Schutzlos ausgeliefert:
die Gefahr von Zero Day Exploits

Zero Day Exploits gehören zu den gefährlichsten Cyberangriffen überhaupt, da sie Schwachstellen in Softwaresystemen ausnutzen, für die es noch keine Sicherheitspatches gibt. Daher sind die meisten IT-Sicherheitsmaßnahmen machtlos. Zero Day bezieht sich dabei auf den Zeitpunkt, an dem der Softwarehersteller von der Schwachstelle erfährt, also in der Regel null Tage vor dem Angriff.

Warum sind Zero Day Exploits so gefährlich?

Das Problem bei Zero-Day-Angriffen ist, dass es keine bekannten Abwehrmechanismen oder Gegenmaßnahmen gibt, solange der Softwareanbieter keine Lösung entwickelt hat. Cyberkriminelle können so ohne Vorwarnung und ohne Schutzmaßnahmen in ein System eindringen und Schaden anrichten. Erschwerend kommt hinzu, dass solche Schwachstellen im System meist erst bekannt werden, wenn sie von Angreifern ausgenutzt wurden.

Wozu werden Zero Day Exploits verwendet?

Zero Day Exploits werden von Cyberkriminellen oder auch staatlichen Akteuren genutzt, um beispielsweise sensible Daten zu stehlen, Malware zu verbreiten oder Systeme zu kompromittieren. Ziel kann es sein, persönliche Daten, Finanzdaten, Passwörter, vertrauliche Geschäftsinformationen oder geistiges Eigentum zu stehlen, um Zugang zu Bankkonten zu erhalten oder Industriespionage zu betreiben. Möglich ist auch, dass über eine Schwachstelle Mal- oder Ransomware in das IT-System des Unternehmens eingeschleust wird, um zum Beispiel Daten zu verschlüsseln und für deren Freigabe Lösegeld zu fordern.

Noch gefährlicher ist es, wenn Cyberkriminelle über Zero Day Exploits die Kontrolle über ein System erlangen und dieses für weitere illegale Aktivitäten missbrauchen. Denkbar sind hier der Versand von Spam, DDoS-Angriffe oder auch das Hosten von schädlichen Inhalten. Darüber hinaus kann diese Art von Cyberattacke auch dazu genutzt werden, um kritische Infrastrukturen wie Strom-, Internet- und Wasserleitungen oder Verkehrssteuerungssysteme lahm zu legen.

Wie entsteht eine Zero-Day-Sicherheitslücke?

Schwachstellen in IT-Systemen, die am oder vor dem Tag Null ausgenutzt werden, entstehen in der Regel nicht im eigenen Haus, sondern in externer Software. Das macht sie so gefährlich, denn viele Unternehmen sind gleichzeitig von derselben Schwachstelle betroffen. Eine mögliche Ursache für Zero-Day-Sicherheitslücken sind Programmier- oder menschliche Fehler, die unbeabsichtigt Schwachstellen im Code hinterlassen. Zudem gilt: Je komplexer eine Software ist, desto schwieriger ist es, alle potenziellen Probleme zu identifizieren. Gerade bei brandneuen Technologien ist es möglich, dass noch nicht alle Sicherheitslücken gefunden und geschlossen wurden.

Im laufenden Betrieb können beispielsweise durch fehlerhafte Updates oder Konfigurationen Schwachstellen entstehen, die dann von Angreifern ausgenutzt werden können. Daher ist es besonders wichtig, die gesamte Software immer auf dem neuesten Stand zu halten und alle Sicherheitspatches sofort zu installieren, damit bekannte Lücken geschlossen werden können. Eine weitere Quelle für Schwachstellen sind die Komponenten oder Bibliotheken von Drittanbietern, die in einer Software verwendet werden und deren Fehler auf Ihr System übertragen werden können. Aus diesem Grund hat das Bundesministerium für Sicherheit in der Informationstechnik (BSI) gerade eine Richtlinie veröffentlicht, wie Hersteller eine „Software Bill of Materials“ erstellen sollen. Dabei handelt es sich um eine Art Zutatenliste, in der Komponenten und Abhängigkeiten notiert werden, damit Kunden leichter nachvollziehen können, ob sie von einer Sicherheitslücke betroffen sind.

Wie kann man sich gegen Zero Day Exploits schützen?

Der Schutz vor Zero Day Exploits ist eine Herausforderung für alle Beteiligten, denn sie sind per Definition Angriffe auf bisher unbekannte Schwachstellen, für die es noch keine Patches oder Updates gibt. Die wichtigste Maßnahme ist daher die regelmäßige Aktualisierung aller im Unternehmen eingesetzter Software. Alle Betriebssysteme, Anwendungen, Browser etc. sollten ständig auf dem neuesten Stand gehalten werden, um mögliche Softwarelücken schnellstmöglich zu schließen. Dies verhindert zwar nicht direkt einen Zero-Day-Angriff, jedoch kann nicht jede Schwachstelle in allen betroffenen Unternehmen direkt von Cyberkriminellen ausgenutzt werden. Völlig verzichten sollten Sie auf veraltete Software, für die keine Updates mehr bereitgestellt werden.

Zusätzlich sollten Sie auf Antiviren- und Anti-Malware-Programme sowie eine starke Firewall setzen, um Cyberangriffe abwehren zu können. Auch diese IT-Sicherheitssysteme können bisher unbekannte Schwachstellen nur schwer erkennen, sind aber in der Lage, verdächtige Aktivitäten aufzuspüren und gegebenenfalls einzudämmen. Darüber hinaus setzen die führenden Hersteller inzwischen künstliche Intelligenz ein, um potenzielle Bedrohungen schneller zu erkennen. KI kann beispielsweise das normale Verhalten von Nutzenden, Anwendungen und Systemen über einen längeren Zeitraum analysieren. So werden bereits kleinste Anomalien registriert, die auf einen Zero-Day-Angriff hindeuten können.

Neben starken Abwehrmechanismen ist es auch wichtig, die Anzahl möglicher Angriffspunkte zu reduzieren. Deaktivieren Sie Dienste und Funktionen, die Sie nicht nutzen und schränken Sie den Personenkreis mit Adminrechten in Ihrem System stark ein. Zudem sollten Sie auf virtuelle Maschinen und Container setzen, um kritische Anwendungen und Prozesse zu isolieren und das Ausmaß von Angriffen begrenzen zu können.

Schließlich ist es auch für die Abwehr von Zero-Day-Angriffen notwendig, Ihre Mitarbeitenden regelmäßig zu schulen. Dies betrifft nicht nur Ihre IT-Abteilung, sondern Ihre gesamte Belegschaft. Nicht wenige Zero Day Exploits starten über Phishing-Mails oder unsichere Webseiten. Bei unbekannten E-Mails, Links und Downloads ist deshalb Vorsicht geboten.

Wie hoch ist die aktuelle Bedrohungslage?

In der Vergangenheit gab es immer wieder schwerwiegende Fälle von Zero Day Exploits, wie Heartbleed im Jahr 2014, WannaCry im Jahr 2017 oder auch den Stuxnet-Wurm im Jahr 2010. Große Softwarehersteller veröffentlichen daher regelmäßig Patchnotes, in denen sie auf geschlossene Zero-Day-Lücken hinweisen. Ob und inwieweit diese Schwachstellen auch von Cyberkriminellen ausgenutzt wurden, unterliegt oft der Geheimhaltung und wird nicht immer öffentlich. Eine genaue Einschätzung der Bedrohungslage ist daher nur schwer möglich, es ist aber davon auszugehen, dass sie sich wie die allgemeine IT-Sicherheitslage eher verschärfen wird. Zumal auch die Schwelle für diese Art von Cyberangriffen ebenfalls sinkt. Während in der Vergangenheit eher professionell organisierte oder staatlich geförderte Akteure in der Lage waren, Zero Day Exploits zu lancieren, boomt heute auch der Verkauf mit Zero-Day-Schwachstellen im Darknet. Hacker verkaufen ihr Wissen über solche Sicherheitslücken an technisch weniger versierte Cyberkriminelle, die diese dann für illegale Aktivitäten ausnutzen können. Es ist daher existenziell wichtig, ein umfassendes IT-Sicherheits- und Cyberresilienzkonzept im Unternehmen zu implementieren, um sich vor Zero Day Exploits und anderen Cyberattacken zu schützen. Einen hundertprozentigen Schutz gibt es leider nicht.