Zero-Day
Zero-Day bezeichnet eine Sicherheitslücke in Software oder Hardware, die dem Hersteller zum Zeitpunkt ihrer Ausnutzung noch nicht bekannt ist und für die daher kein Sicherheitsupdate existiert. Der Angriff erfolgt, bevor der Hersteller reagieren kann.
Ausführliche Erklärung
Der Begriff "Zero-Day" leitet sich davon ab, dass dem Hersteller null Tage zur Verfügung standen, um die Schwachstelle zu beheben, bevor sie aktiv ausgenutzt wurde. In der Praxis werden die Begriffe Zero-Day-Schwachstelle (die eigentliche Sicherheitslücke), Zero-Day-Exploit (der konkrete Angriffscode zur Ausnutzung) und Zero-Day-Angriff häufig synonym verwendet.
Die besondere Gefährlichkeit von Zero-Day-Schwachstellen liegt in ihrer Unberechenbarkeit. Da weder Hersteller noch Sicherheitslösungen von ihrer Existenz wissen, greifen herkömmliche Schutzmaßnahmen nicht. Antivirensoftware kann die Bedrohung nicht erkennen, es existieren keine Signaturen, und ein Patch steht definitionsgemäß nicht zur Verfügung. Angreifer haben dadurch ein zeitliches Fenster, in dem sie ungestört agieren können – eine Situation, die besonders für staatliche Akteure, organisierte Cyberkriminalität und gezielte Advanced Persistent Threats (APT) attraktiv ist. Studien zeigen, dass Zero-Day-Lücken im Durchschnitt mehrere Jahre existieren, bevor sie entdeckt werden.
Für österreichische und deutsche Unternehmen ergeben sich daraus spezifische Risiken im Rahmen der DSGVO und der NIS-2-Richtlinie. Bei einem erfolgreichen Zero-Day-Angriff mit Datenverlust besteht grundsätzlich eine Meldepflicht gegenüber Aufsichtsbehörden. Allerdings hat das Landgericht Krefeld 2025 entschieden, dass ein erfolgreicher Cyberangriff mittels Zero-Day-Exploit nicht automatisch zu DSGVO-Schadensersatzansprüchen führt, sofern das Unternehmen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO getroffen hat. Die DSGVO verlangt kein risikofreies System, sondern ein risikobasiertes Sicherheitskonzept.
Nach Bekanntwerden einer Zero-Day-Schwachstelle entwickelt der Hersteller in der Regel einen Patch. Ab diesem Zeitpunkt spricht man von einer N-Day-Schwachstelle. Paradoxerweise steigt dann die Gefährdung für nicht-gepatchte Systeme, da Angreifer durch Analyse des Patches Rückschlüsse auf die Schwachstelle ziehen und diese gezielt ausnutzen können. Das Bundesamt für Sicherheit in der Informationstechnik warnt regelmäßig vor kritischen Zero-Day-Schwachstellen und empfiehlt sofortige Schutzmaßnahmen.
Praxisbeispiel
Eine österreichische Steuerberatungskanzlei mit 22 Mitarbeitenden nutzt eine weitverbreitete Dokumentenmanagement-Software. Angreifer entdecken eine Zero-Day-Lücke in dieser Software und verschaffen sich über präparierte E-Mail-Anhänge Zugang zu Mandantendaten. Da die Kanzlei ein mehrschichtiges Sicherheitskonzept implementiert hat – Netzwerksegmentierung, minimale Benutzerrechte, aktives Monitoring – bleibt der Schaden auf einen isolierten Bereich begrenzt und wird innerhalb von Stunden erkannt.
Quellen
- Was ist Zero-Day-Lücke? - Definition von Computer Weekly
- Zero-Day-Attacken: Unsichtbare Bedrohung und wirksamer Schutz - Dr. Datenschutz
- Schadensersatz nach Cyberangriff: Keine Haftung bei Zero-Day-Exploit - e-rechtsanwälte.eu
- Zero-Day-Exploits: Schützen Sie Ihr Unternehmen effektiv - EWE Business
- BSI: Microsoft SharePoint - Massive Ausnutzung einer Zero-Day Schwachstelle