Im Durch­schnitt dauert es sieben Jahre, bis ein Zero-Day-Exploit entdeckt wird. Sieben Jahre können Angreifer also un­ge­hin­dert Un­ter­neh­men und Or­ga­ni­sa­tio­nen durch Si­cher­heits­lü­cken in ihren An­wen­dun­gen aus­spio­nie­ren. Der wirt­schaft­li­che Schaden, der so entstehen kann, ist enorm.

Umso wichtiger ist es, dass Un­ter­neh­men ihre IT-Si­cher­heit ernst nehmen und Maßnahmen ergreifen, um sich best­mög­lich vor diesen Angriffen zu schützen.

Was ist ein Zero-Day-Exploit?

Der Begriff Zero-Day-Exploit spielt darauf an, dass ein Un­ter­neh­men null Tage (zero day) Zeit hat, um eine Si­cher­heits­lü­cke zu schließen, ehe eine Gefahr entsteht. Denn in der Regel fällt dem Un­ter­neh­men die Schwach­stel­le in der Software erst auf, nachdem bereits ein Schaden ein­ge­tre­ten ist. Angreifer haben die Si­cher­heits­lü­cke bereits lange zuvor entdeckt und genutzt, um Spyware oder Malware mithilfe von Rootkits, Trojanern und Co. ein­zu­schleu­sen.

De­fi­ni­ti­on

Zero-Day-Exploits sind Ha­cker­an­grif­fe, bei denen sich Angreifer eine Si­cher­heits­lü­cke in einer Software zunutze machen, ehe Un­ter­neh­men diese erkennen und einen Patch für die Schwach­stel­len pro­gram­mie­ren können.

Ablauf eines Zero-Day-Exploits:

  1. Der Ent­wick­ler pro­gram­miert Software und schreibt dabei Code, der ver­se­hent­lich eine Schwach­stel­le (zero day vul­nerabi­li­ty) enthält, über die Angreifer In­for­ma­tio­nen abziehen oder Systeme ma­ni­pu­lie­ren können.
  2. Ein Angreifer findet die Schwach­stel­le, bevor sie dem Un­ter­neh­men auffällt. Statt das Un­ter­neh­men auf den Fehler hin­zu­wei­sen, schreibt der Hacker Code (sog. Exploit), um die Lücke aus­zu­nut­zen. Mög­li­cher­wei­se wendet er den Exploit nicht selbst an, sondern verkauft ihn auf dem Schwarz­markt, wo er bis zu mehrere tausend Euro für den Code erhält.
  3. Das Un­ter­neh­men wird auf den Zero-Day-Exploit auf­merk­sam – durch Zufall, durch einen Kun­den­hin­weis oder eine Scha­dens­mel­dung. Erst jetzt können die Ent­wick­ler einen Si­cher­heits­patch ent­wi­ckeln, um die Lücke zu schließen. Der Schaden ist (mit hoher Wahr­schein­lich­keit) bereits ein­ge­tre­ten.

Wer ist besonders gefährdet?

Ein­falls­to­re für Exploits sind meist An­wen­dun­gen der großen Di­gi­tal­kon­zer­ne wie Google, Apple und Microsoft. Vor allem Microsoft ist ein häufiges Ziel von Zero-Day-Angriffen. Prin­zi­pi­ell sind somit alle Un­ter­neh­men gefährdet, die Software dieser Anbieter verwenden.

Das Risiko, Opfer eines Zero-Day-Exploits zu werden, steigt für Un­ter­neh­men zudem mit wach­sen­dem Erfolg, denn damit rücken sie au­to­ma­tisch stärker in den Fokus von Cy­ber­kri­mi­nel­len. Doch auch kleinere Un­ter­neh­men in hart um­kämpf­ten Branchen können Opfer solcher Exploits werden, die vielfach zur In­dus­trie­spio­na­ge ein­ge­setzt werden.

Tipp

Google führt seit 2014 eine Liste mit den größten bekannt ge­wor­de­nen Zero-Day-Exploits. Auf der „0day – in the Wild“ genannten Liste sind u. a. Microsoft, Apple, Facebook, Adobe und Mozilla zu finden.

Was macht einen Zero-Day-Exploit besonders ge­fähr­lich?

Die Zero-Day-Cy­ber­an­grif­fe sind besonders ge­fähr­lich, weil die Hacker einen zeit­li­chen Vorsprung vor ihrem Opfer haben. Es können Monate und Jahre vergehen, in denen Angreifer Un­ter­neh­men unbemerkt ausspähen.

Anti-Vi­ren­soft­ware erkennt die Exploits nicht, da die ge­schrie­be­nen An­griffs­mus­ter nicht bekannt und damit auch nicht in der Datenbank sind. Wird die Schwach­stel­le schließ­lich bekannt, können die po­ten­zi­ell be­trof­fe­nen Un­ter­neh­men nicht ad hoc reagieren, sondern müssen warten, bis die Ent­wick­ler der be­trof­fe­nen Anwendung einen Si­cher­heits­patch ver­öf­fent­licht haben. Erst nach der In­stal­la­ti­on dieses Patches ist die Si­cher­heit wie­der­her­ge­stellt.

Ver­öf­fent­licht der Her­stel­ler einer Software einen Patch, der – aus welchen Gründen auch immer – vom Un­ter­neh­men nicht in­stal­liert wird, bleibt die Si­cher­heits­lü­cke bestehen.

Hinweis

Einige Hacker bieten Zero-Day-Exploits nicht nur auf dem Schwarz­markt, sondern auch Software-Her­stel­lern zum Kauf an, die dann ihre Produkte absichern können.

Wie können sich Un­ter­neh­men wirksam gegen Zero-Day-Exploits schützen?

Ein Schutz vor Zero-Day-Exploits ist schwierig. Ver­schie­de­ne Si­cher­heits­maß­nah­men können jedoch die Wahr­schein­lich­keit mi­ni­mie­ren, dass es zum Schaden kommt, selbst wenn ein Angriff durch­ge­führt wird.

Während tra­di­tio­nel­le An­ti­vi­ren­soft­ware bei Zero-Day-Exploits aufgrund der un­be­kann­ten Viren-Signatur nicht greift, können ver­hal­tens­ba­sier­te Si­cher­heits­lö­sun­gen wirksam Abhilfe schaffen. Intrusion-Detection-Systeme (IDS) und Intrusion-Pre­ven­ti­on-Systeme (IPS) über­wa­chen mithilfe von Al­go­rith­men und Heu­ris­ti­ken die Da­ten­be­we­gun­gen und Da­ten­zu­grif­fe im Un­ter­neh­men und geben Warn­mel­dun­gen aus, wenn Anomalien entdeckt werden, oder ergreifen au­to­ma­ti­siert Ge­gen­maß­nah­men.

Die Gefahr von Da­ten­miss­brauch können Un­ter­neh­men zudem durch Im­ple­men­tie­rung von Ver­schlüs­se­lung, Be­rech­ti­gungs­sys­te­men und Kon­trol­len ver­bes­sern.

Da grund­sätz­lich jede Software einen An­griffs­punkt für Exploits bietet, sollte die Zahl der in­stal­lier­ten An­wen­dun­gen auf ein Minimum be­schränkt bleiben. Software sollte immer in der ak­tu­ells­ten Version verwendet und aus­ge­führt werden – inklusive aller ver­füg­ba­ren Si­cher­heits­up­dates. Nicht ver­wen­de­te An­wen­dun­gen sollten von den Rechnern entfernt werden.

Mit diesen Maßnahmen lässt sich zwar keine hun­dert­pro­zen­ti­ge Si­cher­heit erreichen. Die Gefahr, durch einen Zero-Day-Exploit wirt­schaft­li­chen Schaden zu erleiden, kann so jedoch erheblich reduziert werden.

Zum Hauptmenü