Durchschnittliche Haltbarkeit von Zero-Day-Lücken liegt bei einem Jahr

Nach Angaben des Sicherheitsdienstleister Immunity beträgt die durchschnittliche Lebensdauer einer Zero-Day-Lücke 348 Tage. Als Zero-Day-Lücken werden Sicherheitslecks bezeichnet, die vom Entdecker nicht öffentlich bekannt gemacht werden und für die es keinen Patch oder Schutz gibt. Damit ist es etwa möglich, mehr oder minder unerkannt in Systeme einzubrechen und Daten zu manipulieren oder zu kopieren. Gegenüber US-Medien erklärte Justine Aitel, CEO von Immunity, am Rande der Sicherheitskonferenz SyScan, dass große Summen für Informationen über Zero-Day-Lücken gezahlt würden. Mittlerweile gibt es sogar erste Versuche, öffentliche Auktionsplattformen für Lücken zu etablieren.

Auch Immunity kauft Informationen über solche Lücken zum Schutze der eigenen, zahlenden Kundschaft, hält aber ansonsten den Deckel drauf, wenn es um die Weitergabe von Details geht. So kann der Dienstleister auch ermitteln, wie lange es dauert, bis jemand anderes die Lücke nochmals entdeckt und möglicherweise Informationen für alle veröffentlicht. Der kürzeste Zeitraum war dabei laut Immunity 99 Tage, der längste hingegen 1080 Tage – fast drei Jahre.

Leider würden die meisten Unternehmen laut Aitel nicht nach Schwachstellen in der eigenen Infrastruktur suchen. Ein Hindernis sei zudem, dass das Suchen nach Schwachstellen in zugekaufter Software oftmals durch die Lizenzbedingungen verboten sei. Firmen sollten sich aber keinen Illusionen hingeben, dass es bei ihnen keine Lücken gebe. "Geh immer davon aus, dass es überall Lücken gibt. Es ist einfach so!", erklärte Aitel.

Siehe dazu auch:

• Öffentliche Auktionsplattform für Exploits gestartet, Meldung auf heise Security

(dab)