Honeyfile
Was ist Honeyfile?
HoneyfileEine Koederdatei im Speicher, die einen Alarm auslost, sobald ein Angreifer oder Innentaeter sie liest, kopiert oder exfiltriert.
Ein Honeyfile ist ein gefaelschtes, aber glaubwuerdiges Dokument — etwa passwords.xlsx, vertraege-2026.docx oder aws-keys.txt — das in Verzeichnissen platziert wird, in denen neugierige Angreifer oder boeswillige Innentaeter wahrscheinlich stoebern. Die Datei enthaelt keinen realen Inhalt, ist aber so instrumentiert, dass jeder Zugriff einen sofortigen und sehr praezisen Alarm ausloest. Honeyfiles sind kostenguenstig, erzeugen kaum Fehlalarme und eignen sich besonders zur Erkennung von Lateral Movement, Ransomware-Aufklaerung und Datendiebstahl. Sie werden auf Dateifreigaben, Endpunkten und Cloud-Buckets eingesetzt und ergaenzen EDR- und DLP-Loesungen als Teil einer umfassenden Deception-Strategie.
● Beispiele
- 01
Eine gefaelschte passwords.xlsx auf einem Fileshare, die das SOC beim Oeffnen benachrichtigt.
- 02
Eine Canary-AWS-Zugangsdatei, die bei Nutzung an der IAM-API einen Alarm ausloest.
● Häufige Fragen
Was ist Honeyfile?
Eine Koederdatei im Speicher, die einen Alarm auslost, sobald ein Angreifer oder Innentaeter sie liest, kopiert oder exfiltriert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Honeyfile?
Eine Koederdatei im Speicher, die einen Alarm auslost, sobald ein Angreifer oder Innentaeter sie liest, kopiert oder exfiltriert.
Wie funktioniert Honeyfile?
Ein Honeyfile ist ein gefaelschtes, aber glaubwuerdiges Dokument — etwa passwords.xlsx, vertraege-2026.docx oder aws-keys.txt — das in Verzeichnissen platziert wird, in denen neugierige Angreifer oder boeswillige Innentaeter wahrscheinlich stoebern. Die Datei enthaelt keinen realen Inhalt, ist aber so instrumentiert, dass jeder Zugriff einen sofortigen und sehr praezisen Alarm ausloest. Honeyfiles sind kostenguenstig, erzeugen kaum Fehlalarme und eignen sich besonders zur Erkennung von Lateral Movement, Ransomware-Aufklaerung und Datendiebstahl. Sie werden auf Dateifreigaben, Endpunkten und Cloud-Buckets eingesetzt und ergaenzen EDR- und DLP-Loesungen als Teil einer umfassenden Deception-Strategie.
Wie schützt man sich gegen Honeyfile?
Schutzmaßnahmen gegen Honeyfile kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Honeyfile?
Übliche alternative Bezeichnungen: Koederdatei, Canary-Datei.
● Verwandte Begriffe
- defense-ops№ 293
Deception-Technologie
Defensiver Ansatz, der Koeder, Breadcrumbs und gefaelschte Assets im gesamten Umfeld verteilt, um Angreifer mit hoher Praezision zu erkennen, in die Irre zu fuehren und zu beobachten.
- defense-ops№ 487
Honeyuser
Fiktive Identitaet in Verzeichnisdiensten und HR-Systemen, sodass jeder Anmeldeversuch oder jede Enumeration einen Angreifer sofort entlarvt.
- defense-ops№ 482
Honey Account
Koeder-Credential oder -Konto, oft ohne ausgepraegte Persona, das beim Versuch eines Angreifers, es zu nutzen, einen Alarm ausloest.
- network-security№ 486
Honeytoken
Ein gefälschtes Datum – Zugangsdaten, Datei, Datensatz oder API-Schlüssel – ohne legitimen Verwendungszweck, das beim Zugriff sofort einen Alarm auslöst.
- network-security№ 485
Honeypot
Ein bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll.
- defense-ops№ 012
Aktive Verteidigung
Verteidigungsstrategie, die ueber passives Monitoring hinausgeht und Angreifer innerhalb der eigenen Netze und Assets konfrontiert, taeuscht und stoert.