Was sind Zero-Day-Exploits und wie funktionieren sie?

Das Leck, von dem niemand weiß

Jede Software enthält Fehler. Die meisten sind harmlos. Gelegentlich ermöglicht ein Fehler einem Angreifer jedoch, ein Gerät zu übernehmen, Daten zu stehlen oder Überwachungstools zu installieren – und der Softwarehersteller hat keine Ahnung, dass dieser Fehler existiert. Dieser Fehler wird als Zero-Day-Schwachstelle bezeichnet, und der Code, der geschrieben wurde, um ihn auszunutzen, ist ein Zero-Day-Exploit. Der Name spiegelt eine harte Realität wider: Sobald ein Angreifer zuschlägt, hatte der Hersteller „null Tage“ Zeit, eine Lösung vorzubereiten.

Zero-Days stehen an der Spitze der Hierarchie der Cyber-Bedrohungen. Sie umgehen Antivirensoftware, weichen Firewalls aus und machen selbst gut gepatchte Systeme anfällig. Im Jahr 2025 verzeichnete die Threat Intelligence Group von Google 90 Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt wurden – gegenüber 78 im Vorjahr – wobei fast die Hälfte auf Unternehmenssysteme abzielte, ein Allzeithoch.

Wie ein Zero-Day-Angriff abläuft

Ein Zero-Day-Angriff folgt typischerweise einer Abfolge, die Sicherheitsforscher als Cyber Kill Chain bezeichnen. Zuerst entdecken Angreifer eine unbekannte Schwachstelle durch Reverse Engineering, Fuzzing (automatisierte Eingabetests) oder einfach durch die Überprüfung des Quellcodes. Als Nächstes erstellen sie einen bewaffneten Exploit – oft ein kleines Stück Code, das die Schwachstelle auslöst, um unbefugten Zugriff zu erhalten.

Die Zustellung erfolgt über bekannte Kanäle: eine Phishing-E-Mail, eine kompromittierte Website oder ein bösartiges Dokument. Sobald der Exploit zündet, verschafft sich der Angreifer einen Fuß in der Tür – installiert Malware, eskaliert Berechtigungen oder öffnet eine Hintertür für dauerhaften Zugriff. Da kein Patch existiert, sind herkömmliche signaturbasierte Abwehrmechanismen blind für den Angriff.

Moderne Kampagnen verketten häufig mehrere Schwachstellen miteinander. Das DarkSword Exploit Kit, dessen Code im März 2026 öffentlich durchgesickert ist, kombinierte sechs iOS-Fehler – drei davon Zero-Days –, um die vollständige Geräteübernahme zu erreichen und Kontakte, Nachrichten und Keychain-Daten von iPhones zu extrahieren.

Ein Multi-Millionen-Dollar-Markt

Zero-Day-Exploits sind außerordentlich wertvoll. Laut TechCrunch kann eine vollständig bewaffnete iPhone-Exploit-Kette auf dem freien Markt 5 bis 7 Millionen Dollar einbringen, während Android-Exploits bis zu 5 Millionen Dollar erzielen. Die Preise haben sich in den letzten Jahren vervielfacht, da Unternehmen ihre Produkte härten, wodurch jeder funktionierende Exploit seltener und wertvoller wird.

Drei verschiedene Käufergruppen konkurrieren um diese Tools. Geheimdienste – wobei die Five-Eyes-Nationen historisch den Markt dominieren – kaufen Zero-Days für Überwachungs- und offensive Cyberoperationen. Kommerzielle Spyware-Anbieter wie die NSO Group horten sie, um Produkte wie Pegasus zu betreiben, das weltweit gegen Journalisten, Aktivisten und politische Persönlichkeiten eingesetzt wurde. Und kriminelle Organisationen setzen sie in Ransomware-Kampagnen und Datendiebstahl ein.

Warum die Verteidigung so schwierig ist

Die größte Herausforderung ist die Asymmetrie: Angreifer müssen nur einen Fehler finden, während Verteidiger Millionen von Codezeilen schützen müssen. Untersuchungen von CIQ zeigen, dass Unternehmens-Patchzyklen 30 bis 60 Tage dauern, Angreifer jedoch offengelegte Schwachstellen routinemäßig in weniger als 15 Tagen bewaffnen. In der ersten Hälfte des Jahres 2025 stellte VulnCheck fest, dass 32 % der ausgenutzten Schwachstellen am oder vor dem Tag der öffentlichen Bekanntgabe angegriffen wurden.

Da man nicht patchen kann, was man nicht kennt, verlassen sich Unternehmen zunehmend auf Verhaltenserkennung – die Überwachung dessen, was Software tatsächlich tut, anstatt bekannte Signaturen abzugleichen. Netzwerksegmentierung, Least-Privilege-Zugriffsrichtlinien und Application Sandboxing fügen weitere Verteidigungsebenen hinzu. Der Lockdown-Modus von Apple beispielsweise reduziert die Angriffsfläche des iPhones drastisch, indem er Funktionen deaktiviert, die Angreifer häufig ausnutzen.

Das Wettrüsten geht weiter

Zero-Day-Exploits werden auf absehbare Zeit die stärkste Waffe der Cybersicherheit bleiben. Da Software immer komplexer wird und der Wert von Daten steigt, wächst auch der Anreiz, unbekannte Fehler zu entdecken – und zu verkaufen. Für normale Benutzer ist die beste Verteidigung einfach: Geräte auf dem neuesten Stand halten, automatisches Patchen aktivieren und unerwartete Links und Anhänge mit Vorsicht behandeln. In der Zero-Day-Welt beginnt die Uhr bei Null – und jede Stunde ohne Fix zählt.