Honeypot: Was ist das?

Sicherheit
Honeypot: Was ist das?

Angriffe auf IT-Systeme sind keine Phänomene der letzten Jahre, in der die Digitalisierung Rekord-artig anstieg. Schon seit den frühen 1990er Jahren lässt sich diese Art der Internet-Kriminalität verzeichnen. Die Personen oder Personengruppen, die solche Angriffe ausführen greifen jede Schwachstelle an, die sie finden können. Dabei kommt es wenig darauf an, ob die Betreiber des IT-Systems eine Bank oder eine Privatperson sind.

Auch unter WordPress können Black-Hat-Hacker Schwachstellen ausnutzen oder einfach nur automatisiert Spam generieren. Häufig sind Angriffe unvorhersehbar, weshalb nur präventive Maßnahmen potenzielle Schäden abhalten können. In diesem Beitrag erklären wir, wie ein sogenannter Honeypot funktioniert und welche Möglichkeiten es gibt, einen solchen unter WordPress aufzusetzen.

Was ist ein Honeypot?

Das Wort kommt aus dem englischen und bedeutet übersetzt „Honigtopf“. Mit Honig lassen sich einige Insekten und Tiere anlocken, diese Analogie kann mit dem Honeypot auch auf IT-Systeme übertragen werden. Ein Honeypot soll etwaige Angriffe gezielt anlocken. Das bedeutet nicht, dass durch den Honeypot mehr Angriffe entstehen, sondern dass potenzielle Angriffe in die Honeypot-Falle tappen und damit unschädlich gemacht werden können. So werden relevante und systemkritische Teile von Software und Computersystemen geschützt.

Ein Honeypot lenkt einen Angriff nicht nur ab, sondern protokolliert auch sein Vorgehen und versucht gleichzeitig den Angreifer zu identifizieren. Vor allem Hersteller von Antiviren-Software verwenden Honeypots, um mögliche Schwachstellen ausfindig zu machen und um Black-Hat-Hacker zu blockieren. Honeypots lassen sich auf fast allen Eben des IT-Systems anlegen, so ist es möglich über die Software, einen PC, einen Server oder eine Netzwerkkomponente ein solches Scheinziel zu installieren.

Wie funktioniert ein Honeypot?

Das Hauptmerkmal eines Honeypots ist seine Tarnung. Nach außen hin wirkt das System wie eine reale Software, ein realer Rechner oder ein echtes Netzwerk. Innen ist es jedoch stark gesichert und gut überwacht. Das Ziel von Honeypots ist nicht Attacken zu verhindern, das kann das System gar nicht, sondern Sicherheitslücken aufzudecken, Methoden der Angreifer zu verstehen und sammeln, und Black-Hat-Hacker zu identifizieren.

Um die Tarnung nicht auffliegen zu lassen, werden auf den Schein-Systemen eines Honeypots auch echte Services und Anwendungen so wie Fake-Daten hinterlegt. Um die sensiblen Systeme und Daten zu schützen, liegt das Honeypot-System nicht im gleichen Netzwerk, sondern in der sogenannten demilitarisierten Zone (DMZ). Hierbei handelt es sich um einen sicherheitstechnisch kontrollierten Bereich.

Verwendung von Honeypots

Es gibt verschiedene Kategorien von Honeypots, die jeweils ein anderes Sub-Ziel verfolgen. Ein produktiver Honeypot ist meist eine Kombination dieser verschiedenen Kategorien. 

Typen

Research Honeypot
So wird beispielsweise der Research Honeypot für die Analyse der Angriffsmethoden verwendet. Es lassen sich sogar identifizierbare Daten verwenden, mit denen sich analysieren lässt, welchen Weg gestohlene Daten nehmen.

Production Honeypots
Dies sind die Honeypots von denen wir in diesem Artikel primär sprechen. Sie zeichnen sich durch ihre Tarnung als reelles System aus.

Klassifikation

Pure Honeypots
Hierbei handelt es sich um komplett eigene Systeme, die ihre eigenen Fake-Daten besitzen und auch schwieriger zu warten sind, da sie den gleichen Aufwand benötigen, wie ein echtes System im produktiven Netzwerk.

High-interaction Honeypot
Das Ziel von diesen Honeypots ist es, dass der Angreifer root- oder Admin-Rechte erhält. Es soll beobachtet werden, was der Angreifer vorhat, und wie er vorgeht.

Low-interaction Honeypots
Dies sind wohl die meist genutzten Honeypots. Denn sie richten sich speziell an Bots und Malware. Leider sind Honeypots dieser Variante auch am ehesten zu durchschauen und dadurch schnell ineffektiv gegen Angreifer. Vorteil ist jedoch, dass die Angreifer keinen root oder Admin-Zugriff erhalten.

Weitere, spezialisiertere Honeypots sind:

  • Malware Honeypots
  • Spam Honeypots
  • Database Honeypots
  • Client Honeypots

Honeypots unter WordPress

Für die eigene WordPress-Webseite lassen sich einige Honeypot-Arten installieren. Das wohl bekannteste Problem ist Spam. Spam trifft WordPress-Webseiten sehr stark und findet sich an verschiedensten Stellen wieder, am meisten jedoch in Formularen oder in Kommentarspalten. Um Spam zu verhindern, gibt es bereits einige Filter oder auch CAPTCHAs.

Aber auch mit Honeypots lässt sich Spam erkennen. Dabei wird im Formular ein verstecktes Feld hinterlegt. Dieses ist für sehende Nutzer nicht sichtbar, weshalb der Filter hier nicht greift. Ein Bot würde jedoch dieses Feld beim Scannen der Seite finden und dementsprechend auch ausfüllen. Dadurch lässt sich leicht erkennen, ob ein Bot die Seite verwendet oder nicht.

Wird das Feld ausgefüllt, so kann die Eingabe beispielsweise einfach verworfen werden. Wichtig ist, dass Personen, die Screen Reader verwenden, diese Felder ebenfalls erkennen können. Hier muss im Programmcode darauf geachtet werden, dass das Label und die ID klar kennzeichnen, dass das Feld nicht ausgefüllt werden soll. Leider gibt es aber auch Bots, die diesen Trick bereits kennen und für sich selbst anwenden, indem sie wie der Screen Reader auf die Elemente zugreifen oder die Seite visuell analysieren. Deswegen lässt sich oftmals auf eine zusätzliche CAPTCHA nicht verzichten.

Honeypot installieren: pro und contra

Wie jedes System haben auch Honeypots ihre Vor- und Nachteile. Um besser abschätzen zu können, ob Honeypots das richtige für die eigene WordPress-Webseite sind, haben wir hier einige wichtige Punkte aufgezählt.

Vorteile eines Honeypots

  • Das primäre Ziel von Honeypots ist es, potenzielle Angreifer von den echten sensiblen Daten und Systemen fernzuhalten.
  • Während ein Honeypot angegriffen wird, werden wichtige Eckdaten des Angreifers und dessen Methoden notiert. Durch IP- oder ähnliche Filter lassen sich diese Angreifer dann sperren.
  • Dank Honeypots lassen sich außerdem Sicherheitslücken erkennen und diese dann im echten System überprüfen und schließen.

Nachteile eines Honeypots

  • Da Honeypots optimalerweise im selben System wie die produktiv Systeme liegen müssen, kann durch eine mangelhafte Sicherung und Isolation das Produktivsystem gefährdet werden.
  • Auch wenn ein Honeypot ein Fake-System darstellt, muss es genau wie die echten Systeme gewartet werden.
  • Ein Honeypot hat zwar absichtlich Schwachstellen eingebaut, damit Black-Hat-Hacker in die Falle tappen, das hindert die Black-Hat-Hacker aber nicht daran von dort aus einen Angriff auf die Produktivsysteme zu starten. Ein Honeypot kann daher auch Teil des Plans eines Angreifers sein.

Zusammenfassung

Honeypots sind sinnvolle Werkzeuge um Black-Hat-Hacker und auch Spam und Malware von seinen IT-Systemen fernzuhalten. Getarnt als voll funktionsfähiges System mit absichtlich gesetzten Sicherheitslücken können Angreifer in die Irre geführt werden. Jedoch sind sie trotz ihrer falschen Daten und Fake-Systemen aufwendig in der Wartung und müssen selbst gut geschützt sein, sonst droht ein Leak in das Produktivsystem, in welchem der Honeypot selbst hinterlegt ist. 

Weitere Fehlermeldungen und Lösungen:



Sie benötigen eine WordPress Agentur? Wir stehen als Ihre Experten zur Verfügung. Treten Sie mit uns in Kontakt und vereinbaren Sie ein unverbindliches Beratungsgespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.