Honeytokens – Verführerische Hackerjagd
Die Sicherheit von Daten kann in unserer hochvernetzten und computerisierten Gesellschaft jederzeit kompromittiert werden. Je komplexer die Netze werden, desto schwieriger wird es zu überwachen, wer auf welche Daten wann und warum Zugriff haben darf oder eben nicht. Angriffe, die ihren Ursprung ausserhalb des eigenen Netzes haben, lassen sich mit geeigneten Mitteln mitunter noch abfangen und abwehren. Attacken von innerhalb des Netzwerks sind dagegen ungleich schwieriger abzuwehren - oder auch nur zu entdecken. Und dabei geht es nicht nur um böswillige Angriffe, die eine Schädigung des Systems zum Ziel haben - gerade so gefährlich ist häufig schon der reine Zugriff auf Daten durch Individuen, die dazu aus beliebigen Gründen nicht autorisiert sind.
Neben Firewalls, Intrusion-Detection- (IDS) und Intrusion-Prevention-Systemen (IPS) haben in den vergangenen Jahren insbesondere auch sogenannte Honeypots eine grosse Beliebtheit erfahren. Honeypot werden Systeme genannt, die einen einzigen Zweck haben: von Hackern angegriffen zu werden. Sie dienen dazu, die Bewegungen, Arbeitsmethoden und Ziele der Angreifer am lebenden Objekt zu studieren. Dementsprechend werden Honeypots im Netz an prominenter Stelle angesiedelt, mit einigen unwichtigen Daten versehen und mit Firewalls und IDS so verbunden, dass die letztgenannten Sicherheitssysteme beim Nachvollziehen der Schritte des Hackers helfen können. Wichtig dabei ist insbesondere, dass der Honeypot keinen produktiven Nutzen hat - sein einziger (und wertvoller) Nutzen liegt eben darin, dass keiner darauf zugreifen darf. Sobald dennoch ein Zugriff auf diesen Rechner erfolgt, weiss man, dass man ein Problem hat - und kann entsprechend reagieren.
So praktisch Honeypots sind und so viel durch diese Systeme schon über Sicherheit und Hacker gelernt werden konnte - das Konzept ist auch mit einigen Problemen behaftet. So können Honeypots, je nachdem wie offen und damit nützlich sie sind, unter Umständen auch von Hackern gekapert und danach beispielsweise für DoS-Attacken verwendet werden. Auch helfen Honeypots kaum dabei, interne Angriffe zu entdecken. Und nicht zuletzt ist der Betrieb eines Honeypots - von der Installation über die Instandhaltung bis hin zur Analyse der gesammelten Daten - recht aufwendig und entsprechend teuer, zumal damit ein komplettes System ungenutzt herumsteht.
Die JFK-Krankengeschichte
Hier kommt das neue Konzept der Honeytokens ins Spiel. Der Begriff Honeytoken wurde erstmals 2003 von Augusto Paes de Barros in der Honeypots-Mailingliste verwendet und bezeichnet grundsätzlich ein nutzloses Datenstück, das als Köder verwendet wird. Wie Lance Spitzner, einer der "Erfinder" des Honeypot-Konzepts, schreibt, ist ein Honeytoken alles, was ein Honeypot auch ist, ausser dass es sich dabei explizit nicht um einen Computer handelt.
Ein Honeytoken kann demnach ein Excel-Sheet sein, ein Word-Dokument, aber auch eine Kreditkartennummer oder ein Datenbankeintrag, mitunter sogar ein gefälschtes Benutzerkonto mitsamt Passwort oder irgendein beliebiges anderes Stück digitaler Information - in welcher Form ein Honeytoken auftritt, spielt letztlich keine Rolle. Wichtig ist bloss, dass es ausschliesslich einem einzigen Zweck dient, nämlich dass es unautorisiert genutzt wird.
Mit anderen Worten: Niemand darf einen rechtmässigen Grund haben, ein Honeytoken zu nutzen oder auch nur darauf zuzugreifen. Daraus folgt im Umkehrschluss, dass jeder Zugriff, jede Nutzung und überhaupt jede Aktivität im Umfeld des Honeytoken mit sehr hoher Wahrscheinlichkeit als Angriff oder zumindest als Verletzung von Richtlinien verstanden werden muss.
Als geradezu klassisches Beispiel für den Einsatz von Honeytokens gilt die sogenannte "John F. Kennedy"-Krankengeschichte. In den USA ebenso wie hierzulande fallen Krankengeschichten in Spitälern und bei Ärzten unter strenge Datenschutzrichtlinien, nur autorisierte Ärzte, Krankenschwestern und sonstiges Pflegepersonal dürfen darauf Zugriff haben, während die Daten für technisches Personal, den Nachtwächter oder andere unberechtigte Personen nicht zugänglich zu bleiben haben. Dennoch ist nie ganz auszuschliessen, dass nicht auch unautorisierte Personen Interesse an den Informationen haben, denen auf normalem Wege kaum auf die Schliche gekommen werden kann.
Abhilfe schafft hier ein Honeytoken - indem nämlich in der Datenbank ein Datensatz mit falschen Informationen unter dem Namen John F. Kennedy erstellt wird. Ein realer Patient mit diesem Namen existiert nicht, der Datensatz hat keinen realen Wert und keinen echten Nutzen, und dennoch muss er auf einen Datenspion äussert attraktiv wirken. Sobald nun jemand auf diesen Datensatz zugreift, weiss man, dass irgendeiner im Netz unautorisiert Informationen ausspäht. Dazu braucht es weder ausgeklügelte Algorithmen oder komplexe Systeme - schon die simple Überwachung der Datenbank beweist die missbräuchliche Nutzung.