EU ermutigt Mitgliedsstaaten zur Verwendung von Honeypots

Die EU-Behörde ENISA schlägt vor, so genannte „Honeypots“ europaweit stärker einzusetzen. Dies sind Fallen für Hacker – scheinbar wichtige Dokumente, die auf Servern hinterlegt werden, aber nur dazu dienen, den ursprünglichen Angreifer zu beobachten. So könne man wichtige Erkenntnisse für besseren Datenschutz gewinnen.

Bei einer Untersuchung im Dezember 2011 hatte die ENISA herausgefunden, dass der Einsatz von Honeypots „nicht so verbreitet wie erwartet“ war. Sie hält jetzt die nationalen Computer Emergency Response Teams (CERTs) zu häufigerem Gebrauch an. „Korrekt eingesetzt bieten Honeypots beträchtliche Vorteile für CERTs. So können bösartige Aktivitäten verfolgt werden, was frühzeitige Warnungen ermöglicht, Erkenntnisse über neue Exploits, Schwachstellen und Malware-Verhalten sowie über Angreifer-Taktiken“, sagt der Executive Director der ENISA, Udo Helmbrecht.

Durch ihre Untersuchung ist die ENISA aber auch auf vorbildliche Honeypot-Projekte aufmerksam geworden. So visualisiert das schwedische CERT mit ihrer Hilfe sogar die jüngsten Angriffe auf seiner öffentlichen Website. Der ENISA-Report liefert zudem Anmerkungen zu 30 untersuchten Honeypot-Techniken und gibt Hinweise zum Einsatz. Alle Programme sind quelloffen.

Manche werden auf Servern abgelegt, andere auf Clients. Die Server-Version agiert letztlich als falscher Server, während „Honeyclients“ testen, wie infizierte Server auf Clients wirken – etwa im Fall von Drive-by-Downloads. Beide Varianten lassen sich auch kombiniert einsetzen.

Über die Gefahren und Nachteile von Honeypots informiert Brian Honan vom irischen CERT. „Firmen müssen sie mit Bedacht einsetzen. Honeypots ziehen Angreifer naturgemäß an. Werden sie angegriffen und aufgebrochen, sollte der Angreifer sie nicht gegen andere Systeme einsetzen können. Außerdem muss man darauf achten, dass sich der Honeypot nicht selbst verrät, sodass Angreifer ihn umgehen können.“

Crowdstrike, ein US-Hersteller von Honeypots, empfiehlt sogar, die gewonnenen Erkenntnisse für einen Gegenschlag einzusetzen. Dies sei allerdings „höchst kontrovers“, zumal Honeypots nicht zwischen erlaubtem und bösartigem Traffic unterscheiden könnten. Wichtig sei dafür ein guter Rechtsberater, der wisse, was am Standort erlaubt ist und was nicht.

Gegenangriffe gegen Hacker sieht beispielsweise die vor einem Jahr vorgestellte Cyberstrategie Großbritanniens vor. Auch Georgien jubelte einem Angreifer mittels Honeypot eine Malware unter. So konnte es sogar ein Foto des russischen Angreifers mit dessen eigener Webcam aufnehmen.

[mit Material von Tom Brewster, News.com]