Zero-day erklärt: Was sie sind, wie sie funktionieren und wie man sich gegen sie schützt

Im Jahr 2025 verzeichnete die Threat Intelligence Group von Google 90 zero-day , die in der Praxis ausgenutzt wurden – wobei Unternehmenstechnologien mit 48 % aller Angriffsziele einen neuen Höchststand erreichten. Edge-Geräte, Sicherheitsappliances und die Netzwerkinfrastruktur waren am stärksten von Angriffen betroffen, die signaturbasierte Abwehrmaßnahmen schlichtweg nicht vorhersagen konnten.

Für Sicherheitsteams stellen zero-day den ultimativen blinden Fleck dar. Man kann keine Erkennungssignatur für etwas erstellen, von dessen Existenz niemand weiß. Und da die durchschnittliche Zeit bis zur Ausnutzung einer bekannt gewordenen Schwachstelle auf fünf Tage gesunken ist – während Unternehmen immer noch 60 bis 150 Tage benötigen , um einen Patch zu installieren –, war die Kluft zwischen der Geschwindigkeit der Angreifer und der Reaktion der Verteidiger noch nie so groß wie heute.

Dieser Leitfaden erläutert, wie zero-day funktionieren, wer sie kauft und verkauft, was die jüngsten Angriffe über die sich wandelnde Bedrohungslandschaft verraten und wie man Abwehrmaßnahmen entwickelt, die nicht davon abhängen, die Bedrohung im Voraus zu kennen.

Was ist eine zero-day Schwachstelle?

Eine zero-day ist ein Softwarefehler, der dem Hersteller noch nicht bekannt ist und für den es noch keinen Patch gibt, sodass die Verteidiger keinerlei Vorwarnzeit haben, bevor Angreifer die Schwachstelle ausnutzen können. Der Begriffzero-day bezieht sich darauf, dass der Softwarehersteller zum Zeitpunkt des ersten Angriffs noch keine Zeit hatte, das Problem zu beheben. Das National Institute of Standards and Technology (NIST) definiert einen zero-day offiziell als einen Angriff, der eine zuvor unbekannte Sicherheitslücke ausnutzt.

Um zero-day zu verstehen, muss man drei miteinander verbundene, aber unterschiedliche Konzepte unterscheiden. Die zero-day ist der Fehler selbst – ein unbekannter Fehler in Software, Hardware oder Firmware. Der zero-day ist die Technik oder der Code, den ein Angreifer nutzt, um diese Schwachstelle auszunutzen. Und der zero-day ist der tatsächliche Vorfall, der sich aus dem Einsatz des Exploits gegen ein Ziel ergibt.

Diese Unterscheidung ist wichtig, da eine Sicherheitslücke jahrelang bestehen kann, bevor sie entdeckt wird. Sie wird erst dann zu einer zero-day , wenn ein Angreifer (oder Forscher) sie identifiziert und für Angriffe nutzt.

Wichtige Begriffe

• Zero-day : Eine unbekannte Schwachstelle in Software, Hardware oder Firmware, die eine Sicherheitslücke verursacht.
• Zero-day : Ein Angriffscode oder eine Angriffstechnik, die eine unbekannte Sicherheitslücke ausnutzt, um sich unbefugten Zugriff zu verschaffen oder Befehle auszuführen. Erfahren Sie mehr über Exploits und deren Einsatz in Angriffsketten.
• Zero-day : Ein Vorfall, bei dem ein Angreifer den Exploit gegen ein Zielsystem oder eine Zielorganisation einsetzt.
• Zero-day malware: Malware , die eine bisher unbekannte Sicherheitslücke ausnutzt, um schädliche Payloads zu verbreiten, und dabei herkömmliche Antivirenprogramme umgeht, da für den Exploit oder die Payload keine Signatur existiert.

Das Ausmaß des Problems ist beträchtlich. Die Threat Intelligence Group von Google hat im Jahr 2025 90 zero-day erfasst, die in der Praxis ausgenutzt wurden; 48 % davon richteten sich gegen Unternehmenstechnologien. Zum fünften Mal in Folge waren Exploits der häufigste Erstzugangsweg und verantwortlich für 33 % aller von Mandiant untersuchten Angriffe.

So funktionieren zero-day

Ein zero-day durchläuft einen Lebenszyklus, der für Unternehmen mehrere Risikophasen mit sich bringt. Das Verständnis der einzelnen Phasen hilft Sicherheitsteams dabei, zu erkennen, an welchen Stellen Abwehrmaßnahmen ergriffen werden können.

Der Lebenszyklus zero-day durchläuft sechs Phasen:

1. Einleitung – Bei der Softwareentwicklung kommt es zu einem Programmierfehler oder einem Konstruktionsfehler.
2. Entdeckung – Die Sicherheitslücke wird von Sicherheitsforschern, Angreifern oder automatisierten Tools entdeckt.
3. Ausnutzung – Wenn Angreifer die Schwachstelle zuerst entdecken, entwickeln und setzen sie einen Exploit ein, bevor andere überhaupt wissen, dass diese Schwachstelle existiert.
4. Offenlegung – Die Sicherheitslücke wird dem Anbieter gemeldet (verantwortungsvolle Offenlegung) oder veröffentlicht.
5. Patch-Veröffentlichung – Der Anbieter entwickelt und veröffentlicht ein Sicherheitsupdate.
6. Einführung des Patches – Unternehmen testen den Patch und stellen ihn in ihren Umgebungen bereit.

Das Sicherheitslückenfenster – also der Zeitraum zwischen dem Auftreten einer Sicherheitslücke und der flächendeckenden Bereitstellung eines Patches – beträgt im Durchschnitt 312 Tage. Während dieser Zeit können Angreifer ungehindert gegen ungeschützte Systeme vorgehen.

Was die aktuelle Lage besonders gefährlich macht, ist der drastische Rückgang der Zeit bis zur Ausnutzung. Die durchschnittliche Zeit , die benötigt wird, um eine bekannt gewordene Sicherheitslücke für Angriffe zu nutzen , sank von 63 Tagen in den Jahren 2018–2019 auf fünf Tage im Jahr 2023. Unterdessen benötigen Unternehmen nach wie vor durchschnittlich 60 bis 150 Tage, um Patches zu installieren. Dieses Missverhältnis schafft eine gefährliche Lücke, in der Angreifer mit der Geschwindigkeit von Maschinen agieren, während die Verteidiger sich nur im Tempo von Ausschusssitzungen bewegen.

Geeignete Prozesse zum Schwachstellenmanagement können diese Lücke verringern, sie jedoch nicht vollständig schließen, wenn es sich um echte zero-day handelt, für die noch kein Patch verfügbar ist.

Das Dilemma der Offenlegung

Die Frage, wie und wann Sicherheitslücken offengelegt werden, ist eine der folgenreichsten Debatten im Bereich der Cybersicherheit. Google Project Zero wendet ein standardmäßiges Offenlegungsfenster von 90 Tagen an, mit einer 30-tägigen Nachfrist für komplexe Patches. Bei Sicherheitslücken, die aktiv ausgenutzt werden, gilt jedoch eine strengere Sieben-Tage-Regelung – in der Erkenntnis, dass ein Warten von 90 Tagen die Verteidiger einem inakzeptablen Risiko aussetzt, wenn Angreifer eine Schwachstelle bereits ausnutzen.

Die Trend Zero Day (ZDI) und CERT/CC halten sich an ihre eigenen Offenlegungsfristen. In der Branche hat sich weitgehend ein mehrstufiges Verfahren durchgesetzt: sieben Tage bei aktiver Ausnutzung und 90 Tage mit Verlängerungsmöglichkeiten für die reguläre Offenlegung. Dennoch hält die Debatte darüber an, ob 90 Tage zu großzügig sind, da die Zeiträume für die Ausnutzung von Sicherheitslücken immer kürzer werden.

Zero-day . N-Day-Sicherheitslücken

Während zero-day die Schlagzeilen beherrschen, verursachen N-Day-Schwachstellen – bekannte Sicherheitslücken, für die zwar Patches verfügbar sind, die aber nicht installiert wurden – in der Praxis weitaus größere Schäden. Das Verständnis dieses Unterschieds verändert die Art und Weise, wie Unternehmen ihre Abwehrmaßnahmen priorisieren sollten.

Tabelle: Wesentliche Unterschiede zwischen zero-day, N-Day- und One-Day-Sicherheitslücken.

Die praktischen Auswirkungen liegen auf der Hand. Die durchschnittliche Zeit bis zur Ausnutzung von fünf Tagen übersteigt den durchschnittlichen Patch-Zyklus von 60 bis 150 Tagen bei weitem. Jede bekannt gewordene Sicherheitslücke löst sofort einen Wettlauf aus: auf der einen Seite die Verteidiger, die Patches installieren, und auf der anderen Seite die Angreifer, die die Schwachstelle ausnutzen. Für die meisten Unternehmen gewinnen die Angreifer diesen Wettlauf.

Das bedeutet, dass eine zero-day , selbst nachdem zero-day bekannt zero-day und ein Patch dafür veröffentlicht wurde, zu einer N-Day-Schwachstelle wird, die in den meisten Umgebungen noch wochen- oder monatelang ausgenutzt werden kann. Verteidigungsstrategien müssen sowohl die zero-day (keine Signatur, kein Patch) als auch die N-Day-Phase (Patch existiert, ist aber noch nicht installiert) berücksichtigen.

Arten von zero-day

Die Ziele von zero-day haben sich drastisch verändert. Laut der GTIG-Analyse für 2025 erreichten Unternehmenstechnologien mit 48 % aller zero-day einen neuen Höchststand – ein Trend mit erheblichen Auswirkungen auf die Netzwerksicherheitsstrategie.

Von den 90 im Jahr 2025 erfassten Zero-Day-Schwachstellen richteten sich 47 gegen Endbenutzerplattformen (Browser, mobile Betriebssysteme, Desktop-Betriebssysteme), während 43 auf Unternehmenstechnologien abzielten. Innerhalb der Kategorie „Unternehmen“ entfielen 21 der 43 auf Unternehmen abzielenden Zero-Day-Schwachstellen auf Sicherheits- und Netzwerkprodukte, und mindestens 14 richteten sich gegen Edge-Geräte wie Router, Switches und Sicherheitsappliances.

Tabelle: Die am häufigsten von zero-day betroffenen Anbieter im Jahr 2025 (GTIG).

Diese Entwicklung ist für Sicherheitsverantwortliche von Bedeutung, da Edge-Geräte und Sicherheitsappliances in der Regel nicht durch endpoint and Response (EDR) abgedeckt sind. Herkömmliche endpoint können weder die Firmware noch die eingebetteten Betriebssysteme überwachen, die auf Routern, Firewalls und SD-WAN-Controllern laufen. Wenn diese Geräte durch zero-day kompromittiert werden, kann der Angriff unentdeckt bleiben, sofern Unternehmen nicht auf Netzwerkebene Einblick in die Verhaltensmuster haben, die auf die Ausnutzung folgen.

Die Marktmechanismen bei Zero-day

Um zero-day herum hat sich ein florierendes Marktökosystem entwickelt, dessen Preise den außerordentlichen Wert widerspiegeln, den Angreifer unbekannten Schwachstellen beimessen. Das Verständnis dieses Marktes hilft Unternehmen dabei, das Ausmaß der Bedrohungen einzuschätzen, denen sie ausgesetzt sind.

Die Käufergruppen lassen sich in vier Segmente unterteilen:

• Regierungen und Geheimdienste erwerben Zero-Day-Exploits für offensive Cyberoperationen und Überwachungszwecke
• Anbieter kommerzieller Überwachungssoftware (CSVs) entwickeln und verkaufen Spyware, die zero-day enthält, an staatliche Kunden
• Kriminelle Organisationen kaufen auf Dark-Web-Marktplätzen Exploits, um finanziellen Gewinn zu erzielen
• Bug-Bounty-Programme bieten legale Alternativen, auch wenn die Auszahlungen in der Regel nur einen Bruchteil der Preise bei Exploit-Brokern betragen

Tabelle: Gemeldete Preise zero-day nach Zieltyp (2024–2026).

Die Preise steigen, da Anbieter ihre Produkte sicherer machen, wodurch neue Zero-Day-Schwachstellen schwerer zu entdecken sind und bei ihrer Entdeckung an Wert gewinnen.

Im Jahr 2025 kam es zu einer bahnbrechenden Wende: Kommerzielle Überwachungsanbieter überholten erstmals staatlich geförderte Gruppen bei der Anzahl zero-day ihnen zugeschriebenen zero-day . 18 von 42 nachgewiesenen Exploits wurden kommerziellen Anbietern zugeschrieben, gegenüber 12 bei staatlich geförderten Gruppen. Das bedeutet, dass der Markt für kommerzielle Spionagesoftware – also Unternehmen, die weltweit Überwachungstools an staatliche Kunden verkaufen – mittlerweile mehr zero-day verursacht als traditionelle Hacking-Operationen von Nationalstaaten.

Zero-day in der Praxis

Aktuelle Muster zero-day zeigen einen klaren Trend: Angreifer zielen zunehmend auf die Infrastrukturkomponenten ab, auf die sich die Verteidiger verlassen. Diese Beispiele aus den Jahren 2025–2026 veranschaulichen spezifische Angriffsmuster, mit denen sich Unternehmen auseinandersetzen sollten.

Cisco Catalyst SD-WAN (CVE-2026-20127) – Eine kritische Sicherheitslücke in der Cisco SD-WAN-Plattform, die eine Umgehung der Authentifizierung ermöglichte, wurde seit mindestens 2023 von der Hackergruppe UAT-8616 ausgenutzt. Die Angreifer kompromittierten Controller und fügten den Zielnetzwerken bösartige, nicht autorisierte Peers hinzu. Da SD-WAN-Controller nicht durch herkömmliche EDR-Lösungen abgedeckt sind, blieb diese Sicherheitslücke jahrelang unentdeckt.

Dell RecoverPoint (CVE-2026-22769) – Mandiant entdeckte diese zero-day der Untersuchung kompromittierter Dell RecoverPoint-Systeme, die mit C&C-Servern kommunizierten, die mit den Backdoors BRICKSTORM und GRIMBOLT in Verbindung stehen. Die Exploitation, die mit china-nahen Angreifern in Verbindung steht, war seit Mitte 2024 im Gange – ein Beleg dafür, wie zero-day ohne angemessene Netzwerküberwachung über ein Jahr lang unentdeckt bleiben können.

Microsofts „Patch Tuesday“ im Februar 2026 – Microsoft hat in einem einzigen Patch-Zyklus rund 60 Sicherheitslücken behoben, darunter sechs aktiv ausgenutzte Zero-Day-Schwachstellen. Die Vielzahl gleichzeitiger Zero-Day-Schwachstellen bei einem einzigen Anbieter unterstreicht die Notwendigkeit robuster Priorisierungsverfahren, wenn mehrere kritische Patches auf einmal veröffentlicht werden.

FortiCloud-SSO-Umgehung (CVE-2026-24858) – Eine kritische Sicherheitslücke im cloud eines großen Sicherheitsanbieters, die eine Umgehung der Authentifizierung ermöglichte, wurde bereits vor ihrer Bekanntgabe aktiv ausgenutzt. Dieser Fall ist besonders aufschlussreich, da er direkt auf die Sicherheitsinfrastruktur selbst abzielte – und damit ein Tool untergrub, auf das sich Unternehmen zur Verteidigung verlassen hatten.

Tabelle: Wichtige zero-day und Patches im ersten Quartal 2026.

Die Lehre, die sich aus diesen Fällen ziehen lässt, ist eindeutig: Edge-Geräte und Sicherheitsappliances verfügen über keinen endpoint , und Unternehmen benötigen Pläne zur Reaktion auf Sicherheitsvorfälle, die auch die Kompromittierung ihrer eigenen Sicherheitswerkzeuge berücksichtigen. Daten von GTIG zeigen, dass sich die Zahl zero-day auf einem erhöhten Niveau stabilisiert hat – 100 im Jahr 2023, 78 im Jahr 2024, 90 im Jahr 2025 –, was bedeutet, dass Unternehmen jeden Monat mit mehreren neuen zero-day konfrontiert sind.

Die doppelte Rolle der KI bei zero-day und Abwehr zero-day

KI verändert beide Seiten der zero-day grundlegend. In der Offensive beschleunigt KI die Entdeckung von Sicherheitslücken und die Entwicklung von Exploits. In der Defensive ermöglicht KI Erkennungsansätze, die nicht davon abhängen, dass die Bedrohung im Voraus bekannt ist. Die Threat Intelligence Group von Google schätzt, dass KI „den anhaltenden Wettlauf zwischen Angreifern und Verteidigern“ bis 2026 und darüber hinaus beschleunigen wird.

Angriff: KI-gestützte Ausnutzung

KI-gestütztes Fuzzing und die Code-Analyse können Schwachstellen in einem Umfang und mit einer Geschwindigkeit aufdecken, die menschliche Forscher nicht erreichen können. Große Sprachmodelle, die auf Codebasen trainiert wurden, können Speicherfehler, Logikfehler und Authentifizierungsumgehungen identifizieren, für deren Aufdeckung menschliche Analysten Wochen benötigen würden. Das bedeutet, dass die Zahl der aufdeckbaren Zero-Day-Schwachstellen zunimmt, selbst wenn Anbieter ihre Sicherheitspraktiken verbessern.

Die Folgen sind gravierend. Je leistungsfähiger KI-Tools werden, desto geringer wird die Hürde für die Entdeckung ausnutzbarer Schwachstellen. Angreifer, denen zuvor die technischen Fähigkeiten fehlten, um Zero-Day-Schwachstellen aufzuspüren, können ihre Fähigkeiten nun durch KI-gestützte Erkennung erweitern.

Defensiv: Verhaltenserkennung ohne Signaturen

Die grundlegende Herausforderung bei zero-day ist das, was manche Forscher als „Zwickmühle der Cybersicherheit“ bezeichnen: Man kann keine Signatur für etwas erstellen, von dessen Existenz man nichts weiß. Genau hier kommen die KI-gestützte Bedrohungserkennung und die Verhaltensanalyse ins Spiel.

Die KI-gestützte Bedrohungserkennung identifiziert die Verhaltensmuster, die auf eine Ausnutzung folgen – laterale Bewegung, Rechteausweitung, Command-and-Control-Kommunikation, Datenaufbereitung und Datenexfiltration –, unabhängig von der jeweiligen Schwachstelle oder dem verwendeten Exploit. Indem sie sich darauf konzentriert, was Angreifer nach dem Zugriff tun, anstatt darauf, wie sie eindringen, bietet die verhaltensbasierte Erkennung Schutz vor zero-day , ohne dass Vorkenntnisse über die jeweilige Schwachstelle erforderlich sind.

Dieser Ansatz ist besonders wichtig für Unternehmenstechnologien wie Edge-Geräte und Sicherheitsappliances, auf die im Jahr 2025 der Großteil der zero-day auf Unternehmen entfiel und die in der Regel keinen Schutz endpoint bieten.

Erkennung und Abwehr von zero-day

Da zero-day per Definition unbekannt sind, erfordert ihre Abwehr Strategien, die nicht auf Vorabkenntnissen über die jeweilige Bedrohung beruhen. Herkömmliche Antivirenprogramme und signaturbasierte Tools können zero-day nicht erkennen – sie benötigen bekannte Indikatoren, um zu funktionieren, und Zero-Day-Angriffe liefern keine solchen.

zero-day wirksame zero-day setzt auf mehrere Schutzebenen:

1. Setzen Sie die Erkennung von Verhaltensbedrohungen ein, um ungewöhnliche Aktivitätsmuster zu identifizieren
2. Implementieren Sie Netzwerküberwachung und -reaktion, um Einblick in nicht verwaltete Geräte zu erhalten
3. Führen Sie zero trust ein, um die laterale Bewegung nach dem ersten Zugriff einzuschränken
4. Priorisieren Sie die rasche Behebung von Sicherheitslücken mithilfe des CISA-Katalogs bekannter ausgenutzter Sicherheitslücken
5. Überwachen Sie Edge-Geräte und Sicherheitsanwendungen mithilfe von Analysen auf Netzwerkebene
6. Proaktive threat hunting mit Schwerpunkt auf Verhaltensindikatoren
7. Netzwerke segmentieren, um den Ausbreitungsbereich eines einzelnen Sicherheitsvorfalls einzudämmen

Tabelle: Vergleich von Ansätzen zero-day .

Warum die signaturbasierte Erkennung versagt

Die signaturbasierte Erkennung gleicht eingehende Aktivitäten mit bekannten Schadmustern ab – Dateihashes, Netzwerksignaturen oder Verhaltensregeln. Per Definition weisen zero-day keine bekannte Signatur auf. Das bedeutet, dass herkömmliche Antivirenprogramme, einfache Intrusion-Detection-Systeme und statische, regelbasierte SIEM-Erkennungsmechanismen gegen zero-day wirkungslos sind.

Verhaltensanalysen und Anomalieerkennung verfolgen einen grundlegend anderen Ansatz. Anstatt zu fragen: „Haben wir diese Bedrohung schon einmal gesehen?“, fragen sie: „Entspricht diese Aktivität den üblichen Mustern?“ Wenn ein kompromittiertes Edge-Gerät zu ungewöhnlichen Zeiten mit einem unbekannten externen Server kommuniziert oder wenn ein Dienstkonto plötzlich auf Ressourcen zugreift, auf die es zuvor noch nie zugegriffen hat, meldet die Verhaltenserkennung die Anomalie – unabhängig davon, ob jemand diesen spezifischen Exploit schon einmal gesehen hat.

Die CISA hat im Jahr 2025 über 190 neue Einträge in den Katalog der bekannten ausgenutzten Sicherheitslücken aufgenommen, was das Ausmaß der neu entdeckten Exploits unterstreicht, die eine rasche Reaktion der Organisationen erfordern.

Zero-day und Compliance

Unternehmen müssen ihre zero-day an die für ihre Branche geltenden rechtlichen Rahmenbedingungen anpassen. Werden keine angemessenen Kontrollmaßnahmen für die Reaktion auf Sicherheitslücken nachgewiesen, kann dies erhebliche Konsequenzen nach sich ziehen.

Tabelle: Zuordnung von Zero-day zu Cybersicherheits-Frameworks.

Die Einhaltung von Compliance-Anforderungen erfordert mehr als nur das Installieren von Patches. Unternehmen müssen nachweisen, dass sie über Erkennungsmechanismen für unbekannte Bedrohungen verfügen, nicht nur für bekannte Schwachstellen. Sicherheitsrahmenwerke wie das NIST CSF verlangen ausdrücklich eine grundlegende Überwachung des Netzwerkverhaltens (DE.AE-1) – eine Kontrollmaßnahme, die für zero-day von unmittelbarer Bedeutung ist.

Moderne Ansätze zur zero-day

Die Branche verlagert sich von signaturbasierter Prävention hin zu verhaltensorientierter, KI-gestützter Erkennung als Grundlage für zero-day . Dieser Wandel spiegelt die Erkenntnis wider, dass angesichts der Tatsache, dass 48 % aller Zero-Day-Angriffe auf Unternehmenstechnologien abzielen – von denen viele nicht über endpoint verfügen –, die Transparenz auf Netzwerkebene zur wichtigsten Erkennungsschicht wird.

Unternehmen, die moderne zero-day aufbauen, konzentrieren sich auf drei Grundsätze. Erstens: Gehen Sie von einer Kompromittierung aus und richten Sie die Erkennung auf das Verhalten der Angreifer nach der Ausnutzung aus, nicht auf die Ausnutzung selbst. Zweitens: Stellen Sie Transparenz über die gesamte Angriffsfläche hinweg sicher, einschließlich Edge-Geräten, cloud und Identitätssystemen, die herkömmliche endpoint nicht abdecken können. Drittens: Investieren Sie in Netzwerk-Erkennungs- und Reaktionsfunktionen, die Datenverkehrsmuster und Verhaltensabweichungen in Echtzeit analysieren.

Mit Blick auf die Zukunft wird das EU-Gesetz zur Cyber-Resilienz (das 2027 in Kraft tritt) Softwareanbietern neue Verpflichtungen zur Offenlegung von Sicherheitslücken auferlegen, was den Zeitrahmen von der Entdeckung bis zur öffentlichen Bekanntmachung möglicherweise verkürzt – und das Zeitfenster, das den Verteidigern für eine Reaktion zur Verfügung steht, weiter einschränkt.

Wie Vectra AI zero-day Vectra AI

Attack Signal Intelligence Vectra AI Attack Signal Intelligence cloud in Netzwerken, bei Identitäten und cloud , um laufende zero-day zu erkennen. Anstatt sich auf Signaturen für bekannte Bedrohungen zu verlassen, identifiziert dieser Ansatz das Verhalten der Angreifer nach der Exploitation – laterale Bewegung, Privilegieneskalation, Command-and-Control-Kommunikation und Datenexfiltration – unabhängig von der ursprünglichen Zugriffsmethode. Diese „Assume-Compromise“-Philosophie entspricht der Realität, dass Edge-Geräte und Sicherheitsappliances – die primären zero-day von Unternehmen im Jahr 2025 – in der Regel nicht durch EDR abgedeckt sind, wodurch die verhaltensbasierte Netzwerkanalyse zur effektivsten Erkennungsschicht wird.

Schlussfolgerung

Zero-day sind nach wie vor die schwerwiegendste Schwachstelle in der Unternehmenssicherheit. Angesichts von 90 in der Praxis ausgenutzten Zero-Day-Schwachstellen im Jahr 2025, kommerziellen Überwachungsanbietern, die bei der Zuordnung der Angriffe mittlerweile vor staatlichen Akteuren liegen, und Unternehmenstechnologien, auf die fast die Hälfte aller zero-day abzielt, erfordert die Bedrohungslage eine grundlegende Neuausrichtung der Verteidigungsstrategie.

Die Daten sprechen eine klare Sprache: Signaturbasierte Ansätze allein können Unternehmen nicht vor bisher unbekannten Bedrohungen schützen. Das fünftägige Exploit-Fenster, die 60- bis 150-tägige Patch-Lücke und die zunehmende Konzentration auf Edge-Geräte ohne endpoint führen alle zu derselben Schlussfolgerung. zero-day wirksame zero-day erfordert eine verhaltensbasierte Erkennung über die gesamte Angriffsfläche hinweg, zero trust zur Begrenzung des Schadensumfangs sowie die Erkenntnis, dass eine Kompromittierung nicht die Frage ist, ob, sondern wann sie eintritt.

Unternehmen, die ihre Sicherheitsstrategie darauf ausrichten, das Verhalten von Angreifern zu erkennen – seitliche Bewegung, Ausweitung von Berechtigungen, Command-and-Control sowie Datenexfiltration –, anstatt auf bekannte Signaturen abzugleichen, sind in der Lage, zero-day unabhängig von der jeweiligen Schwachstelle oder dem jeweiligen Exploit zu erkennen.

Erfahren Sie, wie Vectra AI Bedrohungen Vectra AI , die herkömmliche Sicherheitskontrollen umgehen.