Kaum entdeckt, schon ausgenutzt – das ist das Prinzip der sogenannten Zero Day Sicherheitslücken. Sie zählen zu den gefährlichsten Bedrohungen im digitalen Raum. Während viele Schwachstellen durch regelmäßige Updates geschlossen werden, nutzen Cyberkriminelle Zero Day Lücken aus, noch bevor ein Patch verfügbar ist. Sie handeln also am sprichwörtlichen „Tag Null“, an dem weder Hersteller noch Nutzer eine Chance zur Reaktion haben. Jüngstes Beispiel: eine kritische Schwachstelle in Microsoft SharePoint, die im Rahmen eines Hackathons entdeckt und kurz darauf aktiv ausgenutzt wurde.
Was ist eine Zero Day Sicherheitslücke?
Der Begriff „Zero Day“ beschreibt eine Software-Sicherheitslücke, die bislang unbekannt ist – weder beim Hersteller noch in der Öffentlichkeit. Das bedeutet: Die Unternehmen im Visier hatten „null Tage“ Zeit, die Lücke zu beheben und Maßnahmen dagegen auszuführen. Entdecken Hacker eine solche Lücke, bleibt sie manchmal Monate oder sogar Jahre offen, bevor die betroffenen Unternehmen davon erfahren.
Oft sind solche Lücken nur wenigen Personen oder Gruppen bekannt. Zum Beispiel Hackern, die diese Informationen auf dem Schwarzmarkt verkaufen oder selbst aktiv nutzen.
Diese Art von Sicherheitslücken entsteht häufig durch:
- Programmierfehler oder Designfehler in Software
- Nicht ausreichend getestete Updates
- Komplexe IT-Architekturen mit unvorhergesehenen Wechselwirkungen
Die Bezeichnung umfasst sowohl die Schwachstelle selbst als auch den zugehörigen „Exploit“, also den Code oder die Methode, mit der diese Lücke ausgenutzt wird.
Wie Zero Day Exploits funktionieren
Ein typisches Angriffsszenario läuft so ab:
Ein Angreifer entdeckt eine Schwachstelle – z. B. in einem E-Mail-Client, einer Webanwendung oder einem Betriebssystem – und entwickelt daraufhin einen Exploit. Dieser kann per Malware, Phishing-Mail oder Drive-by-Download in Umlauf gebracht werden. Der Clou: Kein Antivirenprogramm erkennt ihn sofort, da die Signaturen unbekannt sind.
Die Angreifer nutzen Zero Day Exploits gezielt:
- Für Industriespionage
- Für politische oder militärische Operationen
- Zur Sabotage kritischer Infrastruktur
- Zur Erpressung (z. B. durch Ransomware)
Bekannte Fälle wie Stuxnet, WannaCry oder die Hafnium-Angriffe auf Exchange Server zeigen, wie weitreichend die Folgen sein können.
Warum Zero Day Lücken so gefährlich sind
Zero Day Sicherheitslücken gehören zu den gefährlichsten Bedrohungen in der digitalen Welt und das aus gutem Grund. Sie bieten Angreifern ein Zeitfenster, in dem weder der Hersteller der Software noch die betroffenen Unternehmen oder Anwender einen Schutzmechanismus parat haben. In dieser Phase sind Systeme schutzlos ausgeliefert und genau das nutzen Cyberkriminelle aus. Besonders kritisch wird es, wenn die Lücke in weitverbreiteter oder geschäftskritischer Software steckt, wie beispielsweise bei Microsoft SharePoint oder Exchange. Dann sind nicht nur einzelne Unternehmen, sondern potenziell Tausende Organisationen weltweit betroffen.
Ein weiterer Risikofaktor ist, dass Zero Day Exploits in der Regel unbemerkt zum Einsatz kommen. Herkömmliche Schutzsysteme wie Firewalls oder Virenscanner erkennen sie oft nicht, da sie auf bekannte Signaturen angewiesen sind. Die Angriffe erfolgen meist zielgerichtet – etwa über manipulierte E-Mails, kompromittierte Webseiten oder über direkte Netzwerkzugriffe – und bleiben häufig wochen- oder monatelang unentdeckt. In dieser Zeit können Angreifer Daten exfiltrieren, Systeme manipulieren oder Malware platzieren, ohne Spuren zu hinterlassen.
Hinzu kommt, dass viele Unternehmen ihre Systeme nicht sofort patchen – sei es aus Angst vor Ausfallzeiten, aus organisatorischen Gründen oder weil sie schlicht nicht von der Schwachstelle wissen. Das verlängert die Angriffsphase erheblich und erhöht den potenziellen Schaden. Der wirtschaftliche und reputative Impact solcher Angriffe kann enorm sein. Folgeschäden reichen von Produktionsstillständen über Erpressung bis hin zu Datenlecks, die Kundenvertrauen und Marktposition gefährden.
Schwachstellenmanagement und Coordinated Vulnerability Disclosure
Der verantwortungsvolle Umgang mit Sicherheitslücken ist entscheidend, um Bedrohungen frühzeitig zu erkennen und zu entschärfen. Dazu gehört:
- Monitoring und Schwachstellen-Scanning
- Sicherheits-Audits
- Patch-Management
- und vor allem: die Zusammenarbeit mit Sicherheitsforschern
Ein zentraler Ansatz ist das sogenannte Coordinated Vulnerability Disclosure (CVD). Dabei melden ethische Hacker (auch White Hats genannt) ihre Funde direkt an den betroffenen Hersteller. Dieser erhält eine Frist, um einen Patch zu entwickeln, bevor die Schwachstelle öffentlich gemacht wird.
Solche Programme fördern die Kooperation zwischen Entwicklern, Unternehmen und der Security-Community – oft mit Belohnungen über sogenannte Bug Bounty Programme.
Praxisbeispiel: Microsoft SharePoint und der Hackathon „Pwn2Own“
Eines der eindrucksvollsten aktuellen Beispiele für eine Zero Day Sicherheitslücke und die gelungene Kooperation zwischen ethischen Hackern und Softwareherstellern ist der Fall CVE-2025-53770 in Microsoft SharePoint.
Im Mai 2025 fand in Berlin der renommierte Hacking-Wettbewerb „Pwn2Own“ statt – eine Art Disziplin für ethische Hacker. Ziel der Veranstaltung ist es, Sicherheitslücken in gängiger Software zu identifizieren und zu demonstrieren. Für die Entdeckung und erfolgreiche Ausnutzung erhalten die Teams Preisgelder, in diesem Fall $100.000 für eine kritische Schwachstelle in SharePoint, die eine Remote Code Execution (RCE) ermöglichte.
Die Lücke: CVE-2025-53770
Bei CVE-2025-53770 handelt es sich um eine Schwachstelle, die es Angreifern erlaubt, auf einem SharePoint-Server ohne Authentifizierung Code auszuführen. Ein potenziell verheerendes Szenario, besonders in unternehmensweiten Kollaborationsumgebungen. Die Schwachstelle betrifft Systeme mit bestimmten Konfigurationen und erfordert keine Interaktion durch den Benutzer – sie kann also automatisiert ausgenutzt werden.
Solche Lücken zählen zur höchsten Risikokategorie, da sie Angreifern direkten Zugang zu sensiblen Daten, internen Netzwerken und Unternehmensinfrastrukturen bieten. Im Rahmen des Wettbewerbs gelang es dem beteiligten Hacker-Team, die Schwachstelle reproduzierbar und zuverlässig auszunutzen – eine Voraussetzung für die Bewertung als echter Zero Day Exploit.
Rolle von Trend Micro und das Disclosure-Verfahren
Als Veranstalter von Pwn2Own ist Trend Micro nicht nur Förderer der ethischen Hacking-Community, sondern auch Vermittler zwischen Hackern und Softwareherstellern. In diesem Fall wurde ein sogenanntes Coordinated Vulnerability Disclosure (CVD) mit Microsoft vereinbart. Dieses Verfahren stellt sicher, dass der Hersteller genügend Zeit hat, einen Patch zu entwickeln, bevor die Informationen über die Lücke öffentlich werden.
Plötzlicher Bruch des Verfahrens: Der Exploit „in the wild“
Am Wochenende vom 18. auf den 19. Juli 2025 wurde dieser Plan jedoch durchkreuzt. Die Sicherheitsfirma Eye Security beobachtete erste „in the wild“-Angriffe, bei denen Varianten der Pwn2Own-Schwachstelle aktiv gegen Microsoft SharePoint-Systeme eingesetzt wurden. Damit war die Bedingung für das öffentliche Disclosure erfüllt –und das koordinierte Verfahren wurde vorzeitig beendet.
Microsoft reagierte schnell und veröffentlichte am darauffolgenden Wochenende einen Notfallpatch, um die Verbreitung des Exploits zu stoppen. Gleichzeitig wurde eine detaillierte Sicherheitsmeldung veröffentlicht, in der Unternehmen aufgefordert wurden, ihre Systeme unverzüglich zu aktualisieren.
Warum dieses Beispiel wichtig ist
Dieser Vorfall zeigt gleich mehrere wichtige Aspekte im Umgang mit Zero Day Sicherheitslücken:
- White-Hat-Hacker und ethische Wettbewerbe leisten einen entscheidenden Beitrag zur Sicherheit, indem sie Lücken identifizieren, bevor sie Schaden anrichten.
- Koordinierte Offenlegung schafft Raum für technische Lösungen, statt reaktiver Krisenkommunikation.
- Frühzeitige Warnsysteme wie die von Eye Security ermöglichen es Unternehmen, schnell zu handeln – vorausgesetzt, sie haben Patch-Management-Prozesse etabliert.
Gleichzeitig wird deutlich: Selbst mit sorgfältiger Koordination kann es zu realen Angriffen kommen – daher ist es unerlässlich, dass Unternehmen auch für ungeplante Vorfälle gewappnet sind.
Wie sich Unternehmen schützen können
Zero Day Sicherheitslücken lassen sich nie komplett vermeiden, aber das Risiko lässt sich deutlich reduzieren. Besonders im B2B-Bereich sollten folgende Maßnahmen Standard sein:
- Sofortige Installation von Sicherheitsupdates – auch am Wochenende
- Patch-Management-Strategien mit klaren Fristen und Tests
- Intrusion Detection Systeme zur Erkennung verdächtiger Aktivitäten
- Regelmäßige Penetrationstests
- Schulung von Mitarbeitenden in sicherem Umgang mit E-Mails, Passwörtern & Co.
Fazit: Zero Day Sicherheitslücken bleiben – aber Unternehmen sind nicht machtlos
Zero Day Sicherheitslücken sind ein reales Risiko – besonders, wenn sie wie bei CVE-2025-53770 plötzlich aktiv ausgenutzt werden. Gleichzeitig zeigt der aktuelle Fall, dass Kooperationen zwischen Hackern, Sicherheitsfirmen und Herstellern funktionieren können. Wer heute auf präventive Sicherheitsmaßnahmen setzt und den Dialog mit der IT-Security-Community pflegt, erhöht seine Chancen, morgen nicht zur Schlagzeile zu werden.