top of page
Suche

Die unsichtbare Bedrohung: Zero-Day-Angriffe erklärt

  • Reto Wittmer
  • 9. Juni 2023
  • 3 Min. Lesezeit

Zero-Day-Angriffe, auch 0-day geschrieben, sind eine der größten Herausforderungen in der Cybersicherheit. Sie sind gefährlich, kaum zu erkennen und können immensen Schaden anrichten. In diesem Beitrag gehen wir näher darauf ein.


Zero-Day: Woher kommt der Name?

Der Ausdruck “Zero-Day” bedeutet, dass ein Hersteller/Entwickler einer Software von einem bislang unbekannten Fehler erfahren hat, und somit null Tage Zeit hat, diesen zu beheben. Hacker nutzen Schwachstellen aus, bevor diese behoben werden können.


Zero-Day-Schwachstelle: Dabei handelt es sich um eine Schwachstelle in der Software, welche von einem Angreifer entdeckt wurde. Dem Hersteller sind diese Schwachstellen jedoch nicht bewusst und somit können auch keine Lösungen (Patches) dafür entwickelt werden. Somit steht die Wahrscheinlichkeit hoch, dass der Angriff erfolgreich verläuft.

Zero-Day-Exploit: Dies ist die Methode, welche Hacker zum Angriff auf die unerkannte Schwachstelle nutzen.

Zero-Day-Angriff: Von einem Angriff wird gesprochen, wenn der Zero-Day-Exploit angewandt wird. Damit kann großer Schaden verursacht werden, beispielsweise in dem Daten aus dem geschwächten System entwendet werden.


Wie funktioniert ein Zero-Day-Angriff?

Sicherheitslücken in Software entstehen meist unbewusst und sind vor allem zu Beginn vermehrt zu finden. Aufgabe eines Softwareentwicklers ist es, diese Schwachstellen zu identifizieren und zu patchen. Diese Patches werden dann in einem neuen Update ausgespielt. Jedoch finden Hacker diverse Sicherheitslücken, bevor sie dem Entwickler auffallen und können diese mit neu geschriebenen Codes ausnutzen, sogenannte Exploit-Codes. Der Code kann gegen die Nutzer der Software gerichtet sein, und zu Identitätsdiebstahl oder anderen kriminellen Verfahren führen.


Um in das geschwächte System zu gelangen, verwenden viele Angreifer Social Engineering-Methoden. Sie geben sich dabei als seriöser Anbieter aus und fordern Nutzer per Mail auf, bestimmte Aktionen auszuführen. Ob das Öffnen einer Datei oder das Besuchen einer schädlichen Website, die Folgen für den User bleiben die Gleichen. Der Benutzer lädt sich eine Malware herunter, welche seine Dateien infizieren, und dem Angreifer erlauben, vertrauliche Daten zu stehlen.


Entwickler werden meist nur durch Zufall auf die Sicherheitslücken in ihrer Software aufmerksam, indem sie einen Kundenhinweis oder eine Schadensmeldung erhalten. Dies kann jedoch mehrere Tage, Wochen oder sogar Monate dauern. Bis dahin haben Angreifer schon zahlreiche Daten gesammelt, oder den Exploit sogar im Darknet für viel Geld verkauft. Sobald der Zero-Day-Angriff vom Entwickler entdeckt und gepatcht wurde, gilt er nicht mehr als Zero-Day-Bedrohung, allerdings kann die Sicherheitslücke weiterhin bestehen bleiben. Selbst nach dem ein Patch ausgerollt wurde, heißt das nicht, dass alle Nutzer diesen auch implementieren.


Wer ist betroffen?

Schwachstellen, die bei einem Zero-Day-Angriff ausgenutzt werden, können in verschiedenen Systemen auftreten.

  • Betriebssysteme

  • Webbrowser

  • Office-Anwendungen

  • Open Source Programme

  • Hardware und Firmware (Firmware ist eine Software, die grundlegende Funktionen in elektronischen Geräten erfüllen)

  • Internet of Things (Bezeichnung für das Netzwerk physischer Objekte: Alltagsgegenstände, die über das Internet miteinander vernetzt sind)

Opfer eines Zero-Day-Angriffes können neben Privatpersonen, Unternehmen und Organisationen jeder Größe auch staatliche Stellen oder politische Ziele sein.


Wie erkennt man Zero-Day-Angriffe

Ob fehlende Datenverschlüsselung, fehlende Berechtigungen, zerstörte Algorithmen, Bugs, Probleme mit Passwortsicherheit oder ähnliches: 0-day-Schwachstellen können in unterschiedlichen Formen auftreten.


Aus diesem Grund sind sie meist auch schwer zu erkennen. Ein auffallend hoher Datenverkehr oder verdächtige Scan-Aktivitäten könnten eventuell Anzeichen für einen Zero-Day-Angriff sein.

Zudem kann die Verwendung von vorhandenen Datenbanken über Malware und deren Verhalten als Referenz verwendet werden. Diese Datenbanken werden in der Regel sehr schnell aktualisiert und können sich als nützlicher Ausgangspunkt herausstellen. 0-day-Exploits sind jedoch nach ihrer Definition komplett neu und unbekannt, somit ist dem Nutzen solcher Datenbanken Grenzen gesetzt.


Um Zero-Day-Malware zu identifizieren, konzentriert man sich weniger auf den Code der eingehenden Dateien, sondern vielmehr auf die Art und Weise, wie sie mit dem Zielsystem interagiert. Bei der Analyse der Technik liegt der Fokus auf möglicherweise schädlichen Aktivitäten, die in Wechselwirkung mit der bereits vorhandenen Software im System auftreten.


Auch maschinelles Lernen hilft vermehrt, Zero-Day-Angriffe zu erkennen. Dabei werden zuvor gemeldete Exploits und Daten vergangener sowie aktueller Interaktionen mit dem System verwendet, um Grundzüge des sicheren Systemverhaltens abzuleiten. Umso mehr Daten dabei vorhanden sind, desto zuverlässiger ist auch die Erkennung.


Schutz vor Zero-Day-Angriffen

Für den bestmöglichen Schutz sollten vor allem die Best Practices der Cybersicherheit eingehalten werden.

  • Programme und Betriebssystem immer aktuell halten

  • Nur Anwendungen installieren, die tatsächlich benötigt werden

  • Firewalls verwenden

  • Mitarbeiter über Risiken aufklären

  • Antiviren-Softwarelösung verwenden

Herkömmliche Antivirensoftware erkennt die Exploits nicht, da die geschriebenen Angriffsmuster nicht bekannt sind und sich somit nicht in der Datenbank befinden. Fortgeschrittene Antiviren-Programme arbeiten bereits mit künstlicher Intelligenz und können Muster im Malware-Verhalten erkennen.

Comments

bottom of page