Wie Zero-Day-Exploits funktionieren – und warum sie Millionen kosten

Der Fehler, den niemand kennt

Jede Software wird mit Fehlern ausgeliefert. Die meisten sind harmlos. Gelegentlich gibt es jedoch einen Fehler, der es einem Angreifer ermöglicht, die Sicherheit zu umgehen, Daten zu stehlen oder die Kontrolle über ein ganzes System zu übernehmen – und niemand auf der Verteidigungsseite weiß, dass er existiert. Dieser Fehler wird als Zero-Day-Schwachstelle bezeichnet, und der Code, der geschrieben wurde, um ihn auszunutzen, ist ein Zero-Day-Exploit. Der Name bezieht sich auf die Tatsache, dass der Softwarehersteller null Tage Zeit hatte, das Problem zu beheben, weil er noch nicht weiß, dass es existiert.

Zero-Days stehen an der Spitze der Hierarchie der Cyber-Sicherheitsbedrohungen. Im Gegensatz zu bekannten Schwachstellen, die gepatcht werden können, bietet ein Zero-Day Angreifern ein Zeitfenster ohne unmittelbare Verteidigung. Laut der Threat Intelligence Group von Google wurden allein im Jahr 2025 90 Zero-Day-Schwachstellen in freier Wildbahn ausgenutzt – gegenüber 78 im Vorjahr.

Wie ein Zero-Day entsteht

Der Lebenszyklus beginnt während der Softwareentwicklung, wenn ein Programmierfehler, ein Designfehler oder ein Versäumnis eine ausnutzbare Schwäche erzeugt. Die Schwachstelle kann monate- oder jahrelang schlummern, bis sie jemand entdeckt. Diese Person kann ein Sicherheitsforscher, ein automatisiertes Scan-Tool oder ein böswilliger Hacker sein.

Was als Nächstes geschieht, hängt davon ab, wer es zuerst findet. Der Lebenszyklus entfaltet sich in sechs Phasen:

1. Einführung – Ein Fehler wird versehentlich in die Software einprogrammiert.
2. Entdeckung – Ein Forscher oder Angreifer identifiziert die Schwäche.
3. Ausnutzung – Wenn Angreifer sie zuerst finden, erstellen und implementieren sie einen Exploit, bevor es jemand anderes weiß.
4. Offenlegung – Der Fehler wird dem Hersteller gemeldet (verantwortungsvolle Offenlegung) oder öffentlich gemacht.
5. Patch-Veröffentlichung – Der Hersteller entwickelt und veröffentlicht ein Sicherheitsupdate.
6. Patch-Übernahme – Organisationen testen und implementieren die Korrektur in ihren Systemen.

Die Lücke zwischen Einführung und weitverbreiteter Patching – bekannt als das Schwachstellenfenster – beträgt laut Sicherheitsforschung von Oligo durchschnittlich etwa 312 Tage. Selbst nach der Veröffentlichung eines Patches benötigen Organisationen in der Regel 60 bis 150 Tage, um es zu implementieren, was zu einer langen Expositionszeit führt.

Wer kauft und verkauft Zero-Days

Es gibt einen florierenden Markt für Zero-Day-Exploits, der sich über legitime Broker, Regierungen und kriminelle Untergrundforen erstreckt. Die Preise spiegeln den Wert des Ziels und die Zuverlässigkeit des Exploits wider. Ein Zero-Click-Exploit, der in der Lage ist, ein iPhone zu kompromittieren – ohne jegliche Benutzerinteraktion – kann laut Preisangaben des Brokers Crowdfense bis zu 7 Millionen Dollar einbringen. Android-Äquivalente erzielen bis zu 5 Millionen Dollar. Selbst ein Browser- oder E-Mail-Exploit kann 500.000 Dollar wert sein.

Zu den Käufern gehören Geheimdienste, die Überwachungswerkzeuge suchen, kommerzielle Spyware-Anbieter, die Produkte wie Pegasus entwickeln, und Cyberkriminalitätssyndikate. Der Google-Bericht von 2025 ergab, dass kommerzielle Überwachungsanbieter traditionelle staatlich geförderte Gruppen als die produktivsten Nutzer von Zero-Days übertrafen, während mit China verbundene Gruppen die aktivsten unter den Nationalstaaten blieben.

Warum traditionelle Abwehrmaßnahmen scheitern

Konventionelle Antiviren- und Intrusion-Detection-Systeme basieren auf Signaturen – bekannten Mustern von bösartigem Code. Ein Zero-Day hat per Definition noch keine Signatur. Dies macht ihn für traditionelle Scanner unsichtbar. Angreifer schätzen Zero-Days gerade deshalb, weil sie die Abwehrmaßnahmen umgehen, denen Organisationen am meisten vertrauen.

Die Verlagerung hin zu Unternehmenszielen verschärft das Problem. Im Jahr 2025 zielten 48 Prozent der ausgenutzten Zero-Days auf Unternehmenstechnologien ab – Sicherheitsappliances, VPNs und Netzwerkausrüstung –, denen oft die Endpoint-Detection-Tools fehlen, die auf Laptops und Desktops installiert sind.

Wie sich Organisationen wehren

Da Zero-Days nicht gepatcht werden können, bevor sie bekannt sind, verlassen sich die Verteidiger auf mehrschichtige Strategien:

• Bug-Bounty-Programme – Unternehmen wie Google, Apple und Microsoft bezahlen Sicherheitsforscher, um Fehler zu finden und zu melden, bevor Kriminelle dies tun. Das Project Zero von Google popularisierte die 90-Tage-Offenlegungsfrist und gab den Anbietern ein festes Zeitfenster zum Patchen, bevor eine Schwachstelle öffentlich gemacht wird.
• Verhaltenserkennung – Anstatt Signaturen abzugleichen, überwachen fortschrittliche Sicherheitstools auf ungewöhnliches Verhalten – unerwarteten Netzwerkverkehr, abnormale Prozessausführung oder Privilegienerweiterung –, das auf einen unbekannten Exploit hindeuten kann.
• Zero-Trust-Architektur – Durch die Überprüfung jedes Benutzers und Geräts an jedem Zugriffspunkt begrenzen Organisationen den Schaden, den ein Angreifer anrichten kann, selbst nachdem er ein System durchbrochen hat.
• Schnelles Patchen – Die Verkürzung der Lücke zwischen Patch-Veröffentlichung und Patch-Übernahme bleibt eine der effektivsten – und am meisten vernachlässigten – Abwehrmaßnahmen.

Zero-Day-Exploits werden niemals ganz verschwinden. Solange Menschen Code schreiben, wird es Fehler geben. Das Rennen zwischen Angreifern, die sie entdecken, und Verteidigern, die sie patchen, definiert die Frontlinie der modernen Cybersicherheit – ein Wettstreit, der nicht in Monaten, sondern in Stunden gemessen wird.