Experten fordern mehr Umsicht bei Zero-Day-Bugs

Software-Lücken bleiben oft ein Jahr ungesichert

02. August 2007
Von Alexander Galdy
Fast ein Jahr beträgt die durchschnittliche Lebensdauer von Zero-Day-Bugs. Es gibt aber auch Ausreißer, die fast drei Jahre nicht entdeckt und gepatcht werden. Das hat das IT-Security-Unternehmen Immunity beobachtet und mahnt zu mehr Umsicht in Sicherheitsabteilungen.
Alles, was nicht fest verschlossen ist, wird von Hackern ausgenutzt.
Alles, was nicht fest verschlossen ist, wird von Hackern ausgenutzt.

Im Durchschnitt dauert es laut Immunity 348 Tage, bis eine Sicherheitslücke veröffentlicht oder vom Software-Hersteller geflickt wird. Frühestens werden sie nach 99 Tagen entdeckt beziehungsweise gepatcht.

Die Lecks können aber auch viel langlebiger sein, wie Sicherheitsexperten beobachteten. Es kam schon vor, dass sie über einen Zeitraum von 1.080 Tagen nicht aufgestöbert wurden und unbehandelt blieben.

Zero-Day-Bugs sind unveröffentlichte Software-Schwachstellen, die von Hackern missbraucht werden können. Sie nutzen die Lücken aus, um in Firmensysteme einzubrechen und dort Daten zu stehlen oder zu verändern.

Das Geschäft mit den Fehlern

Gegen die Bedrohung ist kaum ein Software-Hersteller gefeilt. Ist einmal eine Sicherheitslücke aufgetan, kommen die Angriffe in groß angelegten Aktionen zum Einsatz (Zero-Day-Attack). Dementsprechend floriert das Geschäft mit Zero-Day-Bugs. Um die Zeitspanne zwischen Entdeckung und Schließen der Lücke möglichst klein zu halten, setzen Hersteller Prämien für gefundene Schwachstellen aus.

Zur Startseite