Die sogenannten Zero-Day-Schwachstellen sind für digitale Angreifer besonders wertvoll. Sie beschreiben Lücken in Programmen, die noch nicht entdeckt wurden. Entsprechend ist ein Schutz enorm schwierig, Updates oder Patches existieren nicht. Nicht nur Kriminelle sammeln diese Schwachstellen, um sie später auszubeuten. Auch staatliche Stellen finden und horten diese Lücken. Ein gutes Beispiel ist etwa die Sammlung der NSA, von der große Teile über Umwege im Internet landeten. Es dauerte nicht lange, und die Lücken wurden in Angriffstools integriert.

Es gibt verschiedene Ansätze, um diese Gefahren abzuwehren. Google etwa betreibt das Project Zero, das bereits zahlreiche kritische Schwachstellen in populären Programmen gefunden und gemeldet hat. Ähnlich arbeitet die Zero-Day-Initiative von Tipping Point. Sie setzt darauf, Schwachstellen zu finden, zu melden und zu schließen, bevor sie von bösartigen Hackern ausgenutzt werden können. Das sind wichtige Maßnahmen, allerdings entstehen diese Initiativen im Wettlauf mit kriminellen Experten, die Lücken finden und meistbietend verkaufen.

Abwehr durch Ebenen

Die Abwehr auf Unternehmensseite ist schwierig: Was die IT-Abteilung nicht kennt, kann sie nur schwerlich abwehren, aber Firmen können sich schützen. Allerdings ist es nicht mit einer einzelnen Box oder Lösung getan, auch wenn einige Hersteller dies versprechen. Stattdessen müssen mehrere Sicherheitsebenen ineinandergreifen um Attacken effektiv abzuwehren.

Dazu gehören klassische Abwehrmaßnahmen, wie etwa Anti-Viren-Lösungen, Firewalls oder auch Anti-Spam-Filter ebenso wie neuere Ansätze. Zu diesen zählt beispielsweise die Segmentierung des Firmennetzes auf verschiedene Bereiche. Sie verhindert, dass sich Malware ungehindert ausbreiten kann.

Um den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) inbesondere zum Schutz kritischer Infrastrukturen (KRITIS) zu genügen, muss ein Datencenter in mehrere Bereiche unterteilt werden. Im Perimeterbereich wird der eingehende und ausgehende Datenverkehr genau überwacht, etwa durch Application Delivery Firewalls. Diese schützen vor DDoS-Attacken, DNS-Poisoning und anderen Attacken. Bevor Daten ins Campus Netzwerk fließen können, werden sie zudem durch eine Next Generation Firewall geschickt, um die Daten weiter zu untersuchen.

Über ein Network Access Control System lässt sich der Zugriff anschließend gezielt steuern, so dass nur diejenigen Zugriff haben, die auch tatsächlich befugt sind.

Um höchstmögliche Sicherheit gewährleisten zu können, benötigen Unternehmen zahlreiche Sicherheitskomponenten. Damit diese allerdings sauber zusammenarbeiten, sollten Firmen Hilfe von Experten einholen. Diese können sicherstellen, dass es keine fehlerhaften Alarme gibt und die Sicherheitskomponenten nicht die Arbeit beeinträchtigen.

Patch-Management: Häufig unterschätzt

Trotz des Fokus auf Zero-Day-Angriffe sollten Unternehmen die klassischen Gefahren nicht vernachlässigen. Diese sind für den Großteil der Attacken verantwortlich. Die Untergrund-Economy ist voll mit Baukästen, über die sich Kriminelle ihre Angriffs-Software selbst zusammenklicken können.

Ein gutes Beispiel ist die Malware Petya. Diese machte Anfang Juli Schlagzeilen, weil eine Abwandlung des Schädlings rund um den Globus Systeme infiziert und Rechner verschlüsselt hatte. Die Schad-Software nutzte unter anderem eine ehemalige Zero-Day-Schwachstelle, die allerdings seit Januar bekannt und eigentlich im März mit einem Patch behoben worden war. Das pikante dabei: Bereits einen Monat zuvor war die Malware WannaCry durch Ausnutzung derselben Schwachstelle ebenfalls enorm erfolgreich. Trotz weltweiter Schlagzeilen und trotz Notfall-Updates für Windows XP und Vista - Petya konnte in die gleiche Kerbe schlagen.

Entsprechend muss Patch- und Update-Management Teil der Sicherheitsstrategie sein. Nur wenn bekannte Schwachstellen schnell und umfangreich geschlossen werden, laufen die Attacken ins Leere. Wenn diese Grundlagen nicht stimmen, werden sich auch Schutzmaßnahmen gegen Zero-Day-Attacken als zahnlose Tiger erweisen - denn das wäre, als würde man das Dachfenster extra sichern, während die Fenster im Erdgeschosse weit offenstehen.