Was ist ein Zero-Day, und wie verteidigt man sich gegen etwas ohne Patch?
Kurzantwort
Ein Zero-Day ist eine Schwachstelle, die der Hersteller noch nicht kennt (oder nicht gepatcht hat), sodass die Verteidiger „null Tage“ hatten, um sie zu beheben. Da kein Patch existiert, stützt sich die Abwehr auf geschichtete Maßnahmen, verhaltensbasierte Erkennung, Segmentierung, Least Privilege und schnelle Incident Response statt auf eine Signatur.
Der Begriff klingt dramatisch, und Interviewer möchten sehen, dass Sie ihn präzise definieren und über die Abwehr nachdenken können, wenn die übliche Antwort — „den Patch einspielen" — nicht verfügbar ist.
Was „Zero-Day" bedeutet
Eine Zero-Day-Schwachstelle ist ein Fehler, den der Softwarehersteller noch nicht kennt oder noch nicht behoben hat. Der Name rührt daher, dass der Hersteller null Tage Zeit hatte, einen Patch zu entwickeln. Ein Zero-Day-Exploit ist funktionierender Angriffscode für einen solchen Fehler, und ein Zero-Day-Angriff ist dessen Einsatz in freier Wildbahn, bevor eine Behebung existiert.
Im Gegensatz dazu steht ein N-Day: eine Schwachstelle, die bekannt und gepatcht ist, bei der jedoch manche Systeme ungepatcht bleiben. Die meisten realen Kompromittierungen nutzen tatsächlich N-Days aus, weil Organisationen langsam patchen.
Warum sie gefährlich sind
Signaturbasierte Abwehrmaßnahmen (Antivirus, IDS-Regeln) beruhen oft darauf, die Bedrohung im Voraus zu kennen. Ein echter Zero-Day hat keine Signatur, sodass diese Werkzeuge ihn völlig übersehen können, und es gibt keinen Patch zum Einspielen.
Wie Sie sich ohne Patch verteidigen
Sie wechseln von „das Bekannte blockieren" zu Resilienz und Tiefe:
- Defense in Depth, damit keine einzelne Umgehung zur vollständigen Kompromittierung führt.
- Verhaltens- und anomaliebasierte Erkennung (EDR, Netzwerkanalytik), die verdächtige Aktionen statt bekannter Signaturen kennzeichnet.
- Least Privilege und Segmentierung, um den Wirkungsradius zu begrenzen.
- Virtuelles Patchen / WAF-Regeln, um Ausnutzungswege vorübergehend zu mildern.
- Threat Intelligence und schnelles Patchen, um den Herstellerfix einzuspielen, sobald er erscheint.
- Ein eingeübter Incident-Response-Plan für den Fall, dass die Prävention versagt.
Warum das wichtig ist
Interviewer prüfen, ob Sie in Panik geraten oder in Systemen denken. Ein Kandidat, der Zero-Day korrekt definiert, ihn von N-Days unterscheidet und eine geschichtete, verhaltensbasierte Abwehr erklärt, zeigt, dass er versteht: Sicherheit bedeutet, Risiko zu reduzieren, nicht eine perfekte Blockade zu jagen.
Wahrscheinliche Anschlussfragen
- Wie unterscheidet sich ein Zero-Day von einem N-Day oder einer bekannten CVE?
- Welche Erkennungsansätze funktionieren, wenn keine Signatur existiert?
- Was ist Responsible Disclosure?