Skip to content

Was ist ein Honeypot, welche Typen gibt es, und welchen Wert bietet er einem Blue Team?

Kurzantwort

Ein Honeypot ist ein Ködersystem oder -dienst ohne legitimen geschäftlichen Zweck, das bewusst exponiert wird, um Angreifer anzulocken. Da nichts Gutartiges ihn je berühren sollte, ist jede Interaktion ein hochsicherer Alarm. Honeypots mit niedriger Interaktion emulieren Dienste günstig; solche mit hoher Interaktion sind echte Systeme, die reichere Intel liefern, aber mehr Risiko bergen. Honeytokens sind dieselbe Idee, angewandt auf gefälschte Anmeldedaten, Dateien oder Datensätze. Wert: frühe Erkennung, wenige Fehlalarme und Threat Intelligence.

Ein Honeypot stellt die Erkennung auf den Kopf. Statt zu versuchen, Angriffe aus Bergen legitimen Verkehrs herauszupicken, stellst du etwas auf, das kein legitimer Nutzer je berühren sollte – sodass jeder Kontakt per Definition verdächtig ist. Interviewer stellen diese Frage, um zu sehen, ob du Täuschung als Erkennungsstrategie und ihre Abwägungen verstehst.

Was es ist

Ein Honeypot ist ein Köder-System, -Dienst oder -Konto ohne Produktivzweck, platziert dort, wo ein Angreifer wahrscheinlich sondiert. Da er keine echten Nutzer hat, erzeugt er fast keine Fehlalarme: Ein Treffer bedeutet Scanning, Lateral Movement oder einen aktiven Einbruch. Über das Alarmieren hinaus erfasst er die Werkzeuge, Techniken und Infrastruktur des Angreifers – wertvolle Threat Intelligence.

Typen

  • Niedrige Interaktion – emuliert Dienste (ein gefälschtes SSH-Banner, ein offenes „RDP"), um Verbindungsversuche zu protokollieren. Günstig, sicher, aber begrenzt; ein sorgfältiger Angreifer merkt vielleicht, dass es gefälscht ist.
  • Hohe Interaktion – ein echtes, voll funktionsfähiges System. Es liefert reiche Verhaltensdaten, ist aber gefährlich: Wird es kompromittiert, könnte es zum Pivotieren genutzt werden, daher muss es stark isoliert und überwacht sein.
  • Honeytokens / Canaries – das Konzept angewandt auf gefälschte Daten: falsche Anmeldedaten, eine Köderdatei „passwords.xlsx", ein gefälschtes AD-Konto oder ein Stolperdraht-API-Schlüssel. Sobald jemand sie nutzt, weißt du, dass es einen Eindringling gibt, oft tief in der Umgebung.
  • Ein Netzwerk von Honeypots ist ein Honeynet.

Wert und Risiko

Stärken: frühe, hochsichere Erkennung und Intel. Risiken: Ein schlecht isolierter Honeypot mit hoher Interaktion kann zur Startrampe werden; und ein Honeypot sieht nur Angreifer, die mit ihm interagieren, er ergänzt also deine primäre Überwachung – ersetzt sie aber nie.

Warum das wichtig ist

Eine starke Antwort definiert das Köderkonzept, betont die Eigenschaft der wenigen Fehlalarme, unterscheidet niedrige vs. hohe Interaktion und erwähnt Honeytokens für die Erkennung im Netzwerk sowie das Isolationsrisiko. Das zeigt, dass du Täuschung als bewusste, geräuscharme Verteidigungsschicht begreifst.

Wahrscheinliche Anschlussfragen

  • Warum erzeugt ein Honeypot im Vergleich zu einem normalen IDS so wenige Fehlalarme?
  • Welches zusätzliche Risiko bringt ein Honeypot mit hoher Interaktion, und wie minderst du es?
  • Wie würdest du einen Honeytoken in Active Directory bereitstellen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.