Menü

Konzern

Christian Fischer

0 Kommentare

Honeypot: Mit KI unschlagbar effizient

Es ist noch ein bisschen früh zu sagen, dass der Hype um künstliche Intelligenz vorbei ist. Dass sich nun die Spreu vom Weizen trennt, trifft es wohl eher. Auf dem Gebiet der digitalen Lockfalle Honeypot wird niemand bestreiten, dass KI dort wirklich den Unterschied ausmachen kann und wird. 

Der Laie mag einen „Honeypot“ für eine unwiderstehliche Süßigkeit von Pu den Bären halten. In der IT-Sicherheit werden so unwiderstehliche Ziele für Angreifer genannt. Eine Lockfalle, die sie geschickt täuscht und auf die falsche Fährte führt. Davon gibt es auch nicht nur ein Exemplar, sondern eine Reihe von unterschiedlichen Honeypot-Konzepten. Jedes für eine andere Aufgabe. Die weltweit beachtete Plattform T-Pot der Deutschen Telekom ist quasi das „Schweizer Offiziersmesser“ in der Welt dieser digitalen Lockfallen. Mit Werkzeugen für viele typische Szenarien. Dafür hat T-Pot gleich mehrere Honeypots an Bord. Die jüngsten Mitglieder der Familie heißen Beelzebub und Galah und haben eins gemeinsam: Sie nutzen künstliche Intelligenz über so genannte Large Language Modelle (LLM). 

Honeypot auf Raspberry Pi Basis mit Hülle aus dem 3D-Drucker

Als Exponat auch beim MWC 2025 in Barcelona: Unsere Honeypots. © Deutsche Telekom/Norbert Ittermann; Montage: Evelyn Ebert Meneses

Mehr als nur Trendsurfing

Mach doch mal irgendwas mit KI? Darum geht es hier nicht. Um die bedeutende Rolle zu verstehen, muss man zunächst wissen, dass herkömmliche Honeypots einem von drei Konzepten folgen. Als Low-Interaction Honeypot simulieren sie lediglich Basis-Dienste oder Schnittstellen, um Angreifer anzulocken. Sie sind leicht in ein schon bestehendes Computersystem zu integrieren und zu warten. Je weniger Interaktion möglich ist, desto ungenauer ist leider das Bild über die von den Angreifern eingesetzten Taktiken, Techniken und Methoden. Dafür eignet sich dieses einfache Konzept besonders gut zur Erkennung von automatisierten Angriffen. Und weil solche Honeypots so unproblematisch in der Anwendung sind, hat sich T-Pot bislang vor allem auf diese Exemplare konzentriert.

Denn Medium- oder gar High-Interaction Honeypots oder Honeynets sind komplexer und aufwändiger zu verwalten. Das macht sie hungrig auf Ressourcen. Sie simulieren dabei nicht nur komplette Betriebssysteme. Sondern sie enthalten gar reale Schwachstellen innerhalb einer realistisch wirkenden Umgebung, wo sich Angreifer „nach Herzenslust austoben“ können. Dies erfordert mehr Speicherplatz, Rechenleistung, Netzwerkressourcen und birgt auch ein höheres Risiko. Solche Lockfallen müssen zudem in der Lage sein, eine Vielzahl von Diensten und Anwendungen auszuführen. Das führt zu einem höheren Verwaltungs-Aufwand. Der Nachteil? Da sie realistischer sind und mehr Angriffsfläche bieten, besteht ein höheres Risiko, dass ein Angreifer das Honeypot-System kompromittiert und möglicherweise in das tatsächliche Netzwerk eindringt. 

Perspektivwechsel – so sieht es die Gegenseite

Was bewirken die unterschiedlichen Konzepte bei ihren Herausforderern? Je simpler das Konzept, umso kürzer die Verweildauer. So kann man es wohl auf den Punkt bringen. Auf die Angreifer wirkt ein Low-Interaction Honeypot, wie eine statische Filmkulisse. Sie sieht auf den ersten Blick täuschend echt aus. Stellt euch vielleicht eine Straße mit Häusern vor. Fenster und Türen dieser Häuser lassen sich womöglich sogar öffnen und schließen. Und hinter den Fenstern scheinen sich eingerichtete Zimmer zu befinden. Aber wer über eine Türschwelle tritt, sieht, dass hinter der Fassade tatsächlich nur Stützen und Gerüste sind. Das Haus und alles andere in der Kulisse ist lediglich ein optisch schönes Trugbild.

So ist es auch bei einem Angriff auf eine simple Lockfalle. Sie sieht auf den ersten Blick vielleicht wie ein echtes Detail des Firmennetzes aus. Auf einfache Abfragen des Angreifers reagieren die simulierten Systeme wie erwartet. Doch dringt er einen Schritt tiefer vor, wird er nur noch generische Rückmeldung erhalten. Oder System- und Fehlermeldungen wiederholen sich und passen bei genauem Hinsehen nicht zu den realen Anfragen. Dann merkt der Angreifer schnell, dass er einem Schwindel aufgesessen ist und sucht andere Schwachstellen.

Doch das Idealbild solcher Lockfallen sieht eigentlich anders aus. Ich möchte die Angreifer so lange wie möglich beschäftigen. Damit sie ihr gewünschtes Ziel – sei es ein Firmennetz oder eine Produktionsumgebung in der Industrie – aus dem Auge verlieren. Während ihres Aufenthalts, sammele ich Informationen übe den Angriff. Ich lerne etwas über Strategien, über benutzte Werkzeuge.  Deshalb dokumentiere ich alle Interaktionen. Je mehr das sind, umso wertvoller die daraus gewonnene Erkenntnisse. Das alles setzt aber voraus, dass die Illusion eines „echten Systems“ perfekt ist. Dass der Angreifer motiviert bleibt, ja sogar kleine Erfolgserlebnisse hat. Damit er weiter macht und die Finger von den „echten Systemen“ lässt.

Auftritt KI

Mit einem High-Interaction Honeypot bekomme ich das hin. Der Preis: diese vielfältigen Möglichkeiten mit den simulierten Systemen zu interagieren, entstehen zum Teil durch Verbindungen zu den realen Diensten. Genau das ist neben Komplexität und Ressourcenhunger der Knackpunkt. Und hier kommt KI ins Spiel als echter „Gamechanger“. Denn mit dieser Unterstützung erhalte ich die Vorteile der Medium- und High-Interaction Betriebsmodelle, trage aber lediglich den geringeren Aufwand der Low-Interaction Honeypots. Gleichzeitig vermeide ich jeweils die deutlichsten Nachteile. Um bei dem Bild mit der statischen Filmkulisse zu bleiben: Künstliche Intelligenz ist in der Lage, daraus ein belebtes Filmset zu machen. Mit Schauspielern, mit Statisten, ja sogar mit kleinen Spezialeffekten. Und in sämtlichen Rollen: Die KI selbst.

Nehmen wir Galah, der seine Fähigkeiten großen KI-Sprachmodellen verdankt. Galah reagiert auf Web-Anfragen und ist im Prinzip ein hochspezialisierter Chatbot. Seine dynamischen und dabei realistisch wirkenden Antworten beschäftigen Angreifer wesentlich länger. Er gibt nämlich nicht nur das erwartete Ergebnis aus, sondern tut danach so, als hätte die Anfrage etwas bewirkt. Der Angreifer hat so den Eindruck, sich Zwiebelschale für Zwiebelschale dem Allerheiligsten seines Ziels zu nähern. In Wahrheit führt er lediglich einen Dialog mit dem Bot.

Beelzebub folgt einem ähnlichen Ansatz und spielt seine Stärken insbesondere auf dem Gebiet der Protokolle aus. Etwa als so genanntes SSH Protokoll, das beispielsweise zur Fernwartung von vernetzten Geräten, über Server, bis hin zu ganzen Rechenzentren verwendet werden kann. Wer Beelzebub anzapft, erbeutet keine sensiblen Informationen, sondern erhält streng genommen lediglich einen Haufen Blödsinn. Ohne das jedoch auf den ersten Blick zu bemerken. 

Fazit

Die Zukunft von Honeypots wird durch künstliche Intelligenz also klar aufgewertet.  Herkömmliche Konzepte bieten oft nur eine statische Abwehr oder sind zu komplex und aufwändig im Betrieb.  KI-gestützte Systeme wie Galah und Beelzebub simulieren ein wesentlich dynamischeres Umfeld. So bleiben Angreifer länger beschäftigt und generieren dabei wertvollere Daten über ihre Taktiken und Werkzeuge. Der Aufwand und die Risiken traditioneller High-Interaction Honeypots gehört der Vergangenheit an.

Mehr zu den Honeypots mit KI-Unterstützung beim Mobile World Congress in Barcelona vom 3. bis zum 6. März 2025. Am Stand der Deutschen Telekom zeigen wir Einsatz-Beispiele unserer Modelle. Aber wir zeigen auch, wo künstliche Intelligenz bereits heute hilft, uns und unsere Kundinnen und Kunden sicherer zu machen.

Christian Fischer

Christian Fischer

Pressesprecher und Telekom Blogger

Profil und weitere Artikel

Symbolfoto KI

KI bei der Telekom

Wir geben Einblicke in KI-Projekte der Telekom.

Überblick

FAQ

Cookies und ähnliche Technologien

Wir setzen Cookies und ähnliche Technologien auf unserer Website ein, um Informationen auf Ihrem Endgerät zu speichern, auszulesen und weiterzuverarbeiten. Dadurch verbessern wir Ihr Erlebnis, analysieren den Traffic auf der Website und zeigen Ihnen Inhalte und Werbung, die für Sie interessant sind. Dafür werden website- und geräteübergreifend Nutzungsprofile erstellt. Auch unsere Partner nutzen diese Technologien.


Wenn Sie „Nur erforderliche“ wählen, akzeptieren Sie nur Cookies, die zum richtigen Funktionieren unserer Website nötig sind. „Alle akzeptieren“ bedeutet, dass Sie den Zugriff auf Informationen auf Ihrem Endgerät und die Verwendung aller Cookies zur Analyse und für Marketingzwecke durch Deutsche Telekom AG und unsere Partner erlauben. Ihre Daten könnten dann in Länder außerhalb der Europäischen Union übermittelt werden, wo wir kein Datenschutzniveau garantieren können, das dem der EU entspricht (siehe Art. 49 (1) a DSGVO). Unter „Einstellungen“ können Sie alles im Detail festlegen und Ihre Einwilligung jederzeit ändern.


Weitere Informationen finden Sie im Datenschutzhinweis und in der Partnerliste.