Zero-Day-Lücken: 73,2% werden vor Patch ausgenutzt

Waren es 2021 noch rund ein Jahr, vergehen heute im Schnitt nur noch 24 Stunden. Eine Welle von Zero-Day-Attacken auf Unternehmenssoftware, Content-Management-Systeme und Industrieanlagen zwingt Regierungen weltweit zu Notfallanordnungen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. Kostenlosen Cyber-Security-Report jetzt herunterladen

Die Schutzlücke schließt sich in Rekordzeit

Die Sicherheitsbranche beobachtet einen fundamentalen Wandel. Sergej Epp vom Sicherheitsunternehmen Sysdig hat die Entwicklung analysiert: Die durchschnittliche Zeit vom Bekanntwerden einer Schwachstelle bis zur aktiven Ausnutzung ist innerhalb von fünf Jahren von zwölf Monaten auf einen einzigen Tag gefallen.

Noch alarmierender: Der Anteil der Zero-Day-Lücken, die bereits vor einer öffentlichen Warnung oder einem Patch ausgenutzt werden, ist von 31 Prozent vor fünf Jahren auf heute 73,2 Prozent gestiegen. Branchenexperten prognostizieren, dass sich dieses Fenster bis 2027 auf eine Stunde verkleinern könnte. Herkömmliche Update-Zyklen wären dann faktisch wirkungslos.

Die Folgen für Unternehmen sind massiv. Automatisierte Angriffswerkzeuge erlauben es Hackern, Schwachstellen nahezu in Echtzeit zu weaponisieren. IT-Abteilungen stehen unter nie dagewesenem Zeitdruck.

Behörden schlagen Alarm

Die US-Sicherheitsbehörde CISA hat auf die Bedrohungslage mit mehreren Dringlichkeitsanordnungen reagiert. Besonders brisant: eine Sicherheitslücke in Trend Micro Apex One (CVE-2026-34926). Der Fehler erlaubt Angreifern mit Admin-Rechten, Schadcode in verbundene Agenten einzuschleusen. US-Behörden müssen den Patch bis zum 4. Juni 2026 installieren.

Noch härter trifft es die Betreiber von Drupal-Websites. Eine SQL-Injection-Lücke in der Datenbank-API (CVE-2026-9082) hat eine Angriffswelle ausgelöst. Forscher von Imperva zählten über 15.000 Attacken auf rund 6.000 Seiten in 65 Ländern. Besonders betroffen: die Gaming- und Finanzbranche. Da der Fehler keine Authentifizierung erfordert, setzte CISA die Frist auf den 27. Mai 2026 – also heute.

Kritisch ist auch die Lage bei Cisco. Eine Authentifizierungslücke in den SD-WAN-Controllern (CVE-2026-20127) erhielt die höchste Bedrohungsstufe 10.0. Die Schwachstelle erlaubt unbefugten Fernzugriff auf die Steuerungsebene. Eine Hackergruppe namens UAT-8616 nutzt den Fehler bereits seit mindestens 2023 aus. CISA verhängte die Notstandsanordnung 26-03 – mit dem Vermerk: Keine Gegenmaßnahmen außer sofortigem Patchen.

Gezielte Attacken und Lieferketten-Desaster

Neben breit gestreuten Angriffen setzen Hacker zunehmend auf maßgeschneiderte Zero-Day-Exploits. Im Fokus: das KnowledgeDeliver Learning Management System (CVE-2026-5426). Die in Japan verbreitete Software enthielt fest codierte ASP.NET-Schlüssel – eine Einladung für Angreifer.

Die Lücke wurde bereits vor dem 24. Februar 2026 ausgenutzt. Die Täter installierten die Webshell „Godzilla" (auch als BlueBeam bekannt) sowie Cobalt-Strike-Hintertüren. Besonders perfide: Die Schadsoftware war mit dem Namen des jeweiligen Zielunternehmens verschlüsselt – ein Zeichen für intensive Vorbereitung.

Noch größere Dimensionen erreichte die „Megalodon"-Kampagne am 18. Mai 2026. Angreifer nutzten gestohlene Zugangstoken und SSH-Schlüssel, um innerhalb von sechs Stunden 5.718 schadhafte Code-Änderungen in over 5.500 öffentliche GitHub-Repositories einzuschleusen. Ziel: die geheimen Zugangsdaten aus den Entwicklungs-Pipelines zu stehlen.

Nur vier Tage später traf es die Laravel-Lang-Organisation auf GitHub. Ein Angreifer überschrieb Git-Tags für vier zentrale Programmpakete und schleuste eine Hintertür ein, die Zugangsdaten für AWS, GitHub und Slack abgriff. Sicherheitsforscher zählten innerhalb von elf Tagen vier solcher Lieferketten-Attacken – auch über die Paketverwaltungen npm und PyPI.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Anti-Phishing-Paket für Unternehmen gratis anfordern

Alltägliche Software im Visier

Selbst vermeintlich sichere Standardtools bleiben nicht verschont. Im 7-Zip-Archivierer (Version 26.00 und älter) entdeckte Jaroslav Loba?evski vom GitHub Security Lab einen schwerwiegenden Pufferüberlauf (CVE-2026-48095). Ein präpariertes NTFS-Disk-Image genügt, um Schadcode auszuführen – unabhängig vom Dateityp.

Auch Microsoft musste handeln: Eine SharePoint-Lücke (CVE-2026-45659) erlaubt Remote-Code-Ausführung. Zwar ist eine Anmeldung nötig, aber keine Benutzerinteraktion. Der Patch deckt die SharePoint Subscription Edition sowie die Server-Versionen 2016 und 2019 ab.

Automatisierung treibt die Bedrohung

Der Wandel hat einen klaren Treiber: die zunehmende Automatisierung auf Angreiferseite. Ganze Internet-Scans nach verwundbaren Software-Versionen und der modulare Einsatz von Schadcode erlauben Tempo, das menschliche Administratoren nicht mehr mitgehen können. Die 15.000 Angriffsversuche auf Drupal-Seiten innerhalb kürzester Zeit zeigen: Hacker nutzen hochautomatisierte Frameworks, bevor Unternehmen ihre Patches überhaupt getestet haben.

Die „Megalodon"- und Laravel-Lang-Vorfälle offenbaren zudem einen strategischen Shift: Angreifer zielen direkt auf die Entwicklungswerkzeuge ab. Wer die Infrastruktur der Entwickler kompromittiert, umgeht klassische Sicherheitsmaßnahmen und gelangt an die wertvollsten Geheimnisse.

Was bleibt zu tun?

Die Sicherheitsbranche ist sich einig: Manuelle Patch-Prozesse werden zum Auslaufmodell. Wenn die Vorhersage eintritt und Exploits 2027 innerhalb einer Stunde verfügbar sind, müssen Unternehmen auf automatisierte, proaktive Verteidigung setzen.

Bis dahin zählt jeder Tag. Die von CISA gesetzten Fristen – der Trend-Micro-Patch bis Anfang Juni, die Drupal-Lücke bis heute – zeigen, wie ernst die Lage ist. Für die meisten dieser Schwachstellen gibt es keine Workarounds. Nur vollständige Updates schützen. Die Frage ist, ob die IT-Abteilungen mit dem Tempo der Angreifer mithalten können.

de | wissenschaft | 69423953 |