk täuschend ähnlich sieht, für die Angreifer produktiv wirkt und diese so anlockt – ähnlich wie ein Honigtopf die Wespen. Der Zweck des Honeypot besteht darin, die Angreifer raffiniert anzulocken, um entweder die echten Netze zu schützen oder etwas über die bösartige Motivation, Techniken und Werkzeuge zu lernen.

“Systeme in Honeynets übernehmen keine produktiven Aufgaben, dadurch ist jeglicher Datenfluss in das und aus dem Honeynet verdächtig”, weiß Richard Stevens, einer der Team-Mitglieder des deutschen Honeynet-Projektes. Er hat im Auftrag von Wirtschaftsunternehmen den Aufbau und Betrieb eines solchen Fallenverbundes getestet. Als Honeynet bezeichnet man ein Netz, das aus mehreren Honeypots und einigen Kontrollrechnern besteht, die die Angriffe aufzeichnen und analysieren. Darüber gibt auch ein seit einigen Jahren laufendes Projekt des Chaos Computer Club Kassel einen Überblick, und zwar in Bezug auf die Angriffsszenarien und den Aufbau einer solchen Falle.

Ein Geek blickt tiefer

Lance Spritzner, selbsternannter Geek, anerkannter Security-Fachmann, Netzwerk-Guru und neuerdings Buchautor, betont die Vielfältigkeit von Honeypots. Er sagt, dass ein Honeypot oder auch ein Honeynet nicht als eine einheitliche Lösung betrachtet werden kann. Die Technik, so heißt es in seinem aktuellen Buch “Know Your Enemy – learning about Security Threats”, ist für eine solche Einordnung viel zu dynamisch. Eher noch sei die Technik geeignet, durch ihre hochflexible Struktur und Anpassungsfähigkeit an verschiedene Bedingungen, gleich mehrere Angriffsmethoden gleichzeitig abzuwehren und die Prävention für nahezu alle der heute bekannten Attacken auf Netzwerke zu gewährleisten.

Firewalls und Intrusion-Detection-Systeme (IDS) seien dagegen leicht zu verstehen, zu definieren und auch aufzubauen. IDS soll beispielsweise die Angriffe erkennen und gewissermaßen festhalten. Firewalls sind dafür zuständig, Eindringlinge eine bestimmte Schwelle nicht überschreiten zu lassen. Aber Honeypots im Netz vor der Firmentür können der gesamten Web-basiert arbeitenden Gemeinde das Leben erleichtern, weil sie die Eindringlinge abfangen. Das ist Spritzners Überzeugung. Aber er nennt auch offen die Nachteile, die eine solche Arbeit mit sich bringt.

Da wären der hohe Arbeitseinsatz beim Aufbau und Betrieb, die Arbeitszeit, die beim Überwachen benötigt wird, die Tatsache, dass die Honeypots eben nur kleine Datensätze auffangen können und gleichermaßen ein begrenztes Blickfeld haben, weil sie nur den erkennen, der den Honigtopf öffnet und nicht die Angreifer, die vielleicht an der Falle vorbeigehen. Dazu kommt noch die seiner Ansicht nach größte, aber auch normalste Gefahr jeder neuen Technik: Der Angreifer kann die Waffe in die Hand bekommen und gegen den Verteidiger richten.

Die Vorteile überwiegen – noch

Doch dies alles, so Spritzner, wiegt die Vorteile nicht auf. Honeypots würden vor allem weniger Fehlalarme auslösen als normale Security-Systeme. “Denken Sie an Diebstahlsicherung fürs Auto: damit Autos nicht gestohlen werden, sind sie mit Alarm ausgestattet”, sagt er. Doch die Systeme seien so empfindlich, dass jede noch so kleinste Erschütterung in der Umgebung sie auslöse – mit folgendem Effekt: “Was tun Sie, wenn Sie auf einem Autoparkplatz sind und irgendwo geht ein solcher Alarm los – im Regelfall gar nichts, weil Sie solche Alarme gewohnt sind.”

Die echten Angriffe seien daher eigentlich bestens geschützt durch solche Vorrichtungen. Außerdem spreche für sie, dass sie vom technischen Aufwand her einfach zu installieren seien, mit der neuen Internet-Version IPv6 arbeiten, selbst verschlüsselte Aktionen lesen können, auch bislang unbekannte Angriffe abwehren könnten und superflexibel seien. Spritzner schreibt: “Alles von einer markierten und gefälschten Sozialversicherungsnummer in der Kundendatenbank bis hin zu einem echten physischen Computernetzwerk, das ein Firmennetz produktiv simuliert, ist ein Honeypot, deshalb sind sie an jedes nur denkbare Sicherheitsbedürfnis anzupassen und erlauben außerdem, was viele andere Systeme nicht können: das Sammeln von wertvollen Daten, speziell bei internen Angriffen.”

Honeypot-Praktiker aus der Wirtschaft wie die Security-Firma Brightmail rühren weiter die Werbetrommel. Brightmail lotst zum Beispiel Phisher in diese Honigtöpfe, um ihr Verhalten zu studieren und daraus wertvolle Erkenntnisse zum Bekämpfen dieser noch recht neuen Angreifer zu gewinnen. Dafür nutzt die Firma Datenbestände, die gefahrlos verseucht und zerstört werden können und einem aktiven Netz ähneln, also nur scheinbar wichtige Informationen enthalten.

Die Monitoring-Rechner in dieser Infrastruktur sind allerdings in der Lage, die Wege der Angreifer zurückzuverfolgen. Die Firma betreibt mehr als zwei Millionen solcher Fallen, hat aber bereits beobachtet, dass Angreifer zum Gegenschlag rüsten, indem sie eine Software entwickelt haben, die nicht mehr auf die scheinbare Betriebsamkeit und Wichtigkeit der Fallen hereinfällt und die Angreifer warnt. So ist die Firma in eine Art Wettrüsten mit den Angreifern getreten, um nicht irgendwann nur noch die unerfahrensten Script Kiddies zu fangen. Kein Schloss ohne Schlüssel und – ohne Dietrich.