Proaktives Ausforschen von IT-Sicherheitsvorfällen
Die ENISA (European Network and Information Security Agency) empfiehlt, Honeypots in den Unternehmen zu betreiben. Damit können Angriffe auf die Infrastruktur frühzeitig erkannt werden. Ein System für Hackerabwehr wäre etabliert.
Honeypots sind Computersysteme mit Schwachstellen, deren einziges Ziel es ist, angegriffen zu werden. Werden diese Honeypots gut überwacht, lassen sich wertvolle Informationen daraus ablesen. Dies zeigt jedoch auch die Rückseite der Medaille, den Zeitaufwand. Diese „Honigtöpfe für die Angreifer“ müssen permanent überwacht werden. Denn ein verwundbares System lädt die Angreifer ein, ihr Unwesen dort auszuleben. Kann ein Hacker nun soweit gehen, dieses Honeypot ungehindert für Angriffe auf andere Systeme auszunutzen, muss dessen Betreiber sich Mithaftung vorwerfen lassen. Schließlich habe er gewusst, dass das System verwundbar und damit für Hacker sehr attraktiv ist.
So hat auch die Erfahrung in Befragungen gezeigt, dass Honeypots als Sicherheitsmaßnahme von vielen Unternehmen schnell wieder abgeschaltet werden. Honeypots sind die Maßnahmen der IT-Sicherheit, die am häufigsten wieder aufgegeben werden.
Einige freie Honeypots, die relativ einfach zu bedienen sind: Dionaea, Glastopf, kippo und Honeyd.
Die am häufigsten verwendeten Maßnahmen sind (in absteigender Reihenfolge):
- Firewalls
- Logdateienanalyse für Systeme
- Antivirus-Software
- Netflow (passives Verkehrsmessverfahren)
- Einbruchserkennungssystem IDS / Einbruchverhinderung IPS
- Logdateienanalyse für Router
- Server-Honeypot
- Logdateienanalyse für Anwendungen
- Logdateienanalyse für Proxys
- Darknet (Peer-to-peer-Netz mit manuellem Verbindungsaufbau nur von vertrauenswürdigen Mitgliedern)
- Spamtrap (Bekämpfung von Spam)
- Sandboxing (Software wird in einem gesicherten Umfeld gestartet, wo sie keinen Schaden anrichten kann)
- Firewall für Web-Anwendungen
- Passive DNS-Überwachung
- Client-Honeypot
Die Studie von ENISA: Proactive detection of security incidents II – Honeypots
ENISA ist eine EU-Organisation mit folgenden Aufgaben:
- Einzelstaatlichen Behörden und den EU-Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit zu erteilen
- Ein Forum für den Austausch bewährter Verfahren zu bieten
- Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen zu erleichtern
Artikel von h-online.com, 29.11.2012: ENISA promotes digital hacker traps