Honeypot

Ein Honeypot ist ein Köder-System: Es sieht für Angreifer wie ein echter, wertvoller Server aus - ist aber ein überwachtes Locksystem, das die Aktivitäten des Angreifers dokumentiert und Alarme auslöst, sobald jemand es berührt.

Wie ein Honeypot funktioniert

Das Netzwerk enthält neben echten Produktions-Servern einen absichtlich “verletzlich” aussehenden Honeypot-Server. Wenn ein Angreifer den Honeypot berührt:

• Alert an SOC/SIEM
• Alle Aktivitäten werden protokolliert
• Taktiken des Angreifers werden sichtbar

Grundprinzip: Niemand sollte einen Honeypot berühren - kein legitimer Nutzer hat Grund dazu. Jede Verbindung zum Honeypot ist automatisch verdächtig.

Honeypot-Typen

Low-Interaction Honeypots:

• Simulieren bestimmte Dienste (z.B. SSH, HTTP) ohne echtes Betriebssystem
• Einfach zu betreiben, geringes Risiko
• Sammeln Basis-Intelligence: Wer scannt, welche Exploits werden versucht?
• Tools: Honeyd, Cowrie (SSH/Telnet), Dionaea

High-Interaction Honeypots:

• Echte Systeme mit echter Software, absichtlich schlecht gesichert
• Angreifer kann tiefgehender interagieren - und wird detailliert beobachtet
• Hohes Risiko: Angreifer könnten Honeypot als Sprungbrett nutzen
• Benötigt striktes Netzwerk-Monitoring und Containment

Honeynets:

• Ganzes gefälschtes Netzwerk aus mehreren Honeypots
• Simuliert vollständige IT-Infrastruktur
• Wissenschaftlicher Einsatz, um Angriffsmuster zu studieren

Deception Technology:

• Moderne Weiterentwicklung: Fake-Zugangsdaten (Honeytoken), Fake-Dateien (Canary-Token), Fake-Datenbankeinträge
• Einfacher zu deployen, hocheffektiv

Canary Tokens - Honeypots für jeden

Canary Tokens (canarytokens.org) ermöglichen kostenlos:

• Fake DNS-Token: Ein Domain-Name der Alarm schlägt, wenn jemand ihn auflöst
• Fake AWS-Keys: Fake-Credentials, die bei Nutzung alarmiern
• Fake Word-Dokument: Öffnen löst Alarm aus
• Fake Passwort-Datei (“passwords.xlsx”): Öffnen = Alert

Praxisbeispiel: Eine Datei namens “Passwörter_2026.xlsx” als Canary Token auf einem Dateiserver. Öffnet ein Angreifer (oder ein neugieriger Mitarbeiter) sie, sendet sie sofort eine Benachrichtigung.

Honeypots und Threat Intelligence

Honeypots sind wertvolle Quellen für Threat Intelligence:

• Welche Exploits werden aktiv eingesetzt?
• Welche IP-Adressen und Botnet-Infrastruktur wird genutzt?
• Welche Malware wird dropped?
• Welche Taktiken nutzen Angreifer nach dem ersten Zugang?

Sicherheitsfirmen betreiben globale Honeypot-Netzwerke (z.B. Shodan, GreyNoise) um Angriffstrends zu erkennen.

Rechtliche Überlegungen

In Deutschland: Honeypots sind legal - solange sie keine strafbaren Handlungen des Angreifers aktiv herbeiführen (keine “agent provocateur”-Situation). Das reine Beobachten und Dokumentieren von Angriffen ist zulässig. Honeypot-Betreiber sollten rechtliche Rahmenbedingungen mit einem Spezialisten klären, insbesondere wenn Honeypot-Daten für Strafverfolgung genutzt werden sollen.

Honeypots im Zero-Trust-Kontext

In einer Zero-Trust-Architektur ergänzen Honeypots und Deception-Technologien das klassische Sicherheits-Stack: Sie gehen davon aus, dass Angreifer bereits im Netzwerk sind - und nutzen Köder, um sie zu entdecken und zu verfolgen.