Keine Zeit zu verlieren. Was tun gegen Zero Day Bedrohungen?

Es bricht ein Feuer in Ihrem Haus aus, ein Schwelbrand, der sich zunächst einmal unbemerkt ausbreiten kann, bevor er voranschreitet und auf das Arbeitszimmer überspringt. Dabei verzehrt es unerbittlich alles, was sich ihm in den Weg stellt: Ihre Geschäftsunterlagen, Ihre privaten Fotoalben und Erinnerungen. Wieviel Zeit haben Sie, um auf dieses Szenario zu reagieren?

Sind Sie in der Position, gründlich über geeignete Gegenmaßnahmen nachzudenken und Ihr Haus zu verlassen, um etwa einen geeigneten Feuerlöscher zu erwerben? Wohl kaum! Denn während der gesamten Dauer wütet das Feuer zuhause weiter und der angerichtete Schaden nimmt bedenkliche Dimensionen an.

Sie haben also keine Zeit, auf diese Bedrohung zu reagieren: keine Minuten, keine Stunden und erst recht keine Tage: Zero Days.

Bildquelle: Shutterstock

In der IT-Sicherheitsbranche sprechen wir daher in einem solchen- hier metaphorischen- Szenario von einer Zero-Days-Bedrohung.

Bei einem solchen Angriff bleibt keine Zeit, um zu reagieren, da er sich bereits ereignet, während man erst davon erfährt.

Doch wie kann es eigentlich zu diesem Szenario kommen?

Moderne Software besteht aus Millionen von Codezeilen und trotz gründlicher Sicherheitstests und fortlaufender Überwachung, kann es immer wieder zu Fehlern oder unbeabsichtigten „Lücken“ im Code kommen. Diese Lücken bieten eine Angriffsfläche, die, wenn sie entdeckt wird, ausgenutzt werden kann: ein Zero Day Exploit.

Das Auffinden von Zero-Day-Exploits ist oft eine komplexe Aufgabe, die sowohl technische Kenntnisse als auch Kreativität erfordert. 

Wie Hacker Zero-Day-Exploits entdecken:

Fuzzing: Dies ist eine Technik, bei der eine Software oder ein System mit einer großen Menge an zufälligen oder unerwarteten Daten "überflutet" wird, um zu sehen, ob und wie sie abstürzt. Ein Absturz kann ein Hinweis auf eine potenzielle Schwachstelle sein. 

Reverse Engineering: Hacker analysieren eine Software, um zu verstehen, wie sie funktioniert.

Dabei suchen sie nach möglichen Schwachstellen im Code oder im Verhalten der Software. Bildquelle: Shutterstock

Analyse von Patches: Wenn ein Softwarehersteller einen Patch für eine bekannte Sicherheitslücke veröffentlicht, können Hacker diesen Patch untersuchen, um weitere, bisher unbekannte Schwachstellen zu finden.

Bedrohungsmodellierung: Hacker überlegen, wie sie ein System oder eine Software theoretisch angreifen würden, und suchen dann gezielt nach Schwachstellen, die ihren theoretischen Angriff ermöglichen würden.

Was geschieht nach der Entdeckung? Weiterbehandlung von Zero-Day-Exploits:

Sobald ein Hacker oder ein Forscherteam einen Zero-Day-Exploit entdeckt hat, gibt es mehrere mögliche Vorgehensweisen:

Bildquelle: Shutterstock

Verkauf an den höchsten Bieter: Es gibt Märkte (sowohl legal als auch illegal) für Zero-Day-Exploits. Hacker können ihre Entdeckungen an Kriminelle, Regierungen oder spezialisierte Unternehmen verkaufen.

Veröffentlichung: Einige Hacker oder Forscher veröffentlichen Informationen über den Exploit öffentlich, entweder um auf die Schwachstelle aufmerksam zu machen oder aus ideologischen Gründen.

Responsible Disclosure: Dies ist ein ethischer Ansatz, bei dem der Finder des Exploits die betroffene Firma über die Schwachstelle informiert und dieser eine bestimmte Frist (z.B. 90 Tage) gibt, um das Problem zu beheben, bevor Informationen darüber öffentlich gemacht werden.

Eigener Gebrauch: In einigen Fällen können Hacker den Exploit für sich behalten und ihn nutzen, um vertrauliche Informationen zu stehlen, Systeme zu sabotieren oder aus anderen eigenen Gründen.

Bug-Bounty-Programme: Viele große Unternehmen (so zum Beispiel auch Microsoft) bieten Programme an, bei denen sie Hacker dafür bezahlen, Sicherheitslücken in ihrer Software zu finden und zu melden. Dies gibt Hackern einen finanziellen Anreiz, Schwachstellen verantwortungsvoll zu melden, anstatt sie zu missbrauchen oder an andere zu verkaufen. Außerdem gibt es Unternehmen die Möglichkeit, proaktiv zu agieren und eventuelle Sicherheitslücken selbst zuerst zu entdecken und passende Patches zu veröffentlichen, beispielsweise am Microsoft Patch Day.

Da Sie weder als Privatperson noch im geschäftlichen Umfeld darauf vertrauen können, dass Hacker von ihnen gefundene Lücken immer vertraulich und moralisch einwandfrei behandeln, ist ein wirkungsvoller Schutz vor diesen besonders raffinierten Angriffen ausgesprochen wichtig.

Bildquelle: Shutterstock

Um diese ausgefeilten Angriffe überhaupt erkennen und im nächsten Schritt wirksam abwehren zu können, bedarf es in der Regel einer leistungsstarken Antiviren Software, einer sogenannten Next-Generation Antivirus (NGAV). Diese stellen das Flaggschiff von Antiviren-Software-Entwicklern dar und arbeiten mit künstlicher Intelligenz, Verhaltenserkennung, Mustererkennen und maschinellem Lernen. Dadurch sind sie besonders geeignet, die perfiden Angriffe durch Zero Day Exploits zu erkennen und zu stoppen und hierin herkömmlichen Antiviren Softwares deutlich überlegen.

Wie relevant ist die Gefahr von Zero Day Angriffen wirklich?

Allein die Tatsache, dass uns die Mehrheit der bekanntgewordenen Zero Days Exploits nach wie vor namentlich im Gedächtnis geblieben sind, zeigt deutlich wie gravierend die Auswirkungen dieser Angriffe sein können, in dem sie zum Beispiel Lieferketten empfindlich und anhaltend stören oder ganze Systeme vernichten.

Vielleicht erinnern Sie sich noch an den Stuxnet-Schadcode, der 2010 das iranische Atomprogramm lahmlegte, in dem es sogar physische und irreparable Schäden an wichtigen Bauteilen verursachte?

Bildquelle: Shutterstock

Oder an den SolarWinds-Hack Ende 2020, der als der schwerwiegendste Angriff auf die IT-Sicherheit der Vereinigten Staaten gilt und auf Regierungsunternehmen und Unternehmen abzielte. Dieser Zero Days Exploit hatte gleichsam immense Auswirkungen auf Teile der restlichen Welt und traf hierzulande ebenfalls Behörden und Wirtschaftsunternehmen empfindlich. Die vielleicht perfideste und ausgefeilteste Software in dieser Reihe ist wohl zweifellos das von einer israelischen Firma entwickelte Programm Pegasus, welches vorrangig an Staaten vermarktet werden sollte, jedoch inzwischen hochumstritten und in zahlreiche Skandale verwickelt ist- darunter die unrechtmäßige Bespitzelung von Journalisten und Menschenrechtlern bis hin zur Ermordung des Journalisten Jamal Kashoggi. Die Software respektive die Geschäfte des Herstellers NSO sind daher unter anderem Gegenstand von Ermittlungen eines EU-Ausschusses und werden von verschiedenen Menschenrechtsorganisationen scharf kritisiert.

Unser Take-Away dieser Aufzählung sollte sein, dass Zero-Day-Exploits extrem potente Angreifer sind, die es nicht zu unterschätzen gilt. Um Ihnen wirksame Abwehr entgegensetzen zu können, ist es ratsam, sich der modernsten und am weitesten entwickelten Antivirensoftware zu bedienen.

Kontaktieren Sie Ihren IT-Dienstleister um sich Informationen über entsprechende Möglichkeiten einzuholen oder wenden Sie sich gleich an uns- wir helfen Ihnen gerne dabei!