Immer wieder sind Zero-Day-Exploits die Ursache für massive Datenlecks. Sich davor zu schützen ist in der IT-Sicherheit eine besondere Herausforderung. Erfahren Sie hier, was Zero-Day-Exploits sind, was sie so gefährlich macht und was Organisationen tun können, um das Risiko eines Zero-Day-Exploits zu minimieren.
Was ist ein Zero-Day-Exploit?
Unter den zahlreichen IT-Bedrohungen, mit denen Organisationen heute konfrontiert sind, zählen die sogenannten Zero Days oder 0-Days (gespr. „Oh-day“) zu den gefährlichsten. Das hat damit zu tun, dass es praktisch unmöglich ist, sich vollständig gegen Zero Days abzusichern. Zero Days sind bislang unbekannte Sicherheitslücken in einer Software oder Netzwerkumgebung, die von Hackern als Ausgangspunkt für Cyberattacken genutzt werden können. Findet eine solche Attacke statt, spricht man von einem Zero-Day-Exploit. Oft beginnen die Attacken über Webbrowser oder E-Mails mit angehängter Malware.
Der aktuelle Internet Security Report von WatchGuard zeigt, dass es sich bei etwa zwei Dritteln aller Malware-Attacken um Zero-Day-Exploits handelt. Laut Google hat sich die Anzahl entdeckter Zero Days im Jahr 2021 gegenüber dem Vorjahr verdoppelt.
Kriminelle Hacker sind laufend auf der Suche nach bislang unentdeckten Schwachstellen, um die digitalen Verteidigungslinien von Organisationen zu durchbrechen. Zero-Day-Lücken führen dabei besonders oft zum Erfolg, denn egal, wie viel ein Unternehmen in seine IT-Sicherheit investiert: Zero Days existieren in praktisch jeder Software als Restrisiko, unabhängig von deren Entwicklungsstadium. Die entscheidende Frage ist, wann sie gefunden werden – und von wem.
In vielen Fällen bleiben Zero-Day-Exploits über einen längeren Zeitraum unentdeckt. Wird ein Zero-Day-Exploit registriert, beginnt für Entwickler ein Wettlauf mit der Zeit, denn je länger die Sicherheitslücke besteht, desto höher ist der potenzielle Schaden. Aus diesem Kontext ergibt sich auch der Begriff Zero Day: Entwickler hatten zum Zeitpunkt der Cyberattacke null Tage Zeit, an einem Fix für die Schwachstelle zu arbeiten.
Responsible Disclosure: So verfährt die DGC mit Zero-Day-Lücken
Die DGC ist permanent auf der Suche nach Zero Days und stößt in Softwareprodukten und Netzwerkumgebungen immer wieder auf bislang unbekannte Sicherheitslücken. Im Rahmen einer Responsible-Disclosure-Policy (sinngemäß etwa „verantwortungsbewusste Offenlegung“) unterstützt sie die Hersteller der betroffenen Software dabei, neu entdeckte Schwachstellen schnellstmöglich zu beheben.
Die Offenlegung der gefundenen IT-Sicherheitslücken erfolgt auf Basis von koordinierten Leitlinien des nationalen Computer Emergency Response Teams (CERT). Diese Vorgehensweise dient dem Ziel, die Interessen des Herstellers als auch der Nutzer möglichst zu vereinen. Für Ersteren geht es insbesondere um die Vermeidung des Imageschadens durch ein Datenleck, für Letztere um die Sicherheit ihrer IT-Infrastruktur.
Der Software-Hersteller wird von der DGC über die Sicherheitslücke informiert und hat 28 Tage Zeit, sie zu beheben. Im Anschluss veröffentlicht die DGC auf ihrer Website Details zur Schwachstelle, um betroffenen Anwendern die Möglichkeit zu geben, sich nach eigenem Ermessen vor einer möglichen Cyberattacke zu schützen. Im Idealfall ist zu diesem Zeitpunkt bereits ein Sicherheitsupdate vonseiten des Entwicklers verfügbar.
Eine alternative Vorgehensweise zur Responsible Disclosure ist die Full Disclosure. Hier werden Informationen zu Sicherheitslücken sofort veröffentlicht. Der dadurch entstehende Druck für den Softwarehersteller soll zu einer schnelleren Beseitigung der Schwachstelle führen. Die DGC fokussiert sich allerdings ausschließlich auf die zuerst vorgestellte Vorgehensweise.
Grundsätzlich geht es in beiden Fällen um Transparenz: Wer von einem Zero-Day-Exploit betroffen ist, muss möglichst zeitnah davon erfahren, um auf die Bedrohung reagieren zu können.
Massives Datenleck bei Buchbinder mit cyberscan.io® aufgedeckt
Auch im deutschsprachigen Raum führen Zero Days immer wieder zu massiven Datenlecks. Besonders hart traf es den Autovermieter Buchbinder (Car Partner Nord GmbH). Ende 2019 stieß die DGC mithilfe des hauseigenen Schwachstellenscanners cyberscan.io® auf drei Millionen Datensätze zu Buchbinder-Kunden. Diese waren völlig unverschlüsselt über einen herkömmlichen Webbrowser abrufbar. Die personenbezogenen Datensätze enthielten Name, Adresse, Telefonnummer, Zahlungsinformationen, Führerscheinnummer, Abhol- und Abgabeort des Mietwagens, Unfallberichte (u.a. Blutalkoholuntersuchungen) sowie etwaige Verstöße der Fahrer gegen die StVO.
Entsprechend der Responsible-Disclosure-Policy hat die DGC Buchbinder sofort auf den Zero-Day-Exploit aufmerksam gemacht. Nachdem das Unternehmen trotz mehrfacher Kontaktversuche über einen Monat lang nicht reagierte, informierte die DGC die bayerische Datenschutzbehörde. Einen knappen Monat später war die Sicherheitslücke geschlossen. Medienberichte und ein öffentliches Statement von Buchbinder folgten im Anschluss.
Schutzmaßnahmen gegen einen Zero-Day-Exploit
Herkömmliche Sicherheitstools sind gegen Zero-Day-Exploits machtlos. Da ein vollständiger Schutz kaum möglich ist, geht es in erster Linie um Risikominimierung. Prinzipiell ist jede eingesetzte Software ein Risikofaktor: Entsprechend sinnvoll ist es, nur Softwarelösungen zu nutzen, die tatsächlich benötigt werden sowie die Softwarelandschaft möglichst überschaubar zu halten.
Für jede Art von IT-Sicherheitskonzept ist es unverzichtbar, die gesamte Infrastruktur konsequent mit aktuellen Sicherheitsupdates, Patches und Fixes zu versorgen. Nachlässigkeit kann verheerende Folgen haben. Meist sind Softwarehersteller in der Lage, zeitnah Patches für entdeckte Zero Days zur Verfügung zu stellen. Erfährt ein Unternehmen von einem Zero Day in einer genutzten Software, muss es sich selbstständig darum kümmern, den entsprechenden Fix auszurollen.
Der konsequente Einsatz von Verschlüsselung und abgestuften Berechtigungen erhöht das Sicherheitsniveau weiterhin. Sinn macht es zudem, ein Intrusion-Detection- bzw. Intrusion-Prevention-System (IDS, IPS) in Stellung zu bringen. Dieses hilft dabei, Verdächtige Muster im Datenverkehr zu erkennen und Angriffe idealerweise im Keim zu ersticken.
Nicht zuletzt sollten Unternehmen außerdem einen Disaster Recovery Plan erarbeiten, in dem das Vorgehen und die Zuständigkeiten für den Fall einer Cyberattacke definiert werden. Eine schnelle und effektive Reaktion dient nicht nur der Schadensbegrenzung. Unter Umständen ist sie auch im Rahmen der DSGVO gesetzlich vorgeschrieben.
Fazit: Risikominimierung durch umfassendes Sicherheitskonzept
Zero-Day-Exploits sind eine Gefahr, die aus dem Nichts auftaucht. Dennoch sind Organisationen diesem Risiko nicht gänzlich schutzlos ausgeliefert. Entscheidend ist es, sich der Bedrohung bewusst zu sein, Risikofaktoren auf technologischer und organisatorischer Ebene zu minimieren und im Ernstfall schnell reagieren zu können.
Gerne beraten die IT-Experten der Deutschen Gesellschaft für Cybersicherheit Sie bei allen Fragen rund um Zero-Day-Exploits und die IT-Sicherheit Ihres Unternehmens. Nehmen Sie Kontakt mit uns auf.
