Wie Honeypots Hacker entlarven

Als Köder-Systeme gehören Honeypots zu den wichtigsten Instrumenten von Cyber Security-Teams. Sie lenken nicht nur von anderen Zielen ab, sondern verraten auch jede Menge über die Bedrohungslandschaft.
Stell dir vor, du vermutest Einbrecher in deiner Nachbarschaft. Anstatt nur dein Haus zu sichern, baust du direkt daneben die Fassade einer Villa – bestückt mit gefälschten Wertsachen und versteckten Kameras. Jeder, der dort einsteigt, zeigt dir ganz genau, wie er vorgeht, welche Werkzeuge er nutzt und was er stehlen will, ohne dass dir echter Schaden entsteht.
Ganz ähnlich funktionieren Honeypots in der Cyber Security. Sie sind Köder-Systeme, um – anstatt Bären – Cyberkriminelle und deren automatisierte Bots anzulocken. So geben sie den Security-Teams, die sie eingerichtet haben, tiefe Einblicke in die Vorgehensweise der Angreifer. Denn auch wenn die Angreifer denken, sie hätten den großen Jackpot gezogen, sind sie es, die hinters Licht geführt werden. Jeder Klick, jeder Befehl, jeder eingesetzte Schadcode und jeder versuchte Passwort-Diebstahl wird genau protokolliert.
Welche Arten von Honeypots es gibt
Die Ursprünge der digitalen Honigfallen reichen bis in die 1980er Jahre zurück. Die bekannteste Darstellung aus dieser Zeit skizziert das Sachbuch „Kuckucksei: Die Jagd auf die deutschen Hacker, die das Pentagon knackten“ von Clifford Stoll. Im Laufe der 1990er Jahre entstanden die ersten Open Source-Tools, die das Konzept in die Breite trugen.
Mittlerweile gibt es sehr viele unterschiedliche Formen von Honeypots und benachbarte Konzepte, die sich u.a. im Grad der Interaktion, des Setups (Physical vs. Virtual) und des Umfangs unterscheiden. Dazu gehören beispielsweise folgende Ausprägungen:
Einen guten Überblick der aktuell gängigen Tools gibt die kuratierte Liste „Awesome Honeypots“ auf GitHub.
LLM-Honeypots – die nächste KI-gestützte Generation
Die nächste Generation digitaler Honigfallen ist in der Lage, den realistischen Anschein der Schein-Umgebungen noch mal zu erhöhen. Sie setzt dafür auf Large Language Models (LLMs). Eingehende Befehle (beispielsweise über SSH, HTTP oder industrielle Protokolle) werden rein von der KI simuliert und beantwortet, was einen sehr sicheren Honeypot-Betrieb gewährleistet.
Gleichzeitig können diese Systeme dynamisch überzeugende Systemzustände, Fehlermeldungen sowie massenhaft glaubwürdige Honeytokens generieren. Durch Verhaltensanpassungen fesseln LLM-Honeypots Angreifer deutlich länger – im Fachjargon spricht man von einer erhöhten „Dwell Time“. Sie erschweren außerdem die automatisierte Enttarnung durch Honeypot-Detektionssysteme der Angreifer.
Wie die IT-Sicherheit von Honeypots profitiert
Der Einsatz dieser Täuschungsmanöver bringt Unternehmen und Sicherheitsforschern drei entscheidende Vorteile:
Welche Erkenntnisse ein Honeypot liefern kann, zeigt beispielhaft die dokumentierte Analyse „Who showed up?“ eines offenen SSH-Ports. Die ersten zwei Zugriffsversuche erfolgten bereits in den ersten 60 Sekunden. Innerhalb von 54 Tagen gab es mehr als 250.000 Zugriffsversuche von mehr als 7.500 IP-Adressen. Das am häufigsten ausprobierte Passwort war „123456“. Die Angriffe häuften sich nachts zwischen eins und vier Uhr.
Fazit
Honeypots haben sich von einem Spezialwerkzeug für Security-Experten zu einem gängigen Tool der IT-Sicherheit weiterentwickelt. Sie sind eine zentrale Säule, um Angriffswege zu erkennen und Verhaltensmuster von Cyberkriminellen zu analysieren. Mit KI-gestützten Honeypots steht bereits die nächste Generation der Täuschungssysteme in den Startlöchern.
Neben Sicherheitsforschern setzen mittlerweile auch immer mehr Unternehmen auf Honeypots zur Einhaltung von Compliance-Vorgaben. So sind die digitalen Honigtöpfe beispielsweise im Kontext von NIS-2 ein anerkanntes Werkzeug, um gesetzlich geforderte Maßnahmen zur Angriffserkennung umzusetzen. Sie ermöglichen eine proaktive Gefahrenerkennung und schließen die Lücke zu klassischen präventiven Maßnahmen wie Firewalls.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Evelyn Heinrich
Head of Account Management
oder ein Account Manager aus ihrem Team melden sich umgehend.


