Grundlagen: Das müssen Sie über Honeypots wissen

Nachteile von Honeypots

Zu den Nachteilen zählt Lance Spitzner die folgenden Punkte:

Singularität. Es handelt sich bei einem Honeypot nur um eine einzige Maschine in den Weiten des Internets. Wenn kein Angreifer diese Maschine findet und angreift, verfehlt sie ihren Sinn. Ohne Angreifer erfolgt keine Datensammlung.

Erhöhtes Risiko. Honeypots sollen angegriffen werden. Dadurch können sie eine erhöhte Gefahr für das Netzwerk darstellen. Es besteht die Gefahr, dass ein Einbruch auf einem Honeypot erfolgreich durchgeführt wird und dieser anschließend für weitere Angriffe gegen das Netzwerk genutzt wird.

Als zusätzlicher Vorteil beim Einsatz eines Honeypots ist die zusätzliche Kontrollfunktion zum IDS und zur Firewall zu sehen. Ein Honeypot wird immer auch mit einer Firewall gesichert und mit einem oder mehreren IDS überwacht. Wenn jedoch auf dem Honeypot nun ein Einbruch erkannt wird, sollte eine Korrelation der Daten mit dem IDS und der Firewall erfolgen. Zeigt dieser Vergleich, dass die Firewall und das IDS keine verdächtigen Aktivitäten protokolliert haben, müssen diese Systeme sowohl für den Honeypot als auch für die Produktionsnetze angepasst werden. Ein weiterer Einbruch auch auf einem Produktionssystem sollte nicht unerkannt bleiben.

Des Weiteren müssen die Produktionssysteme untersucht werden, ob möglicherweise dort ein identischer Einbruch erfolgte. Ein Honeypot kann so zur Qualitätssicherung (QS) der eingesetzten Sicherheitssysteme verwendet werden. Er erlaubt die Überwachung ihrer Wirksamkeit.