Honeyuser
Was ist Honeyuser?
HoneyuserFiktive Identitaet in Verzeichnisdiensten und HR-Systemen, sodass jeder Anmeldeversuch oder jede Enumeration einen Angreifer sofort entlarvt.
Ein Honeyuser ist eine Koeder-Person — meist ein glaubwuerdiges Mitarbeiterprofil mit Konto in Active Directory oder Entra ID, einem HR-Datensatz und gegebenenfalls einem E-Mail-Postfach — und dient zur Erkennung von Angriffsaufklaerung und Credential-Missbrauch. Da die Persona fiktiv ist, sollten weder legitime Prozesse noch echte Personen sich jemals mit diesem Konto anmelden, seine Gruppen aufzaehlen oder ihm eine Nachricht schicken. Honeyuser sind besonders wirksam gegen Credential Dumping, Kerberoasting, AS-REP Roasting und Password Spraying. Sie sind in ITDR-Produkten wie Microsoft Defender for Identity, CrowdStrike Falcon Identity sowie in eigenstaendigen Deception-Plattformen verbreitet.
● Beispiele
- 01
AD-Konto svc-backup-2 mit schwachem Passwort, das jeden Login-Versuch meldet.
- 02
Honeyuser im HR-System, der Innentaeter beim Enumerieren des Verzeichnisses entlarvt.
● Häufige Fragen
Was ist Honeyuser?
Fiktive Identitaet in Verzeichnisdiensten und HR-Systemen, sodass jeder Anmeldeversuch oder jede Enumeration einen Angreifer sofort entlarvt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Honeyuser?
Fiktive Identitaet in Verzeichnisdiensten und HR-Systemen, sodass jeder Anmeldeversuch oder jede Enumeration einen Angreifer sofort entlarvt.
Wie funktioniert Honeyuser?
Ein Honeyuser ist eine Koeder-Person — meist ein glaubwuerdiges Mitarbeiterprofil mit Konto in Active Directory oder Entra ID, einem HR-Datensatz und gegebenenfalls einem E-Mail-Postfach — und dient zur Erkennung von Angriffsaufklaerung und Credential-Missbrauch. Da die Persona fiktiv ist, sollten weder legitime Prozesse noch echte Personen sich jemals mit diesem Konto anmelden, seine Gruppen aufzaehlen oder ihm eine Nachricht schicken. Honeyuser sind besonders wirksam gegen Credential Dumping, Kerberoasting, AS-REP Roasting und Password Spraying. Sie sind in ITDR-Produkten wie Microsoft Defender for Identity, CrowdStrike Falcon Identity sowie in eigenstaendigen Deception-Plattformen verbreitet.
Wie schützt man sich gegen Honeyuser?
Schutzmaßnahmen gegen Honeyuser kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Honeyuser?
Übliche alternative Bezeichnungen: Decoy-Konto, Koeder-Identitaet.
● Verwandte Begriffe
- defense-ops№ 482
Honey Account
Koeder-Credential oder -Konto, oft ohne ausgepraegte Persona, das beim Versuch eines Angreifers, es zu nutzen, einen Alarm ausloest.
- defense-ops№ 293
Deception-Technologie
Defensiver Ansatz, der Koeder, Breadcrumbs und gefaelschte Assets im gesamten Umfeld verteilt, um Angreifer mit hoher Praezision zu erkennen, in die Irre zu fuehren und zu beobachten.
- network-security№ 485
Honeypot
Ein bewusst exponiertes Köder-System oder -Dienst, das Angreifer anlocken, ihre Techniken aufzeichnen und sie von produktiven Assets fernhalten soll.
- network-security№ 486
Honeytoken
Ein gefälschtes Datum – Zugangsdaten, Datei, Datensatz oder API-Schlüssel – ohne legitimen Verwendungszweck, das beim Zugriff sofort einen Alarm auslöst.
- attacks№ 583
Kerberoasting
Offline-Passwortangriff, der Kerberos-Service-Tickets fuer Dienstkonten anfordert und den verschluesselten Teil knackt, um deren Klartext-Passwoerter zu gewinnen.
● Siehe auch
- № 483Honeyfile