Zero-Day-Exploit
Zero-Day-Exploit
Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“, (zero day)), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen.
- Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt.
- Von Hackern werden Zero-Day-Exploits gern geheim gehalten, um sie lange auszunutzen.
- Außerhalb der Öffentlichkeit werden Zero-Day-Exploits unter Hackern gehandelt oder Herstellerfirmen zu hohen Summen angeboten.
- Die Preise stiegen von 2012 bis 2018 etwa um den Faktor 10 an
Seit staatliche Organe offensive Cyberwar-Szenarien vorbereiten, versuchen legale staatliche und privatwirtschaftliche Organisationen Exploits zu kennen, um durch die Veröffentlichung von Patches Systeme abzusichern – oder um feindlichen Systemen schaden zu können
Vorbeugend versuchen Experten, Sicherheitslücken im Voraus aufzuspüren und Software-Herstellern aufzuzeigen.
- Dies wird in Fachkreisen manchmal kritisiert, da die Tester dabei mitunter Gesetze oder Hersteller-Richtlinien verletzen
Beispiele
Zero-Day-Exploits treten aufgrund wachsender Software-Komplexität und steigender Preise immer häufiger auf.
- Im August 2012 erschien ein Exploit, der auf einfache Weise den Security-Manager von Java abschaltete.
- Dadurch waren beliebige Programme zu starten
- Fast alle Windows-Versionen waren im Oktober 2014 von einer Zero-Day-Lücke in Microsoft-Office-Dokumenten betroffen
- Es gab im November 2014 Hinweise darauf, dass der BND Zero-Day-Exploits ankauft, um SSL-Verschlüsselungen abzuhören.
- Funktionsfähige Zero-Day-Exploits für weit verbreitete Programme wie Internet Explorer, Flash, Android oder iOS kosten bis zu 100.000 Dollar.
- Es wird vermutet, dass für den Ankauf (unter dem Codenamen „Swop“) im Jahr 2015 bis zu 4,5 Mio. Euro bereitgestellt wurden
- Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik kritisierte, dass das BSI Zero-Day-Exploits zwar sammeln solle, sie aber nicht zu veröffentlichen brauche.
- Durch die Nichtveröffentlichung wären deutsche Unternehmen und Privatpersonen IT-Angriffen schutzlos ausgeliefert, es drohten Verluste der Unternehmen in Milliarden-Euro-Höhe
- Google veröffentlichte eine Dokumentation aller seit dem Jahre 2014 öffentlich bekannt gewordenen Zero-Day-Exploits