Zero Day, also Tag null, meint die Zeitspanne, die ein Hersteller nach dem Bekanntwerden einer Sicherheitslücke hat, um einen Patch zu entwickeln und zu veröffentlichen – er hat also gar keine Zeit. Ein Zero-Day-Exploit ist eine Malware, die solch eine Schwachstelle ausnutzt. Wenn Hacker einen derartigen Angriffsvektor finden und ihn für sich behalten, können sie ihn so lange nutzen, bis der Hersteller die Lücke bemerkt und schließt. Das dauert mitunter Tage, Wochen oder sogar Monate.
Eine Sicherheitslücke ermöglicht nicht vorgesehene Zugriffe, das Erschleichen von höheren Rechten oder sogar das Vorbeischleichen an Schutzmaßnahmen. Ist die Lücke bekannt, kann der Hersteller reagieren und sie schließen. Auch die Hersteller von Antivirus-Software können Maßnahmen ergreifen, damit die Schutzprogramme das Ausnutzen der Lücke bemerken. Bei Zero-Days gibt es nur wenig Schutz gegen die Angriffe. Je nach Art der Lücke sind Zero-Day-Exploits daher in der Lage, unbemerkt Daten zu stehlen, Systeme zu infizieren, zu spionieren oder Ähnliches. Gute Antivirus-Software überwacht zwar ständig kritische Bereiche des Systems, um ebensolche Angriffe zu entdecken, trotzdem klappt das nicht immer.
Unter Hackern – und Geheimdiensten – sind Zero-Day-Lücken extrem begehrt. Die Kriminellen handeln sogar damit. Für kritische Zero-Days in Windows zahlen sie schon mal eine Million US-Dollar oder mehr. Große Hersteller haben deshalb Bug-Bounty-Programme, die im Gegenzug eine Belohnung für das Auffinden von Schwachstellen bieten. Haben Hacker oder Geheimdienste einen Zero-Day-Exploit, halten sie die Lücke geheim und nutzen den Exploit für ihre Zwecke. Geheimdienste verwenden die Schadsoftware zum Ausspionieren von mutmaßlichen Terroristen. Sie stehen dafür aber immer wieder in der Kritik, weil das Vorhandensein der Lücken alle Nutzerinnen und Nutzer gefährdet. Zudem könnten Hacker die Exploits stehlen, was beispielsweise bei der NSA bereits passiert ist.
- Stuxnet: Der bekannteste Fall eines Zero-Day ist Stuxnet. Der Zero-Day-Exploit tauchte 2010 zum ersten Mal auf und zielte darauf, das iranische Atomprogramm zu sabotieren. Dazu infizierte der Wurm PCs während der Herstellung und brachte die Steuerungsprogramme von Maschinen in Urananreicherungsanlagen dazu, unerwartete Befehle auszuführen. Aktiv war der Wurm wohl bereits seit 2005. Die Lücke blieb also fünf Jahre lang unentdeckt!
- Microsoft Word: 2017 ermöglichte ein Zero-Day-Exploit Angreifern das Stehlen von Anmeldedaten zum Online-Banking. Die Nutzerinnen und Nutzer sahen nur die Abfrage “Remote-Content laden” mit der Aufforderung, einem anderen Programm den Zugriff zu erlauben. Wer das tat, war seine Anmeldedaten los.
- iOS: 2020 sorgte eine Zero-Day-Schwachstelle dafür, dass Angreifer iOS-Geräte aus der Ferne manipulieren konnten.
