Zero-Day-Schwachstellen erklaert: Was Unternehmen wissen muessen

Was bedeutet "Zero-Day"?

Der Name kommt von der Anzahl der Tage, die der Softwarehersteller hatte, um das Problem zu beheben: null. Eine Zero-Day-Schwachstelle ist ein Fehler in einer Software, den die Entwickler noch nicht kennen oder kennen, aber noch keinen Patch veroeffentlicht haben. Angreifer entdecken diese Fehler und nutzen sie aus, bevor irgendjemand auf der Verteidigungsseite reagieren kann.

Vergleichen Sie das mit einer bekannten Schwachstelle, fuer die der Hersteller bereits einen Patch veroeffentlicht hat. Wenn Ihr WordPress-Plugin eine seit drei Monaten bekannte Schwachstelle hat und Sie nicht aktualisiert haben, ist das ein anderes Problem (das wir in unserem Artikel ueber Risiken veralteter Websites behandeln). Zero-Day ist schlimmer, weil buchstaeblich kein Fix verfuegbar ist. Selbst der sorgfaeltigste Administrator, der jeden Patch sofort anwendet, bleibt verwundbar.

Der Zeitablauf eines Zero-Days

Um zu verstehen, warum Zero-Days so gefaehrlich sind, verfolgen Sie den typischen Zeitablauf:

1. Entdeckung: Jemand findet einen Fehler in einer Software. Das kann ein Sicherheitsforscher, ein staatlicher Geheimdienst oder ein krimineller Hacker sein.
2. Exploit-Entwicklung: Wenn der Entdecker boesartig ist (oder die Information an jemanden verkauft, der es ist), entwickelt er einen Exploit: Code, der den Fehler ausnutzt.
3. Angriffe beginnen: Der Exploit wird gegen echte Ziele eingesetzt. Zu diesem Zeitpunkt hat niemand eine Verteidigung, weil niemand weiss, dass der Fehler existiert.
4. Erkennung: Sicherheitsfirmen oder der Hersteller erkennen ungewoehnliche Aktivitaeten und beginnen zu ermitteln. Das kann Tage, Wochen oder Monate dauern.
5. Offenlegung: Die Schwachstelle wird oeffentlich bekannt gemacht, und der Hersteller beginnt an einem Patch zu arbeiten.
6. Patch-Veroeffentlichung: Der Hersteller gibt den Fix heraus. Ab diesem Moment ist die Schwachstelle kein Zero-Day mehr, bleibt aber gefaehrlich, bis alle den Patch anwenden.

Die Luecke zwischen Schritt 3 und 6 ist die Gefahrenzone. Waehrend dieser Zeit ist jedes System, das die betroffene Software ausfuehrt, exponiert, und es gibt keine spezifische Verteidigung gegen den Angriff.

Warum Zero-Days fuer Unternehmen so gefaehrlich sind

Wenn Sie eine Unternehmenswebsite, einen Online-Shop oder eine Webanwendung betreiben, betreffen Zero-Day-Schwachstellen Sie auf verschiedene Weisen.

Kein Patch zum Anwenden

Ihre uebliche Strategie, Software aktuell zu halten, hilft nicht. Sie koennen die neueste Version von allem haben und trotzdem verwundbar sein. Das macht Zero-Days einzigartig bedrohlich im Vergleich zu den Tausenden bekannter Schwachstellen, die einfach zeitnahe Updates erfordern.

Automatisierte Ausnutzung im grossen Massstab

Wenn ein Zero-Day in weit verbreiteter Software entdeckt wird (ein CMS wie WordPress, ein Webserver wie Apache oder Nginx, eine Bibliothek wie Log4j), schreiben Angreifer automatisierte Tools, die das gesamte Internet nach verwundbaren Systemen scannen. Ihre kleine Unternehmenswebsite in Lugano wird genauso oft gescannt wie die Website eines Grosskonzerns. Das Scanning ist wahllos.

Stille Kompromittierung

Viele Zero-Day-Angriffe sind darauf ausgelegt, leise zu sein. Der Angreifer erhaelt Zugang, installiert eine Hintertuer und wartet. Sie koennten die Kompromittierung monatelang nicht entdecken. In dieser Zeit koennen sie Kundendaten stehlen, Malware in Seiten injizieren, die Ihre Besucher laden, oder Ihren Server als Ausgangspunkt fuer Angriffe auf andere nutzen.

Aktuelle Zero-Day-Beispiele, die Unternehmen betroffen haben

Das sind keine theoretischen Szenarien. Zero-Days treffen regelmaessig echte Unternehmenssoftware.

Log4Shell (Dezember 2021)

Ein Zero-Day in Log4j, einer Logging-Bibliothek, die von Millionen Java-Anwendungen verwendet wird, erlaubte Angreifern, beliebigen Code auf Servern auszufuehren, indem sie einfach eine speziell gestaltete Zeichenkette sendeten. Da Log4j in so viele Produkte eingebettet war (von Apache Solr bis Elasticsearch), war die Auswirkung enorm. Viele Unternehmen wussten nicht einmal, dass sie Log4j verwendeten, weil es eine versteckte Abhaengigkeit innerhalb anderer Software war.

Microsoft Exchange Server (Maerz 2021)

Vier Zero-Day-Schwachstellen in Microsoft Exchange Server wurden ausgenutzt, bevor Microsoft Patches veroeffentlichte. Angreifer nutzten sie, um auf E-Mail-Konten zuzugreifen, Web Shells fuer persistenten Zugang zu installieren und Daten abzugreifen. Zehntausende Organisationen weltweit wurden kompromittiert, einschliesslich kleiner Unternehmen mit lokalen Exchange-Servern.

Chrome Zero-Days

Google Chrome hatte mehrere aktiv ausgenutzte Zero-Days. Allein 2022 hat Google neun Zero-Day-Schwachstellen gepatcht, die aktiv ausgenutzt wurden. Diese betreffen jeden, dessen Mitarbeiter im Web surfen, also jedes Unternehmen.

WordPress-Plugin Zero-Days

WordPress-Plugins sind ein haeufiges Ziel. Ein Zero-Day in einem beliebten Plugin kann Hunderttausende von Websites gleichzeitig exponieren. Wir haben ausfuehrlich ueber CMS-Plugin-Schwachstellen geschrieben.

Wie Zero-Days entdeckt werden

Zu verstehen, wer Zero-Days findet und wie, hilft die Oekonomie dahinter zu begreifen.

Sicherheitsforscher

Professionelle Sicherheitsforscher finden Schwachstellen durch Code-Review, Fuzzing (Senden zufaelliger Daten an Software und Beobachten von Abstuerzen) und Reverse Engineering. Ethische Forscher folgen der "verantwortungsvollen Offenlegung": Sie melden den Fehler privat an den Hersteller und geben ihm Zeit zur Behebung, bevor sie ihn oeffentlich machen.

Regierungsbehoerden

Geheimdienste wie die NSA, das GCHQ und ihre Pendants in anderen Laendern entdecken und horten aktiv Zero-Days fuer Spionage und offensive Cyber-Operationen. Einige davon werden schliesslich geleakt (wie die NSA-Tools, die von der Shadow-Brokers-Gruppe gestohlen und veroeffentlicht wurden, was zum WannaCry-Ransomware-Angriff fuehrte).

Kriminelle Organisationen

Organisierte Cyberkriminelle investieren in die Suche nach Zero-Days, weil die Rendite enorm sein kann. Ein Zero-Day in weit verbreiteter Unternehmenssoftware kann Zugang zu Tausenden von Zielen liefern, bevor er entdeckt wird.

Der Zero-Day-Markt

Es gibt einen echten Markt fuer Zero-Day-Exploits. Unternehmen wie Zerodium bieten offen Praemien: bis zu 2,5 Millionen Dollar fuer einen Zero-Click-iOS-Exploit, 1 Million fuer WhatsApp-Remote-Code-Ausfuehrung, 500.000 Dollar fuer einen Chrome-Zero-Day. Diese Preise spiegeln den strategischen Wert ungepatchter Schwachstellen wider.

So reduzieren Sie Ihre Exposition gegenueber Zero-Day-Angriffen

Sie koennen nicht verhindern, dass Zero-Days existieren. Aber Sie koennen die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Ihr Unternehmen erheblich reduzieren und den Schaden begrenzen, falls einer gelingt. Die Strategie heisst Defense in Depth: mehrere Schutzschichten, damit kein einzelner Ausfall zu einer vollstaendigen Kompromittierung fuehrt.

1. Angriffsflaeche minimieren

Jede Software, die Sie betreiben, ist ein potenzielles Ziel fuer einen Zero-Day. Je weniger Software Sie dem Internet aussetzen, desto geringer Ihr Risiko.

Dies ist eines der staerksten Argumente fuer statische Website-Architekturen wie Jamstack. Eine statische Website, die von einem CDN ausgeliefert wird, hat keinen serverseitigen Code, keine Datenbank zum Ausnutzen, kein CMS-Admin-Panel zum Angreifen. Wenn Ihre Unternehmenswebsite hauptsaechlich informativ ist (und die meisten sind es), eliminiert eine statische Website ganze Kategorien von Zero-Day-Risiken. Wir haben dies ausfuehrlich in unserem Vergleich der Sicherheit statischer vs. dynamischer Websites behandelt.

Fuer Software, die Sie betreiben muessen:

• Entfernen Sie ungenutzte Plugins und Erweiterungen aus Ihrem CMS.
• Deaktivieren Sie Funktionen, die Sie nicht nutzen. Jede Funktion ist Code, und jede Codezeile kann einen Fehler enthalten.
• Setzen Sie Admin-Panels, Entwicklungstools oder interne Dienste nicht dem Internet aus. Sehen Sie unseren Leitfaden zu exponierten Admin-Seiten.
• Pruefen Sie Ihren Server auf unnoetig laufende Dienste.

2. Netzwerksegmentierung

Wenn ein Angreifer einen Zero-Day in einer Komponente Ihrer Infrastruktur ausnutzt, begrenzt Segmentierung, wie weit er gelangen kann. Ihr Webserver sollte keinen direkten Zugang zu Ihrem gesamten internen Netzwerk haben. Ihr Datenbankserver sollte nur Verbindungen vom Anwendungsserver akzeptieren, nicht aus dem Internet.

Fuer Websites speziell:

• Fuehren Sie Ihre Webanwendung in einer isolierten Umgebung aus (einem Container oder einer virtuellen Maschine mit begrenztem Netzwerkzugang).
• Halten Sie Ihre Datenbank in einem separaten Netzwerksegment mit Firewall-Regeln, die nur Verbindungen von der Anwendung zulassen.
• Verwenden Sie separate Zugangsdaten fuer jeden Dienst, damit die Kompromittierung eines Dienstes nicht Zugang zu allen gibt.

3. Web Application Firewall (WAF) und virtuelles Patching

Eine WAF sitzt zwischen dem Internet und Ihrer Webanwendung, inspiziert den eingehenden Datenverkehr und blockiert Anfragen, die bekannten Angriffsmustern entsprechen. Wenn ein Zero-Day entdeckt wird, veroeffentlichen WAF-Anbieter oft "virtuelle Patches" innerhalb weniger Stunden, weit bevor der Softwarehersteller einen echten Fix herausgibt.

Virtuelles Patching behebt nicht die zugrundeliegende Schwachstelle. Es blockiert die spezifische Angriffstechnik auf WAF-Ebene. Das verschafft Ihnen Zeit zwischen der Zero-Day-Offenlegung und der Verfuegbarkeit eines echten Patches.

Dienste wie Cloudflare, Sucuri und AWS WAF bieten diese Faehigkeit. Fuer Schweizer Unternehmen, die sich um das Datenrouting sorgen, hat Cloudflare Rechenzentren in Zuerich, sodass der Datenverkehr das Land nicht verlassen muss.

4. Monitoring und Erkennung

Wenn Sie einen Zero-Day-Angriff nicht verhindern koennen, ist das Naechstbeste, ihn schnell zu erkennen. Je schneller Sie eine Kompromittierung erkennen, desto geringer der Schaden.

• Dateiintegritaets-Monitoring: Tools, die Sie warnen, wenn Dateien auf Ihrem Webserver sich unerwartet aendern.
• Log-Analyse: Ueberwachen Sie die Zugriffsprotokolle Ihres Webservers auf ungewoehnliche Muster: Spitzen bei 404-Fehlern, Anfragen an ungewoehnliche URLs, ungewoehnlich grosse Antworten.
• Uptime- und Content-Monitoring: Dienste, die regelmaessig Ihre Website laden und Sie warnen, wenn sich der Inhalt aendert, neue Skripte erscheinen oder die Website unerwartet umleitet.
• Intrusion Detection Systeme (IDS): Netzwerk-Level-Monitoring, das verdaechtige Verkehrsmuster meldet.

5. Incident-Response-Plan

Wenn ein Zero-Day angekuendigt wird, der Software betrifft, die Sie verwenden, muessen Sie schnell handeln. Einen Plan im Voraus zu haben, macht den Unterschied zwischen einer kontrollierten Reaktion und Hektik.

Ihr Plan sollte abdecken:

• Wer ist verantwortlich fuer die Bewertung, ob Sie betroffen sind.
• Wie schnell koennen Sie einen Dienst offline nehmen, wenn noetig.
• Wer hat Zugang, um Notfall-Patches oder Konfigurationsaenderungen anzuwenden.
• Kommunikationsvorlagen fuer Kunden, falls Daten exponiert worden sein koennten.
• Kontaktinformationen Ihres Hosting-Providers, Sicherheitsanbieters und externer Incident-Response-Unterstuetzung.

6. Regelmaessige Backups (getestete Backups)

Wenn das Schlimmste passiert und ein Zero-Day-Angriff Ihre Website kompromittiert, sind saubere und aktuelle Backups Ihr Wiederherstellungspfad. Aber Backups helfen nur, wenn sie tatsaechlich wiederherstellbar sind. Wir haben einen vollstaendigen Leitfaden zu Website-Backup-Strategien.

Das NCSC Schweiz und die Offenlegung von Schwachstellen

Die Schweiz hat ein nationales Cybersicherheitszentrum: das NCSC (National Cyber Security Centre), das jetzt Teil des Bundesamts fuer Cybersicherheit (BACS) ist. Das NCSC spielt eine Rolle bei der Zero-Day-Reaktion fuer Schweizer Organisationen.

Wenn ein bedeutender Zero-Day Schweizer Unternehmen betrifft, gibt das NCSC Warnungen ueber seine Website und direkte Kommunikation an Betreiber kritischer Infrastrukturen heraus. Es betreibt auch eine Plattform zur Offenlegung von Schwachstellen, ueber die Sicherheitsforscher Schwachstellen in Schweizer Online-Diensten melden koennen.

Fuer Unternehmen im Tessin und in der gesamten Schweiz ist das NCSC eine wertvolle Ressource. Sie koennen sich auf ncsc.admin.ch fuer deren Warnungen und Mitteilungen anmelden.

Bug-Bounty-Programme: Fuer Schwachstellen bezahlen, bevor Angreifer sie finden

Bug-Bounty-Programme bieten finanzielle Belohnungen fuer Sicherheitsforscher, die Schwachstellen finden und verantwortungsvoll melden. Die Idee ist einfach: Einem Forscher 500 bis 50.000 CHF zahlen, um eine Schwachstelle zu finden, bevor ein Krimineller sie fuer zehn- oder hundertfach groesseren Schaden nutzt.

Grosse Schweizer Unternehmen wie Swisscom und SIX Group betreiben Bug-Bounty-Programme. International verbinden Plattformen wie HackerOne und Bugcrowd Unternehmen mit Sicherheitsforschern weltweit.

Fuer die meisten kleinen und mittleren Unternehmen in der Schweiz ist ein formelles Bug-Bounty-Programm nicht praktikabel. Aber Sie koennen trotzdem vom Konzept profitieren:

• Veroeffentlichen Sie einen klaren Sicherheitskontakt auf Ihrer Website (eine security.txt-Datei unter /.well-known/security.txt).
• Antworten Sie professionell und dankbar, wenn jemand eine Schwachstelle meldet.
• Drohen Sie nicht mit rechtlichen Schritten gegen Forscher, die Fehler melden. Das ist ein kontraproduktiver Reflex, den viele Unternehmen noch haben.

Die Rolle der Architektur bei der Zero-Day-Resilienz

Ihre Technologieentscheidungen haben einen direkten Einfluss auf Ihre Exposition gegenueber Zero-Day-Angriffen. Betrachten Sie zwei verschiedene Setups fuer eine Unternehmenswebsite:

Setup A (traditionell): WordPress auf einem LAMP-Stack (Linux, Apache, MySQL, PHP). Das CMS, seine 15 Plugins, die PHP-Laufzeitumgebung, die MySQL-Datenbank und der Webserver laufen alle auf einem einzelnen Server, der dem Internet ausgesetzt ist. Ein Zero-Day in einer dieser Komponenten kompromittiert das gesamte System.

Setup B (statisch/modern): Eine statische Website, die zur Build-Zeit generiert und auf einem CDN bereitgestellt wird. Die Website besteht aus HTML-, CSS- und JavaScript-Dateien. Kein serverseitiger Code, keine Datenbank, kein CMS-Admin-Panel, das aus dem Internet erreichbar ist.

Setup B hat einen Bruchteil der Angriffsflaeche von Setup A. Ein Zero-Day in PHP, MySQL oder WordPress betrifft es nicht, weil diese Technologien nicht Teil des Stacks sind. Wir gehen in unserem Artikel ueber moderne Webarchitektur naeher darauf ein.

Was Sie jetzt tun koennen

Hier sind konkrete Schritte, die Sie diese Woche unternehmen koennen:

1. Inventarisieren Sie Ihre Software: Erstellen Sie eine Liste jeder Software, die auf Ihrer Web-Infrastruktur laeuft.
2. Abonnieren Sie Sicherheitswarnungen: Fuer jede wichtige Software auf Ihrer Liste abonnieren Sie die Sicherheits-Mailingliste des Herstellers. Abonnieren Sie auch die Warnungen des NCSC Schweiz.
3. Richten Sie eine WAF ein: Wenn Sie keine haben, stellen Sie Ihre Website hinter eine WAF. Der kostenlose Plan von Cloudflare beinhaltet grundlegende WAF-Funktionalitaet.
4. Aktivieren Sie Monitoring: Richten Sie grundlegendes Dateiintegritaets-Monitoring und Uptime-Monitoring ein.
5. Ueberpruefen Sie Ihre Angriffsflaeche: Koennen Sie die laufende Software auf Ihrem Server reduzieren? Koennen Sie Ihre informative Website auf eine statische Architektur migrieren?
6. Schreiben Sie einen Incident-Response-Plan: Selbst ein einseitiges Dokument mit Kontaktinformationen und Entscheidungsbefugnis ist besser als nichts.
7. Testen Sie Ihre Backups: Wann haben Sie zuletzt ein Backup tatsaechlich wiederhergestellt? Wenn die Antwort "nie" ist, planen Sie diesen Monat einen Test.

Zero-Day-Schwachstellen sind eine Realitaet der Softwarenutzung. Sie koennen das Risiko nicht eliminieren, aber Sie koennen eine Infrastruktur und Reaktionsfaehigkeit aufbauen, die Ihre Exposition begrenzt und den Schaden minimiert. Wenn Sie Hilfe bei der Bewertung Ihrer aktuellen Sicherheitslage benoetigen, kontaktieren Sie unser Team in Lugano fuer ein Sicherheitsaudit.