Ein Zero-Day-Exploit nutzt eine Sicherheitslücke in Software oder Betriebssystem aus, von der der Hersteller noch nichts weiß – es gibt also „null Tage" (zero days) zwischen der Entdeckung der Schwachstelle und dem ersten Angriff. Kein Patch, kein Update, kein Schutz durch den Hersteller. Dein Virenscanner kennt die Bedrohung nicht. Deine Firewall erkennt sie nicht. Du bist verwundbar, und Du weißt es nicht einmal.
Wie funktioniert das?
Jede Software enthält Fehler – das ist unvermeidlich bei Millionen Zeilen Programmcode. Die meisten dieser Fehler sind harmlos, aber manche öffnen eine Tür für Angreifer. Wenn ein Sicherheitsforscher oder Hacker eine solche Schwachstelle entdeckt, hat er zwei Möglichkeiten: Er meldet sie dem Hersteller (verantwortungsvolle Offenlegung), oder er nutzt sie aus beziehungsweise verkauft sie auf dem Schwarzmarkt.
Zero-Day-Exploits sind auf dem Schwarzmarkt extrem wertvoll. Für eine unbekannte Schwachstelle in Windows oder iOS zahlen Käufer – darunter Geheimdienste, aber auch kriminelle Gruppen – Summen von 100.000 bis über 2 Millionen US-Dollar. Je verbreiteter die Software, desto wertvoller der Exploit.
Der typische Ablauf eines Zero-Day-Angriffs sieht so aus: Die Angreifer entdecken eine Schwachstelle – zum Beispiel einen Fehler in der Verarbeitung bestimmter Dateiformate. Sie entwickeln einen Exploit, also einen Programmcode, der diese Schwachstelle gezielt ausnutzt. Dann verbreiten sie den Exploit, etwa über präparierte Webseiten, E-Mail-Anhänge oder manipulierte Dokumente. Sobald Du die Datei öffnest oder die Webseite besuchst, wird die Schwachstelle ausgenutzt und Schadcode auf Deinem System ausgeführt – ohne dass Du etwas merkst.
Das Tückische: Zwischen der ersten Nutzung eines Zero-Day-Exploits „in freier Wildbahn" und der Bereitstellung eines Patches durch den Hersteller vergehen oft Tage bis Wochen, manchmal sogar Monate. In dieser Zeit sind alle Nutzer der betroffenen Software ungeschützt. Und selbst wenn ein Patch veröffentlicht wird, dauert es noch, bis alle ihn installiert haben.
Manche Zero-Day-Schwachstellen sind so grundlegend, dass sie ganze Softwarekategorien betreffen. Andere sind spezifisch für bestimmte Versionen oder Konfigurationen. Gemeinsam haben sie alle: Zum Zeitpunkt des Angriffs gibt es keinen offiziellen Schutz.
Beispiele aus der Praxis
Log4Shell (2021) wird von vielen Experten als die schlimmste Sicherheitslücke aller Zeiten bezeichnet. Die Schwachstelle steckte in Log4j, einer weit verbreiteten Java-Logging-Bibliothek, die in Millionen von Programmen und Servern weltweit eingebettet war. Ein Angreifer musste lediglich eine speziell formatierte Zeichenkette an einen verwundbaren Server senden – etwa in ein Chatfeld oder eine Suchanfrage – und konnte beliebigen Code ausführen. Die Einfachheit des Exploits war beispiellos, und binnen Stunden nach der Veröffentlichung begannen weltweite Massenangriffe. Die vollständige Geschichte in unserem Schadenbeispiel zu Log4Shell.
PrintNightmare (2021) betraf den Windows-Druckdienst (Print Spooler), der auf praktisch jedem Windows-System aktiv ist. Die Schwachstelle erlaubte es Angreifern, über das Netzwerk Code mit SYSTEM-Rechten auszuführen – also mit der höchsten Berechtigungsstufe. Besonders problematisch: Der Exploit-Code wurde versehentlich auf GitHub veröffentlicht, bevor Microsoft einen Patch bereitgestellt hatte. Details in unserem Schadenbeispiel zu PrintNightmare.
Follina (2022) zeigte, wie gefährlich selbst vermeintlich harmlose Office-Dokumente sein können. Die Schwachstelle in Microsofts Support Diagnostic Tool (MSDT) erlaubte es Angreifern, über ein manipuliertes Word-Dokument Schadcode auszuführen – und das ohne Makros, die man hätte deaktivieren können. Es reichte in manchen Fällen sogar die Vorschau des Dokuments im Windows-Explorer. Wie Follina funktionierte und ausgenutzt wurde, beschreiben wir im Schadenbeispiel zu Follina.
Wie schützt Deep Freeze davor?
Zero-Day-Exploits sind die Bedrohung, gegen die konventionelle Sicherheitslösungen am schlechtesten aufgestellt sind. Dein Virenscanner erkennt sie nicht, weil es noch keine Signaturen gibt. Dein System ist nicht gepatcht, weil es noch keinen Patch gibt. Verhaltensbasierte Erkennung hilft manchmal, versagt aber oft bei neuartigen Angriffstechniken.
Deep Freeze bietet eine fundamentale Schutzschicht, die unabhängig von der Kenntnis konkreter Bedrohungen funktioniert. Wenn ein Zero-Day-Exploit ausgenutzt wird, um Schadsoftware auf Deinem System zu installieren, wird diese beim nächsten Neustart restlos entfernt. Der Exploit selbst kann zwar kurzzeitig funktionieren, aber die Angreifer können sich nicht dauerhaft einnisten. Jeder Neustart setzt Dein System auf den sauberen, eingefrorenen Zustand zurück.
Das ist besonders wertvoll in der kritischen Phase zwischen dem Bekanntwerden einer Schwachstelle und der Verfügbarkeit eines Patches. Du kannst Deinen Rechner weiternutzen und bist trotzdem geschützt vor dauerhaften Kompromittierungen.
Zero-Day-Exploits sind die gefährlichsten Angriffe, weil es gegen sie zum Zeitpunkt des Angriffs keinen Schutz gibt. Deep Freeze ändert die Spielregeln: Statt zu versuchen, unbekannte Angriffe zu erkennen, macht es deren dauerhafte Wirkung unmöglich – ein Neustart genügt, und Dein System ist wieder sauber.