Zero Day Exploit: Was ist das und wie kann ich mich schützen?

Unter einem Zero Day Exploit versteht man in der IT ein Angriffsmuster, welches eine Schwachstelle ausnutzt, die dem Hersteller der jeweiligen Applikation noch unbekannt ist. Anders als bei Sicherheitslücken, die Forscher oder Security-Firmen einem Entwickler melden, erfahren Hersteller erst dann von einem Zero Day Exploit, wenn dieser bereits aktiv für Angriffe genutzt wird. Hersteller haben also null Tage (Zero Days) Zeit zur Vorbereitung und müssen in kürzester Zeit ein Sicherheitsupdate herausgeben.

Die Tatsache, dass es zum Zeitpunkt der Veröffentlichung noch keinen Schutz gegen die neu gefundene Sicherheitslücke gibt, macht neu entdeckte Zero Day Schwachstellen zu einer absoluten Schreckensnachricht für IT-Teams, CIOs und CISOs. Betroffene Organisationen sollten sich nicht nur genau über neue Schwachstellen informieren, sondern das Risiko für die eigene IT so gut es geht reduzieren. Etwa, in dem Systeme mit ungepatchten Schwachstellen vorrübergehend außer Betrieb genommen werden.

Rund um das Thema Zero Day gilt es einige zentrale Begriffe zu unterscheiden, die vor allem den zeitlichen Verlauf eines neu entdeckten Sicherheitsfehlers betreffen:

Für die einheitliche Dokumentation und Klassifizierung von IT-Schwachstellen werden diese nach dem CVE Referenz-System eingeteilt (Common Vulnerabilities & Exposures). Neben einer eindeutigen Bezeichnung, welche die Jahreszahl der Entdeckung sowie eine fortlaufende Nummerierung umfasst, erhalten Schwachstellen dabei auch eine Bewertung ihres Ausmaßes auf einer Skala von 0 bis 10 (CVSS Score).

In die Bewertung von Schwachstellen fließen mehrere Faktoren ein, darunter wie zugänglich der Schwachpunkt ist (lokal, über angrenzende Netzwerke, über das Internet), wie komplex die Ausführung des Exploits ist, wie viele Kontrollen Angreifer im Rahmen der Authentifizierung und Autorisierung überwinden müssen und wie stark sich die Sicherheitslücke auf die Integrität, Verfügbarkeit und Vertraulichkeit von Daten auswirkt. Sicherheitslücken mit einem CVSS-Score von 9 oder höher zählen als kritische Schwachstellen.

Zero Day Exploits können die unterschiedlichsten Systeme betreffen und sich Schwachstellen in Cloud-Diensten, SaaS-Plattformen, lokal installierten Programmen oder sogar der Firmware von Geräten zunutze machen. Die Definition einer Zero Day Schwachstelle ist die Tatsache, dass Angreifer die Sicherheitslücke vor dem Hersteller entdecken. Programmfehler, von denen ein Entwickler noch nichts weiß, müssen nicht zwangsläufig gefährlich sein. Allerdings sorgen Zero Days immer dann für Schlagzeilen, wenn dadurch eine Vielzahl an Systemen bedroht ist.

Beispiele für prominente Zero Day Exploits bzw. damit verbundene Angriffswellen sind etwa:

Sicherheitslücken in Software sind leider keine Seltenheit. Sowohl Hacker und Cyberkriminelle, als auch Security-Experten, Sicherheitsfirmen und Software-Hersteller suchen laufend nach gefährlichen Fehlern in Software- und Hardware-Produkten. Meist gelingt es Forschern, Entwicklern und ethischen White Hat Hackern, Schwachstellen zu finden und auszumerzen, bevor diese zum Problem werden.

Dabei ist es üblich, dass Security-Spezialisten zuerst den Hersteller informieren, bevor sie gefundene Sicherheitslücken öffentlich machen. Dieses Vorgehen wurde von dem prominenten Hacker Rain Forest Puppy etabliert und gibt der Entwicklungsabteilung ausreichend Zeit, einen Patch fertigzustellen, bevor die Schwachstelle allgemein bekannt wird. Denn in dem Moment, wo das Unternehmen Anwender informiert, erfahren zwangsläufig auch Kriminelle von der Lücke. Zu diesem Zeitpunkt sollte das Problem also schon behoben und der Patch möglichst breit ausgerollt sein.

Finden Hacker die neue Schwachstelle zuerst, sind sie im zeitlichen Vorteil und können Exploits entwickeln und Angriffe starten, bevor die Sicherheitslücke geschlossen wird. Der Software-Hersteller erfährt erst von dem Problem, wenn Anwender den Angriff beobachten oder Kriminelle die Strategie auf einschlägigen Kanälen wie Hacker-Foren teilen. Und genau hier liegt das Problem: Nicht nur gibt es zum Tag Null noch keinen Schutz gegen den Exploit, die Entwicklung eines Patches kann noch mehrere Tage in Anspruch nehmen.

Für den Ursprung des Begriffs Zero Day in der IT-Sicherheit gibt es mehrere Theorien: Im Allgemeinen wird der Name mit der mangelnden Vorlaufzeit des neu entdeckten Problems in Verbindung gebracht. Also der Tatsache, dass Entwickler null Tage Zeit zur Vorbereitung hatten. Oder aber mit der Entwicklung von Exploits und dem Start erster Cyberangriffe an einem hypothetischen Tag Null vor der Entdeckung durch den Software-Entwickler (Tag Eins).

Eine andere Erklärung bringt den Wortursprung mit der Warez-Szene bzw. Internetpiraterie in Verbindung. Hacker, die Software hier illegal teilten, gaben dabei auch an, wie viele Tage seit dem offizielle Release vergangen sind. Je niedriger die Zahl, desto schneller wurde die Software also geknackt: ein Status-Symbol für erfolgreiche Cracker. Als Zero Day Software bezeichnete man dabei Programme, die noch vor offiziellem Release verfügbar gemacht wurden, also vom Server des Herstellers gestohlen wurden. Entsprechend die Verbindung von Zero Day mit dem unerlaubten Eindringen in Systeme.

Von der Entdeckung einer neuen Schwachstelle bis zum Schließen der Lücke durch ein Sicherheitsupdate lässt sich der Lebenszyklus von Sicherheitslücken in mehrere Phasen unterteilen. Es beginnt mit der Entdeckung der Schwachstelle. Je nachdem, wer den Fehler findet, gestaltet sich das Bekanntwerden des Fehlers unterschiedlich.

Entdeckt ein Mitarbeiter oder Security-Spezialist das Problem, kann der Hersteller eine Lösung dafür entwickeln und ein Sicherheitsupdate vorbereiten. Sind Cyberkriminelle vor dem Entwickler über das Problem im Bilde, spricht man von einer Zero Day Schwachstelle. Sie sind in diesem Fall im Vorteil und können betroffene Systeme infiltrieren, bevor der Entwickler die Lücke schließt oder überhaupt davon erfährt.

Haben Entwickler schließlich eine Lösung für das Problem gefunden, liegt der nächste Schritt in der Veröffentlichung eines Updates. Doch das bedeutet nicht zwangsläufig das Ende für eine Sicherheitslücke. Entscheidend ist die Verbreitung des Updates. Je nach Art der entdeckten Schwachstelle können dutzende Programme, hunderte Dienste oder Millionen von Geräten betroffen sein. Erst wenn alle gefährdeten Systeme gepatcht wurden, ist die Sicherheitslücke tatsächlich geschlossen.

Es liegt in der Natur von Zero Day Exploits, dass es noch keine dauerhafte Lösung in Form eines Sicherheitsupdates gibt, mit dem sich Organisationen schützen können. Dennoch können Betroffene viel dazu beitragen, das Risiko für Zero Day Angriffe wie z.B. Attacken mit Ransomware zu minimieren. Hier finden Sie die wichtigsten Schritte zum Schutz vor Zero Day Attacken zusammengefasst.

Es liegt auf der Hand, aber sobald ein Patch für eine Zero Day Lücke verfügbar ist, muss dieser umgehend auf allen gefährdeten Geräten installiert werden. In der Praxis kommt es leider immer wieder vor, dass bekannte Schwachstellen auch Monate oder Jahre später erfolgreich ausgenutzt werden, weil der verfügbare Patch nie installiert wurde. Um kritische Sicherheitsupdates schnell und vollständig auszurollen, sollten Organisationen ein zentrales und geregeltes Patch-Management pflegen.

Bis ein offizieller Patch verfügbar ist, braucht es manchmal einige Zeit. Als kurzfristige Lösung veröffentlichen Software-Hersteller daher oft Tipps, wie Organisationen die Schwachstelle behelfsmäßig schließen können, etwa durch Skripten, das Deaktivieren von Features, bestimmte Einstellungen des Betriebssystems oder ähnliches. Es empfiehlt sich also, Meldungen und Updates des Herstellers genau zu verfolgen, um keine Tipps zur schnellen Abhilfe zu verpassen.

Aufgrund von Hardware-Einschränkungen oder Problemen mit der Kompatibilität verwendeter Dienste ist es in manchen Fällen nicht möglich, Anwendungen auf die neueste Version zu bringen. Auch wenn dies eine betriebliche Notwendigkeit darstellen kann, sollten sich Organisationen bewusst sein, dass dies ein großes Sicherheitsrisiko mit sich bringt. Ungepatchte Systeme müssen auf anderem Weg geschützt vor Angriffen geschützt werden, etwa durch das Isolieren der betroffenen Geräte, strikte Zugriffskontrollen oder Application Whitelisting.

Organisationen, deren Netzwerk durch eine Zero Day Schwachstelle gefährdet ist, können durch Systeme für die automatische Angriffserkennung verdächtige Aktivität identifizieren und so schneller reagieren, falls es zu einer Attacke kommt. Im Ernstfall lassen sich so Schaden und Ausmaß von Angriffen deutlich reduzieren. Um Anomalien verlässlich zu erkennen, müssen Betriebe dazu auch ein klares Bild von normaler Netzwerkaktivität und erlaubten Zugriffen haben.

Wer Best Practices der Informationssicherheit befolgt, ist zwar nicht vor Zero Day Angriffen gefeit, erholt sich jedoch im schlimmsten Fall schneller von einer Attacke. Beispielsweise, weil kritische Daten durch ein aktuelles Backup abgesichert sind oder ein gut getesteter Notfallplan die Wiederherstellung der eigenen IT erleichtert.

Ein Cyberangriff läuft in mehreren Schritten ab. Zero Day Exploits helfen Angreifern in der Regel bei dem ersten Schritt: Dem initialen Zugang zu einem System, etwa durch die Kompromittierung eines Benutzerkontos. In weiterer Folge beginnt die laterale Ausbreitung, also das Eindringen in weitere Bereiche des Netzwerks.

Wer durch sorgfältige Berechtigungsverwaltung gewährleistet, dass Benutzer nur Zugriff auf eine möglichst kleine Menge notwendiger Daten und Systeme erhalten, kann die Ausbreitung stoppen und so den Schaden durch einen Zero Day Angriff minimieren. Least Privilege Zugriff, die sparsame Vergabe von Rechten für zwingend erforderliche Aufgaben, zählt nicht umsonst zu den Grundlagen moderner Sicherheitskonzepte wie der Zero Trust Architektur.

Um die Einhaltung von Least Privilege Zugriff in der Praxis sicherzustellen, müssen Organisationen nicht nur bei der erstmaligen Provisionierung von Benutzern darauf achten, dass diese lediglich für ihre Geschäftsrolle notwendige Rechte erhalten. Auch wenn sich ihre Aufgaben ändern, etwa in Folge einer Beförderung oder eines Abteilungswechsels, müssen nicht mehr benötigte Zugriffsrechte entfernt werden. Dazu ist die regelmäßige Kontrolle von Rechten in Form der sogenannten Rezertifizierung notwendig.

Laufende Anpassungen, regelmäßige Kontrollen und das bei hunderten von Konten in dutzenden Systemen: wie soll das gelingen? Wer die sichere Verwaltung von Zugriffsrechten gewährleisten will, ohne den Verwaltungsaufwand ins Unermessliche zu steigern, braucht tenfold – eine automatische Software-Lösung für das Identity und Access Management. tenfold sorgt für die korrekte Vergabe von Rechten, passt diese automatisch an jede personelle Veränderung an und unterstützt Sie mit übersichtlichen Checklisten bei der Rezertifizierung. Überzeugen Sie sich selbst bei einem kostenlosen Test von den Vorteilen von tenfold.