Mit Honeypots Angriffe abwehren

Ein Köder für Cyberkriminelle

Lösungen zur Angriffserkennung schützen IT- und OT-Netzwerke vor Cyberattacken. In Industrieunternehmen mit komplexen oder älteren Produktionssystemen könnten Honeypots eine bessere Wahl darstellen als klassische Lösungen mit Intrusion Detection-(IDS) und Intrusion Prevention-Systemen (IPS).
Eine Angriffserkennung, die automatisiert und in Echtzeit über IT-Sicherheitsvorfälle informiert, ist für Unternehmen schon aus reinem Selbstschutz sinnvoll. Für immer mehr Firmen wird dies sogar zur Pflicht. Denn neben KRITIS-Betreibern müssen ab Mai 2023 auch Betriebe, die allein wegen ihrer Größe von besonderem öffentlichem Interesse sind, sowie deren Zulieferer Maßnahmen gegen Hackerangriffe ergreifen. Das schreibt das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) vor. Wie Unternehmen die Vorgabe umsetzen, bleibt ihnen selbst überlassen. Gesetzeskonform sind laut einer kürzlich veröffentlichten Handreichung des BDI zwei Lösungen: IDS/IPS und Honeypots.

IDS, IPS und Honeypots

Eine Cybersecurity-Strategie, die sich auf die Abwehr von Eindringlingen ins Netzwerk fokussiert, setzt üblicherweise IDS (Intrusion Detection Systems) und IPS (Intrusion Prevention Systems) kombiniert ein. Beide Systeme arbeiten annähernd gleich, indem sie automatisiert auf Abweichungen von zuvor definierten Parametern reagieren. Dabei dient das IDS als Netzüberwachungs- und Benachrichtigungstool. Es löst Alarm aus, sobald es eine Anomalie erkennt. Das Augenmerk richtet sich dabei auf ein breites Spektrum, das von neu angeschlossenen Geräten über Malware-Verhalten bis hin zu unerwarteten SPS-Programmierungen reicht. Das IPS ergreift Gegenmaßnahmen, indem es nicht autorisierte Datenpakete blockiert oder Verbindungen unterbricht. Im besten Fall werden Angreifer so ausgesperrt.

Mit Honeypots locken

Eine andere Taktik verfolgen Honeypots. Dabei handelt es sich um Köder, die Angreifer gezielt anlocken sollen. Sie imitieren attraktive Angriffsquellen, etwa Server, Steuerungen oder PCs. Als virtuelle Maschinen in die Infrastruktur integriert, sind sie einfach zu finden und weisen bewusst Sicherheitslücken auf, die Hackern vermeintlich Tür und Tor öffnen. Erfahrungsgemäß wählen Angreifer den einfachsten Weg, indem sie Netzwerke scannen und gezielt nach den anfälligsten Geräten suchen, um darüber einzudringen. Da die Honeypots aber keine realen Bestandteile des Netzes sind, leiten sie Kriminelle systematisch in die Irre. Das bindet bei den Hackern Ressourcen und verschafft zugleich den angegriffenen Unternehmen Zeit, um zu reagieren. Die Methode empfiehlt sich vor allem in Fertigungsbereichen mit Legacy-Systemen, älteren Maschinen und Anlagen, für deren Software es keine Updates mehr gibt und Patches nicht aufgespielt werden können. Dasselbe gilt für komplexe Systeme, wie SPSen, auf die gängige Sicherheitssysteme nicht zugreifen können bzw. die proprietäre Protokolle nutzen, die für standardisierte IDS/IPS nicht lesbar sind.

Das könnte Sie auch interessieren

Allein in Österreich stieg die Zahl der Deepfake-Angriffe in diesem Jahr um 119 Prozent; ergab eine KPMG-Austria-Umfrage. Mit diesen drei Maßnahmen lassen sich die Erfolgschancen solcher Angriffe deutlich reduzieren. Damit es Ihrem Unternehmen im Fall der Fälle so ergeht wie kürzlich dem Autobauer Ferrari. ‣ weiterlesen

Deutsche Unternehmen verzeichneten Schäden durch Datenlecks in Höhe von durchschnittlich 4,9Mio.€ pro Fall. Laut einem aktuellen IBM-Report waren gestohlene oder kompromittierte Zugangsdaten dabei der häufigste Angriffsvektor.‣ weiterlesen

Angriffe auf die IT-Infrastruktur können Datenlecks, Datenmanipulation und Produktionsausfälle verursachen. Der Schutz vor Angriffen rückt in den Vordergrund. Asset-Management ist eine Grundlage dabei, die künftig durch generative KI unterstützt werden könnte. ‣ weiterlesen

2023 blockierte Trend Micro mehr als 161 Milliarden Cyberbedrohungen weltweit - 10 Prozent mehr als im Jahr zuvor und fast 107 Milliarden mehr als noch vor fünf Jahren. Der Security-Spezialist berichtet zudem davon, dass Cyberkriminelle gezieltere Attacken setzen. Auch Cloud-Umgebungen rücken zunehmend in den Fokus.‣ weiterlesen

Im Juli 2023 ist die neue EU-Maschinenverordnung in Kraft getreten. Ab dann bleiben noch 42 Monate, um die neuen Vorgaben anzuwenden. Welche securityrelevanten Aspekte dabei von Bedeutung sind, zeigt der folgende Beitrag. ‣ weiterlesen

So wie Hacker verstärkt künstliche Intelligenz in ihre Angriffe integrieren, dürften auch Security-Ansätze häufiger von KI profitieren. Ob generative KI im Sinn von ChatGPT und Dall-E das Identitäts- und Zugangsmanagement verändern könnte,
behandelt Dirk Decker (Bild) von Ping Identity im Meinungsbeitrag. Vorneweg: Sie wird es – aber in einigen Jahren.
‣ weiterlesen

Trend Micro hat seinen Sicherheitslagebericht zur Jahresmitte vorgestellt. Demnach wird generative künstliche Intelligenz immer mehr zur Bedrohung. Auch Linux-Systeme werden häufiger angegriffen.‣ weiterlesen

Der Ausbau von 5G-Netzen in Deutschland schreitet voran. Für Unternehmen verspricht der Funkstandard mehr Flexibilität, Produktivität, Sicherheit und Nachhaltigkeit. In dem Forschungsprojekt 5G4Me untersuchen Forscher des International Performance Research Institutes (IPRI), wie sich die Mobilfunktechnologie auf kleine und mittlere Unternehmen der verarbeitenden Industrie auswirkt. ‣ weiterlesen

Laut einer aktuellen Studie des TÜV-Verbands waren 11 Prozent der teilnehmenden Unternehmen im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen. Der Krieg in der Ukraine aber auch digitale Trends erhöhen die Risiken. Zu den häufigsten Angriffsmethoden zählen Phishing und Erpressungssoftware.‣ weiterlesen

Wie der IT-Security-Spezialist Sophos in einem aktuellen Report beschreibt, können Lösegeldzahlung im Falle von Ransomware-Angriffen Wiederherstellungskosten zusätzlich vergrößern. In Deutschland waren laut Untersuchung 58 Prozent der befragten Organisationen von einer Attacke betroffen.‣ weiterlesen

Welchen Gefahren sind Unternehmen Kritischer Infrastrukturen (KRITIS) derzeit ausgesetzt? Wo liegen ihre größten Herausforderungen? Und welche Rolle spielen Systeme zur Angriffserkennung dabei? Um diese und weitere Fragen zu beantworten, hat das Research- und Beratungsunternehmen Techconsult im Auftrag der Secunet Security Networks AG mehr als 120 Kritis-Unternehmen befragt.‣ weiterlesen