Honeypots bei der Telekom

Honig verführt Hacker

Simon Hülsbömer
Simon verantwortet redaktionell leitend die Themenbereiche IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er hat aber auch Trends wie Big Data, Analytics und Cloud Computing sowie IT-Projekte in den Fachabteilungen im Blick. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter und ab und an die iPad-Ausgaben der COMPUTERWOCHE. Aufgaben als Online-News-Aushelfer, in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Email:
Connect:
Mit Honigtöpfen, zu englisch Honeypots, lockt die Telekom Angreifer im Internet auf IT-Systeme ohne Funktion.

Wenn die Wespenzeit gekommen ist, flüchten viele Menschen selbst bei bestem Wetter ins Haus. Wer die Sonne trotzdem genießen will, lockt die lästigen Insekten mit Süßem weg vom Tisch in die Falle. Auf dieses Prinzip setzen auch die Security-Experten bei der Deutschen Telekom (DTAG), wenn sie Cyberkrieger auf die falsche Fährte führen wollen. Sie simulieren Schwachstellen in IT-Anwendungen, ohne dabei das System zu gefährden. "Wir lenken Hacker von ihrem eigentlichen Ziel ab oder leiten sie in speziell vorbereitete Bereiche weiter, wo sie keinen Schaden anrichten können. Vor allem sind sie aber für uns eine Säule in unserem Frühwarnsystem", erklärt Markus Schmall, Leiter Sicherheit von IT-Diensten und Anwendungen bei der DTAG.

In den seltensten Fällen sitzt wirklich ein menschlicher Hacker vor einem Rechner und führt einen Angriff aus. Zumeist gehen die Attacken von einmal gestarteten, automatisiert fortlaufenden Skripten aus.
In den seltensten Fällen sitzt wirklich ein menschlicher Hacker vor einem Rechner und führt einen Angriff aus. Zumeist gehen die Attacken von einmal gestarteten, automatisiert fortlaufenden Skripten aus.
Foto: iStockphoto/Henrik5000

Die Aufgabe der Fallensteller gewinnt an Bedeutung, denn täglich tauchen weltweit mehrere Zehntausend neue Computerviren, Würmer, Trojaner oder Varianten auf. Diese Bedrohung ist kaum noch beherrschbar. Inzwischen ist es üblich geworden, individuelle Angriffswerkzeuge zu entwickeln und mittels sogenannter Advanced Persistent Threats (APTs) nur noch die IT-Infrastrukturen ausgewählter Unternehmen über einen längeren Zeitraum anzugreifen. Diese Attacken bleiben zudem sehr lange unbemerkt, da die Systeme oftmals zunächst nur nach möglichen Einfallstoren ausgekundschaftet und kritische Daten anschließend ohne nachweisbare Spuren kopiert werden. Weil die Angriffe sehr gezielt und jedes Mal komplett anders verlaufen, hilft hier auch kein noch so guter Malware-Schutz mehr weiter.

Fallensteller im WWW

Eine mögliche Lösung für das Problem sind Honeypots. Damit könnten Unternehmen die Angreifer mit deren eigenen Mitteln schlagen und ihr Vorgehen schon während der Auskundschaftungsphase kennen lernen. Die Telekom betreibt schon mehr als 40 solche Honeypot-Systeme, einen Großteil davon als Web Application Honeypots. Augenscheinlich ganz normale Websites - häufig mit frei füllbaren Formularfeldern beispielsweise für Login-Prozesse ausgestattet - werden mit für den normalen Besucher im Frontend zunächst unsichtbarem, weil auskommentiertem PHP-Quellcode ergänzt, der automatisierten Angriffsskripten Sicherheitslücken auf dem Server verspricht. Entdeckt ein Skript diesen Quellcode, versucht es, die vermeintlichen Lücken beispielsweise über die Formularfelder mithilfe gängiger Lese- und Schreib-Kommandos auf http-Basis wie GET und POST auszunutzen und liefert dem Honeypot-Betreiber währenddessen wertvolle Informationen über die Art des Angriffs.

Das System lernt mit

Bei der DTAG fließen diese Erkenntnisse unter anderem in die Weiterentwicklung der eigenen Systeme ein. So lassen sich Sicherheitslücken gezielt schließen oder neue Systeme schon in der Entwicklung gegen die bekannten Gefahren schützen. Schmall: "Unsere Web-Honeypot-Systeme sind selbstlernend. Sie identifizieren Angriffe von unbekannter Seite, analysieren sie und integrieren deren Schema in den eigenen Erkenntnisprozess." Der erwähnte unsichtbare Quellcode wird also mit jeder zuvor unbekannten Angriffsart länger.

Besonders stolz ist Schmall darauf, dass die Aufzeichnung und die Analyse der Attacken komplett über Open-Source-Tools wie beispielsweise Glastopf und Kippo ablaufen. Die gewonnenen Erkenntnisse werden den IT und Sicherheitsabteilungen im Konzern zur Verfügung gestellt. Weiterhin besteht eine Zusammenarbeit mit der Sicherheitscommunity und anderen ISPs. Die Telekom informiert zudem Hersteller von Antivirussoftware, damit diese bei Auftauchen eines neuen Virus' oder Trojaners in den Honeypots ihre Software möglichst zeitnah aktualisieren können.

Auf der folgenden Seite lesen Sie, was sich täglich so alles in den Honigtöpfen der Telekom verfängt...

Newsletter 'CP Business-Tipps' bestellen!