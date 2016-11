2,2 Mrd. Euro: So hoch ist der wirtschaftliche Schaden, den deutsche Unternehmen laut einer Studie des Center for Economics and Business Research (Cebr) in den vergangenen fünf Jahren durch Cyber-Aangriffe zu verzeichnen hatten. Allein von 2014 bis 2015 stieg laut PwC-Studie „The Global State of Information Security“ die Zahl von Sicherheitsvorfällen auf Unternehmensseite um stattliche 38 Prozent.

Besondere Situationen erfordern besondere Maßnahmen. Das gilt auch für die Verbesserung der ITK-Sicherheit. So wie man mit Speck Mäuse fängt und mit Honig Bären anlockt, so lassen sich auch für Angreifer auf Computersysteme digitale Fallen aufstellen. Um eine erfolgreiche CyberAbwehr aufzubauen, reicht es nämlich nicht, blindlings die Sicherheitsmauern zu erhöhen. Stattdessen lassen sich mit Honeypots die Angriffsmethoden der Angreifer besser verstehen, um eine effiziente Sicherheitsarchitektur zu entwickeln.

„Die Mehrheit der Cyber-Attacken gleichen sich heute in einem Punkt: Sie verlaufen nicht zielgerichtet, sondern automatisch und massenhaft“, erklärt Dr. Ferri Abolhassan, Geschäftsführer T-Systems, verantwortlich für die IT Division und Telekom Security. Kriminelle klopfen systematisch das Netz nach Schwachstellen in Computersystemen ab – wie etwa nach offenen Ports. Dass sie bis heute mit eigentlich bekannten und wenig innovativen Methoden weiterhin Erfolg haben, zeigte zuletzt der aktuelle Data Breach Investigations Report (DBIR). Eine Analyse von 3.000 Datenlecks stellte fest: Rund 90 Prozent der Angriffe auf Unternehmen kommen von außen, und die Angreifer setzen immer wieder auf dieselben Methoden wie Phishing, SQL Injections oder den Missbrauch von Bugs in Webservern.

„Aber gerade das Standardvorgehen der Hacker kann dazu genutzt werden, um ihre Angriffe ins Leere laufen zu lassen und dabei wichtige Erkenntnisse zu erlangen“, so Abolhassan weiter. Eine beliebte Methode: Honeypots dienen innerhalb von Computersystemen als digitale Lockfallen. Sie stellen potentielle Ziele für Kriminelle dar, indem sie Systeme mit Schwachstellen simulieren. So kann beispielsweise ein Windows-PC simuliert werden, dem ein aktuelles Sicherheits-Update fehlt. Oder die Lockfallen sind als scheinbar relevante Daten getarnt – Geschäftsberichte, Passwortlisten oder Ähnliches. Schadprogramme entdecken solche Sicherheitslücken, schlüpfen durch sie hindurch und kopieren die vermeintlich wertvollen Daten. Währenddessen zeichnet das System die IP-Adresse des Angreifers auf, wie dieser vorgeht und welche Tools er benutzt. Somit werden nicht nur der Datendieb und dessen Werkzeug aufgespürt, sondern diese zugleich einer ersten Analyse unterworfen – und das völlig ungefährlich: Der Honeypot liegt in einer kontrollierten Umgebung und hat eine reine Lock- und Analysefunktion.

Einfach, sicher und verlockend

Eine Vorstellung davon, mit welcher Größenordnung von Cyber-Angriffen ITK-Dienstleister zu kämpfen haben, gibt ein Blick etwa auf die Deutsche Telekom: „Wir unterhalten zurzeit ca. 180 Honeypots in zwölf Ländern. Diese werden zusammen vier bis sechs Millionen Mal angegriffen – und zwar täglich“, erläutert Abolhassan. Die Live-Übersicht eines Sicherheitstachos zeigt, wo und wann Angriffe registriert werden. Der Tacho gibt u. a. Auskunft über die Quellen der Angriffe – hierbei liegt Deutschland derzeit unter den Top 7. Das zeigt, dass die IT-Systeme in Deutschland ein besonders attraktives Ziel für Cyber-Kriminelle sind und extrem häufig von Schad-Software befallen werden.

Ein Maßnahme, mit denen der Konzern auf Angriffe reagiert, ist die Registrierung des Schadsystems in Bad-IP-Listen, die an die XTM-Firewalls der Kunden übermittelt werden. Potentiell gefährliche IP-Adressen lassen sich so für die Zukunft sperren. Außerdem fließen die Erkenntnisse aus den millionenfachen Angriffen in die Entwicklung neuer Abwehrmechanismen und Sicherheitsprodukte ein.

Internet of Things sicherer machen

Mit dem Internet of Things (IoT) nimmt vor allem die Zahl der vernetzten Geräte rasant zu: Aktuell gehen Experten von 6,4 Milliarden Dingen weltweit aus, die ans Internet angebunden sind. 2020 soll diese Zahl bereits bei 25 Milliarden liegen. Weniger konservative Schätzungen rechnen gar mit rund 50 Milliarden Dingen. „Allein diese Zahl macht deutlich, welch große Angriffsfläche das Internet der Dinge Cyber-Kriminellen theoretisch bietet. Vieles, was jetzt ans Netz geht, ist nie darauf ausgelegt worden. Produktionsmaschinen etwa laufen zum Teil noch auf völlig veralteten Systemen und weisen daher große Sicherheitslücken auf“, so Abolhassan.

Speziell für die industrielle Steuerung entwickelte Honeypots leisten daher Pionierarbeit: Die Protokolle „Modbus“ und „SNMP“ etwa gelten als relativ schlecht gesichert und beherbergen eine Vielzahl an Angriffspunkten. Die bei Attacken auf solche Systeme gesicherten Daten liefern entscheidende Erkenntnisse darüber, wie eine vernetzte Industrie bestmöglich geschützt werden kann. Ein Ziel könnte etwa sein, die Honeypot-Technik zur Cyber-Sicherheitssensorik weiterzuentwickeln, um internetfähige Geräte direkt damit auszustatten.







Gängige Honeypot-Varianten:



Honeytrap: Diese Lockfalle ist speziell auf den Netzwerkverkehr zugeschnitten und in der Lage, selbst unbekannte Attacken festzuhalten.

Kippo: Dieser „Honigtopf“ simuliert den Zugang über SSH (Secure Shell) zu einem Server und ermöglicht es, Angriffe in Echtzeit zu rekonstruieren.

Dionaea: Hierbei handelt es sich um einen sogenannten Multiprotokoll-Honeypot, der unterschiedliche Dienste simulieren kann, die aufgrund diverser Schwachstellen häufige Angriffsziele darstellen.



Bildquelle: Thinkstock/ iStock