Im Durchschnitt dauert es laut Immunity 348 Tage, bis eine Sicherheitslücke veröffentlicht oder vom Software-Hersteller geflickt wird. Frühestens werden sie nach 99 Tagen entdeckt beziehungsweise gepatcht.
Die Lecks können aber auch viel langlebiger sein, wie Sicherheitsexperten beobachteten. Es kam schon vor, dass sie über einen Zeitraum von 1.080 Tagen nicht aufgestöbert wurden und unbehandelt blieben.
Zero-Day-Bugs sind unveröffentlichte Software-Schwachstellen, die von Hackern missbraucht werden können. Sie nutzen die Lücken aus, um in Firmensysteme einzubrechen und dort Daten zu stehlen oder zu verändern.
Das Geschäft mit den Fehlern
Gegen die Bedrohung ist kaum ein Software-Hersteller gefeilt. Ist einmal eine Sicherheitslücke aufgetan, kommen die Angriffe in groß angelegten Aktionen zum Einsatz (Zero-Day-Attack). Dementsprechend floriert das Geschäft mit Zero-Day-Bugs. Um die Zeitspanne zwischen Entdeckung und Schließen der Lücke möglichst klein zu halten, setzen Hersteller Prämien für gefundene Schwachstellen aus.
Die Angebote, mit denen Entdecker von Sicherheitslecks gelockt werden, sind meist nicht von schlechten Eltern. "Es werden enorme Geldsummen gezahlt", berichtet Justine Aithel, CEO von Immunity. Allerdings sind die finanziellen Angebote von der kriminellen Seite meist genauso gut, wenn nicht besser.
Erst vor kurzem startete die Online-Plattform Wabisabilabi, auf der Schad-Codes per Aktion verkauft werden. Sicherheitsexperten kritisieren diese Methode. Sie sei unverantwortlich, man wisse nicht, in welche Hände Exploits kommen.
Alles hat Löcher
Grundsätzlich rät Immunity Sicherheitsverantwortlichen zu mehr Aufmerksamkeit bei der Anfälligkeit des eigenen Systems. Es gelte: Man muss stets davon ausgehen, dass alles Löcher hat. IT-Systeme sollten deshalb laufend mit Disziplin auf Zero-Day-Fehler durchstöbert werden.
Für diese Aufgabe müssen Security-Manager in jedem Fall die Unterstützung ihrer CEOs gewinnen, rät Aithel. Weiter sei es notwendig, mit der internen Rechtsabteilung zusammenzuarbeiten, um Verstöße gegen bestehende Lizenzvereinbarungen zu vermeiden. Diese könnten ansonsten bei der Untersuchung der jeweiligen Software auf Zero-Day-Lücken im Wege stehen.