Deception-Technologie: Wo Deception-Technologie ihre Köder auslegt

Irgendwann kommen Angreifer in jedes Netz. Aus dieser bitteren Erkenntnis heraus hat man Deception-Technologie entwickelt, die Eindringlinge nicht abwehrt, sondern versucht, sie von den unternehmenskritischen Daten fernzuhalten. Über Köder werden die Hacker in virtuelle Netzwerkumgebungen gelockt.

Hacker auf falscher Fährte

Von Roland Freist

Systeme und Maßnahmen zur Herstellung von Datenschutz und Datensicherheit sind ständigen Veränderungen unterworfen. Kriminelle Hacker finden immer wieder neue Mittel und Wege, um Schutzvorrichtungen zu umgehen oder sie außer Kraft zu setzen. Security-Unternehmen entwickeln daraufhin neue Abwehrmaßnahmen, um die von den Hackern genutzten Lücken zu schließen. Teilweise verlegen sich die Kriminellen dann auf andere Systeme, die im Zuge der Digitalisierung und des sich immer weiter ausbreitenden Internets of Things als Angriffsziele infrage kommen. Oder sie entwickeln wieder neue Methoden, um in die Computersysteme von Unternehmen einzudringen.

Bereits vor etlichen Jahren hat sich daher die Erkenntnis durchgesetzt, dass eine reine Endpoint Protection, in der Regel also der Schutz der Systeme durch Antivirensoftware und Firewalls, nicht ausreichend ist. Denn wenn es einem Angreifer gelingt, beispielsweise durch einen Zero-Day Exploit, diese Hürden zu überwinden, kann er sich anschließend weitgehend frei im Netzwerk bewegen, kann sich umschauen und seine nächsten Schritte planen, ohne befürchten zu müssen, entdeckt zu werden. Aus diesem Grund hat sich die Entwicklung in den vergangenen Jahren auf Systeme konzentriert, die gezielt nach verdächtigen User-Aktivitäten, ungewöhnlichen Log-Dateieinträgen etc. suchen, aus denen sich die Kompromittierung des Netzwerks durch einen Angreifer ableiten lässt.

Honigtöpfe locken Kriminelle an

Eine andere Maßnahme ist die Einrichtung eines Honeypots, also eines Honigtopfs. Dabei handelt es sich um ein Computersystem, etwa einen Server, der so konfiguriert ist, dass er für den Angreifer wie ein wertvolles Ziel aussieht. Genau wie ein Topf voll Honig Bären anlockt, soll der Honeypot im Sicherheitssystem des Unternehmens die Aufmerksamkeit des Hackers erregen. Ziel ist es, den Eindringling aufzuspüren, seinen Weg ins Firmennetz zu analysieren und nachzuvollziehen, welche Schwachstellen er dabei ausgenutzt hat. Auf Basis dieser Erkenntnisse kann das Unternehmen anschließend die Sicherheitslücken schließen und weiteren Angriffen vorbeugen. Der Honeypot ist von den Produktivsystemen isoliert, sodass der Angreifer keinen Schaden anrichten kann.

Honeypots haben allerdings den Nachteil, dass sie den Angreifer lediglich ablenken. Zudem erfährt das Unternehmen nur sehr wenig darüber, wer der Hacker ist, woher er kommt und wie lange er bereits Zugriff auf das interne Netz hat. Außerdem besteht beim Einsatz dieser Technik die Gefahr, dass der Hacker über den Honeypot überhaupt erst angelockt wird und sich nach dem Eindringen in die Firmen-IT einen Weg zu den Produktivsystemen bahnt. Aus diesen Gründen gilt der Einsatz von Honeypots heute weitgehend als nicht mehr zeitgemäß.

ITK-Austria 2022-01.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilagenreihe „IT-Unternehmen in Österreich stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.

Angreifer in die Irre führen

Seit einigen Jahren werden Honeypots ersetzt oder ergänzt durch Deception-Lösungen. Der englische Begriff „Deception“ heißt übersetzt „Täuschung“, und genau darum geht es auch: darum, den Angreifer zu täuschen und in die Irre zu führen, sodass er sich in einem Produktivsystem wähnt, tatsächlich jedoch in einer Art virtuellem Computer oder virtuellem Netzwerk landet, wo er keinen Schaden anrichten kann. Dabei lässt sich dann live beobachten, welche Techniken der Hacker anwendet, welche Ziele er ansteuert und welche Daten er kopiert. Auf diese Weise erfährt das Unternehmen, welche Schwachstellen die eigene IT aufweist, und kann die Lücken stopfen. Gleichzeitig lassen sich aus den Bewegungen des Hackers im Netz Schlussfolgerungen ziehen, um wen es sich eventuell handelt und was seine Absichten sind.

MW-Cybertrap.jpg
Cybertrap legt an den Endpunkten maßgeschneiderte Köder aus, die Angreifer auf eine gesicherte Umgebung umleiten, in der sie keinen Schaden anrichten, aber beobachtet werden können. (Bild: Cybertrap Software)

Im Unterschied zu einem Honeypot wird die Deception-Technik in der realen Produktivumgebung der Unternehmens-IT eingesetzt. Dahinter steckt die Überlegung, dass Antivirensoftware und Firewalls keine unüberwindbaren Hindernisse darstellen. Hackern gelingt es immer wieder, durch Phishing-Mails oder Social Engineering, also beispielsweise durch Anrufe mit falschen Angaben zur Person, Zugriff auf Anmeldedaten zu bekommen, mit denen ein erster Zugriff auf die internen Systeme möglich ist. Die Hacker sind also bereits da; es geht vor allem darum, zu verhindern, dass sie Schaden anrichten.

Schläfer im Firmennetzwerk

Sobald der Hacker einen Zugang zum Firmennetzwerk gefunden hat, verläuft der weitere Angriff in der Regel immer nach dem gleichen Muster: Er verschafft sich zunächst einen Überblick über die Infrastruktur. Danach sucht er nach Schwachstellen, wie gemeinsam genutzten Computern, bei denen kein Passwort eingerichtet ist, oder Servern, die bereits seit längerer Zeit keine Sicherheitsupdates mehr erhalten haben. Dabei ist er äußerst vorsichtig und achtet darauf, sich möglichst unauffällig zu verhalten. Sobald er eine gut nutzbare Schwachstelle gefunden hat, richtet er weitere Zugänge zum Firmennetzwerk ein und etabliert eventuell eine Verbindung zu einem Command-and-Control-Server. Diese Seitwärtsbewegungen und die vorbereitenden Arbeiten können Wochen oder Monate in Anspruch nehmen. Erst danach beginnt er, die für ihn wertvollen Daten zu kopieren und/oder die Systeme mit Ransomware zu verschlüsseln, um Lösegeld zu erpressen.

Solche Angriffe auf Unternehmensnetzwerke, die lange Zeit unentdeckt bleiben, sind keine Ausnahme mehr, sondern werden immer häufiger. Das Problem ist, einen Angreifer zu entdecken, der mit einem gültigen Zugang im Netz aktiv ist. Heuristische Abwehrsysteme, die auf Auffälligkeiten achten, arbeiten in der Regel zu ungenau und lösen eine hohe Zahl von Fehlalarmen aus. Hinzu kommt, dass es bei vielen vernetzten Geräten, etwa in der Medizintechnik, keine angepasste Endpoint Protection etwa durch einen Virenscanner gibt. Die Deception-Technik verfolgt daher einen anderen Ansatz.

Cybertrapper mit virtuellen Ködern

Die Hersteller von Deception-Systemen und entsprechende Dienstleister verteilen in den Produktivsystemen in enger Zusammenarbeit mit der IT-Abteilung des Unternehmens Fallen in Form von Ködern, sogenannte Decoys. Es handelt sich um täuschend echt aussehende Assets wie beispielsweise Fileserver, Datenbanken oder Listen mit Benutzerdaten, Ziele also, die für Hacker interessant sind. Doch sobald der Angreifer darauf zugreift, wird automatisch in der IT-Abteilung ein Alarm ausgelöst. Von nun an steht der Hacker ständig unter Beobachtung.

Die Fake-Assets dienen nicht nur dem Zweck, Eindringlinge ins Unternehmensnetzwerk zu enttarnen. Sie enthalten auch falsche Informationen, die den Angreifer zu weiteren Zielen locken (lure). Die Wiener Firma Cybertrap, einer der führenden Anbieter von Deception-Systemen, sorgt nun dafür, dass der Hacker seine gewohnten Tools nutzen kann, mit denen er beispielsweise nach einem AD (Active Directory) sucht. Doch die Informationen, die er auf diese Weise erhält, führen den Angreifer bloß noch mehr in die Irre. Denn bei dem gefundenen AD handelt es sich nur um eine Simulation. Die verzeichneten Benutzer, Gruppen und Ressourcen existieren nicht, und die Daten dienen lediglich dazu, den Hacker auf weitere falsche Fährten zu führen. So findet er beispielsweise auf einigen Clients einen ungesicherten Fernzugriff auf einen Server via RDP (Remote Desktop Protocol). Doch tatsächlich ist auch dieser Server mit seinen Ressourcen an Ordnern und Dateien nur ein Fake. Die gesamte Umgebung, die der Angreifer bei seinen Erkundungen vorfindet, ist wie die Welt eines Computerspiels rein virtuell.

Da sich Hacker in fremden Computersystemen nur sehr langsam und vorsichtig fortbewegen, hat die IT-Abteilung genug Zeit, den Angriff zu analysieren. Wenn er eine (in diesem Fall wirkungslose) Ransomware installiert, eine Backdoor für einen Trojanervirus öffnet oder Daten abzieht, ist das für die IT genauso interessant wie die Sicherheitslücke, die der mittlerweile identifizierte Angreifer für seinen Zugriff auf das Netzwerk ausgenutzt hat. Die Administratoren haben nun ausreichend Zeit, diese Lücke zu schließen, um weitere Angriffe zu verhindern.

Deception ergänzt SIEM-Systeme

Deception-Systeme können gegenüber den traditionellen SIEM-Systemen (Security Information and Event Management) einen großen Vorteil für sich verbuchen. Ein SIEM achtet in der IT-Umgebung auf Ereignisse, die auf einen Hackerangriff oder das Eindringen eines unberechtigten Benutzers hinweisen. Dabei produzieren sie vor allem in der Anfangsphase zahlreiche Fehlalarme, die von den Admins zu überprüfen und zu klassifizieren sind. Erst mit der Zeit entwickelt sich das SIEM zu einem treffsicheren Werkzeug.

Bei einem Deception-System hingegen bilden Fehlalarme eher die Ausnahme, da die ausgelegten Köder für die regulären Benutzer uninteressant sind. Wenn jemand etwa eine Datenbank öffnet, die ausschließlich erfundene Datensätze umfasst, handelt es sich mit hoher Wahrscheinlichkeit nicht um einen legitimen User.

Gleichzeitig lässt sich per Deception die Dwell Time erheblich reduzieren. Darunter versteht man die Zeit, in der ein Hacker in einem Unternehmensnetzwerk unentdeckt bleibt. Zuletzt lag dieser Wert weltweit durchschnittlich bei 56 Tagen. Laut Cybertrap lässt er sich mit einem Deception-System um bis zu 97 % reduzieren.

Die Deception-Technik kann ein SIEM-System nicht ersetzen. Sie bildet allerdings in vielen Fällen eine sinnvolle Ergänzung und ist dazu geeignet, den Schutz vor unbemerkt ins Firmennetz eingedrungenen Angreifern deutlich zu erhöhen.

Roland-Freist.jpg

Roland Freist, Jahrgang 1962, begann nach einem Studium der Kommunikations­­wissenschaft ein Volontariat beim IWT Verlag in Vater­­stetten bei München. Anschließend wechselte er zur Zeitschrift WIN aus dem Vogel Verlag, wo er zum stell­­vertretenden Chef­­redakteur aufstieg. Seit 1999 arbeitet er als freier Autor für Computer­­zeitschriften und PR-Agenturen. Seine Spezial­­gebiete sind Security, Mobile, Internet-Technologien und Netz­­werke, mit Fokus auf Endanwender und KMU.


Redaktionsbüro Roland Freist, Fritz-Winter-Str. 3, 80807 München, Tel.: (089) 62 14 65 84, roland@freist.de

Nützliche Links