Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Eine Zero-Day Sicherheitslücke hält im Durchschnitt 7 Jahre lang!

M.Sc. Chris Wojzechowski

Eine Zero-Day Sicherheitslücke bleibt im Schnitt 7 Jahre nutzbar. Das Zero-Day bezieht sich auf den Tag der Erkennung. Bleibt zu unerkannt, bleibt Tag Null. Wird Sie erkannt und geschlossen wird nicht mehr von einer Zero-Day gesprochen. In 7 Jahren finden die Finder der Lücke jedoch zahlreiche Käufer die die Einfallstore für eigene Zwecke nutzen. Die zahlen stammen aus einer Studie des Jahres 2017 in der über 200 solcher Sicherheitslücken beleuchtet.

Eine Zero-Day Sicherheitslücke hält mal kein Jahr und manchmal ein ganzes Jahrzehnt!

Es sind die Forscher Lillian Ablon und Timothy Bogart die sich die Mühe gemacht haben um 200 Zero-Day Sicherheitslücken zu untersuchen. Der Zeitraum der Studie ist, entsprechend den Ergebnissen, von 2002 bis 2016 weit gefasst. Dabei haben die Forscher herausgefunden, dass die Lebenserwartung einer unbekannten Sicherheitslücke ganze 6,9 Jahre beträgt. Diese Zeit gilt ab der erstmaligen Entdeckung.

25% der untersuchten Lücken wurden immerhin innerhalb der ersten anderthalb Jahre geschlossen. Weitere 25% überleben hingegen länger als 9,5 Jahre. Wer jetzt denkt „nur die kritischen werden schnell entdeckt und alles andere später“, der irrt:

Die Funktionsweise einer Schwachstelle hat keine Auswirkungen darauf, ob sie lange oder kurz unentdeckt bleibt. (netzpolitik/Lennart)

Das zeigt, dass den Softwareentwicklern und Herstellern nur bedingt Vertrauen entgegengebracht werden sollte. IT-Sicherheit im Planungs,- Entwicklungs- und Wartungsprozess zu berücksichtigen kostet Geld. Dieser Punkt hält viele Unternehmen davon ab: Oft entscheidet der Kostendruck. Die vor kurzem veröffentlichte Corona-Warn-App hat für die Untersuchung der Sicherheit des Backends 107.000 EUR bezahlt – eine angemessene Summe für eine solch relevante und wichtige App.

22 Tage Zeit hat ein Angreifer um einen vollwertigen Exploit für eine Zero-Day zu fahren!

Eine weitere Erkenntnis lautet: Eine Zero-Day Sicherheitslücke kann im vollem Umfang lediglich 22 Tage ausgenutzt werden! Je nach Kritikalität sind aber auch drei Wochen viel zu lang. Die Sicherheitslücke um WordPress 4.7.0 und 4.7.1 hat den Bedarf nach einer Nachbesserung genau so gut gezeigt, wie der Fehler im Parser von Cloudflare.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Die Zero-Day hält überraschend lange und findet Käufer unterschiedlicher Kreise!

Die Haltbarkeit einer Zero-Day Sicherheitslücke ist entscheidend für die Gewährleistung der IT-Sicherheit von Systemen. Wer als Hersteller oder Entwickler von Software als letztes von solchen Lücken erfährt, der sollte das Budget für IT-Sicherheit erhöhen. Der Marktwerkt solcher Sicherheitslücken ist, besonders bei beliebter Software, extrem hoch. So wurde im Rahmen der Corona-Pandemie eine kritische Zoom Sicherheitslücke für 500.000 USD angeboten.

Nicht selten erforschen und untersuchen große Unternehmen Software auf Sicherheitslücken. So wurde vor kurzem bekannt, das eine Zero-Day Sicherheitslücke im Betriebssystem Tails, welches von einem USB-Stick gestartet werden kann und hohe Anforderungen an die Privatsphäre erfüllt, von Facebook entdeckt und an das FBI weitergeleitet worden ist. Aus Gründen wurde der Disclosure-Prozess umgangang.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.