Ein Cyberkrimineller schickt eine Anfrage an einen scheinbar ungeschützten Server. Doch die sensiblen Daten, die er zurückbekommt, sind alles andere als echt - er ist auf einen Honeypot gestoßen. Diese digitalen Fallen locken Angreifer gezielt an und zeichnen ihre Aktionen auf.
In der Praxis hängt die Wirksamkeit solcher Honeypots davon ab, wie realistisch sie wirken. Weil die Wartung teuer ist, hielt sich der Aufwand bisher in Grenzen. Das ändert sich nun mit KI: Large Language Models können überzeugende Umgebungen zu einem Bruchteil der bisherigen Kosten erzeugen.
Wie computerwoche.de berichtet, wurde das Honeypot-Konzept bereits 1986 vom Astronomen Clifford Stoll erfunden. Er lockte deutsche Hacker in die Falle, die über eine ARPANET-Verbindung US-Militärgeheimnisse stehlen wollten. Seitdem haben sich die Methoden stark weiterentwickelt.
Die Deutsche Telekom ist Nutzer und Anbieter eines KI-Honeypots - über ihre kostenlose Open-Source-Plattform T-Pot. Sicherheitschef Thomas Tschersich erklärt den Unterschied mit einer Film-Analogie: "Sowohl komplexe Kulissen aus Holz als auch CGI-Effekte sind Fassaden - aber Letzteres ist deutlich kostengünstiger und im Ergebnis kaum noch von einer physischen Kulisse zu unterscheiden."
Der KI-Honeypot der Telekom passt sich in Echtzeit an die Anfragen von Cyberkriminellen an, um diese möglichst lange in der Falle zu halten. Im Idealfall bemerken die Angreifer gar nicht, dass sie sich in einer Falle befinden.
Allerdings bergen KI-Honeypots auch Risiken. Weil die Ergebnisse von KI-Modellen auf Mustererkennung basieren, könnten Cyberkriminelle mit unkonventionellen Angriffen durch das Raster fallen. Zudem könnten raffinierte Akteure versuchen, die Honeypot-Daten zu manipulieren.
