Im Jahr 2024 verzeichnete die Cybersecurity-Community eine Vielzahl anspruchsvoller Angriffe, die auf Zero-Day-Schwachstellen basieren. Google berichtete, dass allein 75 solcher Sicherheitslücken im Jahr 2024 aktiv ausgenutzt wurden, ein Rückgang gegenüber 98 im Jahr 2023, jedoch ein Anstieg im Vergleich zu den 63 Fällen im Jahr 2022. Diese Zahlen verdeutlichen, dass komplexe und schwer zu entdeckende Schwachstellen nach wie vor eine erhebliche Bedrohung für die Sicherheit von IT-Systemen weltweit darstellen. Besonderes Augenmerk gilt dabei den Unternehmensprodukten, die laut Google 44 Prozent aller ausgenutzten Zero-Days im Jahr 2024 betroffen haben. Diese Entwicklung hebt die steigende Gefahr hervor, die von der gezielten Attacke auf Netzwerkinfrastrukturen und Sicherheitsapplikationen ausgeht.
Insgesamt entfielen 20 der gemeldeten Schwachstellen auf Sicherheitssoftware und Appliances, die häufig als zentrale Verwaltungsschicht in Unternehmen fungieren. Die Google Threat Intelligence Group (GTIG) erläuterte, dass die Nutzung von Zero-Day-Schwachstellen in Browsern und mobilen Geräten im Vergleich zum Vorjahr deutlich rückläufig sei. Während Angriffe auf Browser um etwa ein Drittel sanken, kam es bei mobilen Endgeräten sogar zu einer Halbierung der Zero-Day-Exploits. Diese Entwicklung könnte auf die gestiegenen Sicherheitsvorkehrungen bei Endanwenderkomponenten zurückzuführen sein. Dennoch bleiben Exploit-Ketten, die aus mehreren Zero-Day-Schwachstellen bestehen, ein dominierendes Mittel, insbesondere bei Angriffen auf mobile Geräte.
Rund 90 Prozent der komplexen Exploit-Ketten zielen auf Smartphones und Tablets ab, was das weiterhin hohe Risikopotenzial dieser Plattformen unterstreicht. Ein genauerer Blick auf die betroffenen Betriebssysteme zeigt, dass Microsoft Windows mit 22 dokumentierten Zero-Day-Exploits das am häufigsten angegriffene System war. Apple hat mit Safari und iOS zusammen fünf Schwachstellen aufgewiesen, während Android durch sieben Zero-Days vertreten war, von denen drei auf Drittanbieterkomponenten zurückzuführen sind. Auch Browser wie Chrome (sieben Fälle) und Mozilla Firefox (ein Fall) waren betroffen. Das erhöhte Angriffsziel Unternehmenssoftware und Netzwerkgeräte ist nachvollziehbar, da diese Komponenten häufig hohe Zugriffsrechte besitzen und Betriebskritische Infrastruktur steuern.
Sicherheitsprodukte und Netzwerktools von Anbietern wie Ivanti, Palo Alto Networks und Cisco wurden 2024 insgesamt 20 Mal Ziel von Zero-Day-Angriffen. Die GTIG wies darauf hin, dass diese Art von Werkzeugen besonders attraktiv für Angreifer ist, da ein erfolgreicher Angriff auf wenigen Knotenpunkten oftmals den Zugriff auf ganze Unternehmensnetzwerke ermöglicht. Die Anzahl der unterschiedlichen Unternehmen, die von Zero-Day-Exploits betroffen waren, liegt im Jahr 2024 bei 18. Während diese Zahl im Vergleich zu den Vorjahren leicht schwankt, ist die Vielfalt der Zielunternehmen ein Zeichen für die wachsende Komplexität und Breite der Bedrohungen. Die meisten Zero-Days betrafen Microsoft mit 26 Fällen, gefolgt von Google mit 11, Ivanti mit sieben und Apple mit fünf.
Ein zentrales Motiv hinter diesen Angriffen ist laut Google immer noch die staatlich geförderte Cyber-Spionage. Von den insgesamt 75 ausgenutzten Schwachstellen konnten 34 bestimmten Bedrohungsclustern zugeordnet werden. Die größte Gruppe stellen staatlich unterstützte Angreifer dar, angeführt von China mit fünf identifizierten Zero-Days, gefolgt von Russland und Südkorea. Zusätzlich sind kommerzielle Überwachungsfirmen, finanziell motivierte Kriminelle und Mischformen aus Spionage und Finanzkriminalität vertreten. Ein besonders auffälliger Vorfall wurde im November 2024 bekannt, als Google eine Schadcode-Injektion auf der Website der Diplomatischen Akademie der Ukraine entdeckte.
Diese führte zur Ausnutzung einer Zero-Day-Schwachstelle in Form von CVE-2024-44308, die eine beliebige Codeausführung ermöglichte. Der Angriff wurde durch eine zweite Schwachstelle, CVE-2024-44309 in WebKit, verstärkt, um einen Cross-Site-Scripting-Angriff zu realisieren. Das Ziel war die unautorisierte Übernahme von Nutzerinformationen, konkret der Zugriff auf Session-Cookies von Microsofts Online-Diensten. Ein weiteres Beispiel für die Komplexität der derzeitigen Bedrohungslage war der von Google aufgedeckte Exploit für Firefox und Tor-Browser, der eine Kombination aus zwei Zero-Days (CVE-2024-9680 und CVE-2024-49039) nutzte, um aus der Browser-Sandbox auszubrechen und schädlichen Code mit erhöhten Rechten auszuführen. Dieser Angriff wurde von der Sicherheitsfirma ESET schon zuvor mit der Bedrohungsgruppe RomCom in Verbindung gebracht, die dual finanzielle und spionageorientierte Ziele verfolgt.
Erstaunlich ist, dass einige der Zero-Day-Schwachstellen gleichzeitig von unterschiedlichen Tätergruppen ausgenutzt wurden. So verwendete eine Gruppe, die hauptsächlich finanziell motiviert ist, eine kompromittierte Kryptowährungs-Nachrichtenseite als Wasserloch-Angriffsvektor, um Besucher auf eine Domain mit dem Exploit-Chain weiterzuleiten. Trotz des weiterhin anhaltenden Risikos zeigt sich laut Analysten von GTIG auch ein positiver Trend in Bezug auf die Abwehr von Zero-Day-Angriffen. Die verstärkten Anstrengungen großer Softwarehersteller, Sicherheitslücken frühzeitig zu erkennen und zu schließen, führen zu einer geringeren Häufigkeit von Exploits bei populären Produkten. Dennoch verschiebt sich der Fokus der Angreifer zunehmend auf Nischen- und Enterprise-Lösungen, die komplexe und schwer zu überwachende Umgebungen abdecken.
Für Unternehmen bedeutet diese Entwicklung, dass sie ihre Sicherheitsstrategien kontinuierlich anpassen und vor allem die Überwachung und Absicherung ihrer kritischen Netzwerkkomponenten intensivieren müssen. Die Vielfalt der angegriffenen Hersteller verlangt dabei eine breitere Zusammenarbeit entlang der gesamten Lieferkette und eine fundierte Risikobewertung. Die Zukunft der Zero-Day-Verteidigung wird maßgeblich von der Innovationskraft und dem Sicherheitsbewusstsein der Softwareanbieter abhängen. Nur durch eine enge Verzahnung von Proaktivität, transparentem Informationsaustausch und moderner Technologie können die Bedrohungen effizient eingedämmt werden. Schließlich verdeutlicht der Bericht von Google, wie wichtig eine gut strukturierte und agile Sicherheitsinfrastruktur ist, die sowohl auf bestehende als auch auf neu auftretende Bedrohungen schnell reagiert.
Unternehmen, die verstärkt auf automatisierte Schwachstellenüberwachung, regelmäßige Updates und Schulungen setzen, sind besser gegen die komplexen Zero-Day-Angriffe gewappnet, die in einem immer vernetzteren digitalen Zeitalter zur Realität geworden sind.
