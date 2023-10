Im Code nahezu jeder Software gibt es Fehler (Bugs) und Sicherheitslücken. Je umfangreicher der Code, desto mehr sind es. Viele dieser Sicherheitslücken werden im Laufe der Zeit von den Anwendern oder auch vom Hersteller selbst entdeckt und mit einem Patch oder dem nächsten Update gestopft. Einige werden jedoch zuerst von kriminellen Hackern aufgespürt, die dieses Wissen erst einmal für sich behalten. Sie nutzen die Sicherheitslücke dann entweder selbst, um in fremde Systeme einzudringen, oder sie verkaufen ihren Fund, oftmals für horrende Summen.

Zero Day: So kommt der Name zustande

Solche neu entdeckten Sicherheitslücken bezeichnet man als Zero Day, teilweise auch 0-Day geschrieben. Gemeint ist damit die Zeitspanne, die dem Hersteller zur Verfügung steht, um die Lücke zu schließen. „Null Tage“ heißt, dass die Firma überhaupt keine Zeit hat, um einen Patch zu entwickeln und ihn zu veröffentlichen. Denn die Hacker nutzen die Schwachstelle bereits aktiv aus. Sie verwenden dazu einen Zero-Day-Exploit, also eine speziell für diese Sicherheitslücke entwickelte Methode, und führen damit einen Zero-Day-Angriff aus.

Sobald der Hersteller einer Software von der Schwachstelle erfährt, kann er einen Patch entwickeln, der den verantwortlichen Codeteil gezielt verändert. Oder er veröffentlicht ein Update, also eine überarbeitete und bereinigte Version seines Programms. Sobald ein Patch oder ein Update existiert, ist der Exploit nicht mehr wirksam, die Zero-Day-Bedrohung ist offiziell zu Ende.

Da allerdings viele Anwender Patches nicht sofort einspielen, sondern erst mit einigen Tagen oder Wochen Verzögerung, bleibt die Gefahr, die von der Schwachstelle ausgeht, noch eine Weile bestehen.

Zero-Day-Angriffe gehören zu den gefährlichsten überhaupt. Denn so lange die Schwachstelle bei Hersteller und Anwendern unbekannt ist, ergreifen sie auch keine vorbeugenden Schutzmaßnahmen. Die Angreifer können über Tage, teilweise über Wochen oder Monate hinweg, unbemerkt fremde Computersysteme auskundschaften, sich höhere Rechte verschaffen, vertrauliche Daten herunterladen oder Schadsoftware installieren. Antivirentools sind zwar so konzipiert, dass sie solche Aktivitäten entdecken. Dennoch gelingt es Angreifern immer wieder, sich so gut zu tarnen, dass sie unentdeckt bleiben.

Begehrte Geheiminformationen: Preise von einer Million und mehr

Auf seiner Bug-Bounty- Website nennt Microsoft die Summen, die die Firma für neu entdeckte Sicherheitslücken maximal zahlt. Bei einigen Produkten sind für den Finder bis zu 100.000 US-Dollar drin. IDG

Eine Zero-Day-Sicherheitslücke hat auf dem schwarzen Markt einen hohen Wert. Für eine neu erkannte und noch nicht gepatchte Sicherheitslücke in Windows werden im Dark Web sechs- bis siebenstellige Summen geboten. Doch nicht nur Kriminelle interessieren sich für die Schwachstellen. In der Vergangenheit nutzten auch Geheimdienste die Lücken aus, um Angriffe auf Datenbanken und Infrastruktur anderer Staaten durchzuführen.

Das bekannteste Beispiel ist Stuxnet: Ein vermutlich von Israel und den USA entwickelter Computerwurm wurde in die Systeme des iranischen Atomprogramms eingeschleust. Über mehrere zuvor unbekannte Sicherheitslücken in Windows gelang es ihm, sich im System festzusetzen. Anschließend manipulierte er die Steuerung von Zentrifugen für die Herstellung von spaltbarem Material, so dass diese nach kurzer Zeit defekt waren, jedoch keine Fehlermeldung ausgaben.

Mit dem kostenlosen Tool Sumo können Sie ermitteln, für welche Ihrer Programme Updates verfügbar sind, und diese anschließend gezielt installieren. IDG

Regierungen und Unternehmen verwenden Zero-Day-Schwachstellen zudem für die Industriespionage, um also etwa die Pläne für Neuentwicklungen, Unternehmensdaten und Kontaktadressen abzugreifen. Und schließlich greifen auch Hacktivisten auf dieses Mittel zurück, um auf ihre politischen oder sozialen Ziele aufmerksam zu machen.

Aufgrund des hohen Gefahrenpotenzials von Zero-Day-Lücken und der hohen Summen, die für die Weitergabe bezahlt werden, haben mehrere große Softwarefirmen Bug-Bounty-Programme ins Leben gerufen. Dieses „Kopfgeld für Programmfehler“ zahlen Hersteller wie Microsoft für neu entdeckte Sicherheitslücken und andere Fehler in ihren Betriebssystemen und Anwendungen. Die Prämien richten sich zumeist nach der Schwere des Fehlers und liegen im drei- bis sechsstelligen Bereich.

Wie sich Zero-Day-Angriffe entdecken lassen

Moderne Antivirenprogramme arbeiten bei der Suche nach Schadsoftware nicht nur mit Virensignaturen, sondern auch mit heuristischen Methoden und künstlicher Intelligenz. Die Hersteller trainieren sie mit den Verhaltensmustern bekannter Malware, um so neue Varianten entdecken zu können. Das funktioniert jedoch nur in begrenztem Umfang, da Zero-Day-Exploits immer wieder andere Angriffsmethoden verwenden.

In Unternehmen kommen oftmals verhaltensbasierte Sicherheitslösungen zum Einsatz. Intrusion-Detection-Systeme überwachen Log-Dateien und Systeminformationen wie etwa die CPU-Auslastung, um auffällige Aktivitäten innerhalb eines Netzwerks und bei den einzelnen Computern zu identifizieren. In diesem Fall geben sie eine Warnmeldung aus oder schicken dem Administrator eine E-Mail. Intrusion-Prevention-Systeme gehen noch einen Schritt weiter und lösen automatisch Gegenmaßnahmen wie etwa Änderungen an der Firewall-Konfiguration aus. Entsprechende Anwendungen sind allerdings sehr teuer und ausschließlich für Unternehmen geeignet.

Informationen über neue Sicherheitslücken finden Bis Ende der 1990er Jahre wurden Sicherheitslücken nicht systematisch erfasst. Als aber in der schnell wachsenden Zahl von Windows-Anwendungen immer neue Schwachstellen gefunden wurden, begannen sich zwei Mitarbeiter der Mitre Corporation Gedanken über ein sinnvolles System zur Erfassung und Verwaltung zu machen. Die US-amerikanische Mitre Corporation wurde 1958 als Think Tank der US-Streitkräfte gegründet und berät heute mehrere amerikanische Behörden in Sicherheitsfragen. Finanziert wird die gemeinnützige Organisation von der CISA (Cybersecurity and Infrastructure Security Agency) und dem DHS (Department of Homeland Security). Das Ergebnis der Überlegungen war das 1999 eingeführte CVE-System (Common Vulnerabilities and Exposures). Seither werden sämtliche Sicherheitslücken mit einer CVE-Nummer beziehungsweise -ID im Format CVE-XXXX-XXXXX versehen. Die ersten vier Zeichen geben das Jahr an, in dem die Schwachstelle katalogisiert wurde, die Ziffern dahinter – es dürfen auch mehr als fünf sein – sind die fortlaufende Nummerierung der Sicherheitslücke. Das CVE-System hat sich mittlerweile zu einem international anerkannten Standard entwickelt. Die National Vulnerability Database der USA zeigt jeweils die 20 zuletzt gefundenen Schwachstellen an und nennt deren CVE-Nummern. Dazu gibt es Informationen zu Wirkungsweise und eventuell verfügbaren Patches. IDG Die Mitre Corporation hat für die CVE-Datenbank die Website www.cve.org eingerichtet. Dort können Sie nach CVE-Nummern oder auch nach Stichworten wie etwa „Windows Kernel“ suchen. Alternativ dazu können Sie auch die gesamte Datenbank mit ihren mehr als 207.000 Einträgen herunterladen. Eng verbunden mit der CVE-Website ist die National Vulnerability Database (NVD). Unter der Adresse https://nvd.nist.gov finden Sie jeweils die 20 zuletzt erkannten Sicherheitslücken inklusive einiger Erklärungen und Links zu eventuell verfügbaren Patches. Dort steht auch eine Einschätzung der Gefährlichkeit der Lücke von „Low“ über „Medium“ bis „High“ und „Critical“. Falls dort eine von Ihnen benutzte Anwendung erscheint, deren Sicherheitslücke als „High“ oder „Critical“ gekennzeichnet ist, sehen Sie auf der Website des Herstellers nach, ob bereits ein Patch verfügbar ist. Auch Microsoft verwendet den CVE-Standard, führt jedoch für seine Produkte unter https://msrc.microsoft.com/update-guide/vulnerability eine eigene Liste mit neu erkannten Schwachstellen Patches verteilt die Firma automatisch über ihre monatlichen Sicherheitsupdates, eine manuelle Installation ist nicht erforderlich. Im Microsoft Security Response Center veröffentlicht der Konzern neu gefundene Sicherheitslücken in seinen Produkten. Um die Installation der Patches brauchen Sie sich nicht zu kümmern, das geschieht automatisch. IDG

So schützen Sie sich vor Zero-Day-Exploits

Zero-Day-Angriffe richten sich nicht nur gegen Unternehmen. Hacker-Gruppen versuchen teilweise, auch private Anwender über breit gestreute Phishing-Angriffe per E-Mail auf verseuchte Webseiten zu locken oder sie zur Installation von Software mit Zero-Day-Exploits zu überreden.

Laden Sie Software grundsätzlich nur aus vertrauenswürdigen Quellen wie etwa der Website der PC-WELT herunter. So können Sie sicher sein, dass die Programme keine Malware enthalten. IDG

Wappnen können Sie sich dagegen mit einigen einfachen Maßnahmen:

Installieren Sie Patches und Updates sofort nach Erscheinen. Windows erledigt das in der Voreinstellung automatisch, daran sollten Sie nichts ändern. Nutzen Sie Tools wie Sumo, um nach verfügbaren Updates für Windows-Anwendungen zu suchen.

Laden Sie Software nur aus vertrauenswürdigen Quellen wie der Website des Herstellers oder dem Download-Bereich von pcwelt.de herunter.

Installieren Sie nur die Programme, die Sie tatsächlich benötigen. Je mehr Software auf dem Rechner vorhanden ist, desto mehr potenzielle Schwachstellen gibt es.

Verwenden Sie eine Firewall. Die Windows-Firewall ist von Haus aus eingeschaltet und sollte nicht deaktiviert werden.

Informieren Sie sich über typische Phishing-Tricks von Kriminellen.