Skip to content

Was ist ein Zero-Day, und wie verteidigt man sich gegen etwas ohne Patch?

Kurzantwort

Ein Zero-Day ist eine Schwachstelle, die der Hersteller noch nicht kennt (oder nicht gepatcht hat), sodass die Verteidiger „null Tage“ hatten, um sie zu beheben. Da kein Patch existiert, stützt sich die Abwehr auf geschichtete Maßnahmen, verhaltensbasierte Erkennung, Segmentierung, Least Privilege und schnelle Incident Response statt auf eine Signatur.

Der Begriff klingt dramatisch, und Interviewer möchten sehen, dass Sie ihn präzise definieren und über die Abwehr nachdenken können, wenn die übliche Antwort — „den Patch einspielen" — nicht verfügbar ist.

Was „Zero-Day" bedeutet

Eine Zero-Day-Schwachstelle ist ein Fehler, den der Softwarehersteller noch nicht kennt oder noch nicht behoben hat. Der Name rührt daher, dass der Hersteller null Tage Zeit hatte, einen Patch zu entwickeln. Ein Zero-Day-Exploit ist funktionierender Angriffscode für einen solchen Fehler, und ein Zero-Day-Angriff ist dessen Einsatz in freier Wildbahn, bevor eine Behebung existiert.

Im Gegensatz dazu steht ein N-Day: eine Schwachstelle, die bekannt und gepatcht ist, bei der jedoch manche Systeme ungepatcht bleiben. Die meisten realen Kompromittierungen nutzen tatsächlich N-Days aus, weil Organisationen langsam patchen.

Warum sie gefährlich sind

Signaturbasierte Abwehrmaßnahmen (Antivirus, IDS-Regeln) beruhen oft darauf, die Bedrohung im Voraus zu kennen. Ein echter Zero-Day hat keine Signatur, sodass diese Werkzeuge ihn völlig übersehen können, und es gibt keinen Patch zum Einspielen.

Wie Sie sich ohne Patch verteidigen

Sie wechseln von „das Bekannte blockieren" zu Resilienz und Tiefe:

  • Defense in Depth, damit keine einzelne Umgehung zur vollständigen Kompromittierung führt.
  • Verhaltens- und anomaliebasierte Erkennung (EDR, Netzwerkanalytik), die verdächtige Aktionen statt bekannter Signaturen kennzeichnet.
  • Least Privilege und Segmentierung, um den Wirkungsradius zu begrenzen.
  • Virtuelles Patchen / WAF-Regeln, um Ausnutzungswege vorübergehend zu mildern.
  • Threat Intelligence und schnelles Patchen, um den Herstellerfix einzuspielen, sobald er erscheint.
  • Ein eingeübter Incident-Response-Plan für den Fall, dass die Prävention versagt.

Warum das wichtig ist

Interviewer prüfen, ob Sie in Panik geraten oder in Systemen denken. Ein Kandidat, der Zero-Day korrekt definiert, ihn von N-Days unterscheidet und eine geschichtete, verhaltensbasierte Abwehr erklärt, zeigt, dass er versteht: Sicherheit bedeutet, Risiko zu reduzieren, nicht eine perfekte Blockade zu jagen.

Wahrscheinliche Anschlussfragen

  • Wie unterscheidet sich ein Zero-Day von einem N-Day oder einer bekannten CVE?
  • Welche Erkennungsansätze funktionieren, wenn keine Signatur existiert?
  • Was ist Responsible Disclosure?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.