Honeypot

Ein Honeypot ist ein absichtlich verwundbares oder attraktiv erscheinendes System, das keinen produktiven Zweck erfüllt — jede Interaktion ist per Definition verdächtig. Honeypots dienen als Frühwarnsystem: Sie erkennen Angreifer, die bereits im Netzwerk sind und sich lateral bewegen, noch bevor produktive Systeme kompromittiert werden.

Funktionsweise

Honeypots imitieren reale Systeme — Dateiserver, Datenbanken, Webanwendungen oder IoT-Geräte — und werden an strategischen Punkten im Netzwerk platziert. Da kein legitimer Nutzer Grund hat, auf diese Systeme zuzugreifen, löst jede Verbindung einen Alarm aus.

Dieser Ansatz eliminiert das Grundproblem klassischer Erkennungsmethoden: die Unterscheidung zwischen normalem und bösartigem Verhalten. Beim Honeypot gibt es kein normales Verhalten — jeder Zugriff ist ein Indikator für eine Kompromittierung.

Low-Interaction vs. High-Interaction

Low-Interaction-Honeypots simulieren nur Netzwerkdienste auf Protokollebene — etwa einen offenen SSH-Port, der Anmeldeversuche protokolliert. Sie sind einfach zu betreiben, liefern aber begrenzte Informationen über das Angreiferverhalten.

High-Interaction-Honeypots sind vollständige Systeme mit echten Betriebssystemen und Anwendungen, die detaillierte Einblicke in Angriffstechniken ermöglichen. Sie binden mehr Ressourcen, liefern dafür aber wertvolle Threat Intelligence — etwa welche Exploits ein Angreifer einsetzt oder welche Daten er exfiltriert.

Für die meisten Unternehmensumgebungen ist der Low-Interaction-Ansatz der pragmatische Einstieg: geringer Betriebsaufwand, aber sofortige Erkennung von Netzwerk-Scans und unbefugten Zugriffsversuchen.

Honey Tokens und Canary-Systeme

Neben klassischen Honeypots gibt es Honey Tokens — digitale Köder, die keine eigenen Systeme benötigen. Dazu gehören gefälschte Zugangsdaten in Active-Directory-Umgebungen, präparierte Dokumente mit eingebetteten Tracking-Pixeln, DNS-Canaries (spezielle Subdomains, deren Auflösung einen Alarm auslöst) und fingierte API-Schlüssel in Code-Repositories.

Honey Tokens sind besonders wirkungsvoll, weil sie ohne Infrastrukturaufwand in bestehende Umgebungen eingebettet werden können. Ein in einer Konfigurationsdatei hinterlegter AWS-Schlüssel, der bei Verwendung sofort alarmiert, erkennt kompromittierte Systeme zuverlässiger als viele signaturbasierte Ansätze.

Integration in die Sicherheitsarchitektur

Honeypots entfalten ihren vollen Wert erst durch die Anbindung an ein SIEM. Jeder Zugriff erzeugt ein hochkonfidentes Signal, das im SIEM mit anderen Telemetriedaten korreliert werden kann — etwa mit EDR-Daten vom Endgerät, von dem der Zugriff ausging.

Über SOAR-Playbooks lässt sich die Reaktion automatisieren: das betroffene Konto sperren, das Endgerät isolieren und das Incident-Response-Team benachrichtigen. Honeypots ergänzen damit die Defense-in-Depth-Strategie um eine Erkennungsschicht, die unabhängig von Signaturen oder Verhaltensanalysen funktioniert.

Rechtliche Einordnung in Deutschland

Im Gegensatz zu polizeilichen Ermittlungsmethoden stellen intern betriebene Honeypots keine Tatprovokation dar. Unternehmen platzieren Scheinsysteme im eigenen Netzwerk und warten passiv auf unbefugte Zugriffe — es gibt keine aktive Verleitung Dritter zu Straftaten.

Datenschutzrechtlich ist zu beachten, dass aufgezeichnete IP-Adressen und Verbindungsdaten personenbezogene Daten sein können. Die Verarbeitung lässt sich in der Regel auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit) stützen. Eine Dokumentation im Verzeichnis der Verarbeitungstätigkeiten ist empfehlenswert.

Relevanz für KMUs

Honeypots gehören zu den Sicherheitsmaßnahmen mit dem besten Aufwand-Nutzen-Verhältnis für den Mittelstand. Open-Source-Lösungen wie T-Pot oder OpenCanary lassen sich mit geringem Aufwand betreiben, und Honey Tokens erfordern praktisch keine Infrastruktur.

In Zeiten zunehmend automatisierter Angriffe — auch durch KI-gestützte Scanning-Tools — steigt der Wert von Deception-Technologien: Automatisierte Angreifer unterscheiden nicht zwischen echten und fingierten Systemen und laufen zuverlässig in die Falle. Für KMUs, die kein Security Operations Center betreiben, bieten Honeypots einen pragmatischen Einstieg in die Angriffserkennung, der sich schrittweise mit SIEM-Integration und automatisierten Reaktionsprozessen ausbauen lässt.