Grundlagen: Das müssen Sie über Honeypots wissen

Was ist ein Honeypot? Sinn und Unsinn

Bevor der Einsatz eines Honeypots geplant wird, sollte zunächst geklärt werden, was ein Honeypot ist, welchen Zweck er erfüllen kann und welche Möglichkeiten es zur Implementierung eines Honeypots gibt. Zusätzlich ist eine Betrachtung des Zeitaufwands und des möglichen Nutzens erforderlich.

Ein Honeypot ist im Grunde nichts Neues. Clifford Stoll berichtet in seinem berühmten Buch „Kuckucksei“ [1] über die Verfolgung eines deutschen Crackers 1986 und beschreibt hier bereits einen ersten Honeypot. Bill Cheswick (Autor von „Firewalls und Sicherheit im Internet“ [2]), beschreibt in einem Artikel die Verfolgung eines Angreifers mit einem Honeypot im Jahr 1991.

Was ist denn nun ein Honeypot? Lance Spitzner, Gründer des Honeynet Project definiert in seinem Artikel „Honeypots“ einen Honeypot als „a security resource who's value lies in being probed, attacked or compromised“. Frei übersetzt bedeutet dies, dass ein Honeypot ein Sicherheitsinstrument ist, das die Untersuchung, Angriffe und Einbrüche durch Cracker bezweckt. Ein Honeypot stellt also in keiner Weise eine Verteidigung dar. Im Gegenteil, es wird gehofft, dass dieser Rechner angegriffen wird.

Um den Sinn und die Vorteile des Einsatzes eines Honeypots besser beleuchten zu können, sollen zunächst zwei verschiedene Varianten unterschieden werden. Marty Roesch (Entwickler des NIDS Snort) unterteilt Honeypots in Produktions- und Forschungssysteme.

Die Zuordnung zu diesen Gruppen erfolgt über die Zielsetzung des Honeypots. Die Produktions-Honeypots dienen in erster Linie der Sicherheit eines Unternehmens. Sie werden zur Erkennung und Verfolgung der Angriffe und Einbrüche eingesetzt. Forschungs-Honeypots werden verwendet, um neue Erkenntnisse über das Verhalten der Cracker und neue Angriffe zu gewinnen.