Mit Honeypots Angriffe abwehren

Ein Köder für Cyberkriminelle

Lösungen zur Angriffserkennung schützen IT- und OT-Netzwerke vor Cyberattacken. In Industrieunternehmen mit komplexen oder älteren Produktionssystemen könnten Honeypots eine bessere Wahl darstellen als klassische Lösungen mit Intrusion Detection-(IDS) und Intrusion Prevention-Systemen (IPS).

(Bild: ©weyo/stock.adobe.com)

Eine Angriffserkennung, die automatisiert und in Echtzeit über IT-Sicherheitsvorfälle informiert, ist für Unternehmen schon aus reinem Selbstschutz sinnvoll. Für immer mehr Firmen wird dies sogar zur Pflicht. Denn neben KRITIS-Betreibern müssen ab Mai 2023 auch Betriebe, die allein wegen ihrer Größe von besonderem öffentlichem Interesse sind, sowie deren Zulieferer Maßnahmen gegen Hackerangriffe ergreifen. Das schreibt das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) vor. Wie Unternehmen die Vorgabe umsetzen, bleibt ihnen selbst überlassen. Gesetzeskonform sind laut einer kürzlich veröffentlichten Handreichung des BDI zwei Lösungen: IDS/IPS und Honeypots.

IDS, IPS und Honeypots

Eine Cybersecurity-Strategie, die sich auf die Abwehr von Eindringlingen ins Netzwerk fokussiert, setzt üblicherweise IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) kombiniert ein. Beide Systeme arbeiten annähernd gleich, indem sie automatisiert auf Abweichungen von zuvor definierten Parametern reagieren. Dabei dient das IDS als Netzüberwachungs- und Benachrichtigungstool. Es löst Alarm aus, sobald es eine Anomalie erkennt. Das Augenmerk richtet sich dabei auf ein breites Spektrum, das von neu angeschlossenen Geräten über Malware-Verhalten bis hin zu unerwarteten SPS-Programmierungen reicht. Das IPS ergreift Gegenmaßnahmen, indem es nicht autorisierte Datenpakete blockiert oder Verbindungen unterbricht. Im besten Fall werden Angreifer so ausgesperrt.

Mit Honeypots locken

Eine andere Taktik verfolgen Honeypots. Dabei handelt es sich um Köder, die Angreifer gezielt anlocken sollen. Sie imitieren attraktive Angriffsquellen, etwa Server, Steuerungen oder PCs. Als virtuelle Maschinen in die Infrastruktur integriert, sind sie einfach zu finden und weisen bewusst Sicherheitslücken auf, die Hackern vermeintlich Tür und Tor öffnen. Erfahrungsgemäß wählen Angreifer den einfachsten Weg, indem sie Netzwerke scannen und gezielt nach den anfälligsten Geräten suchen, um darüber einzudringen. Da die Honeypots aber keine realen Bestandteile des Netzes sind, leiten sie Kriminelle systematisch in die Irre. Das bindet bei den Hackern Ressourcen und verschafft zugleich den angegriffenen Unternehmen Zeit, um zu reagieren. Die Methode empfiehlt sich vor allem in Fertigungsbereichen mit Legacy Systemen, älteren Maschinen und Anlagen, für deren Software es keine Updates mehr gibt und Patches nicht aufgespielt werden können. Dasselbe gilt für komplexe Systeme, wie SPSen, auf die gängige Sicherheitssysteme nicht zugreifen können bzw. die proprietäre Protokolle nutzen, die für standardisierte IDS/IPS nicht lesbar sind.

ANZEIGE

Intelligente Bestellprozesse

Die innovativen Retarus Cloud Services für Integration und Automatisierung machen Prozesskommunikation agiler, sicherer und zuverlässiger.‣ weiterlesen

Großflächig einsetzen

Am wirksamsten sind Honeypots, wenn sie großflächig eingesetzt werden und somit eine breite Angriffsfläche bieten. Durch die technische Weiterentwicklung sind sie mittlerweile – auch im Vergleich zu IDS/IPS – kostengünstig und für den Einsatz in der OT einfach konfigurierbar. Auf einer Anwendung lassen sich mehrere zehntausend Honeypots einsetzen. Im Idealfall sollten wichtige Netzsegmente jeweils zur Hälfte aus echten und unechten Systemen bestehen. Cyberangriffe werden normalerweise von langer Hand geplant und innerhalb von Minuten durchgeführt. Honeypots bemerken bereits in einer frühen Phase, wenn jemand unautorisiert im Netzwerk unterwegs ist. Da sie nur bei echten Angreifern, Viren oder Trojanern anschlagen, erzeugen sie wenige, aber dafür qualitativ hochwertige Nachrichten. Anders beim IDS/IPS: Das System schaltet sich erst ein, wenn es Datenanomalien erkennt. Das kann auch Fehlermeldungen bei erwünschten Veränderungen verursachen, etwa, wenn wegen einer Urlaubsvertretung ein Update des Betriebssystems von einem anderen Rechner als üblich erfolgt. Oft verhindert dies, dass Unternehmen Angreifer erkennen.

Attacken laufen ins Leere

Über Honeypots lässt sich zudem steuern, was Cyberkriminelle in Netzwerken sehen. Sie bieten sich etwa bei einem Port-Scan aktiv an. Die ‚unechten‘ Betriebssysteme oder Steuerungen, die auf den virtuellen Instanzen laufen, lassen sich beliebig verändern, um mit den Angreifern zu interagieren und sie so lange wie möglich auf den Honeypots zu halten. Als besonders wirksam erweisen sich die Täuschungen (Deception) bei Ransomeware-Angriffen. Gelingt es einem klassischen IDS/IPS, eine solche Attacke abzuwehren, merkt der Angreifer, das er nicht weiterkommt und sucht nach einem neuen Weg. Verschlüsselt er hingegen einen Honeypot, erstickt das den Angriff im Keim. Die Attacke läuft ins Leere und verursacht keinen Traffic mit dem Hauptnetzwerk, da nicht mit Switches, Routern oder Firewalls kommuniziert wird. Besonders relevant ist das für die OT, denn so wird die produktive Umgebung nicht beeinflusst. Mit sogenannten Honey-Boxen, die eine Vielzahl an Honeypots bündeln, lassen sich – je nach Angriffsart – mehr als 50 verschiedene Systemtypen darstellen.

Management erforderlich

Im Gegensatz zu einem automatisert ablaufenden IDS/IPS benötigt eine Honeypot-Lösung allerdings ein Management. Das System muss betreut, optimiert und überwacht werden, um bei einem Angriff reagieren zu können. Dies kann entweder durch interne Mitarbeiter oder externe Dienstleister geschehen. Der Mehrwert liegt darin, bösartige Aktivitäten zu verlangsamen. Die Zeit, in der sich ein Hacker mit einem für ihn wertlosen Köder beschäftigt, gilt es zu nutzen, um den Angriff zu entschärfen und möglichst viele Daten über den Ablauf zu sammeln. Mit diesen Informationen kann die Sicherheitsstrategie weiter verbessert werden. Unternehmen mit entsprechende Know-how und Personal decken das inhouse ab. Die Alternative sind externe Managed Services, bei denen auf Cybersecurity spezialisierte Dienstleister ihre Kapazitäten und Erfahrungen einbringen.

ANZEIGE

Wie Sie smarter automatisieren

Prozesse optimieren und Kosten senken? Bildanalysen mit KI können dabei wertvolle Hilfe bieten. Auf der automatica in München stellt IDS neue Produkte und Möglichkeiten vor. Erhalten Sie hier einen Einblick, was das Unternehmen an Stand B5.203 zeigen wird.‣ weiterlesen

Mehr Sicherheit

Um Angriffe zu erkennen können Unternehmen auf ein IDS/IPS setzen, das aktuelle Momentaufnahmen von zentralen Komponenten liefert. Eine ganzheitliche Überwachung durch Honeypots eignet sich vor allem für Industriebetriebe mit komplexen oder älteren Anlagen. Sie wehren Netzwerkangriffe ab, ohne in den produktiven Bereich einzugreifen. Kombiniert mit einer Next Generation Firewall können Honeypots das Sicherheitsniveau von IT- und OT-Netzwerken deutlich erhöhen.

Das könnte Sie auch interessieren:

Wechsel an der Fraunhofer-Spitze
Holger Hanselka wird Präsident der Fraunhofer-Gesellschaft

Prof. Dr.-Ing. Holger Hanselka, Präsident des Karlsruher Instituts für Technologie (KIT) wird der 11. Präsident der Fraunhofer-Gesellschaft und löst Prof. Dr.-Ing. Reimund Neugebauer nach fast elf Jahren ab.‣ weiterlesen

Neuer Vorstand
Wechsel an der Spitze bei DMG Mori

Christian Thönes, Vorstandsvorsitzender bei DMG Mori, hat am Donnerstag sein Amt niedergelegt. Sein Vertrag wurde im Rahmen einer Aufsichtsratssitzung einvernehmlich beendet. Alfred Geißler wurde vom Aufsichtsrat zum Nachfolger bestellt.‣ weiterlesen

40 Jahre Microsoft in Deutschland
Microsoft feiert Geburtstag und eröffnet Experience Center

Microsoft feiert 40. Geburtstag in Deutschland und eröffnet ein europäisches Experience Center in München. Es ist eines von vier Experience Centern weltweit.‣ weiterlesen

Neues Whitepaper der Plattform Lernende Systeme
Wo bleiben die europäischen KI-Sprachmodelle?

Expertinnen und Experten der Plattform Lernende Systeme beleuchten in einem neuen Whitepaper, wie es um die Entwicklung europäischer bzw. deutscher KI-Sprachmodelle bestellt ist.‣ weiterlesen

Ifo Geschäftsklimaindex im Mai
Skeptischer Blick auf den Sommer

Nach 93,4 Punkten im Vormonat, fällt der Ifo Geschäftsklimaindex im Mai auf 91,7 Punkte – der erste Rückgang in sechs Montanen. ‣ weiterlesen

Neuer Sonderforschungsbereich am KIT
Schnellere Updates für Cyber-physikalische Systeme

Cyber-physikalische Systeme (CPS), wie etwa Autos oder Produktionsanlagen, stecken voller elektronischer und mechanischer Komponenten, die von Software gesteuert werden. Jedoch ist es eine Herausforderung, die Systemarchitekturen solcher Systeme fortwährend konsistent zu halten. Neue Methoden dafür soll ein Sonderforschungsbereich (SFB) am Karlsruher Institut für Technologie (KIT) entwickeln.‣ weiterlesen

Transport und Logistik
G+D erweitert IoT-Portfolio mit Erwerb von Mecomo

Mit der Akquisition der Pod Group hat G+D bereits 2021 sein Portfolio im IoT-Bereich erweitert. Durch den Erwerb von Mecomo geht das Unternehmen nun einen weiteren Schritt in Richtung IoT-Komplettanbieter im Transport- und Logistikbereich.‣ weiterlesen

17. Produktionstechnisches Kolloquium
PTK diskutiert Herausforderungen für die Industrie

Im September laden Fraunhofer IPK und IWF der TU Berlin zum Produktionstechnischen Kolloquium. Im Fokus der Veranstaltung stehen Digitalisierung und Dekarbonisierung der Industrie. ‣ weiterlesen

Datenanalyse
Qlik übernimmt Talend

Mit der Übernahme von Talend will das Softwareunternehmen Qlik das eigene Portfolio erweitern. Die Leitung des neuen Unternehmens übernimmt Qlik-CEO Mike Capone.

‣ weiterlesen

Webbasiertes Anfragemanagement
Kundenanfragen schneller bearbeiten

Die Grimme-Gruppe produziert individuell konfigurierte Landmaschinen. Was für den Wettbewerb Vorteile bringt, ist allerdings mit großem Aufwand verbunden - so verwaltete Grimme Kundenanfragen lange über ein Excel-Tool. Mit dem Softwareanbieter Slashwhy zusammen wurde dies durch ein webbasiertes Anfragemanagement-Programm abgelöst.‣ weiterlesen

Mit Moryx modulare Fertigungsanlagen steuern
Linie ohne Stau

Die Software Moryx hilft der Fertigungssteuerung, Maschinen schnell auf einen neuen Kurs zu bringen oder sie für den nächsten Auftrag anzupassen. Mit seinen einheitlichen Bedienoberflächen und seiner niedrigen Einstiegshürde ist das Tool von Phoenix Contact insbesondere auf den Einsatz in Fertigungen mit der Losgröße 1 ausgerichtet.‣ weiterlesen