Zero-Day
Ein Zero-Day (oder 0-Day) ist eine Sicherheitslücke, für die zum Zeitpunkt der Entdeckung oder Ausnutzung noch kein Patch des Herstellers existiert - Verteidiger haben null Tage Zeit zu reagieren.
Der Begriff Zero-Day bezeichnet sowohl die unbekannte Schwachstelle selbst als auch den darauf basierenden Exploit (Zero-Day-Exploit). Der Name leitet sich davon ab, dass der Softwarehersteller “null Tage” hatte, um die Lücke zu schließen, bevor sie ausgenutzt wird.
Lebenszyklus eines Zero-Days
- Entdeckung: Von unabhängigen Forschern, staatlichen Akteuren oder Kriminellen
- Schwachstellen-Broker: Zero-Days werden teils für hunderttausende bis Millionen Dollar gehandelt (Zerodium, staatliche Einkäufer)
- Ausnutzung: Oft monatelang verdeckt genutzt, bevor Entdeckung droht
- Disclosure: Responsible Disclosure (koordiniert mit Hersteller) oder Full Disclosure (öffentlich)
- Patch: Hersteller veröffentlicht Fix
- CVE-Zuweisung: Offizieller Eintrag im CVE-Verzeichnis
Zero-Days im Kontext
Staatliche Cyberangriffe: Die bekanntesten Zero-Day-Angriffe wurden von staatlichen Akteuren durchgeführt:
- Stuxnet (2010): Nutzte vier Zero-Days gegen iranische Urananreicherungsanlagen
- WannaCry (2017): Basiert auf EternalBlue, einem Zero-Day-Exploit der NSA, der durch Shadow Brokers geleakt wurde
APT-Gruppen halten Zero-Days als strategische Ressourcen, die sie gezielt bei hochwertigen Zielen einsetzen.
Was Unternehmen tun können
Da Zero-Days per Definition unbekannt sind, bieten klassische Patch-Strategien keinen Schutz. Wirksame Gegenmaßnahmen:
- Defense-in-Depth: Mehrere Sicherheitsschichten verhindern, dass ein einzelner Zero-Day zum vollständigen Kompromiss führt
- EDR/XDR: Verhaltensbasierte Erkennung statt signaturbasierter
- Netzwerksegmentierung: Begrenzt die Ausbreitung nach erstem Zugang
- Least Privilege: Minimale Rechte begrenzen Schadenspotenzial
