Von einem Zero-Day-Exploits spricht man bei einer Ausnutzung von zuvor unbekannten Sicherheitslücken, für welche die Hersteller von Programmen oder Systemen noch keine entsprechenden Patches bereithält. Exploits sind Verfahren, welche dazu entwickelt werden, diese Sicherheitslücken auszunutzen.

Kriminelle verschaffen sich Zugang und Berechtigungen zu Geräten und Systemen, um diese zu beeinträchtigen. Es gibt auch Anbieter von Zero-Day-Exploits, welche diese an Akteure verkaufen, die selbst keine technischen Kenntnisse haben. Im Jahr 2020 wurden gesamthaft 22 Angriffe bei vorher noch unentdeckten Sicherheitslücken gezählt. 2021 sind es bereits jetzt über 30 Zero-Day-Exploits.

Einer der bekannteren Vorfälle ist ein Hack beim Softwarehersteller Solarwinds, welcher im vergangenen Jahr Tausende Unternehmen und öffentliche Einrichtungen mit Schadsoftware verseucht hat. Kompromittierte Updates der IT-Überwachungs- und Verwaltungssoftware Orion waren dafür verantwortlich. Zu den Geschädigten gehörten nebst Ministerien und Militäreinrichtungen in den USA auch die Sicherheitsfirma FireEye, welche selbst Lösungen zur Erkennung, Abwehr und Behebung von Bedrohungen und Sicherheitslücken anbietet. Bei solchen Angriffen, bei denen über einen Lieferanten dessen Kunden angegriffen werden, spricht man von einem Supply Chain-Angriff.

Wird die Schwachstelle, wie im Solarwinds-Fall, erst durch deren entdeckte Ausnutzung bekannt, bleiben dem Hersteller faktisch "Null Tage" Zeit, um einen Patch zur Behebung der Sicherheitslücke zu entwickeln. Daher melden Sicherheitsforscher Schwachstellen, die sie entdecken erst dem Hersteller und geben diesem Zeit einen Patch zu entwickeln, bevor sie die Schwachstelle veröffentlichen. Viele Unternehmen bieten deshalb Belohnungen für die Entdeckung von Sicherheitslücken in ihrer Software an. Globale Player wie Microsoft und Google bieten Beträge bis zu 100.000 US-Dollar, wenn ihnen Sicherheitslücken gemeldet werden.

Sobald allerdings eine bisher unentdeckte Sicherheitslücke veröffentlicht wird und noch kein Patch des Herstellers zur Verfügung steht, beginnt ein Wettrennen gegen die Kriminellen, welche sich diese sogenannten Zero-Day-Sicherheitslücken zunutze machen wollen. Als IT-Dienstleister haben wir dafür entsprechende Prozesse geschaffen, mit denen wir die täglichen Meldungen über Schwachstellen überwachen und beurteilen. Das Informationssicherheitsteam analysiert diese auf ihre Relevanz für die von uns betreuten Services und natürlich auch für unsere eigenen Umgebungen. Die Meldungen können dabei aus verschiedenen Quellen kommen, beispielsweise aus entsprechenden Datenbanken, News-Kanälen, Herstellern, Kunden oder von unseren Partnern bei Secnovum. Bei der Analyse wird geschaut, ob die betroffenen Produkte oder Services bei unserer Kundschaft oder bei uns selbst eingesetzt werden. Wichtig ist auch herauszufinden, ob die Schwachstelle schon ausgenutzt wird und ob bereits Schutzmassnahmen bestehen.

Wenn das Resultat der Risikoanalyse eine grosse Gefahr ergibt, müssen sofort weitere Massnahmen getroffen werden. Die betroffenen Kunden werden evaluiert und es wird pro Kunde ein Ticket erfasst. Handelt es sich um eine Zero-Day-Lücke, bei der Indikatoren auf deren Ausnutzung hindeuten, wird der weiterführende Prozess "Security Incident Response" gestartet. Dieser dient dazu, die Vorfälle fachgerecht zu behandeln und die nötigen Sofortmassnahmen zu treffen. Hier helfen vorbereitete Reaktionspläne um Entscheidungswege zu verkürzen, beispielsweise wenn die Verfügbarkeit von Systemen und Systemteilen zum Erhalt der Vertraulichkeit von Informationen temporär eingeschränkt werden müssen.

Bei einem Informationssicherheitsvorfall wurde die Vertraulichkeit, die Integrität und/oder die Verfügbarkeit von Informationen beeinträchtigt oder es bestehet ein hohes Potenzial, dass diese im weiteren Verlauf des Vorfalls beeinträchtigt werden könnten. In einem solchen Krisenfall gilt es darum schnell zu handeln, um die Auswirkungen und die Schäden möglichst tief zu halten oder natürlich im besten Fall zu vermeiden.

Sorgen Sie dafür, dass Patches und sicherheitsrelevante Updates baldmöglichst eingespielt werden und stellen Sie mit Hilfe von Schwachstellenscans sicher, dass Ihre Systeme keine offenen kritischen Schwachstellen aufweisen. Nutzen Sie das Know-how der first frame networkers, um eine neutrale und praxisnahe Beurteilung der Cyber- und Informationssicherheit in Ihrem Unternehmen zu erhalten. Sei es bei der Risikoanalyse, der Wirksamkeitsprüfung bereits implementierter Massnahmen oder gar beim Informationssicherheitsmanagement. Unser Informationssicherheitsteam hat auch für Sie ein passendes Angebot. Melden Sie sich unverbindlich bei Ihrem Account Manager oder über informationssicherheit@firstframe.net bei unseren Sicherheitsspezialisten.

Lukas Studer

Nach einer Lehre als Chemielaborant, der Arbeit im Lehrberuf und dem fliessenden Wechsel in die Informatik absolvierte Lukas Studer die Technikerschule Informatik und Netzwerktechnik. Er war als Informatiker bei verschiedenen Outsourcing-Anbietern für Industriebetriebe, Banken und Versicherungen sowie betriebsintern tätig. Mit dem MAS Information Security wechselte er in die interne Revision als IT-Prüfer und erlangte die Zertifizierung zum Certified Information Systems Auditor und das Zertifikat CAS Datenanalyse. Zudem ist er Certified SCADA Security Engineer (CSSE) und als CISO für die ISO-Zertifizierungen der first frame networkers ag zuständig.

Lukas Studer