Zero-Day-Schwachstelle
Sicherheitslücke, die dem Hersteller unbekannt ist und für die kein Patch existiert.
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke in Software oder Hardware, die dem Hersteller noch nicht bekannt ist oder für die noch kein Sicherheitsupdate bereitsteht. Der Name leitet sich davon ab, dass der Hersteller 'zero days' — also null Tage — Zeit hatte, die Schwachstelle zu beheben, bevor sie ausgenutzt wird.
Zero-Day vs. bekannte Schwachstellen
Der entscheidende Unterschied liegt in der Verfügbarkeit von Gegenmaßnahmen. Bekannte Schwachstellen haben CVE-Einträge, Patches und Erkennungssignaturen. Zero-Days hingegen können von herkömmlichen signaturbasierten Sicherheitslösungen nicht erkannt werden, da ihre Merkmale schlicht unbekannt sind.
| Merkmal | Bekannte Schwachstelle | Zero-Day-Schwachstelle |
|---|---|---|
| Hersteller informiert | Ja | Nein |
| Patch verfügbar | Ja (oder in Arbeit) | Nein |
| CVE-Eintrag | Vorhanden | Nicht vorhanden |
| Signaturerkennung | Möglich | Nicht möglich |
| Typische Ausnutzung | Massenhaft, automatisiert | Gezielt, oft staatlich |
Warum Zero-Days besonders gefährlich sind
Zero-Day-Exploits treffen Unternehmen ohne Vorwarnung. Es gibt keinen Patch zum Installieren, keine Signatur zum Erkennen und oft keine öffentliche Information über die Schwachstelle. Zwischen der ersten Ausnutzung und der Entdeckung vergehen häufig Wochen oder Monate. In dieser Zeit sind alle betroffenen Systeme ungeschützt.
Verteidigungsstrategien
Da Zero-Days per Definition unbekannt sind, setzt die Verteidigung auf verhaltensbasierte und architektonische Maßnahmen: Virtual Patching über WAF-Systeme (Web Application Firewalls) und IPS kann bekannte Angriffsmuster blockieren, auch wenn die zugrundeliegende Schwachstelle nicht gepatcht ist. EDR-Lösungen erkennen verdächtiges Verhalten unabhängig von Signaturen. Netzwerksegmentierung begrenzt den Schaden, wenn ein System kompromittiert wird. Threat Intelligence aus spezialisierten Feeds liefert frühzeitige Hinweise auf neue Exploits.
Defense-in-Depth als Grundprinzip
Kein einzelnes Sicherheitsprodukt kann Zero-Days zuverlässig verhindern. Defense-in-Depth als mehrschichtiger Ansatz reduziert die Angriffsfläche: Minimierung exponierter Dienste, konsequentes Least-Privilege-Prinzip mit PAM, Mikrosegmentierung und kontinuierliches Monitoring über ein SIEM-System. Selbst wenn ein Zero-Day den äußeren Schutz durchbricht, verhindern innere Schutzschichten die weitere Ausbreitung.
Relevanz für KMUs
KMUs sind nicht immun gegen Zero-Day-Angriffe — insbesondere wenn sie weit verbreitete Software wie Microsoft Exchange, VPN-Gateways oder Firewalls einsetzen. Die gute Nachricht: Die meisten Verteidigungsmaßnahmen gegen Zero-Days — Segmentierung, EDR, Least Privilege — schützen gleichzeitig gegen die weitaus häufigeren bekannten Schwachstellen. Konsequentes Patch Management stellt sicher, dass zumindest alle bekannten Lücken geschlossen sind, und Schwachstellen lassen sich anhand ihres CVSS-Scores priorisieren.