Projekt Hibiskus

StartBedrohungenZero-Day-Exploits

Bedrohungsszenario

Zero-Day-Exploits

Kritisch Angriffe auf unbekannte und ungepatchte Schwachstellen
Was ist ein Zero-Day-Exploit?
Ein Zero-Day-Exploit nutzt eine Sicherheitslücke aus, die dem Hersteller noch nicht bekannt ist – oder für die noch kein Patch existiert. Der Begriff „Zero Day" bedeutet: Der Hersteller hatte null Tage Zeit, das Problem zu beheben. Solche Angriffe sind besonders gefährlich, weil klassische Patch-Strategien nicht greifen.

Warum sind Zero-Days so gefährlich?

Die meisten Sicherheitsmaßnahmen basieren auf bekannten Angriffsmustern. Zero-Day-Exploits umgehen diese, weil sie noch in keiner Signaturdatenbank stehen und Antivirensoftware sie nicht erkennt. Sobald eine Zero-Day-Schwachstelle öffentlich bekannt wird, beginnt ein Wettrennen: Angreifer versuchen, möglichst viele Systeme zu kompromittieren, bevor Patches verteilt sind.

Zero-Day vs. bekannte Schwachstellen

Statistisch gefährlicher als Zero-Days sind bekannte, aber ungepatchte Schwachstellen. Viele erfolgreiche Angriffe nutzen CVEs (Common Vulnerabilities and Exposures), die Monate oder Jahre alt sind – weil Unternehmen Patches nicht zeitnah einspielen.

Typische Angriffsvektoren

Browser-Schwachstellen

Schadcode wird beim bloßen Besuch einer präparierten Website ausgeführt – ohne Nutzerinteraktion. Besonders gefährlich für veraltete Browser.

Office-Dokumente

Manipulierte Word-, Excel- oder PDF-Dateien können beim Öffnen Schadcode ausführen – eine der häufigsten Verteilmethoden.

Betriebssystem-Lücken

Schwachstellen im Kernel oder in Systembibliotheken ermöglichen Rechteeskalation und vollständige Systemübernahme.

VPN- und Firewall-Software

Sicherheitsgeräte selbst sind ein attraktives Ziel – eine Lücke im Perimeter-Schutz öffnet das gesamte Unternehmensnetz.

Schutzmaßnahmen

Technisch

  • Patch-Management konsequent umsetzen: Bekannte Schwachstellen so schnell wie möglich schließen – das eliminiert die häufigsten Angriffe
  • Verhaltensbasierte EDR-Lösungen einsetzen (erkennen unbekannte Angriffsmuster anhand auffälliger Aktionen, nicht anhand von Signaturen)
  • Application Whitelisting: Nur autorisierte Software darf ausgeführt werden
  • Sandbox-Umgebungen für das Öffnen unbekannter Dokumente und Links
  • Netzwerksegmentierung: Selbst bei erfolgreicher Kompromittierung eines Systems wird die Ausbreitung eingeschränkt
  • Makros in Office-Dokumenten standardmäßig deaktivieren
  • Browser-Isolation (Remote Browser Isolation) für risikoreiches Surfen

Organisatorisch

  • Software-Inventar führen: Nur wer weiß, welche Software eingesetzt wird, kann Schwachstellenmeldungen darauf abgleichen
  • CERT-Bund oder BSI-Warnmeldungen abonnieren für zeitnahe Information über kritische Schwachstellen
  • Vulnerability-Management-Prozess einführen: Wer ist für Patches verantwortlich? Innerhalb welcher Frist müssen kritische Patches eingespielt werden?
  • Least-Privilege-Prinzip: Schadsoftware erbt die Rechte des kompromittierten Nutzers – weniger Rechte bedeutet weniger Schaden

Checkliste: Schwachstellenmanagement

Weiterführende Ressourcen
CERT-Bund Warnmeldungen: cert-bund.de
National Vulnerability Database (NVD): nvd.nist.gov
BSI-Schwachstellenampel: bsi.bund.de