Compliance-Lexikon · Grundbegriff
Zero-Day
[ˈzɪərəʊ deɪ] · auch: Zero-Day-Schwachstelle, 0day, Zero-Day-Exploit
Eine Zero-Day-Schwachstelle ist eine Sicherheitsluecke in Software oder Hardware, fuer die zum Zeitpunkt der Ausnutzung kein Patch des Herstellers verfuegbar ist – weil der Hersteller die Schwachstelle noch nicht kennt oder der Patch noch nicht veroeffentlicht wurde. Ein Zero-Day-Exploit nutzt diese Luecke aus.
Warum Zero-Days ein Compliance-relevantes Thema sind
Zero-Day-Schwachstellen koennen nicht durch Patch-Management verhindert werden – per Definition existiert kein Patch. Das bedeutet nicht, dass man schutzlos ist: Verteidigungsstrategien wie Network Segmentation, Least Privilege, Verhaltensbasierte Erkennung und schnelle Reaktionsprozesse reduzieren den Schaden erheblich. NIS-2 und CRA verlangen Prozesse fuer den Umgang mit neu bekannten Schwachstellen – das schliesst Zero-Days explizit ein.
Wo Zero-Days regulatorisch relevant sind
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.8 | Management von technischen Schwachstellen: Prozess fuer den Umgang mit neu bekannten Schwachstellen – impliziert auch Zero-Days. |
| NIS-2 / BSIG | § 30 Abs. 2 / § 7b | Koordinierte Offenlegung von Schwachstellen: Meldekanal und Prozess fuer Schwachstellenmeldungen als Pflicht. |
| CRA | Art. 14 | Cyber Resilience Act: Hersteller muessen aktiv nach Schwachstellen suchen und Meldewege bereitstellen (Coordinated Vulnerability Disclosure). |
| DORA | Art. 9 / Art. 19 | Massnahmen zur Erkennung ungepatchter Schwachstellen und Meldepflicht bei ausgenutzten Zero-Days als IKT-Vorfall. |
| BSI CERT-Bund | vollstaendig | CERT-Bund koordiniert Schwachstellenmeldungen in Deutschland und gibt Warnungen fuer aktiv ausgenutzte Zero-Days heraus. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Kein dokumentierter Prozess fuer den Umgang mit Zero-Day-Meldungen
- Keine Threat-Intelligence-Feeds fuer fruehzeitige Warnung
- Zero-Day-Vorfaelle nicht als meldepflichtige IKT-Vorfaelle erkannt
- Keine temporaeren Schutzmassnahmen (Workarounds) vorbereitet
Was Zero-Days von anderen Schwachstellen unterscheidet
Bekanntheit: Eine Zero-Day-Schwachstelle ist dem Hersteller unbekannt oder es gibt noch keinen Patch. Exploitability: Da kein Patch verfuegbar ist, sind alle Systeme mit der betroffenen Software verwundbar. Reaktionszeit: Bis ein Patch verfuegbar ist, vergehen oft Tage bis Wochen. In dieser Zeit sind Workarounds (Deaktivierung betroffener Funktionen, WAF-Regeln, Netzwerksegmentierung) die einzige Verteidigung. Wert auf dem Markt: Zero-Days fuer populaere Software sind auf Exploitmaerkten Millionen Euro wert – ein Hinweis auf ihre strategische Bedeutung fuer staatliche Akteure und organisierte Kriminalitaet.
Zero-Day-Schutz ohne Patch
Waehrend ein Zero-Day per Definition nicht durch einen Patch geloest werden kann, gibt es wirksame Defensivmassnahmen: Verhaltensbasierte Erkennung (EDR) erkennt Exploits an ihrem Verhalten, nicht an ihrer Signatur. Network Segmentation begrenzt den Schaden, wenn ein System kompromittiert wird. Least Privilege stellt sicher, dass ein kompromittiertes System nur begrenzte Rechte hat. Schnelle Patch-Prozesse reduzieren die Expositionszeit, sobald ein Patch verfuegbar ist. Threat Intelligence liefert fruehzeitige Warnungen vor aktivem Ausnutzen von Zero-Days.
Naechste Ebene
Zero-Day in der Praxis: Response-Prozess, Workarounds und Evidence
Wie der Zero-Day-Response-Prozess aufgebaut wird und was Auditoren pruefen.