20.12.2017

Mit Honeypots Angreifer anlocken

Cyberkriminelle gehen hoch koordiniert vor, während ihre Opfer isoliert agieren. Ein Forscherteam um Professor Max Mühlhäuser will das ändern – indem es die Abwehrkräfte der Opfer bündelt.

Blick auf einen in Griechenland ausgelegten „Honeypot“: in kurzer Zeit erfolgen Angriffe aus allen Teilen der Welt. (Bild: Jan-Christoph Hartung)
Blick auf einen in Griechenland ausgelegten „Honeypot“: in kurzer Zeit erfolgen Angriffe aus allen Teilen der Welt. Bild: Jan-Christoph Hartung

Eine grüne Linie wächst quer über die Weltkarte auf Athen zu. „Da, schon wieder ein Angriff“, sagt Florian Volk von der Telecooperation Group im Fachbereich Informatik der TU Darmstadt. Der zwei Quadratmeter große Bildschirm visualisiert Hackerangriffe auf Rechner, die das Forscherteam gleichsam als Köder ausgelegt hat – so genannte Honeypots. Indem es möglichst viele solcher Angriffe aufzeichnet, will das Team um Professor Max Mühlhäuser Muster in ihnen erkennen. Lernende omputerprogramme filtern solche Erkennungsmerkmale immer zuverlässiger heraus. Es gilt, die Taktiken einer industriell organisierten digitalen Schattenwirtschaft aufzudecken. Das Ziel: Eine ebenso gut organisierte Abwehr zu ermöglichen, bei der Betroffene ihre Schlagkraft bündeln. „Koordinierte verteilte Abwehr“ nennt Volk das.

Derzeit herrsche zwischen böswilligen Hackern und denen, die Ziel ihrer Angriffe werden, keine Waffengleichheit, sagt der Informatiker. Der einsame Hacker, der Computerviren in die Welt setzt, sei nur Klischee. „Es gibt in der Cyberkriminalität eine Arbeitsteilung: Die einen bauen eine Infrastruktur auf, so genannte Botnetze. Sie vermieten diese an die anderen für massive verteilte Angriffe“, erklärt der Informatiker. Botnetze sind sozusagen eine Armee von elektronischen Helfern: gekaperte PCs oder, immer öfter, an das Internet angeschlossene intelligente Geräte wie etwa Thermostate. Das Entern der Rechner verlaufe automatisiert.

Angriff durch gekaperte Rechner

Während der Informatiker spricht, laufen auf dem Bildschirm etliche Angriffe auf die Honeypots, pro Monat sind es mehr als 60.000. Die eigentlichen Täter nutzen nun die Botnetze für Attacken, die Namen wie etwa „Denial of Service“ tragen. Bei dieser Angriffsart stellen Tausende gekaperte Rechner simultan Anfragen an den Server des Opfers, der unter dieser Last zusammenbricht. Die Opfer, meist Unternehmen, behielten solche Angriffe oft für sich, moniert Volk. „Das ist schade“, meint der Forscher. „Würden mehr Angriffsmuster ausgetauscht, könnte das nächste Opfer den Angriff frühzeitig erkennen und reagieren, etwa indem man die Anfragen gezielt vernichtet.“

Im Zentrum der TU-Forscher steht die Entwicklung eines Werkzeugs, das es potenziellen Opfern ermöglicht, gemeinsam gegen die Übermacht der Hacker-Industrie vorzugehen. Damit können Firmen Information über den Angriff auszutauschen, ohne Wissen über die eigene IT-Infrastruktur preiszugeben. Dazu soll der Angriff in Form einer „einfachen Datenstruktur“, wie Volk sagt, abgebildet werden. Diese ist eine Art Fingerabdruck des Geschehens, anhand dessen andere Firmen einen Angriff früh erkennen und sich rechtzeitig wehren können.

„Weil die Mustererkennung umso besser funktioniert, je mehr Daten man hat, wäre es wichtig, viel mehr Honeypots auszulegen“, erklärt Volk. So entstünde eine Infrastruktur, die es mit dem wohlorganisierten Unterbau des Hackerwesens aufnehmen kann.

Weitere Artikel aus der hoch³ Forschen 4/2017

zur Liste