Ein Zero-Day bezeichnet eine Sicherheitslücke in Software oder Hardware, für die zum Zeitpunkt ihrer Ausnutzung noch kein Sicherheitspatch des Herstellers existiert. Der Begriff leitet sich davon ab, dass dem Softwareanbieter null Tage zur Verfügung standen, die Lücke zu schließen, bevor Angreifer sie ausnutzten. Zero-Days gelten als besonders gefährlich, weil keine automatischen Updates, Antivirenprogramme oder Firewalls gegen eine unbekannte Lücke schützen können. Im Kontext von Refurbished-Hardware sind Zero-Days ein Argument für regelmäßige Betriebssystem-Updates: Ein gut gepflegtes System auf aktueller Software minimiert das Risiko erheblich, selbst wenn bekannte Lücken nicht sofort geschlossen werden.
Was genau ist ein Zero-Day?
Der Begriff Zero-Day wird in der IT-Sicherheitsbranche in drei eng verwandten Bedeutungen genutzt, die sich gegenseitig bedingen. Als Zero-Day-Schwachstelle bezeichnet man einen noch unbekannten oder nicht behobenen Fehler in Software, Firmware oder Hardware. Als Zero-Day-Exploit bezeichnet man den konkreten Angriffscode, der diese Schwachstelle ausnutzt. Und als Zero-Day-Angriff bezeichnet man die aktive Verwendung dieses Exploits gegen reale Ziele.
Entscheidend für die Einstufung als Zero-Day ist der Zeitpunkt: Solange der Hersteller die Lücke nicht kennt oder zwar kennt, aber noch keinen Patch veröffentlicht hat, bleibt jedes System mit der betroffenen Software potentiell verwundbar, unabhängig davon, wie sorgfältig man sonst mit IT-Sicherheit umgeht.
Wie wird eine Zero-Day-Lücke entdeckt?
Zero-Days werden auf verschiedenen Wegen gefunden. Sicherheitsforscher und sogenannte White-Hat-Hacker suchen gezielt nach Schwachstellen in weit verbreiteter Software, um sie verantwortungsvoll an die Hersteller zu melden. Dieses Verfahren heißt Responsible Disclosure oder koordinierte Offenlegung: Der Forscher gibt dem Hersteller typischerweise 90 Tage Zeit, einen Patch zu entwickeln, bevor er die Lücke öffentlich bekannt macht.
Kriminelle Hacker und staatliche Akteure hingegen halten gefundene Zero-Days geheim und nutzen sie aktiv aus oder verkaufen sie auf spezialisierten Marktplätzen. Die Preise für hochwertige Zero-Day-Exploits gegen weit verbreitete Software (Windows, iOS, Chrome) können laut Berichten in die Millionen Euro gehen. Bekannte Zero-Day-Broker wie Zerodium veröffentlichen öffentliche Preistarife für bestimmte Exploit-Kategorien.
Bekannte Zero-Day-Angriffe in der Geschichte
| Name | Jahr | Ziel | Auswirkung |
|---|---|---|---|
| Stuxnet | 2010 | Industriesteuerung (SCADA) | Sabotage iranischer Urananreicherung |
| Heartbleed | 2014 | OpenSSL | Millionen Webserver betroffen |
| EternalBlue | 2017 | Windows SMB | Grundlage für WannaCry-Ransomware |
| Log4Shell | 2021 | Log4j (Java-Logging) | Hunderte Millionen Systeme betroffen |
| Follina | 2022 | Microsoft Office MSDT | Code-Ausführung via Word-Dokument |
Wie schützt man sich vor Zero-Days?
Vollständigen Schutz gegen Zero-Day-Angriffe gibt es nicht, da die Lücke per Definition noch unbekannt ist. Es gibt jedoch Strategien, die das Risiko und den möglichen Schaden erheblich reduzieren:
Software aktuell halten: Sobald ein Hersteller einen Patch für eine bekannte Lücke veröffentlicht, wechselt diese technisch vom Zero-Day zum N-Day (einer bekannten, aber möglicherweise noch ungepatchten Schwachstelle). Wer Updates sofort einspielt, schließt das Zeitfenster, in dem Angreifer die Lücke ausnutzen können.
Angriffsfläche minimieren: Nicht benötigte Software deinstallieren, Browserplugins auf ein Minimum reduzieren und Makros in Office-Dokumenten deaktivieren. Jede installierte Anwendung ist eine potenzielle Angriffsfläche.
Verhaltensbasierte Erkennung: Moderne Endpoint-Detection-Lösungen erkennen verdächtiges Verhalten (ungewöhnliche Speicherzugriffe, unautorisierte Netzwerkverbindungen) auch dann, wenn der konkrete Exploit noch unbekannt ist. Das ist ein wichtiges Sicherheitsnetz gegen Zero-Day-Angriffe.
Least Privilege: Nutzerkonten ohne Administratorrechte begrenzen den Schaden, den ein Exploit anrichten kann. Viele Zero-Day-Angriffe benötigen erhöhte Rechte, um persistenten Schaden anzurichten.
Zero-Days und Refurbished-Hardware
Refurbished-Geräte sind gegenüber Zero-Days nicht anders exponiert als neue Geräte, solange sie aktuelle Betriebssysteme nutzen. Entscheidend ist, dass das Betriebssystem Sicherheitsupdates erhält: Notebooks mit Windows 10 oder Windows 11 bekommen regelmäßig Sicherheitspatches von Microsoft, die bekannte Lücken schließen. Ein refurbished Gerät mit einem veralteten, nicht mehr gepflegten Betriebssystem wie Windows 7 hingegen erhält keine Patches mehr und bleibt dauerhaft für alle nach dem Support-Ende entdeckten Lücken verwundbar.
FAQ zu Zero-Day
Ein Zero-Day-Exploit ist ein Angriffscode oder eine Methode, die eine Sicherheitslücke ausnutzt, für die noch kein Patch existiert. Der Name leitet sich davon ab, dass dem Softwarehersteller null Tage zur Behebung zur Verfügung standen, als der Exploit eingesetzt wurde. Zero-Days gelten als besonders gefährlich, weil klassische Schutzmechanismen wie Antivirenprogramme die Bedrohung nicht kennen.
Eine normale Sicherheitslücke ist dem Hersteller bekannt, und ein Patch ist bereits verfügbar oder angekündigt. Bei einem Zero-Day existiert zum Zeitpunkt der Ausnutzung noch kein Patch, weil die Lücke entweder noch unbekannt ist oder der Hersteller noch keine Zeit hatte, sie zu beheben.
Nicht vollständig. Klassische, signaturbasierte Antivirenprogramme erkennen nur bekannte Bedrohungen und versagen bei unbekannten Zero-Day-Exploits. Moderne Endpoint-Detection-Lösungen nutzen verhaltensbasierte Analysen, die ungewöhnliche Aktivitäten auch ohne bekannte Signatur erkennen können. Das ist kein absoluter Schutz, aber eine wichtige zusätzliche Sicherheitsebene.
Das variiert stark. Große Unternehmen wie Microsoft, Google oder Apple reagieren bei kritischen Schwachstellen oft innerhalb weniger Tage mit Notfall-Patches. Bei weniger kritischen Lücken kann es Wochen bis Monate dauern. Manche Lücken in selten genutzter Software bleiben sogar jahrelang ungepacht.
Nein, nicht per se. Ein refurbished Gerät mit aktuellem Windows 10 oder 11 und regelmäßigen Updates ist gegenüber Zero-Days genauso exponiert wie ein neues Gerät. Kritisch wird es nur, wenn auf dem refurbished Gerät ein veraltetes, nicht mehr unterstütztes Betriebssystem läuft, das keine Sicherheitspatches mehr erhält.
