Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Best-Practice

Honeypots: Locken, Lauschen, Lernen – so entlarven Sie Angreifer im eigenen Netz

Angreifer hassen Überraschungen. Vor allem dann, wenn die Beute am Ende nur eine raffinierte Falle ist. Mit einem Honeypot geben Sie Ihrem Netz einen Frühwarnsensor, der Ihnen zeigt, wer sich dort heimlich umschaut und das lange bevor echter Schaden entsteht.

Andreas Hessel

21.08.2025 · 7 Min Lesezeit

Honeypots sind kein Hexenwerk. Sie brauchen keine Millionen für ein SIEM oder ein Security Operations Center. Schon ein gut platzierter, bewusst verwundbarer Köder reicht, um Attacken sichtbar zu machen. Entscheidend ist, dass Sie den Betrieb sauber aufsetzen, pflegen und die Erkenntnisse auswerten.

Kurzer Einstieg in 8 Schritten: So setzen Sie Honeypots pragmatisch ein

  1. Ziele klären: Überlegen Sie zuerst: Was wollen Sie beobachten? Klassische Einsatzszenarien sind z. B. Angriffe auf SMB-Freigaben, RDP, SSH oder Admin-Konten.
  2. Systemwahl: Nutzen Sie Open-Source-Honeypots wie Dionaea, Cowrie (SSH/Telnet) oder HoneyDB, wenn Sie nur leichte Ressourcen haben. Für Windows-Umgebungen kann ein simpler File-Share mit Lockdateien reichen.
  3. Virtualisierung nutzen: Setzen Sie Honeypots als VM auf. So lassen sich Kompromittierungen zurücksetzen und Sie laufen nicht Gefahr, dass ein Angreifer aus dem Köder-System ausbricht.
  4. Isolierung nicht vergessen: Ein Honeypot gehört in ein eigenes, gut abgeschottetes Netzwerksegment. Keine Verbindung zu Produktivsystemen!
  5. Logging aktivieren: Sorgen Sie dafür, dass Angriffsversuche detailliert geloggt werden – am besten zentral auf ein Syslog- oder ELK-Stack-System. So gehen keine Spuren verloren.
  6. Täuschung verfeinern: Ein guter Honeypot sieht echt aus. Legen Sie Fake-Dateien an, konfigurieren Sie Standard-Ports, geben Sie dem System realistische Namen. So bleibt der Köder verlockend.
  7. Alarme einrichten: Definieren Sie Schwellenwerte, ab wann ein Alarm an Ihr Team oder SIEM-System geht. So reagieren Sie nicht auf jeden Fehlalarm, behalten aber verdächtige Muster im Blick.
  8. Ergebnisse auswerten: Ein Honeypot bringt nur etwas, wenn Sie die gesammelten Daten auch deuten. Wer greift an? Mit welchen Tools? Daraus lassen sich interne Schwachstellen ableiten.

Wann lohnt sich ein Honeypot besonders? Das sollten Sie wissen.

  • Wenn Sie keine 24/7-SOC-Überwachung haben, aber wissen wollen, ob sich jemand in Ihrem Netz bewegt.
  • Als Ergänzung zu IDS/IPS-Systemen, um Angriffe abseits der „Main Street“ zu erkennen.
  • Um das Sicherheitsbewusstsein im Team zu schärfen, denn ein Honeypot macht Angriffe greifbar und liefert Fakten für Schulungen.