Was ist eine Zero-Day-Schwachstelle?
Eine Zero-Day-Schwachstelle ist ein Software-Sicherheitsfehler, den der Anbieter oder Entwickler gerade erst entdeckt hat, sodass sie keine Zeit hatten, einen Patch zu erstellen oder zu veröffentlichen. Da es noch keine Lösung gibt, können Cyberkriminelle diese Schwachstellen ausnutzen, um Angriffe zu starten, die schwer zu erkennen und zu stoppen sind.
Zum Beispiel zeigte der WannaCry-Ransomware-Angriff im Mai 2017, wie schädlich Zero-Day-Schwachstellen sein können. Dieser weltweite Angriff traf mehr als 200.000 Computer in 150 Ländern, indem er eine Windows-Schwachstelle nutzte, bevor viele Organisationen ihre Systeme aktualisieren konnten.
Hauptmerkmale eines Zero Day
- Unbekannt für den Anbieter: Der Softwareersteller ist sich der Existenz der Schwachstelle nicht bewusst, bis ein Angriff erfolgt oder sie von Forschern offengelegt wird.
- Kein Patch verfügbar: Zum Zeitpunkt der Entdeckung gibt es kein offizielles Sicherheitsupdate oder „Fix“.
- Hohes Risiko: Reguläre Antiviren-Tools, die bekannte Bedrohungssignaturen verwenden, übersehen oft Zero-Day-Exploits, da diese Bedrohungen neu und unbekannt sind.
- Unmittelbare Bedrohung: Angreifer haben einen klaren Vorteil, bis ein Patch veröffentlicht und angewendet wird.
Wie ein Zero-Day-Angriff funktioniert
Eine Zero-Day-Bedrohung folgt normalerweise einem Zeitplan, der als ‘Window of Vulnerability’ bezeichnet wird.
- Eingeführte Schwachstelle: Ein Entwickler schreibt unbeabsichtigt Code, der eine Sicherheitslücke enthält (z. B. ein Pufferüberlauf oder eine SQL-Injection-Lücke).
- Exploit Erstellt: Ein Angreifer entdeckt die Schwachstelle, bevor der Anbieter oder Sicherheitsforscher sie bemerken. Sie erstellen dann einen ‘Zero Day Exploit’, der Code, der diese Schwachstelle ausnutzt.
- Angriff Gestartet: Der Angreifer führt einen ‘Zero Day Angriff’ auf bestimmte Ziele oder sogar im gesamten Internet durch. Zu diesem Zeitpunkt können Standard-Sicherheitsscans den Angriff oft nicht erkennen.
- Entdeckung & Offenlegung: Der Anbieter erfährt schließlich von der Schwachstelle, entweder durch ein Prämienprogramm, einen Sicherheitsforscher oder durch die Entdeckung eines aktiven Angriffs.
- Patch Veröffentlicht: Der Anbieter entwickelt und verteilt ein Sicherheitsupdate. Sobald der Patch verfügbar ist, ist die Schwachstelle kein „Zero Day“ mehr, sondern wird zu einer „bekannten Schwachstelle“ (oft mit einer CVE-Nummer versehen).
Warum Zero-Day-Schwachstellen in der Cybersicherheit wichtig sind
Zero-Day-Schwachstellen gehören zu den schwerwiegendsten Risiken für Organisationen, da sie die Hauptverteidigung, das Patch-Management, umgehen.
- Umgehung von Abwehrmaßnahmen: Da ältere Sicherheitstools auf bekannten Bedrohungsdatenbanken basieren, können Zero-Day-Angriffe unbemerkt durch Firewalls und Endpunktschutz schlüpfen.
- Hoher Wert: Diese Exploits sind im Darknet sehr wertvoll. Hacker von Nationalstaaten und Gruppen mit fortgeschrittenen dauerhaften Bedrohungen (APT) behalten sie oft, um sie gegen wichtige Ziele wie kritische Infrastrukturen oder Regierungsnetzwerke einzusetzen.
- Betriebliche Auswirkungen: Die Behebung eines Zero-Days bedeutet oft Notfall-Ausfallzeiten, die Verwendung manueller Umgehungslösungen oder sogar das Abschalten von Systemen, bis ein Patch bereit ist.
Zero Day vs. Bekannte Schwachstellen
| Merkmal | Zero-Day-Schwachstelle | Bekannte Schwachstelle (N-Day) |
|---|---|---|
| Status | Unbekannt für Anbieter/Öffentlichkeit | Öffentlich bekanntgegeben |
| Patch-Verfügbarkeit | Keine | Patch existiert (aber möglicherweise nicht angewendet) |
| Erkennung | Schwierig (erfordert Verhaltensanalyse) | Einfach (signaturbasierte Erkennung) |
| Risikostufe | Kritisch / Schwerwiegend | Variabel (abhängig vom Patch-Status) |
Verwandte Begriffe
- Exploit Prediction Scoring System (EPSS)
- Common Vulnerabilities and Exposures (CVE)
- Static Application Security Testing (SAST)
- Dynamic Application Security Testing (DAST)
FAQ: Zero-Day-Schwachstelle
F: Was ist der Unterschied zwischen einer Zero-Day-Schwachstelle und einem Zero-Day-Exploit?
Die Schwachstelle ist ein Fehler im Softwarecode selbst. Der Exploit ist der tatsächliche Code oder die Technik, die Angreifer verwenden, um eine Schwachstelle auszunutzen und in ein System einzudringen.
F: Wie kann ich mich gegen Zero-Day-Angriffe schützen, wenn es keinen Patch gibt?
Da Sie nicht patchen können, was Sie nicht kennen, hängt der Schutz davon ab, mehrere Verteidigungsschichten zu verwenden:
- Verwenden Sie Web Application Firewalls (WAF), um verdächtige Verkehrsmuster zu blockieren.
- Implementieren Sie Runtime Application Self-Protection (RASP).
- Setzen Sie auf Verhaltensanalyse anstatt nur auf signaturbasierte Erkennung.
- Halten Sie einen strikten Vorfallreaktionsplan bereit, um schnell zu reagieren, sobald eine Zero-Day-Schwachstelle bekannt wird.
F: Kann Antivirensoftware Zero-Day-Angriffe erkennen?
Traditionelle Antivirensoftware, die nur ‘Signaturen’ verwendet (die wie Fingerabdrücke bekannter Malware sind), kann Zero-Day-Bedrohungen nicht finden. Moderne Endpoint Detection and Response (EDR)-Tools, die KI verwenden und auf ungewöhnliches Verhalten achten, können jedoch oft Zero-Day-Angriffe erkennen, wie z.B. unerwartete Dateiverschlüsselung oder unautorisierte Datenübertragungen.