Zero-Day-Sicherheitslücken erklärt

Datensicherheit

Illustration eines Kalenders

Kaum etwas ist für Hacker so attraktiv wie leichte Beute in der Form von Systemschwachstellen. Und genau darauf zielen Zero-Day-Angriffe ab. Eine Zero-Day-Sicherheitslücke ist ein Softwarefehler oder ein Exploit, für den noch keine Patches vorliegen. Das bedeutet, dass Hacker in Ihr Netzwerk eindringen können, bevor Sie überhaupt erfahren, dass es ein Problem mit Ihrem System gibt.

Es mag zwar beängstigend wirken, dass Angreifer es auf Patches abgesehen haben, die Sie vielleicht noch gar nicht installieren müssen, aber keine Angst: In diesem Artikel gehen wir ausführlich auf Zero-Day-Angriffe ein und erläutern, wie Sie sich davor schützen können. Außerdem bieten wir aktuelle Nachrichten, Beispiele und zusätzliche Ressourcen zum Schutz vor Zero-Day-Angriffen.

Was sind Zero-Day-Sicherheitslücken?

Werfen wir zunächst einmal einen Blick auf die Bedeutung des Begriffs Zero-Day-Sicherheitslücke Sicherheitslücken sind Schwachstellen oder Fehler innerhalb der Software, Hardware oder organisatorischen Prozesse eines Systems, mit denen Angreifer Ihre Verteidigungen überwinden und in Ihr Netzwerk gelangen können. Der Begriff „Zero-Day“ beschreibt, wie viel Zeit Sie haben, die Sicherheitslücke zu beheben oder zu patchen.

Besonders gefährlich werden solche Angriffe dadurch, dass Sie eben null Tage Zeit haben, die Sicherheitslücke zu patchen. Bei Zero-Day-Sicherheitslücken handelt es sich um Software-Bugs, bei denen die Entwickler Null Tage Zeit haben, sie zu beheben, weil sie zum Zeitpunkt ihrer Identifizierung bereits massive Sicherheitsrisiken darstellen, die signifikante Schäden verursachen können. Zero-Day-Sicherheitslücken sind meistens nicht öffentlich bekannt und werden gepatcht, bevor Angreifer ein Exploit-Kit konstruieren können, das die Sicherheitslücke ausnutzt.

Wie funktionieren Zero-Day-Sicherheitslücken?

Alle Zero-Day-Angriffe fangen bei einer Sicherheitslücke in den Netzwerken oder der IT-Infrastruktur an, die zum Zeitpunkt des Angriffs nicht gepatcht ist. Diese Schwachstelle wird von Hackern entdeckt, die dann Code schreiben, der auf diese spezifische Sicherheitslücke abzielt. Sie verpacken ihn in Malware – als Zero-Day-Exploit bezeichnet –, mit der wir im nächsten Abschnitt befassen werden. Systemschäden und Datendiebstahl sind nur einige negative Folgen eines Zero-Day-Exploits. Sobald der Angriff entdeckt wird, bleiben null Tage Zeit, um den Schaden rückgängig zu machen.

Wer führt Zero-Day-Angriffe durch?

Es gibt verschiedene bösartige Akteure, die Zero-Day-Angriffe durchführen. Sie lassen sich in der Regel einer der folgenden Kategorien zuordnen:

  • Cyberkriminelle – Möchtegern-Hacker, die meistens auf finanziellen Gewinn oder andere Beute aus sind.
  • Hacktivisten – Bösartige Akteure, die Aufmerksamkeit auf eine politische oder soziale Agenda lenken wollen.
  • Unternehmensspione – Sie spionieren Wettbewerber aus oder sind auf der Suche nach geistigem Eigentum.
  • Cyberkriegsführung – Staatlich gesponserte Akteure, die Spionage- oder Sabotageangriffe durchführen.

Wer wird in der Regel Opfer von Zero-Day-Angriffen?

Egal, ob die Angreifer es auf lukrative Assets oder vertrauliche Daten abgesehen haben – es gibt eine Vielzahl potenzieller Opfer.

Die typischen Opfer von Zero-Day-Angriffen lassen sich in zwei Kategorien einteilen: gezielte Zero-Day-Angriffe und nicht gezielte Zero-Day-Angriffe. Gezielte Zero-Day-Angriffe richten sich gegen relevante Ziele wie hochrangige Personen, große Organisationen oder Regierungsbehörden.

Nicht gezielte Zero-Day-Angriffe suchen nach anfälligen Systemen mit schwachen Sicherheitsvorkehrungen, etwa einem Betriebssystem oder Browser. Während die meisten Zero-Day-Angriffe gezielt sind, führen nicht gezielte Zero-Day-Angriffe eher zu Kollateralschäden, da mehrere Nutzer dem Angreifer zum Opfer fallen.

Zero-Day-Angriffe zielen auf eine viele verschiedene Systeme ab, darunter:

  • Betriebssysteme
  • Open-Source-Komponenten
  • Hardware und Firmware
  • Web-Browser
  • Office-Anwendungen

Potenzielle Zero-Day-Opfer sind unter anderem:

  • Personen, die ein gefährdetes System benutzen
  • Personen mit Zugang zu relevanten Geschäftsdaten
  • Hardwaregeräte und Firmware
  • Große Unternehmen und Organisationen
  • Regierungsbehörden, Behörden
  • Politische Ziele
  • Bedrohungen der nationalen Sicherheit

Für die Opfer haben solche Angriffe oft zahlreiche negative Konsequenzen, von Datendiebstahl und -kompromittierung bis hin zur Beschädigung von Dateien oder der ferngesteuerten Kontrollübernahme der Rechner und Geräte durch die Angreifer.

Ressourcen für Zero-Day-Sicherheitslücken

Nachfolgend finden Sie ausführliche Ressourcen, mit denen Sie Zero-Day-Sicherheitslücken und potenzielle Lösungen besser verstehen können, um sich besser davor zu schützen.

Die neuesten Beispiele für Zero-Day-Sicherheitslücken und -Angriffe

Jährlich werden mindestens rund ein Dutzend unterschiedliche Zero-Day-Sicherheitslücken identifiziert und von Softwareanbietern gepatcht.

Laut einem MIT-Technologiebericht wurde im Jahr 2021 der Rekord für Zero-Day-Angriffe gebrochen. Mehrere Datenbanken, Forscher und Cybersicherheitsunternehmen haben in diesem Jahr mindestens 66 Zero-Day-Angriffe identifiziert.

Daraus folgt der Schluss, dass Hacking-Tools für Zero-Day-Exploits einerseits leichter verfügbar geworden sind. Andererseits sind die Sicherheitsexperten auch besser darin geworden, die Angreifer ausfindig zu machen, was sich anhand der abgefangenen Angriffe ablesen lässt.

Zu den jüngsten Beispielen für Zero-Day-Angriffe gehören:

Apple iOS (2021)

Drei Zero-Day-Sicherheitslücken, die von Pegasus-Spyware der NSO Group ausgenutzt wurden, wurden im September entdeckt. Der Angriff richtete sich gegen mehrere iPhone- und iPad-Modelle mit dem Ziel, das Malware-Tool zu stärken. Die Sicherheitslücken wurden mit einem neuen Update für die Betriebssysteme iOS und macOS behoben.

Google (2021)

Die Threat Analysis Group (TAG) von Google und die Forscher von Project Zero haben vier Zero-Day-Vorfälle entdeckt, die im Rahmen von drei gezielten Malware-Kampagnen genutzt wurden. Außerdem wurden bisher unbekannte Sicherheitslücken in Google Chrome, Internet Explorer und WebKit entdeckt.

Zoom (2021)

Dieser ungepatchte Fehler wurde bei PC-Benutzern mit die Windows 7 oder einer älteren, nicht aktualisierten Version entdeckt. Zoom hat die Sicherheitslücke schnell gepatcht und Version 5.1.3 veröffentlicht sowie seine Nutzer aufgefordert, das Programm zu aktualisieren.

Einer der berüchtigtsten Angriffe war die Strutshock-Sicherheitslücke, die beim Equifax-Datenleck genutzt wurde. Die Entwickler hatten diese Sicherheitslücke im März 2017 gepatcht, aber Equifax hat das Update nicht installiert – dadurch handelt es sich um einen Zero-Day-Angriff.

Wie viel ist ein Zero-Day-Exploit wert?

Leider gibt es einen robusten Markt für Hacker und Internetkriminelle, um bestehende Zero-Day-Exploits im Darknet oder über Kollegen zu kaufen. Wie oft sie den Besitzer wechseln, hängt von der Art des Betriebssystems und der Sicherheitslücke ab, für die sie entwickelt wurden. Manche werden für extrem hohe Summen verkauft.

Derzeit liegt der untere Bereich des Marktes für Zero-Day-Exploits bei etwa 60.000 US-Dollar für einen Angriff auf Adobe Reader. Im oberen Bereich können Zero-Day-Exploits, die Apple iOS angreifen, über 2,5 Mio. US-Dollar erzielen. Wie auf jedem anderen Markt auch, werden die Preise für Zero-Day-Exploits weitgehend durch Angebot und Nachfrage bestimmt. Da Apple iOS so weit verbreitet ist, sind die Preise für diese Exploits tendenziell höher.

Der jüngste Boom bei der Remote-Arbeit hat zum Beispiel zu einem exponentiellen Anstieg der Nutzung der Telekonferenzsoftware Zoom geführt. Und da Zero-Day-Hacker ihre Aufmerksamkeit auf diese spezielle Software gerichtet haben, sind die Preise für Zero-Day-Exploits für Zoom deutlich gestiegen. Jüngste Zahlen schätzen den Preis von Zoom-Exploits auf rund 500.000 US-Dollar.

Wie man sich vor Zero-Day-Angriffen schützt

Eine der besten Möglichkeiten, sich vor Zero-Day-Angriffen zu schützen, besteht darin, ein sicheres und widerstandsfähiges Netzwerk aufzubauen. Durch die Überwachung von Daten und den Abgleich laufender Aktivitäten mit einem etablierten Basisszenario können Sie Abweichungen erkennen, die von Zero-Day-Angriffen verursacht werden. Jeder Cyberangriff – ob Zero-Day oder nicht – hinterlässt digitale Spuren in den Daten und im Netzwerk.

Beispielsweise wird ein Zero-Day-Exploit, der einem Angreifer Zugriff auf ein Benutzerkonto verschafft, voraussichtlich ein anormales Verhalten dieses Kontos verursachen. Der Angreifer kann beispielsweise versuchen, das Netzwerk nach Kreditkartennummern oder Passwortlisten zu durchsuchen, oder das Konto zu einem Domain-Administrator zu machen.

Mit Varonis löst jede dieser Aktivitäten ein verhaltensbasiertes Bedrohungsmodell aus und markiert sie als verdächtige Aktivität. Was können Sie also tun, um sich vor Zero-Day-Sicherheitslücken zu schützen?

  • Überwachen Sie alle wichtigen Daten – einschließlich Dateien, Ordner, E-Mails, Active Directory, VPN, DNS und Web-Proxies – auf Verhaltensweisen, die auf einen Zero-Day-Angriff hinweisen könnten.
  • Setzen Sie das Modell der notwendigsten Berechtigung durch – verhindern Sie laterale Bewegungen und Datenexfiltration durch einen Zero-Day-Angriff, indem Sie das Prinzip der notwendigsten Berechtigung in Ihrer Organisation durchsetzen.
  • Aktualisieren Sie Ihre Software und Sicherheitsmaßnahmen – alle Pakete (einschließlich IPS und Endpoint) sollten aktualisiert werden, sobald ein Update verfügbar ist, um vor bekannten Zero-Day-Sicherheitslücken zu schützen.
  • Erstellen Sie Backups aller kritischen Systeme – erstellen Sie außerdem Pläne für die Wiederherstellung und Ereignisreaktion speziell für Zero-Day-Angriffe und die Installation von Patches im Notfall.
  • Setzen Sie strenge Software- und Internetnutzungsrichtlinien durch – schulen Sie die Benutzer auch darin, Phishing-Angriffe und andere Sicherheitsrisiken im Zusammenhang mit Zero-Day-Angriffen zu erkennen.

Eine organisationsweite Zusammenarbeit und strenge Nutzungsrichtlinien sind extrem wichtig. Ermöglichen Sie Teams und Einzelpersonen, anormale Verhaltensweisen auf ihren Systemen mitzuteilen. Mitarbeiter sind oft die letzte Verteidigungslinie gegen einen Zero-Day-Angriff.

Zero-Day-Sicherheitslücken und Zero-Day-Exploits 

Eine Zero-Day-Sicherheitslücke stellt einen potenziellen Angriffsvektor dar, der theoretisch von Internetkriminellen genutzt werden könnte. Wenn es jedoch bereits einen praktisch umsetzbaren Angriff für eine Schwachstelle in Ihrer IT-Infrastruktur gibt, wird dieser als Zero-Day-Exploit bezeichnet. Zero-Day-Sicherheitslücken können beispielsweise in Form von unbekannten Sicherheitslücken, Softwarefehlern oder Patches, die nicht auf dem neuesten Stand sind, auftreten. Obwohl alle diese Sicherheitslücken potenziell angegriffen werden können, können Exploits dafür existieren oder nicht.

Ein Zero-Day-Exploit ist die tatsächliche Technik, die vom Hacker verwendet wird, um Sicherheitslücken auszunutzen. Beispiele für Zero-Day-Exploits in der Praxis sind Trojaner, polymorphe Würmer und Ransomware. Bevor der Exploit eingesetzt wird, führen Zero-Day-Angreifer in der Regel Aktivitäten wie Phishing oder Social Engineering durch, um das Opfer auszuspionieren oder die für den Exploit erforderlichen Zugangsdaten zu erhalten.

In der Praxis bedeutet das, dass Sie Ihre IT-Infrastruktur überprüfen sollten, um so viele potenzielle Zero-Day-Sicherheitslücken wie möglich zu beheben, die derzeit vorhanden sein könnten. Ebenso sollten Sie wissen, welche Arten von Exploits am häufigsten gegen Ihre Art von Unternehmen eingesetzt werden, um sich speziell vor diesen Angriffen zu schützen.

Tipps zur Prävention von Zero-Day-Sicherheitslücken

Um Ihr Netzwerk vor Zero-Day-Angriffen zu schützen, ist eine verhaltensbasierte Datenüberwachung erforderlich, die sowohl vor bekannten als auch vor unbekannten Bedrohungen schützt. Varonis-Technologie erstellt Verhaltens-Baselines, um ungewöhnliches Verhalten bei ungewöhnlichen Aktivitäten in Ihrem Netzwerk zu erkennen. Anschließend warnt es Sie bei verdächtigen Aktivitäten, damit Sie reagieren und die Bedrohung aufhalten können, bevor daraus eine Datenschutzverletzung wird.

Signaturbasierte Systeme erkennen einen Zero-Day-Exploit nicht, aber eine datenzentrierte Lösung kann die digitalen Spuren eines laufenden Angriffs mit einem Zero-Day-Exploit identifizieren. Neben der Implementierung der richtigen Technologielösungen finden Sie im Folgenden weitere Tipps, die verhindern können, dass Ihr Unternehmen zum Ziel eines erfolgreichen Zero-Day-Angriffs wird.

1. Firewalls und Antiviren-Software auf dem neuesten Stand halten

Eines der besten Mittel gegen Zero-Day-Sicherheitslücken ist eine solide Firewall-Verteidigung sowie möglichst aktuelle Antivirensoftware. Firewalls überwachen den ein- und ausgehenden Datenverkehr in Ihrem Netzwerk und reduzieren mit der Zeit die Zahl der nicht autorisierten Zugriffe. Selbst wenn Sie nicht wissen, ob es sich um einen Zero-Day-Angriff handelt oder nicht, können Firewalls verdächtige Aktivitäten bereits im Keim ersticken. Das Gleiche gilt für Antivirensoftware. Deshalb ist es extrem wichtig, beides auf dem neuesten Standt zu halten, um Zero-Day-Sicherheitslücken zu verhindern.

2. Installieren Sie ein Network Intrusion Protection System (Netzwerkintrusionsschutzsystem, IPS)

Die genaue Art eines Zero-Day-Exploits lässt sich nicht im Voraus erkennen. Ein Network Intrusion Protection System (IPS) überwacht Ihre Netzwerke jedoch ständig auf verdächtige Aktivitäten. Ein NIPS bietet im Vergleich zu herkömmlicher Virenschutzsoftware den Vorteil, dass es verdächtige Software und verdächtigen Code mit einer bekannten Datenbank von Bedrohungen abgleicht. Daher benötigt ein IPS in der Regel keine Updates oder Patches, um sich über die neuesten Bedrohungen zu informieren. Dadurch wird es zu einer besonders robusten Verteidigung gegen Zero-Day-Angriffe.

3. Führen Sie kontinuierliche Team- und Benutzerschulungen durch

Menschliches Versagen ist einer der wichtigsten Erfolgsfaktoren für Zero-Day-Angriffe. Ganz gleich, ob jemand auf eine Phishing-E-Mail hereinfällt oder unvorsichtig mit seinen Passwörtern umgeht: Mitarbeiter, die keine gute Cyberhygiene pflegen, öffnen Zero-Day-Sicherheitslücken Tür und Tor. Aus diesem Grund sollten Sie fortlaufend Schulungen und Aufklärungsmaßnahmen durchführen, die sich sowohl mit allgemeinen Best Practices für die Cyberhygiene als auch mit speziellen Taktiken für Zero-Day-Angriffe befassen. Die Mitarbeiter sollten die Anzeichen von Phishing- und Social-Engineering-Angriffen erkennen können sowie die richtigen Kanäle und Verfahren bei solchen Angriffen.

Abschließende Überlegungen

Zero-Day-Sicherheitslücken sind darauf ausgelegt, unerkannt zu bleiben. Und das gelingt ihnen nur allzu oft. Die jüngsten Sicherheitsverletzungen bei einigen sehr großen Unternehmen wie Apple und Google sind ein Beweis dafür, wie effektiv Zero-Day-Angriffe sein können. Daher wird einerseits ein effektiver Ereignisreaktionsplan für den Fall benötigt, dass Sie eine Zero-Day-Sicherheitslücke entdecken, denn die Zeit drängt.

Darüber hinaus brauchen Sie auch einen datengestützten Cybersicherheits-Stack, um Ihre Netzwerke zu überwachen, bösartige Aktivitäten zu erkennen und sich vor Zero-Day-Angriffen zu schützen, bevor diese Schaden anrichten können.

Avatar

David Harrington

David ist professioneller Autor und ein führender Berater für Technologieunternehmen, Startups und Venture-Capital-Firmen.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990