Eine Zero-Day-Lücke ist eine nicht behobene Schwachstelle in einer Software, die Endnutzer dem Risiko aussetzt, von Cyberkriminellen angegriffen zu werden. Cyber-Kriminelle nutzen gerne diese nicht verschlossenen Einfallstore in ein Unternehmensnetzwerk, um ihre Aktivitäten auszuführen.
"Software enthält fast immer Fehler", sagt Niels Teusink, IT-Sicherheitsexperte bei Eye Security. "Weil etwas bei der Entwicklung einer Funktion noch nicht berücksichtigt wurde, oder manchmal sogar aufgrund eines einfachen Tippfehlers." Traditionell wurde ein Zero-Day als eine Schwachstelle angesehen, die dem Softwarehersteller noch nicht bekannt war. In letzter Zeit wird der Begriff jedoch auch für Schwachstellen verwendet, für die es noch keine Lösung gibt. "Bei dem weltweiten Kaseya-Angriff war auch von einem Zero-Day-Angriff die Rede, aber die Schwachstelle war der Organisation dort bereits bekannt. Tatsächlich waren sie damit beschäftigt, eine Lösung für die Schwachstelle zu entwickeln, nur um dann von dem REvil-Angriff überholt zu werden, kurz bevor sie fertig waren."
Wie funktioniert ein Zero Day?
Sie können sich einen Zero-Day als eine Luke in der Wand einer Softwareanwendung vorstellen, die Sie in Ihrem Unternehmensnetzwerk verwenden. Häufig verwenden Sie mehrere Anwendungen, die alle eine oder mehrere Schwachstellen enthalten können. So kann beispielsweise eine Zero-Day-Schwachstelle in einem Browser, aber auch in einem Server oder in Windows vorhanden sein. Und nicht alle Sicherheitslücken sind standardmäßig offen. Manchmal müssen bestimmte Bedingungen erfüllt sein, um die Luke zu öffnen. "Wenn es eine Zero-Day-Schwachstelle in einem Browser gibt, besteht die Bedingung beispielsweise darin, dass der Benutzer eine bestimmte Website aufruft, von der aus die Angreifer über die Schwachstelle ein Stück bösartigen Softwarecode in Ihr System einschleusen können", erklärt Teusink. Die Luke dieses speziellen Zero-Day öffnet sich nur, wenn die Bedingung - der Besuch dieser speziellen Website - erfüllt ist.
Schützen Sie sich - reduzieren Sie die Angriffsfläche
Um Ihr Unternehmen davor zu schützen, macht es keinen Sinn, die Mauern um Ihre Anwendungen hochzuziehen, denn Sie haben keinen Einfluss darauf, wie viele Zero-Day-Lücken sich in dieser Mauer befinden. Es ist wichtig, die Sicherheit schichtweise aufzubauen, sagt Teusink. "Es sollte nie der Fall sein, dass ein einziger Zero-Day Ihren gesamten Geschäftsbetrieb stören kann." Deshalb ist es zum Beispiel wichtig, die Mauer zur Außenwelt (dem Internet) so klein wie möglich zu halten. "Wir sehen, dass einige Unternehmen alle möglichen Server und Verwaltungsschnittstellen mit dem Internet verbunden haben. Wenn man die Anzahl der Komponenten, die mit dem Internet verbunden sind, begrenzt, verringert man die Angriffsfläche. Mit anderen Worten: Sie reduzieren die Anzahl der von außen sichtbaren Schlupflöcher in Ihrer Unternehmensumgebung.
Schützen Sie sich - erkennen Sie abnormales Verhalten
Die nächste Ebene ist die Erkennung abnormaler Muster in Ihrem Unternehmensnetzwerk. "Wenn eine Zero-Day-Lücke missbraucht wird, passiert in Ihrem Netzwerk immer etwas, das vom normalen Muster abweicht", sagt Teusink. "Angenommen, es gibt eine unbekannte oder nicht behobene Schwachstelle in einem Browser, Sie besuchen eine Website und diese wird auf Zero-Day-Basis missbraucht, dann kann der Angreifer zum Beispiel ein kleines Programm auf Ihren Systemen installieren und vielleicht sogar eine Backdoor, durch die er zu einem anderen Zeitpunkt leicht darauf zugreifen kann. Wenn die Zero-Day-Luke zum Beispiel vom Hersteller verschlossen wurde. Ein gutes Erkennungssystem wird sofort bemerken, dass ein Programm auf die Festplatte geschrieben wird und dass dies beim Besuch einer Website ungewöhnlich ist. In diesem Moment gehen die Alarmglocken los und man kann eingreifen."
Schützen Sie sich - installieren Sie alle Updates
In einem nächsten Schritt kann eine gute Sicherheitssoftware auch die Dinge stoppen, die nach dem Missbrauch eines Zero-Days auf den Systemen Ihres Unternehmens passieren. "Wenn ein Zero-Day zur Verbreitung von Ransomware genutzt wird, kann Sicherheitssoftware davor schützen und die Auswirkungen abmildern, indem sie die Verbreitung in einem frühen Stadium stoppt." Obwohl man sich als Unternehmen nie zu 100 Prozent schützen kann, ist man gegen Cyberkriminelle keineswegs machtlos. "Nicht jede Sicherheitslücke wird zuerst von Cyberkriminellen entdeckt. Die Softwarehersteller selbst sind immer aktiv auf der Suche danach und werden Ihnen ein Update schicken, um Fehler im Code zu beheben. Deshalb ist es so wichtig, immer Updates zu installieren. Auf diese Weise schließen Sie jedes Mal eine oder mehrere Lücken in Ihrer Software-Mauer."
Mehr Informationen?
Eye kann Ihnen helfen, Ihr Unternehmen gegen diese Art von Angriffen zu schützen. Möchten Sie mehr wissen? Besuchen Sie diese Seite, um uns zu kontaktieren.