Wie Honeypots Hacker entlarven

Titelbild: Wie Honeypots Hacker entlarven

Als Köder-Systeme gehören Honeypots zu den wichtigsten Instrumenten von Cyber Security-Teams. Sie lenken nicht nur von anderen Zielen ab, sondern verraten auch jede Menge über die Bedrohungslandschaft.

Stell dir vor, du vermutest Einbrecher in deiner Nachbarschaft. Anstatt nur dein Haus zu sichern, baust du direkt daneben die Fassade einer Villa – bestückt mit gefälschten Wertsachen und versteckten Kameras. Jeder, der dort einsteigt, zeigt dir ganz genau, wie er vorgeht, welche Werkzeuge er nutzt und was er stehlen will, ohne dass dir echter Schaden entsteht.

Ganz ähnlich funktionieren Honeypots in der Cyber Security. Sie sind Köder-Systeme, um – anstatt Bären – Cyberkriminelle und deren automatisierte Bots anzulocken. So geben sie den Security-Teams, die sie eingerichtet haben, tiefe Einblicke in die Vorgehensweise der Angreifer. Denn auch wenn die Angreifer denken, sie hätten den großen Jackpot gezogen, sind sie es, die hinters Licht geführt werden. Jeder Klick, jeder Befehl, jeder eingesetzte Schadcode und jeder versuchte Passwort-Diebstahl wird genau protokolliert.

Welche Arten von Honeypots es gibt

Die Ursprünge der digitalen Honigfallen reichen bis in die 1980er Jahre zurück. Die bekannteste Darstellung aus dieser Zeit skizziert das Sachbuch „Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten“ von Clifford Stoll. Im Laufe der 1990er Jahre entstanden die ersten Open Source-Tools, die das Konzept in die Breite trugen.

Mittlerweile gibt es sehr viele unterschiedliche Formen von Honeypots und benachbarte Konzepte, die sich u.a. im Grad der Interaktion, des Setups (Physical vs. Virtual) und des Umfangs unterscheiden. Dazu gehören beispielsweise folgende Ausprägungen:

  • Klassische Honeypots (Low- & High-Interaction):

    Dies sind isolierte Systeme, die Schwachstellen simulieren, um Angreifer anzulocken und deren Methoden zu protokollieren. Low-Interaction-Honeypots imitieren nur bestimmte Dienste (z. B. offene Ports). High-Interaction-Honeypots enthalten komplette Betriebssysteme, um tiefergehende Einblicke in Hacker-Aktivitäten zu gewinnen.

  • Honeynets:

    Hierbei handelt es sich um einen Verbund aus mehreren Honeypots, der eine komplette, scheinbar produktive IT-Landschaft (inkl. Routern, Firewalls und Servern) nachbildet. Sie werden eingesetzt, um netzwerkübergreifende Angriffe und die schrittweise Ausbreitung von Angreifern zu analysieren

  • Honeytokens (inkl. Honey-Credentials):

    Dies sind keine physischen oder virtuellen Rechner, sondern gefälschte Datenfragmente wie fiktive Passwörter, API-Schlüssel, Datenbankeinträge oder Word-Dokumente, die in echten Systemen platziert werden. Jeder Zugriff oder Versuch, sie zu nutzen, löst sofort einen Alarm aus.

  • API-Honeypots:

    Spezifische, überwachte Endpunkte, die echte Programmierschnittstellen (APIs) imitieren, im Hintergrund aber keine echten Geschäftsfunktionen ausführen. Sie zielen darauf ab, automatisierte Bots, unbefugtes Data-Scraping und Angreifer zu identifizieren, die nach Schwachstellen in Webservices suchen.

  • Honeyclients:

    Im Gegensatz zu traditionellen Honeypots, die passiv auf Angriffe warten, sind Honeyclients aktive, automatisierte Tools (häufig Simulatoren von Verhalten im Webbrowser). Sie interagieren proaktiv mit potenziell gefährlichen Servern oder Websites, um schädliche Inhalte wie Drive-by-Downloads oder bösartige Skripte aufzuspüren.

Einen guten Überblick der aktuell gängigen Tools gibt die kuratierte Liste „Awesome Honeypots“ auf GitHub.

LLM-Honeypots – die nächste KI-gestützte Generation

Die nächste Generation digitaler Honigfallen ist in der Lage, den realistischen Anschein der Schein-Umgebungen noch mal zu erhöhen. Sie setzt dafür auf Large Language Models (LLMs). Eingehende Befehle (beispielsweise über SSH, HTTP oder industrielle Protokolle) werden rein von der KI simuliert und beantwortet, was einen sehr sicheren Honeypot-Betrieb gewährleistet. 

Gleichzeitig können diese Systeme dynamisch überzeugende Systemzustände, Fehlermeldungen sowie massenhaft glaubwürdige Honeytokens generieren. Durch Verhaltensanpassungen fesseln LLM-Honeypots Angreifer deutlich länger – im Fachjargon spricht man von einer erhöhten „Dwell Time“. Sie erschweren außerdem die automatisierte Enttarnung durch Honeypot-Detektionssysteme der Angreifer. 

Wie die IT-Sicherheit von Honeypots profitiert

Der Einsatz dieser Täuschungsmanöver bringt Unternehmen und Sicherheitsforschern drei entscheidende Vorteile:

  • Zeitgewinn und Ablenkung: Während die Angreifer Stunden oder Tage damit verbringen, sich in den Honeypot zu hacken, bleibt die eigentliche IT-Infrastruktur verschont.
  • Studium von Zero-Day-Exploits: Hacker nutzen oft völlig neue, noch unbekannte Schwachstellen. Im Honeypot können Sicherheitsteams live zusehen, wie diese neuen Exploits funktionieren und sofort Abwehrmaßnahmen für die echten Systeme entwickeln.
  • Threat Intelligence: Anstatt nur Firewalls hochzuziehen und passiv auf Einschläge zu warten, liefern Honeypots wertvolle Informationen über die Bedrohungslandschaft.

Welche Erkenntnisse ein Honeypot liefern kann, zeigt beispielhaft die dokumentierte Analyse „Who showed up?“ eines offenen SSH-Ports. Die ersten zwei Zugriffsversuche erfolgten bereits in den ersten 60 Sekunden. Innerhalb von 54 Tagen gab es mehr als 250.000 Zugriffsversuche von mehr als 7.500 IP-Adressen. Das am häufigsten ausprobierte Passwort war „123456“. Die Angriffe häuften sich nachts zwischen eins und vier Uhr.

Fazit

Honeypots haben sich von einem Spezialwerkzeug für Security-Experten zu einem gängigen Tool der IT-Sicherheit weiterentwickelt. Sie sind eine zentrale Säule, um Angriffswege zu erkennen und Verhaltensmuster von Cyberkriminellen zu analysieren. Mit KI-gestützten Honeypots steht bereits die nächste Generation der Täuschungssysteme in den Startlöchern.

Neben Sicherheitsforschern setzen mittlerweile auch immer mehr Unternehmen auf Honeypots zur Einhaltung von Compliance-Vorgaben. So sind die digitalen Honigtöpfe beispielsweise im Kontext von NIS-2 ein anerkanntes Werkzeug, um gesetzlich geforderte Maßnahmen zur Angriffserkennung umzusetzen. Sie ermöglichen eine proaktive Gefahrenerkennung und schließen die Lücke zu klassischen präventiven Maßnahmen wie Firewalls.

Hier findest du Infos zur 24/7 Überwachung der IT-Systeme und einem zeitgemäßen Schutz der IT-Infrastruktur


Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.