Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Zero Day

Was ist eine Zero-Day-Schwachstelle?

Eine Zero-Day-Schwachstelle ist eine bislang unbekannte Sicherheitslücke in Software, für die zum Zeitpunkt ihrer Entdeckung noch kein Patch oder Fix durch den Hersteller existiert. Der Begriff „Zero Day“ beschreibt die kritische Phase unmittelbar nach der Entdeckung der Schwachstelle, in der Entwicklern null Tage zur Verfügung stehen, um Abhilfe zu schaffen.

Zero-Day-Exploits zielen darauf ab, die Lücke auszunutzen, bevor ein Sicherheitsupdate verfügbar ist – mit potenziell massiven Folgen für die betroffenen Systeme. Diese Schwachstellen werden häufig von professionellen Angreifern oder staatlich unterstützten Gruppen ausgenutzt, da sie maximale Wirkung bei minimaler Erkennbarkeit entfalten können. In der Regel sind herkömmliche Antivirus-Lösungen machtlos, da es zu diesem Zeitpunkt noch keine Signaturen für den Angriffscode gibt.

Wichtige Eigenschaften von Zero-Day-Schwachstellen

  • Unbekannt zum Zeitpunkt des Angriffs
    → Kein öffentlicher Patch oder Fix verfügbar

  • Schwer zu erkennen
    → Umgehung klassischer signaturbasierter Sicherheitslösungen

  • Hohes Angriffsrisiko
    → Hoher Wirkungsgrad, da breite Angriffsmöglichkeiten bestehen

  • Hoher Schwarzmarktwert
    → Wird oft im Darknet oder von staatlichen Akteuren gehandelt

  • Erkennungs- und Abwehrmaßnahmen
    → Einsatz von EDR/XDR, Anomaly Detection, Threat Intelligence, Virtual Patching

Anwendung in der Praxis

Ein Energieversorger betreibt SCADA-Systeme für kritische Infrastruktur. Eine unbekannte Schwachstelle in der HMI-Visualisierungssoftware wird von einer Zero-Day-Malware ausgenutzt, um interne Steuerbefehle zu manipulieren. Da keine Signaturen verfügbar sind, erkennt die Antivirenlösung den Angriff nicht. Erst das Verhaltenserkennungsmodul des EDR-Systems registriert eine anomale Speicherzugriffsrate und blockiert die Ausführung des Prozesses. Parallel greifen Notfallmaßnahmen: Segmentierung der betroffenen Netzwerkzone, Analyse mit Threat-Intelligence-Feeds und temporäres Virtual Patching über eine WAF-Regel, bis ein offizieller Patch bereitgestellt wird.

Verwandte Begriffe

zum Glossar