Der Umgang mit Zero-Day-Angriffen oder Sicherheitslücken kann ziemlich nervenaufreibend sein. Oftmals handelt es sich dabei um Bedrohungen, die alle üblichen Schutzmaßnahmen umgehen, weil noch kein Patch existiert – genau das ist ja der Sinn eines Zero-Day-Angriffs. Wird eine schwerwiegende Schwachstelle entdeckt, bleibt dem Software- oder Hardwarehersteller nichts anderes übrig, als schnellstmöglich einen Fix zu veröffentlichen. Bis dahin tappen Sie jedoch im Dunkeln. Dieser Artikel erklärt, was Zero-Day-Schwachstellen genau bedeuten, warum sie so gefährlich sind und wie Sie in einer solchen Situation reagieren können. Es gibt zwar keine Garantie für eine Lösung, aber zumindest zu wissen, was Sie erwartet, kann Ihnen viel Ärger ersparen, insbesondere wenn Ihre Systeme häufig Ziel von Angriffen sind oder Sie den Verdacht haben, dass etwas Ungewöhnliches vor sich geht.
Zero-Day-Angriff, Exploit oder Sicherheitslücke
Eine Zero-Day-Schwachstelle ist im Grunde eine Sicherheitslücke in Software, Firmware oder Hardware, die noch niemand entdeckt hat – weder Nutzer, Hersteller noch Entwickler. Hacker nutzen solche Lücken gerne aus, bevor sie überhaupt bemerkt werden. Diese Angriffe werden Zero-Day-Exploits genannt. Wenn ein Hacker dies tut, spricht man von einem Zero-Day-Angriff : Er nutzt die Schwachstelle aus, bevor die Produktverantwortlichen sie beheben können. Die Schwachstelle ist also unentdeckt und wartet auf eine Lösung, während Angreifer die Gelegenheit zum Angriff nutzen.
Offenbar gibt es viele Arten von Zero-Day-Angriffen – von heimtückischen Malware-Einschleusungen über Spyware bis hin zu Ransomware, die alle ausgeführt werden, bevor der Hersteller überhaupt von dem Problem weiß. Sobald ein Patch veröffentlicht ist, gilt die jeweilige Schwachstelle natürlich nicht mehr als Zero-Day-Schwachstelle. Bis dahin ist es jedoch ein Wettlauf gegen die Zeit.
Normalerweise entdeckt ein Sicherheitsforscher oder ein externes Sicherheitsunternehmen als Erster eine Zero-Day-Schwachstelle. Sie informieren dann die Hersteller, damit die Entwickler einen Patch erstellen können – diese Patches werden oft als Zero-Day-Patches bezeichnet. Es ist erstaunlich, wie schnell die Entwicklung vonstattengehen kann, aber nicht immer schnell genug, insbesondere wenn Hacker die Schwachstelle zuerst entdecken.
Wie Microsoft mit Sicherheitslücken umgeht
Microsoft nutzt dafür ein eigenes System, den sogenannten Patch-Dienstag, der immer am zweiten Dienstag jedes Monats stattfindet. An diesem Tag werden Sicherheitsupdates und Patches für Windows und andere Produkte veröffentlicht. Diese Patches beheben bekannte Sicherheitslücken, darunter auch einige Zero-Day-Schwachstellen, sofern diese bei routinemäßigen Überprüfungen entdeckt werden.
Es gibt auch Sicherheitsupdates, die im Grunde Notfallkorrekturen darstellen und bei Entdeckung kritischer Sicherheitslücken dringend veröffentlicht werden. Bei manchen Systemen erhalten Sie möglicherweise außerhalb des Patch-Dienstags eine Benachrichtigung über ein kritisches Sicherheitsupdate – dabei handelt es sich oft um neu entdeckte Zero-Day-Schwachstellen, die Microsoft beheben möchte, bevor Hacker sie ausnutzen können. Es mag ungewöhnlich klingen, aber manchmal werden in solchen Fällen Sicherheitswarnungen veröffentlicht, die auf eine neue Schwachstelle hinweisen, und ein entsprechender Fix wird umgehend bereitgestellt.
Wie man mit Zero-Day-Angriffen und Sicherheitslücken umgeht
Ehrlich gesagt, kann man im Moment des Ausbruchs einer Zero-Day-Schwachstelle nicht viel tun. Am besten ist es in der Regel, alles auf dem neuesten Stand zu halten – Betriebssysteme, Browser, Apps, einfach alles. Denn sobald der Patch veröffentlicht ist, kann ein schnelles Einspielen viel Ärger ersparen. Stellen Sie sich das vor wie das Flicken eines Lecks in einem Boot, bevor das ganze Wasser eindringt.
Beispielsweise treten viele Zero-Day-Schwachstellen in Plugins wie Java und Flash auf, die aufgrund ihrer weiten Verbreitung und Nutzung häufig Ziel von Angriffen sind. Regelmäßige Updates für Ihr Betriebssystem, Ihre Webbrowser und wichtige Software können daher helfen, Sicherheitslücken zu schließen. Auch der Einsatz von Sicherheitstools wie Intrusion-Detection-Systemen, Anti-Exploit-Tools oder Firewalls, die verdächtige Aktivitäten überwachen und blockieren, kann Zeit gewinnen oder den Angriff sogar vollständig verhindern.
Bedenken Sie, dass auf manchen Rechnern die Installation nicht ganz reibungslos verläuft – beispielsweise kann es vorkommen, dass das Update beim ersten Versuch nicht installiert wird oder ungewöhnliche Leistungsprobleme verursacht. Manchmal hilft ein schneller Neustart oder eine manuelle Aktualisierung über die Befehlszeile (z. B.mit Windows UpdateBefehlen oder über WSUS ).Denn natürlich muss Windows es einem unnötig schwer machen…
Was ist ein Beispiel für einen Zero-Day-Angriff?
Ein berüchtigtes Beispiel ist der Stuxnet-Wurm. Diese Schadsoftware zielte auf Produktionssysteme in Ländern wie Iran, Indien und Indonesien ab – mit dem Ziel, Atomprogramme zu sabotieren. Sie nutzte Zero-Day-Schwachstellen in Windows und verwandten Systemen aus und wirkte wie ein Weckruf für die Welt. Der Angriff war äußerst ausgeklügelt und verdeutlichte, wie gefährlich Zero-Day-Exploits sein können, wenn Staaten oder Hacker die Oberhand gewinnen.
Warum wird es Zero-Day-Exploit genannt?
Das liegt daran, dass die Sicherheitslücke so neu ist, dass die Softwarehersteller oder Sicherheitsteams erst jetzt davon erfahren haben – sie haben also keine Zeit, sie zu beheben, bevor Hacker sie ausnutzen. Der Begriff verdeutlicht, wie wenig Vorwarnung es gibt – keine Zeit für Patches oder Vorbereitungen, sondern nur hektische Versuche, den Schaden zu begrenzen, sobald die Sicherheitslücke ausgenutzt wird.