Honeytoken
Was ist Honeytoken?
HoneytokenEin gefälschtes Datum – Zugangsdaten, Datei, Datensatz oder API-Schlüssel – ohne legitimen Verwendungszweck, das beim Zugriff sofort einen Alarm auslöst.
Ein Honeytoken ist ein Täuschungsartefakt, das gezielt in echten Systemen platziert wird, sodass jeder Zugriff bauartbedingt böswillig oder zumindest anomal ist. Beispiele sind eingeschleuste Benutzerkonten, fiktive Datenbankzeilen, AWS-Köderschlüssel, mit Wasserzeichen versehene Dokumente oder DNS-Einträge, die beim Auflösen einen Beacon senden. Da Honeytokens nie von legitimen Prozessen verwendet werden, erzeugen sie nahezu null False Positives und liefern ein hochwertiges Frühsignal für Credential-Diebstahl, Daten-Staging oder Insider-Missbrauch. Sie ergänzen klassische Detektion, indem sie die Sichtbarkeit auf Bereiche mit dünner Logabdeckung wie Drittanbieter-SaaS, Code-Repositories und Backups ausweiten.
● Beispiele
- 01
Im Git-Repository platzierter AWS-Zugangsschlüssel, der bei Nutzung Alarm schlägt.
- 02
Fake-Datei "Gehaelter_Vorstand.xlsx" auf einem Fileshare, deren Öffnen protokolliert wird.
● Häufige Fragen
Was ist Honeytoken?
Ein gefälschtes Datum – Zugangsdaten, Datei, Datensatz oder API-Schlüssel – ohne legitimen Verwendungszweck, das beim Zugriff sofort einen Alarm auslöst. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Honeytoken?
Ein gefälschtes Datum – Zugangsdaten, Datei, Datensatz oder API-Schlüssel – ohne legitimen Verwendungszweck, das beim Zugriff sofort einen Alarm auslöst.
Wie schützt man sich gegen Honeytoken?
Schutzmaßnahmen gegen Honeytoken kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Honeytoken?
Übliche alternative Bezeichnungen: Köder-Zugangsdaten, Lock-Datensatz.