Was ist eine Zero-Day-Sicherheitslücke? Definition, Beispiele und Abwehrmaßnahmen

Der Begriff „Zero-Day“ taucht in den Nachrichten zur Cybersicherheit ständig auf, doch das Konzept wird oft missverstanden. Eine Zero-Day-Sicherheitslücke ist nicht unbedingt die gefährlichste Schwachstelle in Ihrer Umgebung. Es handelt sich um eine bestimmte Kategorie von Sicherheitslücken, die eine besondere Art von Risiko mit sich bringt, und um sie angemessen zu handhaben, ist es unerlässlich zu verstehen, was sie von anderen Sicherheitslücken unterscheidet.

Die meisten Sicherheitsteams messen dem Zero-Day-Risiko zu viel Bedeutung bei und unterschätzen das weitaus häufigere Risiko durch nicht gepatchte bekannte Schwachstellen. Die Abwehrmaßnahmen, die das Zero-Day-Fenster schließen, sind weitgehend dieselben, die auch die Gefährdung durch die allgemeine Schwachstellenlandschaft verringern. Erst wenn IT-Teams und MSPs diesen Unterschied verstehen, können sie ihre Sicherheitsmaßnahmen zielgerichtet statt reaktiv einsetzen. Lesen Sie den Kaseya-Bericht „State of the MSP 2026“ – 69 % der MSPs bieten Patch- und Update-Management als Dienstleistung an, da das Zeitfenster zwischen der Offenlegung einer Schwachstelle und der Behebung durch einen Patch eines der entscheidenden Zeitintervalle in der IT-Sicherheit darstellt.

Was ist eine Zero-Day-Sicherheitslücke?

Eine Zero-Day-Sicherheitslücke ist eine Schwachstelle in Software, Hardware oder Firmware, die dem für die Behebung zuständigen Hersteller noch nicht bekannt ist und für die daher zu dem Zeitpunkt, zu dem sie Angreifern bekannt wird oder von diesen ausgenutzt wird, noch kein Patch verfügbar ist.

Der Begriff bezieht sich auf die Anzahl der Tage, die dem Hersteller zur Behebung des Problems zur Verfügung standen: null. Wenn eine Sicherheitslücke von einem Forscher entdeckt und dem Hersteller verantwortungsbewusst gemeldet wird, hat dieser Zeit, einen Patch zu entwickeln und zu veröffentlichen, bevor die Sicherheitslücke allgemein bekannt wird und ausgenutzt wird. Ein Zero-Day-Angriff hingegen wird entweder bereits vor einer Offenlegung ausgenutzt oder öffentlich bekannt gemacht, ohne dass der Hersteller zuvor benachrichtigt wurde, wodurch ein Zeitfenster entsteht, in dem Systeme angreifbar sind und noch keine Lösung vorliegt.

Der Begriff wird auch als „0-Day“ geschrieben, und „Zero-Day“ kann sich auf die Sicherheitslücke selbst, den Exploit, der diese ausnutzt, oder den Angriff beziehen, bei dem der Exploit zum Einsatz kommt. Jeder dieser Begriffe hat eine eigene Bedeutung, weshalb die Terminologie oft verwirrend ist.

Sobald ein Patch veröffentlicht wurde, handelt es sich bei der Sicherheitslücke technisch gesehen nicht mehr um einen Zero-Day. Sie wird zu einer bekannten Sicherheitslücke. Doch dieser Übergang beseitigt das Risiko nicht. Das praktische Zeitfenster, in dem ein Risiko besteht, ist der Zeitraum zwischen dem Zeitpunkt, zu dem ein Angreifer von einer Sicherheitslücke erfährt, und dem Zeitpunkt, zu dem ein Unternehmen den entsprechenden Patch installiert – und für die meisten Unternehmen kann sich dieses Zeitfenster selbst nach Verfügbarkeit eines Patches auf Wochen oder Monate erstrecken.

Zero-Day-Sicherheitslücke, Exploit und Angriff: Die drei Begriffe erklärt

Diese drei Begriffe werden oft synonym verwendet, bezeichnen jedoch unterschiedliche Dinge.

Eine Zero-Day-Sicherheitslücke ist ein grundlegender Fehler in der Software oder Firmware, also eine Sicherheitslücke, die zwar existiert, für die es aber noch keinen Patch gibt. Es handelt sich um einen Zustand, nicht um eine Handlung.

Ein Zero-Day-Exploit ist ein Code, ein Tool oder eine Technik, die diese Sicherheitslücke ausnutzt. Sicherheitsforscher nutzen Exploits, um nachzuweisen, dass eine Sicherheitslücke tatsächlich existiert und ausgenutzt werden kann. Angreifer setzen sie als Waffen ein. Wenn in der Sicherheitsgemeinschaft davon die Rede ist, dass ein Zero-Day-Exploit „in freier Wildbahn ausgenutzt wird“, bedeutet dies, dass ein auf diese Sicherheitslücke abzielender Exploit gegen reale Ziele eingesetzt wurde.

Ein Zero-Day-Angriff ist die Aktion, bei der ein Exploit gegen ein Ziel eingesetzt wird. Eine Sicherheitslücke kann bestehen, ohne ausgenutzt zu werden. Ein Exploit kann geschrieben werden, ohne bei einem Angriff zum Einsatz zu kommen. Der Angriff ist der Zeitpunkt, an dem eine Sicherheitslücke messbaren Schaden verursacht.

Diese Unterscheidung ist für die Reaktion auf Sicherheitsvorfälle von Bedeutung. Ein Unternehmen, das auf einem System Ausnutzungsversuche feststellt, ist möglicherweise Opfer eines Zero-Day-Angriffs geworden; dasselbe Verhalten könnte jedoch auch auf die Ausnutzung einer bekannten, noch nicht gepatchten Sicherheitslücke hindeuten. Um zwischen diesen beiden Fällen unterscheiden zu können, sind Erkennungsfunktionen erforderlich, die über den reinen Abgleich von Signaturen hinausgehen.

Wie Zero-Day-Sicherheitslücken entdeckt werden

Zero-Day-Schwachstellen werden auf verschiedene Weise entdeckt, und der Entdeckungsweg ist entscheidend, da er bestimmt, wie schnell ein Patch bereitgestellt wird.

Sicherheitsforscher, die Schwachstellen entdecken, halten sich in der Regel an Verfahren zur verantwortungsvollen Offenlegung: Sie benachrichtigen den Anbieter vertraulich und räumen ihm eine festgelegte Frist (oft 90 Tage, wie im Standard von Google Project Zero) ein, um einen Patch zu entwickeln, bevor die Schwachstelle öffentlich bekannt gegeben wird. In solchen Fällen kann bereits am Tag der öffentlichen Bekanntgabe ein Patch vorliegen, wodurch sich das tatsächliche Zero-Day-Fenster erheblich verkürzt.

Staatlich geförderte Gruppen und hochorganisierte kriminelle Vereinigungen investieren erhebliche Ressourcen in die Schwachstellenforschung, um ausnutzbare Sicherheitslücken noch vor den Herstellern aufzuspüren. Auf diese Weise entdeckte Zero-Day-Schwachstellen werden in der Regel sofort für Angriffe genutzt und über Monate oder Jahre hinweg geheim gehalten, um ihren Wert als Angriffswerkzeuge zu wahren. Diese Schwachstellen stellen die gefährlichste Kategorie dar, da sie bereits existieren und aktiv ausgenutzt werden, bevor jemand außerhalb der angreifenden Gruppe überhaupt von ihrer Existenz weiß.

Der Zero-Day-Markt ist ein realer und bedeutender Wirtschaftszweig. Vermittler kaufen und verkaufen Zero-Day-Exploits, wobei sowohl staatliche Geheimdienste als auch kriminelle Organisationen als Käufer auftreten. Ein Zero-Day-Exploit für weit verbreitete Software kann auf diesem Markt beträchtliche Summen einbringen, was einen finanziellen Anreiz schafft, Schwachstellen zu finden und zu horten, anstatt sie verantwortungsbewusst offenzulegen.

Für Sicherheitsverantwortliche bedeutet dies in der Praxis, dass sie oft nicht wissen können, ob in der von ihnen verwendeten Software eine Zero-Day-Schwachstelle existiert und aktiv gehandelt oder ausgenutzt wird, da das charakteristische Merkmal einer echten Zero-Day-Schwachstelle darin besteht, dass sie dem Hersteller und der Öffentlichkeit unbekannt ist. Die Verteidigung muss darauf ausgerichtet sein, die Auswirkungen eines erfolgreichen Angriffs zu minimieren, anstatt das Auftreten der Schwachstelle zu verhindern.

Zero-Day-Schwachstellen vs. bekannte Schwachstellen: Was ist gefährlicher?

Für die meisten Unternehmen stellen nicht gepatchte bekannte Sicherheitslücken ein größeres Betriebsrisiko dar als Zero-Day-Schwachstellen.

Zero-Day-Schwachstellen finden große Beachtung, weil sie neu sind und es noch keine Patches dafür gibt. Im Gesamtkontext der Sicherheitslücken sind sie jedoch relativ selten. Die Anzahl der öffentlich dokumentierten, behebbaren Sicherheitslücken in gängiger Software ist zu jedem beliebigen Zeitpunkt enorm. Die überwiegende Mehrheit der erfolgreichen Angriffe in der Praxis nutzt bekannte Sicherheitslücken aus, oft solche, für die bereits seit Monaten oder Jahren Patches verfügbar sind.

Die Daten, die dahinterstehen, lassen keinen Zweifel zu. Bei den meisten schwerwiegenden Sicherheitsverletzungen, die untersucht und öffentlich zugeordnet werden, handelt es sich letztendlich um die Ausnutzung bekannter Schwachstellen und nicht um echte Zero-Day-Exploits. Die Angreifer suchen sich den Weg des geringsten Widerstands. Ein ungepatchter Exchange-Server mit einer CVE von vor 18 Monaten ist leichter zu knacken als ein brandneuer Zero-Day-Exploit, dessen Entdeckung das Forschungsteam eines Nationalstaates Monate gekostet hat.

In der Praxis bedeutet dies, dass die beste Abwehr gegen alle Arten von Sicherheitslücken – sowohl Zero-Day- als auch bekannte Schwachstellen – im Wesentlichen dieselbe ist: ein schnelles, automatisiertes Patch-Management, das die Zeitspanne zwischen der Verfügbarkeit eines Patches und dessen Installation minimiert, kombiniert mit Funktionen zur Verhaltenserkennung, die Ausnutzungsversuche identifizieren können, unabhängig davon, ob die jeweilige Sicherheitslücke bekannt ist oder nicht.

Zero-Day-Angriffe erfordern zwei zusätzliche Funktionen, die bei bekannten Schwachstellen nicht notwendig sind: Verhaltensbasierte Erkennung, die Ausnutzungsmuster identifiziert, ohne sich auf bekannte Signaturen zu stützen, sowie Ausgleichsmaßnahmen, die den Schaden begrenzen, wenn eine Schwachstelle nicht behoben werden kann, weil noch kein Patch verfügbar ist.

Bekannte Zero-Day-Beispiele

Log4Shell (2021)

Die kritische Sicherheitslücke in Apache Log4j, einer weit verbreiteten Java-Logging-Bibliothek, wurde im Dezember 2021 öffentlich bekannt gegeben. Innerhalb weniger Stunden nach der Bekanntgabe begann die aktive Ausnutzung in großem Umfang. Die Kombination aus der nahezu universellen Verbreitung von Log4j in Java-Unternehmensanwendungen und der Schwere der Sicherheitslücke (Remote-Code-Ausführung bei minimaler Authentifizierung) machte dies zu einem der bedeutendsten Zero-Day-Vorfälle des letzten Jahrzehnts. Unternehmen mit automatisiertem Patch-Management und einer Bestandsaufnahme ihrer IT-Ressourcen, die ihre Log4j-Anfälligkeit aufzeigten, konnten Prioritäten setzen und reagieren. Diejenigen, die über beides nicht verfügten, verbrachten Tage damit, ihre tatsächliche Anfälligkeit zu ermitteln, während die Ausnutzung bereits im Gange war.

ProxyLogon (Microsoft Exchange, 2021)

Eine von China unterstützte Gruppe nutzte „ProxyLogon“, eine Reihe von Sicherheitslücken im Microsoft Exchange Server, aus, noch bevor Microsoft einen Patch zur Verfügung stellte. Die Sicherheitslücken ermöglichten die Ausführung von Remote-Code auf nicht gepatchten Exchange-Servern. Als Microsoft schließlich Patches veröffentlichte, waren weltweit bereits Tausende von Exchange-Servern durch Web-Shells kompromittiert worden, die nach der anfänglichen Ausnutzung bestehen blieben.

Chrome-Zero-Day-Schwachstellen (laufend)

Google Chrome erhält regelmäßig Notfall-Patches für aktiv ausgenutzte Zero-Day-Schwachstellen, da Browser komplexe Software sind, die direkt mit nicht vertrauenswürdigen Inhalten in Berührung kommt. Das Muster ist immer dasselbe: Eine Zero-Day-Schwachstelle wird in freier Wildbahn ausgenutzt, Google veröffentlicht einen Notfall-Patch, und Unternehmen, die die Browser-Patch-Verwaltung nicht automatisiert haben, bleiben so lange angreifbar, bis der Patch manuell installiert wird.

Stuxnet (2010) und EternalBlue (2017)

Stuxnet gilt nach wie vor als das Paradebeispiel für eine von einem Nationalstaat eingesetzte Zero-Day-Waffe. Das 2010 entdeckte Programm nutzte vier verschiedene Windows-Zero-Day-Schwachstellen gleichzeitig aus, um eine Schadfunktion zu übertragen, die physischen Schaden an industriellen Zentrifugen im iranischen Atomprogramm verursachte. Es ist nach wie vor bemerkenswert, da es zeigt, dass die Ausnutzung von Zero-Day-Schwachstellen reale physische Folgen haben kann und nicht nur zu Datenverlust führt.

EternalBlue, ein ursprünglich von der NSA entwickelter Zero-Day-Exploit, der 2017 an die Öffentlichkeit gelangte, zielte auf das Windows-SMBv1-Protokoll ab. Er diente als Verbreitungsmechanismus für WannaCry und NotPetya, zwei der wirtschaftlich verheerendsten Cyberangriffe der Geschichte. Für die zugrunde liegende Sicherheitslücke war zum Zeitpunkt des WannaCry-Angriffs bereits ein Microsoft-Patch verfügbar, doch Millionen von nicht gepatchten Systemen blieben weiterhin ungeschützt, weshalb ein Exploit für eine bereits bekannte Sicherheitslücke immer noch katastrophale Auswirkungen haben konnte.

Bei Zero-Day-Vorfällen zeigt sich immer wieder folgendes Muster: Unternehmen, die Patches umgehend nach deren Veröffentlichung installierten oder über Verhaltenserkennungssysteme verfügten, mit denen sich Ausnutzungsversuche erkennen ließen, konnten den Schaden deutlich besser begrenzen als solche, bei denen dies nicht der Fall war.

Abwehr von Zero-Day-Bedrohungen

Die Verteidigungsstrategie für Zero-Day-Angriffe entspricht der für die allgemeine Schwachstellenlandschaft, mit zwei Ergänzungen.

Minimieren Sie die Angriffsfläche

Je weniger Software in der Umgebung läuft, desto weniger potenzielle Zero-Day-Angriffsziele gibt es. Das Entfernen nicht aktiv genutzter Software, die Beschränkung von Browser-Erweiterungen auf das absolut Notwendige und die Reduzierung internetgestützter Dienste schränken die Angriffsmöglichkeiten ein. Ein Zero-Day-Schwachstelle in Software, die Sie nicht ausführen, kann Ihnen keinen Schaden zufügen.

Schnelles automatisiertes Patch-Management

Patches helfen zwar nicht während des eigentlichen Zero-Day-Fensters, verringern das Risiko jedoch erheblich, sobald ein Patch veröffentlicht wurde. Der Übergang vom Zero-Day über die bekannte Sicherheitslücke hin zur gepatchten Sicherheitslücke sollte so schnell wie möglich erfolgen – gemessen in Tagen, nicht in Wochen. Kaseya VSA 10 und Datto RMM automatisieren die Patch-Bereitstellung auf allen verwalteten Endgeräten am Tag der Veröffentlichung, mit konfigurierbaren, ringbasierten Genehmigungsworkflows für Änderungen, die vor der Bereitstellung in der Produktion getestet werden müssen.

Erkennung von EDR anhand des Verhaltens

EDR-Plattformen, die Ausnutzungsversuche, Prozessinjektionen, Privilegieneskalationen, unerwartete untergeordnete Prozesse sowie ungewöhnliche Netzwerkverbindungen von vertrauenswürdigen Prozessen erkennen, können Zero-Day-Angriffe auch ohne bekannte Signatur für die jeweilige Sicherheitslücke identifizieren. Datto EDR bietet eine verhaltensbasierte Erkennung, die Angriffsmuster aufspürt und nicht nur bekannte Malware, was es gerade in der Phase vor der Veröffentlichung eines Patches – dem sogenannten Zero-Day-Fenster –, in der noch keine Signatur vorliegt, besonders wertvoll macht.

Segmentierung des Netzes

Die Einschränkung der Netzwerkzugriffsmöglichkeiten eines kompromittierten Systems verringert den Schadensumfang, wenn eine Zero-Day-Schwachstelle erfolgreich ausgenutzt wird. Ein Angreifer, der eine Zero-Day-Schwachstelle auf einer Workstation ausnutzt, sollte nicht automatisch Zugriff auf einen Domänencontroller, einen Dateiserver oder ein Backup-System erhalten. Eine Netzwerksegmentierung verhindert zwar keine Ausnutzung der Schwachstelle, sorgt jedoch dafür, dass aus einer katastrophalen Kompromittierung ein lokal begrenzter Vorfall wird.

Schwachstellenmanagement

Durch kontinuierliche Scans, die nicht gepatchte Software in der gesamten Umgebung identifizieren und die Behebung von Schwachstellen anhand der Verfügbarkeit von Exploits und der Kritikalität der Ressourcen priorisieren, erhalten Sie Einblick in die dringendsten Sicherheitsrisiken. Wenn ein neuer Zero-Day-Exploit bekannt wird, zeigen die Daten zum Schwachstellenmanagement sofort, welche Ressourcen betroffen sind und wie schnell Maßnahmen ergriffen werden müssen.

Bedrohungsinformationen

Feeds, die aktive Zero-Day-Angriffskampagnen verfolgen, liefern Frühwarnungen – oft schon Tage bevor ein Patch verfügbar ist –, dass eine bestimmte Sicherheitslücke aktiv ausgenutzt wird. Dies ermöglicht es, während der Entwicklung eines Patches Ausgleichsmaßnahmen (Änderungen an Regeln, vorübergehende Deaktivierung von Funktionen, Einschränkungen des Netzwerkzugangs) zu ergreifen.

Zero-Day-Schutz für MSPs: Das Problem des Patch-Fensters

Für MSPs ist die Herausforderung der Zero-Day-Abwehr keine theoretische, sondern eine operative Angelegenheit. Der Zeitraum zwischen der Veröffentlichung eines Zero-Day-Patches und dessen Bereitstellung in Dutzenden von Kundenumgebungen ist das eigentliche Sicherheitsrisiko, und ohne Automatisierung verlängert sich dieser Zeitraum.

Stellen Sie sich vor, wie eine manuelle Patch-Koordination im großen Maßstab aussieht. An einem Dienstag wird eine kritische Zero-Day-Sicherheitslücke im Browser bekannt. Das MSP-Team identifiziert die Schwachstelle, ermittelt, welche Kunden betroffen sind, koordiniert die Wartungsfenster mit jedem einzelnen Kunden, plant die Bereitstellung und überprüft den Erfolg bei jedem Kunden einzeln. Im besten Fall ist dieser Prozess bei 30 Kunden in drei bis vier Tagen abgeschlossen. In Umgebungen, in denen Angreifer bereits innerhalb von 24 bis 48 Stunden nach Bekanntwerden neu aufgedeckte Sicherheitslücken mit hohem Schweregrad ins Visier nehmen, ist dieses Zeitfenster entscheidend.

Mit Kaseya VSA 10 oder Datto RMM erfolgt dieselbe Bereitstellung noch am selben Tag im Rahmen einer automatisierten Patch-Richtlinie, wobei eine ringbasierte Staging-Phase vorgesehen ist, in der die Bereitstellung vor der vollständigen Produktivbereitstellung anhand einer Validierungsgruppe getestet wird. Die Koordination der Wartungsfenster ist vorkonfiguriert. Die Überprüfung erfolgt automatisch. Das Risiko für den MSP verkürzt sich für die Kunden, die unter dieser Richtlinie arbeiten, von Tagen auf Stunden.

Aus diesem Grund ist das Patch-Management für 69 % der MSPs, die diesen Service anbieten, nicht nur ein Geschäftsbereich, sondern die operative Fähigkeit, die das Zero-Day-Fenster sicher macht. Der Service ist das System. Entdecken Sie das automatisierte Patch-Management von Kaseya VSA 10 – ein Betriebsmodell, das eine schnelle Reaktion auf Zero-Day-Sicherheitslücken in einer Multi-Client-Umgebung skalierbar macht.

Zero-Day-Angriffe sorgen für Schlagzeilen. Den größten Schaden richten jedoch bekannte, ungepatchte Sicherheitslücken an. Die Verteidigungsstrategie, die beide Aspekte abdeckt, ist dieselbe: Verkleinerung der Angriffsfläche, Automatisierung der Patch-Installation, Einsatz von verhaltensbasierter Erkennung und Segmentierung des Netzwerks. Die Unternehmen und MSPs, die den größten Nutzen aus diesen Maßnahmen ziehen, sind diejenigen, die sie kontinuierlich umsetzen, anstatt erst dann darauf zurückzugreifen, wenn die nächste vielbeachtete Sicherheitslücke bekannt wird. Dann ist das Fenster für Angriffe nämlich bereits offen.