Zero-Day-Exploit: Erklärung und Schutzmöglichkeiten

Im Durchschnitt dauert es sieben Jahre, bis ein Zero-Day-Exploit entdeckt wird. Sieben Jahre können Angreifer also ungehindert Unternehmen und Organisationen durch Sicherheitslücken in ihren Anwendungen ausspionieren. Der wirtschaftliche Schaden, der so entstehen kann, ist enorm.

Umso wichtiger ist es, dass Unternehmen ihre IT-Sicherheit ernst nehmen und Maßnahmen ergreifen, um sich bestmöglich vor diesen Angriffen zu schützen.

Was ist ein Zero-Day-Exploit?

Der Begriff Zero-Day-Exploit spielt darauf an, dass ein Unternehmen null Tage (zero day) Zeit hat, um eine Sicherheitslücke zu schließen, ehe eine Gefahr entsteht. Denn in der Regel fällt dem Unternehmen die Schwachstelle in der Software erst auf, nachdem bereits ein Schaden eingetreten ist. Angreifer haben die Sicherheitslücke bereits lange zuvor entdeckt und genutzt, um Spyware oder Malware mithilfe von Rootkits, Trojanern und Co. einzuschleusen.

Definition

Zero-Day-Exploits sind Hackerangriffe, bei denen sich Angreifer eine Sicherheitslücke in einer Software zunutze machen, ehe Unternehmen diese erkennen und einen Patch für die Schwachstellen programmieren können.

Ablauf eines Zero-Day-Exploits:

  1. Der Entwickler programmiert Software und schreibt dabei Code, der versehentlich eine Schwachstelle (zero day vulnerability) enthält, über die Angreifer Informationen abziehen oder Systeme manipulieren können.
  2. Ein Angreifer findet die Schwachstelle, bevor sie dem Unternehmen auffällt. Statt das Unternehmen auf den Fehler hinzuweisen, schreibt der Hacker Code (sog. Exploit), um die Lücke auszunutzen. Möglicherweise wendet er den Exploit nicht selbst an, sondern verkauft ihn auf dem Schwarzmarkt, wo er bis zu mehrere tausend Euro für den Code erhält.
  3. Das Unternehmen wird auf den Zero-Day-Exploit aufmerksam – durch Zufall, durch einen Kundenhinweis oder eine Schadensmeldung. Erst jetzt können die Entwickler einen Sicherheitspatch entwickeln, um die Lücke zu schließen. Der Schaden ist (mit hoher Wahrscheinlichkeit) bereits eingetreten.

Wer ist besonders gefährdet?

Einfallstore für Exploits sind meist Anwendungen der großen Digitalkonzerne wie Google, Apple und Microsoft. Vor allem Microsoft ist ein häufiges Ziel von Zero-Day-Angriffen. Prinzipiell sind somit alle Unternehmen gefährdet, die Software dieser Anbieter verwenden.

Das Risiko, Opfer eines Zero-Day-Exploits zu werden, steigt für Unternehmen zudem mit wachsendem Erfolg, denn damit rücken sie automatisch stärker in den Fokus von Cyberkriminellen. Doch auch kleinere Unternehmen in hart umkämpften Branchen können Opfer solcher Exploits werden, die vielfach zur Industriespionage eingesetzt werden.

Tipp

Google führt seit 2014 eine Liste mit den größten bekannt gewordenen Zero-Day-Exploits. Auf der „0day – in the Wild“ genannten Liste sind u. a. Microsoft, Apple, Facebook, Adobe und Mozilla zu finden.

Was macht einen Zero-Day-Exploit besonders gefährlich?

Die Zero-Day-Cyberangriffe sind besonders gefährlich, weil die Hacker einen zeitlichen Vorsprung vor ihrem Opfer haben. Es können Monate und Jahre vergehen, in denen Angreifer Unternehmen unbemerkt ausspähen.

Anti-Virensoftware erkennt die Exploits nicht, da die geschriebenen Angriffsmuster nicht bekannt und damit auch nicht in der Datenbank sind. Wird die Schwachstelle schließlich bekannt, können die potenziell betroffenen Unternehmen nicht ad hoc reagieren, sondern müssen warten, bis die Entwickler der betroffenen Anwendung einen Sicherheitspatch veröffentlicht haben. Erst nach der Installation dieses Patches ist die Sicherheit wiederhergestellt.

Veröffentlicht der Hersteller einer Software einen Patch, der – aus welchen Gründen auch immer – vom Unternehmen nicht installiert wird, bleibt die Sicherheitslücke bestehen.

Hinweis

Einige Hacker bieten Zero-Day-Exploits nicht nur auf dem Schwarzmarkt, sondern auch Software-Herstellern zum Kauf an, die dann ihre Produkte absichern können.

Wie können sich Unternehmen wirksam gegen Zero-Day-Exploits schützen?

Ein Schutz vor Zero-Day-Exploits ist schwierig. Verschiedene Sicherheitsmaßnahmen können jedoch die Wahrscheinlichkeit minimieren, dass es zum Schaden kommt, selbst wenn ein Angriff durchgeführt wird.

Während traditionelle Antivirensoftware bei Zero-Day-Exploits aufgrund der unbekannten Viren-Signatur nicht greift, können verhaltensbasierte Sicherheitslösungen wirksam Abhilfe schaffen. Intrusion-Detection-Systeme (IDS) und Intrusion-Prevention-Systeme (IPS) überwachen mithilfe von Algorithmen und Heuristiken die Datenbewegungen und Datenzugriffe im Unternehmen und geben Warnmeldungen aus, wenn Anomalien entdeckt werden, oder ergreifen automatisiert Gegenmaßnahmen.

Die Gefahr von Datenmissbrauch können Unternehmen zudem durch Implementierung von Verschlüsselung, Berechtigungssystemen und Kontrollen verbessern.

Da grundsätzlich jede Software einen Angriffspunkt für Exploits bietet, sollte die Zahl der installierten Anwendungen auf ein Minimum beschränkt bleiben. Software sollte immer in der aktuellsten Version verwendet und ausgeführt werden – inklusive aller verfügbaren Sicherheitsupdates. Nicht verwendete Anwendungen sollten von den Rechnern entfernt werden.

Mit diesen Maßnahmen lässt sich zwar keine hundertprozentige Sicherheit erreichen. Die Gefahr, durch einen Zero-Day-Exploit wirtschaftlichen Schaden zu erleiden, kann so jedoch erheblich reduziert werden.