Zum Inhalt springen
NeoGuard

Zero-Day

Eine Software-Schwachstelle, die dem Hersteller unbekannt ist und für die kein Patch existiert, sodass Verteidiger null Tage zur Vorbereitung haben, bevor sie ausgenutzt werden kann.

Ein Zero-Day (auch 0-Day) ist eine Software-Schwachstelle, die dem Hersteller noch nicht bekannt ist. Da kein Patch verfügbar ist, können Angreifer die Lücke ausnutzen, ohne dass eine Abwehr existiert. Der Name bezieht sich darauf, dass Entwickler «null Tage» Zeit hatten, das Problem zu beheben.

Warum Zero-Days relevant sind

Die Zahl der veröffentlichten Schwachstellen (CVEs) steigt rapide: über 48’000 im Jahr 2025, und 2026 liegt bereits über dem Vorjahrestempo. Nicht alle davon sind Zero-Days, aber das Gesamtvolumen bedeutet, dass das Zeitfenster zwischen Entdeckung und Ausnutzung schrumpft. Angreifer setzen zunehmend Automatisierung und KI ein, um Schwachstellen schneller zu finden und auszunutzen, als Organisationen sie patchen können.

Wie Zero-Days ausgenutzt werden

  1. Ein Angreifer entdeckt eine Schwachstelle in weit verbreiteter Software
  2. Er entwickelt einen Exploit (oft als Malware oder Ransomware verpackt)
  3. Der Exploit wird gegen Ziele eingesetzt, bevor der Hersteller einen Patch veröffentlicht
  4. Nach Bekanntwerden veröffentlicht der Hersteller einen Notfall-Patch, aber viele Organisationen sind langsam beim Einspielen

Zero-Day-Risiko reduzieren

Zero-Days lassen sich nicht verhindern, aber ihre Auswirkungen begrenzen:

  • Endpoint Protection: Moderne Antivirenlösungen nutzen Verhaltensanalyse (nicht nur Signaturen), um verdächtige Aktivitäten auch von unbekannten Exploits zu erkennen.
  • Netzwerksegmentierung: Eine korrekt konfigurierte Firewall begrenzt die laterale Bewegung, wenn ein System kompromittiert wird.
  • Patch-Management: Auch wenn Zero-Days per Definition ungepatcht sind, verhindert schnelles Patchen nach Bekanntgabe die Ausnutzung Tausender bekannter Schwachstellen.
  • Verschlüsselung: Verschlüsselte Daten im Ruhezustand sind für Angreifer, die über einen Zero-Day Zugang erlangen, weniger wertvoll.
  • Minimale Berechtigungen: Begrenzen Sie, worauf jeder Benutzer und jede Anwendung zugreifen kann, um den Schaden eines einzelnen Exploits zu minimieren.

Zero-Days und Schweizer Meldepflichten

Seit April 2025 müssen Betreiber kritischer Infrastrukturen in der Schweiz Cyberangriffe (einschliesslich Zero-Day-Ausnutzung) innerhalb von 24 Stunden dem BACS melden. Auch für nicht-kritische Unternehmen verlangt das nDSG eine Meldung an den EDÖB, wenn Personendaten betroffen sind.

Verwandte Begriffe

MalwareRansomwareFirewall