Was ist ein Zero-Day-Exploit?

Wenn es um Sicherheits-Updates und Patches für Betriebssysteme geht, ist immer wieder die Rede von Zero-Day-Exploits. Doch was ist das überhaupt? Und wieso sollte eine solche Lücke schleunigst gestopft werden?

• Was sind "Zero-Day-Exploits" und warum sind sie so gefährlich?
• Vorsorge: Betriebssystem aktuell halten

Was sind "Zero-Day-Exploits" und warum sind sie so gefährlich?

Moderne Software ist komplex. Trotz aller Sicherheitsnetze kommt es daher nicht selten vor, dass bestimmte Funktionen sich für einen Angriff auf ein System ausnutzen lassen. Dann liegt eine Sicherheitslücke, ein sogenannter „Exploit“ (Englisch für „Ausnutzen“) vor. Diesen Exploit kann ein Angreifer systematisch dafür verwenden, um zum Beispiel Schadsoftware in einem System einzuschmuggeln oder Daten zu stehlen. Betroffen kann jede Software und jedes Betriebssystem sein, in der Vergangenheit gab es auch immer wieder Hardware-Exploits in Form von Designfehlern in Prozessoren, etwa die Sicherheitslücken Meltdown und Spectre. Je verbreiterter ein System mit diesem Fehler ist, desto höher ist die Wahrscheinlichkeit, dass auch irgendwer sie ausnutzt – möglicherweise noch am gleichen Tag, an dem die Lücke entdeckt wurde: Dann ist die Rede von einem Zero-Day-Exploit, der aus mehreren Gründen eine ganz besondere Brisanz hat.

Zero-Day-Exploits sind wirklich gefährlich

Viele Software-Entwickler haben es sich zur Aufgabe gemacht, gezielt nach Sicherheitslücken in Systemen zu suchen. Die Intention muss nicht zwingend bösartig sein: In vielen Fällen geht es darum, Probleme von vornherein zu vermeiden. Wird eine Lücke entdeckt, wird sie in der Regel an den Hersteller der Software gemeldet, der daraufhin versucht, diese ohne viel Aufhebens schnellstmöglich mit einem Patch oder Update zu schließen. Leider stehen die Werkzeuge, um solche sicherheitsrelevanten Systemfehler aufzuspüren, jedem offen. Mit genug Know-How können auch weniger freundliche Entwickler solche Lücken aufspüren. Statt sie zu melden, gehen sie einen anderen Weg: Sie verwenden sie, um Rechner anzugreifen und gegebenenfalls zu übernehmen oder auszulesen. Wird eine Lücke durch solch einen „bösen“ Entwickler entdeckt, versucht er noch am gleichen Tag – deshalb „zero-day“ – diese Sicherheitslücke auszunutzen.

Zero-Day-Exploits: Das Problem mit der Trägheit

Das Problem bei Zero-Day-Exploits ist, dass die Lücke bekannt wird, bevor sie offiziell gepatcht werden kann. Das passiert jedoch verzögert, einfach weil gerade größere Unternehmen träge sind und die Lücke möglicherweise auch einfach nicht bekannt wird. Zudem muss der Patch ja erst seinerseits entwickelt und anschließend eingespielt werden. Dadurch ist ein Zero-Day-Exploit besonders gefährlich: Oft fällt er nur auf, weil er bereits von Angreifern genutzt wird. Und selbst, wenn Angreifer und Entwickler gleichzeitig von einer Lücke erfahren, können einzeln agierende Hacker in aller Regel schneller reagieren als Unternehmen. Im schlimmsten Fall erhält der Hersteller erst Kenntnis von dem Exploit, wenn er bereits von Angreifern genutzt wird. In der Zwischenzeit können die Angreifer ihren Beutezug starten und Inhalte erbeuten oder Rechner kapern. Das Internet hat diese Problematik natürlich extrem verschärft, zumal solche Lücken ohne Kenntnis der Hersteller im Darknet gehandelt werden.

Schlimme Folgen nur im Worst-Case-Szenario

Allerdings heißt das nicht, dass man sich zum Schutz vor Zero-Day-Exploits jetzt nicht mehr ins Internet wagen kann: Es müssen mehrere Faktoren zusammenkommen, damit eine solche Sicherheitslücke für einzelne Nutzer relevant wird. Zunächst muss ja auch der Angreifer den Exploit nutzen, also ein Stück Code schreiben, was ihm hilft, zum Beispiel einen Trojaner zu installieren. Andererseits muss dieses Stück Code natürlich auch auf dem Rechner ausgeführt werden. Auch hier ist das Internet hilfreich für Angreifer: So kann zum Beispiel ein Zero-Day-Exploit im Browser dazu führen, dass schon der Besuch einer Website den benötigten Code ausführt und die Lücke ausnutzt. In anderen Programmen ist das schon schwieriger, aber eben nicht unmöglich, da ja in aller Regel der ganze Rechner online ist. Natürlich gibt es auch „Offline-Exploits“, diese haben heutzutage aber kaum noch Relevanz.

Weitere Faktoren: Verbreitung und Schutzmaßnahmen

Desweiteren muss eine relevante Sicherheitslücke natürlich auch verbreitet sein. Das machte Exploits wie Meltdown und Spectre so gefährlich, da sich diese im Prozessor-Code von Intel-CPUs befanden, die sehr weit verbreitet sind. Auch das Windows-Betriebssystem, Android, iOS, macOS, Linux oder Anwendungen wie Microsoft Office sind sehr weit verbreitet und daher zwar nicht anfälliger für Zero-Day-Exploits, aber für deren Ausnutzung. Schadsoftware-Entwickler konzentrieren sich nämlich in aller Regel auf Ziele mit hoher Wahrscheinlichkeit, und da sind Windows-Rechner aufgrund ihrer großen Verbreitung natürlich dankbare Ziele. Und zuguterletzt benötigt ein Zero-Day-Exploit natürlich auch ein Umfeld, in dem er ausgenutzt werden kann: Kommt der Schadcode nicht zum Zielrechner, etwa wegen einer Firewall oder wegen eines Virenscanners, ist die Lücke zwar offen, aber eben nicht so leicht ausnutzbar.

Zero-Day-Exploits: Schlechte Software-Wartung erhöht das Risiko

Andersherum sind Zero-Day-Exploits überall dort gefährlich, wo Entwickler nicht mehr an der Software arbeiten. So gibt es weit verbreitete „alte“ Software, in der regelmäßig Sicherheitslücken schlummern, die als Zero-Day-Exploits ausgenutzt werden können. Das betrifft zum Beispiel alte Versionen von Betriebssystemen, die vom Hersteller nicht mehr gepflegt werden: Es kann vorkommen, dass eine Sicherheitslücke jahrelang unentdeckt bleibt, sich dann aber bei Entdeckung wunderbar als Zero-Day verwenden lässt. Wenn der Hersteller trotz relativ großer Verbreitung keine Updates mehr liefert, kann es problematisch werden. Das ist zum Beispiel bei alten Windows-Versionen wie Windows XP der Fall, aber auch alte iOS- und Android-Versionen sind betroffen, genau wie alte macOS und Linux-Varianten.

Vorsorge: Betriebssystem aktuell halten

Genau deshalb ist es auch so wichtig, das Betriebssystem jederzeit auf dem neuesten Stand zu halten und Updates sofort einzuspielen. Wenn das nicht mehr geht, sollte das der PC, Mac, das Smartphone oder Tablet durch ein neueres Modell ersetzt werden. Zwar patchen einige Hersteller selbst bei obsoleten Systemen noch schwere Lücken - darauf verlassen sollte man sich aber nicht. Daher ist es auch sinnvoll, Systeme mit einem Exploit-Schutz zu versehen. Einige Virenscanner besitzen entsprechende Funktionen, die Computerschädlinge entlarven können, ohne sie zu kennen. Ansonsten gelten auch für den Schutz vor Zero-Day-Exploits die gleichen Regeln, die auch sonst zum Schutz vor Malware angebracht sind. Vor allem sollte niemals Software aus dubiosen Quellen installiert werden. Eine Software-Firewall mit Stealth-Modus kann ebenfalls helfen: Die Angreifer suchen gezielt nach Rechnern mit der passenden Lücke - sind diese im Netzwerk unsichtbar, sind ungezielte Angriffe deutlich weniger wahrscheinlich.

Mehr Infos

• Windows 10: Updates manuell installieren
• Mac: Software-Update durchführen
• Software-Updates für Android

(como)