Angriffe

Zero-Day-Lücke

Was ist eine Zero-Day-Lücke?

Eine Zero-Day-Lücke ist eine Sicherheitslücke in Software, für die es noch kein Update des Herstellers gibt. Wird sie ausgenutzt, bevor eine Korrektur bereitsteht, spricht man von einem Zero-Day-Angriff. Der Name beschreibt die null Tage, die dem Hersteller zur Behebung blieben.

Für einen Betrieb ohne eigene IT-Abteilung ist vor allem der Zeitverlauf wichtig. Solange die Lücke unbekannt ist, lässt sich wenig gezielt tun. Sobald der Hersteller ein Update veröffentlicht, ist die Lücke öffentlich beschrieben und wird von vielen Angreifern gesucht, weil sie nun wissen, wonach sie suchen müssen. Das gefährlichste Zeitfenster für Ihren Betrieb liegt deshalb zwischen der Veröffentlichung des Updates und dem Tag, an dem Sie es einspielen. Genau dieses Fenster können Sie selbst verkürzen.

Trifft eine Warnung ein, vom Hersteller, von CERT.at, von der Initiative Onlinesicherheit oder aus der Presse, stellt sich zuerst eine schlichte Frage: Betrifft das Software, die wir einsetzen? Diese Frage beantwortet nur ein IT-Inventar, also eine Liste der eingesetzten Systeme, Programme und Versionsstände samt der Angabe, welche Dienste aus dem Internet erreichbar sind. Ohne diese Liste bleibt jede Warnmeldung folgenlos, weil niemand sie auf den eigenen Betrieb übersetzen kann.

Solange kein Update verfügbar ist, veröffentlichen Hersteller häufig eine Umgehungsmaßnahme, im Fachjargon Workaround. Typische Schritte sind das Abschalten der betroffenen Funktion, die Beschränkung des Zugriffs auf das interne Netz oder auf den VPN-Zugang, also die verschlüsselte Verbindung ins Firmennetz, und eine verstärkte Protokollierung. Sobald das Update erscheint, wird es zügig eingespielt. Danach folgt eine Kontrolle, ob das System bereits vor dem Update angegriffen wurde. Anhaltspunkte sind neue Benutzerkonten, veränderte Dateien und ausgehende Verbindungen zu unbekannten Zielen.

Die Schadensbegrenzung stützt sich auf Maßnahmen, die unabhängig von der einzelnen Lücke wirken. Ein segmentiertes Netz, also ein in getrennte Bereiche unterteiltes Netzwerk, verhindert, dass ein übernommener Server den Weg zu Buchhaltung und Produktion öffnet. Knappe Berechtigungen begrenzen die Reichweite. Eine Verhaltenserkennung auf den Geräten meldet ungewöhnliche Vorgänge auch dann, wenn der Angriffsweg neu ist. Geprüfte Sicherungen stellen den Betrieb wieder her. Der IT-Check erhebt, welche Systeme aus dem Internet erreichbar sind, wie aktuell der Updatestand ist und ob es einen festen Ablauf für den Umgang mit Warnmeldungen gibt.

Alle Begriffe der Wissensdatenbank

Vom Begriff zur Praxis

Wie steht Ihr Betrieb wirklich da?

Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.

Erstgespräch vereinbaren