Wissenschaftler stellen Computerkriminellen virtuelle Fallen, um sie zu beobachten
Lockvogelrechner geben Einblicke in die Hackerseele

Wie Hacker, Phisher und andere Cyberkriminelle arbeiten, weiß Thorsten Holz von der Rheinisch-Westfälischen Technischen Hochschule Aachen aus erster Hand. Der Informatiker beobachtet sie bei ihren Angriffen mit Hilfe einer trickreichen Computerlist – einem Honeypot. Holz lockt die Hacker mit einem einfachen Rechner, den er an das Internet angeschlossen hat, in die Falle.

HB DÜSSELDORF. Hat ein Hacker die Maschine entdeckt und greift sie an, beobachtet der Sicherheitsexperte ihn und schneidet jedes technische Manöver mit einer Spezialsoftware mit. Dadurch erfährt er nicht nur, welche Tricks und Software der Computerhacker nutzt, sondern auch was für ein Mensch auf der anderen Seite der Datenleitung sitzt und was seine Motive sind.

Am technischen Prinzip der Lockvogelrechner hat sich nicht viel geändert, seit 1999 der ehemalige US-Soldat und damalige Mitarbeiter von Sun Microsystems Lance Spitzner in seinem Gästeschlafzimmer in Chicago erstmals einen Computer an das Internet anschloss, um Hackerattacken zu beobachten. Wohl aber ändern sich die Ziele und Methoden der Cyber-Gangster. So erkannten beispielsweise Aktivisten des Honeynet Projects, einem weltweiten Verbund von Honeypot-Betreibern, als erste, wie Spam-Versender arbeiten und sie entdeckten als erste Chatkanäle, über die der organisierte Handel mit Kreditkarten-Informationen abgewickelt wurde.

Auch in Deutschland setzen längst nicht nur Wissenschaftler wie der Aachener Informatiker auf den Trick mit dem Honeypot, sondern auch Unternehmen, zum Beispiel die Deutsche Bank. Diese nutzt Rechner, die ein Dienstleister für sie betreibt, als Frühwarnsystem. Die IT-Verantwortlichen der Bank wissen, dass Viren oder betrügerische Nachrichten, die dort auflaufen, höchstwahrscheinlich auch in den Postfächern ihrer Kunden landen. Dank der Honeypots können sie reagieren, bevor jemand Beschwerden meldet, und nutzen die Beobachtungen, um die Server der Angreifer ausfindig zu machen.

Das gelingt oft, weil die Daten aus den Honeypots schneller und einfacher auszuwerten sind als Informationen, die mit Hilfe anderer Abwehrsoftware wie etwa einer Firewall gesammelt werden. Sicherheitsexperten analysieren oft den gesamten Datenverkehr in einem Netzwerk, um einen Hackerangriff nachzuvollziehen. Dies ist mit Honeypots nicht mehr nötig, weil diese keine anderen Aufgaben haben. Jeglicher Datenfluss, der dort aufläuft, gehört zum Hacker. „Man muss also nicht mehr die Nadel im Heuhaufen suchen, sondern hat die Nadel direkt vor sich liegen“, erklärt Holz den Vorteil.

Bei Computersicherheitsunternehmen sind Honeypots weit verbreitet – etwa beim Hersteller von Antivirensoftware F-Secure. Dort beobachten Spezialisten im Antiviren-Labor die Angriffe auf einem Windows- und einem Linux-Computer. „Sie sehen für den Hacker wie ganz normale Privatcomputer aus, die über eine DSL-Leitung am Netz hängen“, sagt Peter Klein, Anti-Virus-Product-Spezialist bei F-Secure Deutschland. „Sie ahnen nicht, dass wir die Angriffe beobachten.“

So ein Frühwarnsystem könnten auch andere Unternehmen gut gebrauchen, um sich vor Industriespionage über das Internet zu schützen. „Vor allem wenn Unternehmen wertvolle Datenbestände besitzen, rechnen sich die aufwendigen und pflegeintensiven Lockvogelsysteme“, sagt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg. Auch er wird in letzter Zeit immer öfter zum Fallensteller. Große Firmen beauftragen ihn. Bislang hat Pohl mehr als zehn Honeypot-Projekte in Unternehmen in Deutschland ins Leben gerufen – bei Industrieunternehmen, Zulieferbetrieben und Internet-Providern.

Die Spezialsoftware für einen Honeypot zu installieren, ist nicht viel Arbeit. Aufwendig ist es dagegen, den Lockvogel mit Daten zu füttern, die für Hacker echt aussehen: Viel versprechend wirkende Personal-, Kunden- oder Entwicklungsdatensätze, die in Wirklichkeit wertlos sind. Hartmut Pohl hält den Einsatz eines Honeypots daher nur für sinnvoll, wenn der Wert der Daten zehn Millionen Euro überschreitet. Er rechne sich etwa für Ölfirmen, die Explorationsdaten vorhalten und diese als Grundlage für Angebote nutzen, wenn beispielsweise in der Nordsee ein Ölfeld versteigert wird. Ein Mittelständler brauche so etwas dagegen nicht, sagt Pohl.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%