Gib den Hackern Süßes

Eine Gruppe von IT-Security-Spezialisten will mit deutschen "Honeynets" das Verhalten von Hackern erforschen und die Abläufe von Attacken auf die Informationssicherheit beobachten. NetworkWorld sprach mit Projektleiter Uwe Betz über die Ziele des Teams.

Von: Dr. Johannes Wiele

NetworkWorld: Wie sieht ein "Honeynet" oder ein "Honeypot" aus?

Uwe Betz: Beides sind Systeme, die einen produktiven Server oder ein produktives Netz vortäuschen und wie normale Server oder Netze konfiguriert und betrieben werden. In Wirklichkeit dienen sie aber dazu, Hacker oder ihre Tools zu täuschen. Dabei sind die Systeme sehr effektiv, da die Aktivitäten der Angreifer nicht im Rauschen des normalen Netzbetriebs untergehen.

NetworkWorld: Wo liegt der Unterschied zwischen "Honeynet" und "Honeypot"?

Betz: Ein "Honeypot" ist meist ein kleineres System, das in einem Unternehmensnetz von den wichtigen Maschinen ablenken soll oder das als eine Art Sensor ein Intrusion-Detection-System unterstützt. Ein "Honeynet" dagegen dient vorrangig der Forschung und wird permanent überwacht - so hat es zumindest Lance Spitzner definiert, einer der bekanntesten Honeynet-Spezialisten aus den USA.

NetworkWorld: Wie sieht ein Honeynet technisch aus?

Betz: Es handelt sich um ein ganz normales Netz mit mehreren Servern oder um einen einzelnen Rechner, der mehrere Systeme zugleich simuliert. Im zuletzt genannten Fall spricht man von einem "virtuellen Honeynet". Es hat den Vorteil, weniger Ressourcen zu verschlingen, kann aber von besonders kenntnisreichen Hackern auch eher enttarnt werden. Ein typisches Honeynet ist weder besonders stark noch besonders schwach gesichert, eine Firewall hat es beispielsweise auch. Alles soll so normal wie möglich wirken. Das gemeinsame Element all dieser Netze ist aber ein nachgeschaltetes, besonders gesichertes Administrationsnetzwerk, mit dem die Vorgänge in der Hackerfalle überwacht und mitgeschnitten werden können.

NetworkWorld: Wie verstecken Sie das Administrationsnetz vor den Angreifern?

Betz: Die Kommunikation zwischen beiden Bereichen läuft über Layer 2, damit die Elemente des Administrationsnetzwerkes vom Internet aus nicht sichtbar sind. Manche Beobachtungsdaten speichern wir zum Beispiel sogar über USB, was für die Hacker ebenfalls kaum erkennbar ist. Darüber hinaus gehört ein Intrusion-Detection-System dazu, dass im Stealth-Modus-läuft - damit unsere Hackerfalle nicht selbst zu einer Gefahr für das Netz wird.

NetworkWorld: Wie könnte es dazu kommen?

Betz: Nehmen wir an, ein Hacker sucht sich ein Honeynet als Basis für eine Denial-of-Service-Attacke auf einen anderen Server aus. Das ist zwar ein Fall, der sich zu erforschen lohnt - aber wir müssen dann zumindest die aus dem Netz abgeschickten Datenpakete blockieren können, um nicht zum Gehilfen des Angreifers zu werden. Um solche und ähnliche Fälle im Griff zu behalten, erarbeiten wir vor dem Start des Systems auch komplette interne Sicherheitspolicies und legen Reaktionsverfahren, Kommunikationsregeln und Verantwortlichkeiten fest - ganz wie bei einem richtigen Netzwerk.

NetworkWorld: Wirken Sie direkt bei der Verfolgung von Hackern mit?

Betz: Nein, wir fangen niemanden. Wir beobachten lediglich die Vorgehensweisen der Angreifer, um die Methoden der Prävention zu verbessern. Wenn man uns mit den Institutionen der normalen Strafverfolgung vergleichen will, gehören wir in den Bereich der Verbrechensforscher und Forensiker.

NetworkWorld: Wie profitieren die Anwender von den Honeynets?

Betz: Es gibt eine globale Research Alliance, die Ergebnisse aus Honeynet-Projekten der Allgemeinheit zur Verfügung stellt. Anwender und Hersteller von Sicherheitslösungen können auf dieser Grundlage dann ihre Abwehrverfahren und Werkzeuge verbessern. Wir stehen bereits mit der Allianz in Verbindung, um als Mitglied anerkannt zu werden. Wir müssen zum Beispiel bestimmte Sicherheitsregeln beim Betrieb einhalten. Außerdem müssen wir die Ergebnisse nach festgelegten Standards übertragen.

NetworkWorld: Wie groß ist die Research Alliance?

Betz: Sie hat derzeit zehn aktive Mitgliedsorganisationen, wobei die meisten allerdings in den USA angesiedelt sind. In Europa sind bisher nur die Schweiz, Irland und Griechenland mit dabei. Ein weiteres Netz, das europäische Ereignisse analysiert, ist also wünschenswert.

NetworkWorld: Gibt es auch kommerzielle Honeynets?

Betz: Hersteller von Antivirus-Software und Anbieter von Sicherheitsprodukten betreiben oft selbst solche Netze. Die Ergebnisse kommen dann allerdings zuerst den Produkten der Betreiber zugute. Die Research Alliance will ihre Erkenntnisse demgegenüber so schnell wie möglich allen Anwendern zugänglich machen.

NetworkWorld: Wie sind Sie auf die Idee gekommen, ein deutsches Honeynet einzurichten?

Betz: Auf die Idee gebracht hat mich Lance Spitzners Buch "Know Your Enemy", in dem er über den Aufbau eines Honeynets und Forschungsresultate berichtet (Vgl. Buchvorstellung in NetworkWorld 20/02, Anm. der Redaktion). Inzwischen sind wir übrigens bereits zu sechst.

NetworkWorld: Wann geht das deutsche Netz in Betrieb?

Betz: Wir starten, sobald wir uns mit der Research Alliance abgestimmt haben und unsere internen Sicherheitsrichtlinien komplett stehen. Danach hoffen wir, mehrere Honeynets unter unserer Regie aufbauen zu können. Willkommen sind übrigens gesponserte Standard-Sicherheitsprodukte, die wir mit einbauen können, um auch den Umgang der Angreifer mit diesen Systemen zu erforschen.