Zero Day Exploits: Was ist das?

Plötzlich gehackt und niemand weiß warum? Vielleicht war es ein Zero Day Exploit. Zero Day Exploits sind Sicherheitslücken und Schwachstellen, auf die es noch keine Antwort gibt, weil die Lücke selbst schlicht unbekannt auftritt. Sie sind ein enormes Problem und ein noch viel größeres für die Sicherheit in Unternehmen. Was also tun, wenn Software innerhalb der Organisation von einem Zero Day Exploit betroffen ist?

Bevor wir uns mit den möglichen Schutzmaßnahmen für Sicherheitslücken, den Schwarzmärkten und allgemeinen Tipps und Tricks beschäftigen, sollten wir zunächst einmal die Definition selbst klären. Was genau ist ein Zero Day Exploit denn nun genau und was bedeutet der Begriff?

Was sind Zero Day Exploits?

Als Zero Day Exploits werden für gewöhnlich massive Sicherheitslücken und Schwachstellen bezeichnet, die bereits ausgenutzt werden, noch bevor die Entwickler einen entsprechenden Patch oder Fix bereitstellen konnten. Die null Tage (Zero Day) beziehen sich dabei auf die Entdeckung und das Bekanntwerden der Sicherheitslücke. Es gibt also null Tage Zeit und der Tag der Entdeckung ist derselbe Tag, an dem die Sicherheitslücke bereits aktiv von Angreifern ausgenutzt wird.

Zero Day Exploits sind dabei extrem gefährlich und stellen ein unglaublich hohes Sicherheitsrisiko dar. Das liegt an den erwähnten null Tagen, denn genau genommen stehen die verantwortlichen Entwickler sofort unter Druck ein entsprechendes Sicherheitsupdate zu veröffentlichen. Zero Day meint also in erster Linie, dass etwas ohne Vorwarnung passiert, sofort präsent ist und infolgedessen augenblicklich gehandelt werden muss.

Für Unternehmen sind diese Schwachstellen deshalb so problematisch, weil es im Grunde keinerlei Schutz gegen sie gibt. Hacker können sie ausnutzen, um Malware einzuschleusen, Systeme zu übernehmen oder Daten zu stehlen. Unternehmen können sich hingegen nicht aktiv wehren, weil sie nicht wissen, wie die Angreifer Zugriff erlangen. Zero Day Exploits sind unbekannt und bis sich dies ändert, werden die Sicherheitslücken nach Möglichkeit entsprechend stark ausgenutzt.

Was macht diese Exploits für Angreifer interessant?

Wie bereits erwähnt, sind Zero Day Exploits in erster Linie deshalb so interessant für Angreifer und Hacker, weil sie der IT bisweilen noch unbekannt sind. Es gibt keinen Patch, der die Lücke schleißt und oft auch noch nicht einmal einen passenden Workaround, um Angreifer effektiv abzuwehren. Allein dadurch werden diese Schwachstellen schon enorm wertvoll für bösartige Akteure.

Ohne Schutz gibt es also auch keine Abwehr. Hacker brauchen bei den Schwachstellen demnach nicht befürchten, dass interne Sicherheitsmaßnahmen den Angriff erkennen oder gar vereiteln. Viel besser noch, denn durch den Zero Day Exploit können sich Angreifer im besten Fall über einen sehr langen Zeitraum hinweg Zugang verschaffen und unbemerkt weitere Software einschleusen. Auf diese Weise lassen sich IT-Systeme nahezu unbemerkt infiltrieren.

Ein weiterer Punkt, der die Sicherheitslücken so wertvoll werden lässt, ist der Handel mit ihnen. In Hackerforen und der Szene besteht ein großer und wertvoller Markt für derartige Schwachstellen. Selbst entsprechende Organisationen oder sogar Regierungen haben ein enormes Interesse daran, von solchen Zero Day Exploits zu erfahren.

Prinzipiell ist ein Zero Day Exploit so etwas wie der nachgemachte Zweitschlüssel zu einer verschlossenen Tresortür. Solange Sie die Bank nicht beim Hineingehen erwischt, können Sie die Tür so lange nutzen wie Sie wollen. Demnach können Sie auch so viele Wertgegenstände mitnehmen, wie sie tragen können. Schließlich ahnt niemand, dass Sie einen Zweitschlüssel besitzen oder rechnet auch nur damit, dass ein derartiger existiert.

Was ist ein Schwarzmarkt für Zero Day Exploits?

Wie schon erwähnt, besteht für Zero Day Exploits ein relativ großer Schwarzmarkt. Es gibt kaum Sicherheitslücken, die derart begehrt sind wie diese und auch keine, die entsprechend hoch gehandelt werden. Dabei sind es nicht einmal die Hacker oder Hackergruppen, die hier besonders aktiv sind, sondern eher Regierungen und Firmen von Spionagesoftware, die solche Leaks für ihre Zwecke benötigen und daher hohe Summen für die Entdeckung zahlen.

Doch wie das bei einem Schwarzmarkt nun einmal so ist, gewährt uns auch der Schwarzmarkt für Zero Day Exploits keine genaueren Einblicke. Fakt ist nur, dass Zero Day Exploits verkauft werden, wie auch alle anderen Sicherheitslücken oder Schwachstellen ihren Markt haben. Doch genau wie beim Verkauf erbeuteter Datensätze, schweigen sich die Verkäufer und Kunden natürlich über den Preis oder etwaige weitere Bedingungen aus.

Der Schwarzmarkt für Schwachstellen ist also ein Untergrundhandel, der in Hackerforen und unter der Hand existiert. Kriminelle kaufen und verkaufen die Informationen der Schwachstellen an Dritte. Die wiederum haben ein Interesse daran, da sie sich auf diese Weise Zugang zu den Geräten oder Services verschaffen können.

Wie können Unternehmen sich schützen?

Eigentlich gar nicht. Die Schwachstellen heißen so, weil es sich um unbekannte und weiterhin existierende Sicherheitslücken handelt. Unternehmen müssten diese von Anfang an vermeiden, denn vor einem Zero Day Exploit als solchen kann sich niemand effektiv schützen. Vor Sicherheitslücken allerdings auch nicht, da diese während einer Entwicklung nun einmal zwangsläufig auftreten. Es geht vielmehr um die Prozesse im Unternehmen, die einen entsprechenden Schutz durchsetzen, indem schnell auf derartige Sicherheitsvorfälle reagiert wird.

Schützen können sich Unternehmen lediglich vor Schwachstellen in Software von Drittanbietern. Zum Beispiel, wenn Office-Anwendungen oder Tools im Einsatz sind. Hier hilft es, mit Updates nicht lange zu warten, sondern immer die neusten Aktualisierungen zu installieren. Firewalls im Unternehmen sorgen zudem dafür, dass unbefugter Netzwerkzugriff schnellstmöglich blockiert wird und Angriffe von außen entsprechend erkannt und gestoppt werden. Falls so etwas nicht möglich ist, sollten diese dem IT-Sicherheitsbeauftragten zumindest zeitnah auffallen, bevor sie einen echten Schaden verursachen können.

Security Awareness im eigenen Unternehmen und bei den Mitarbeitern ist ebenfalls essenziell wichtig. Fällt den Angestellten etwas auf, was nicht korrekt läuft, kann dies ein Anzeichen für gerade stattfindende Angriffe sein. Doch solch ein Bewusstsein zu erzeugen, ist gar nicht so einfach. Regelmäßige Penetrationstests, strenge Sicherheitsrichtlinien und ein hoher Grad an Fachwissen, unterstützen somit ebenfalls dabei, die Gefahr von und vor Zero Day Exploits zumindest weitgehend einzuschränken.

Zero Day Exploits gehören leider mit dazu

Das Problem ist am Ende, dass Software eben nie zu einhundert Prozent sicher sein kann. Entwickler bekommen nicht immer genug Zeit, um jede Codezeile zu prüfen und selbst wenn, würden sich Schwachstellen einfach nicht gänzlich vermeiden lassen. Wo es Sicherheitsmaßnahmen gibt, sind auch immer Angreifer, die alles daran setzen selbige erfolgreich zu umgehen. Die sind mitunter professionell aufgestellt und noch dazu äußerst kreativ beim Umgehen der eingesetzten Mittel.

Wenn Unternehmen also glauben, dass Zero Day Exploits sie nicht betreffen, agieren sie naiv. Entweder die Schwachstellen befinden sich in eigenen Anwendungen oder aber sie gelangen durch die Nutzung von externer Software in das jeweilige Netzwerk. In jedem Fall ist ein Zero Day Exploit nicht so selten, wie viele Unternehmer immer noch glauben. Wichtig ist daher auf Angriffe vorbereitet zu sein und die eigenen Systeme regelmäßig zu testen und umfangreich zu analysieren.

Aktuelle Warnungen bezüglich der Zero Day Exploits sollten in der IT bekannt sein und neue Patches sofort installiert werden. Falls dies nicht möglich ist, stimmt etwas mit dem eigenen IT-System nicht, denn Aktualisierungen sind heutzutage wichtiger denn je geworden. Zudem hilft es immer auch externe Sicherheitsexperten zu befragen, die die eigene IT-Infrastruktur unter die Lupe nehmen. Ein geschulter Blick von außen ist oft genau das, was Unternehmen fehlt. Sprechen Sie uns also gerne an.