Da Angreifer im Internet unerkannt bleiben wollen, muss man ihnen eine Falle stellen. Die Bochumer IT-Forscher nutzen dafür sogenannte Honeypots - Englisch für Honigtöpfe. Im Netz allerdings sollen diese elektronischen Köder keine Süßes liebenden Tiere anlocken, sondern Angreifer, die einen Rechner unterwandern wollen. Sie werden ausgelegt, um deren Verhalten leichter studieren zu können.

Honigtöpfe im übertragenen Sinne entwickeln Thorsten Holz und seine Kollegen © RUB

Leicht zu kapernde Netzwerk-Komponenten als Köder
Als Köder für diese Strategie dienen Netzwerkressourcen, beispielsweise Computer, Router oder Switches, deren einziger Zweck darin besteht, angegriffen und kompromittiert zu werden. Diese Honeypots haben keine spezielle Aufgabe im Netzwerk, sind aber für Uneingeweihte nicht von regulären Komponenten zu unterscheiden. Die Köder sind - für Angreifer nicht sichtbar - mit spezieller Software ausgestattet, welche die anschließende Analyse eines Angriffs deutlich erleichtert. Netzwerke von Honeypots, so genannte Honeynets, bieten dabei verschiedene Arten von elektronischen Ködern auf einmal an und können so verschiedene Arten von Angreifern anlocken.

Im Prinzip bekämpfen Honeypot-Strategien die Angreifer mit ihren eigenen Methoden. Die Fähigkeiten und die Werkzeuge, die ein Verteidiger anwendet, unterscheiden sich dabei kaum von denen der Angreifer. So entstand beispielsweise die Honeynet-Software Sebek aus einem verbreiteten Hackerwerkzeug. Außerdem versucht der Betreiber eines Honeypot genau das, was ein erfahrener Angreifer ebenfalls tun würde, nämlich seine Existenz im System mit allen Mitteln zu verbergen.

Wanze im System
Die gezielten, aber für Angreifer verborgenen Veränderungen im Betriebssystem des Honeypots erlauben es, alle Aktivitäten eines Angreifers direkt mitzuschneiden. Man erhält dadurch konkrete Informationen zum Ablauf eines Angriffs. Durch die Vielfalt der so gewonnenen Daten lassen die Angriffswege, Motive und Methoden von Angreifern schneller und genauer erforschen. Auch kann man die benutzten Angriffswerkzeuge, die normalerweise nach erfolgter Kompromittierung gelöscht werden, sofort sicherstellen.

	Vermeintlich leicht zu kapernde Netzwerk-Komponenten dienen als Köder © Holz/RUB

Die von den Honeypots gesammelten Informationen machen es möglich, Abwehrmaßnahmen in unterschiedlichen Umgebungen effizienter und effektiver zu gestalten. Effizienter werden solche Maßnahmen beispielsweise dadurch, dass man sich auf relevante Angriffe konzentrieren kann, also nur die Angriffe untersucht, die auch eine konkrete Bedrohung für die eigenen Rechner in einem Netzwerk darstellen. Effektiver werden Abwehrmaßnahmen, indem mit Hilfe der Honeypots neue Schwachstellen und Verwundbarkeiten entdeckt und schnell analysiert werden können.

Allerdings herrscht auch in der IT-Sicherheit ein ewiger Wettlauf: Die Angreifer können die Funktionsweise von Honeypots studieren und entsprechend bessere Angriffsmethoden entwickeln. Dies erfordert dann weitere Innovationen auf der Verteidiger-Seite. Letztlich führt dies zu einem kontinuierlichen Entwicklungsprozess, bei dem beide Seiten immer wieder neue Methoden entwickeln müssen.

Wie aber wird ein solcher Honeypot in der Praxis eingesetzt?