Zero-Day-Uhr: Exploit-Fenster beträgt jetzt nur noch 24 Stunden

Wer jemals in einem Monday-Triage-Call saß, kennt die unausgesprochene Regel: Man hat ungefähr ein Quartal Zeit, die peinlichen Sicherheitslücken zu schließen, bevor jemand sie weaponisiert. Diese Regel wurde gerade beerdigt. Ein neues Messprojekt namens Zero-Day Clock behauptet, dass die mittlere Zeit von der öffentlichen Offenlegung bis zur aktiven Ausnutzung in freier Wildbahn von knapp einem Jahr im Jahr 2021 auf etwas mehr als vierundzwanzig Stunden im Jahr 2026 gesunken ist. Patch-Fenster, die für menschliche Angreifer konzipiert wurden, werden von Angriffs-Tools zerstört, die nie schlafen.

Was passiert ist

Die Zero-Day Clock ist ein Messprojekt, das von Sergej Epp von Sysdig ins Leben gerufen wurde und von den meisten großen Tech- und Cybersecurity-Anbietern unterstützt wird. Ihre einzige Aufgabe besteht darin, etwas in Zahlen zu fassen, worauf die Branche seit zwei Jahren hinweist: KI-gestützte Exploit-Generierung komprimiert das Reaktionsfenster der Verteidiger auf nahezu null.

Wie Tom's Hardware berichtete, ist das mittlere Intervall zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung von etwa einem Jahr im Jahr 2021 auf knapp über einen Tag in diesem Jahr gesunken. Die Vorausschau der ZDC ist noch beunruhigender: eine Stunde bis 2027, schließlich eine Minute.

Auch die Zusammensetzung der Bedrohung hat sich verändert. Vor fünf Jahren waren 31 % der Exploits Zero-Days, das heißt, Angreifer nutzten sie bereits vor der Offenlegung aus. Heute liegt diese Zahl bei 73,2 %. Die Kehrseite sind die sogenannten nicht ausgenutzten Schwachstellen – Bugs, die gemeldet werden und still verschwinden, ohne dass jemand sie weaponisiert. Diese Kategorie lag 2021 bei rund 60 bis 70 % und ist jetzt zum Zeitpunkt der Offenlegung auf 25 % gesunken. Schiebt man den Zeitraum um sechs Wochen vor, bleiben null Schwachstellen ungenutzt – gegenüber etwa 24 % beim Vorjahreskohort.

Die Forscher sind ehrlich darüber, was sie sehen und was nicht. „Wir erfassen nur öffentlich sichtbare Exploits. Private oder staatliche Exploits können früher existieren", stellen sie fest. Die Zahlen sollten daher als Untergrenze, nicht als Obergrenze betrachtet werden. Die tatsächliche Kurve ist steiler.

Technische Hintergründe

Warum läuft die Uhr so schnell? Zwei strukturelle Gründe kommen zusammen.

Erstens ist das Grundsubstrat moderner Software nach wie vor unsicher. Die ZDC führt 70 % der Schwachstellen auf Memory-Safety-Bugs zurück. Das ist dieselbe Familie von Buffer-Overflow- und Use-after-free-Problemen, die wir seit den 1990er Jahren nicht in den Griff bekommen. KI-Tools haben diese Bug-Klassen nicht erfunden. Sie haben lediglich den Prozess ihrer Entdeckung industrialisiert. Ein Modell, das einen Diff lesen, die unsichere Pointer-Arithmetik identifizieren und einen funktionierenden Proof-of-Concept ausgeben kann, verwandelt das, was früher die Arbeit eines erfahrenen Reverse Engineers einer Woche war, in einen Skriptlauf.

Zweitens leckt die Disclosure-Pipeline selbst Signal. Das branchenübliche 90-Tage-Disclosure-Fenster wurde für eine Welt entworfen, in der die Exploit-Entwicklung wochenlange Facharbeit erforderte. Wenn die Generierungszeit unter die Patch-Deployment-Zeit fällt, wird die Offenlegung zur Startpistole für den Angreifer, nicht für den Verteidiger. Der CISA KEV-Katalog zeigt dieses Muster seit Monaten: Schwachstellen landen innerhalb von Tagen nach der CVE-Zuweisung auf der Liste der aktiv ausgenutzten Lücken – nicht erst nach Quartalen.

Die von der ZDC empfohlenen technischen Gegenmaßnahmen adressieren direkt diese beiden Druckpunkte. Auf der Substratseite: von C und C++ auf Rust oder eine andere speichersichere Sprache wechseln, mit standardmäßig aktivierten Sicherheitsfunktionen ausliefern, Zero-Trust-Architektur einführen und Systeme so gestalten, dass sie entsorgbar sind, sodass ein kompromittierter Host in Minuten gelöscht und neu aufgebaut werden kann. Auf der Tooling-Seite: KI-Defensivtools als Open-Source bereitstellen, damit Verteidiger mit Angreifern gleichziehen können, die bereits Zugang zu denselben Modellen haben.

Die Berichterstattung über Anthropics Mythos-Bot bezeichnete ihn als eine Art Superwaffe. Meine Einschätzung: Wenn das interne Tool eines Labors dieses Prädikat verdient, sollte man davon ausgehen, dass bereits drei staatliche Äquivalente existieren und mindestens eine kriminelle Marktversion stundenweise vermietet wird. Die Asymmetrie liegt nicht bei den Fähigkeiten, sondern bei der Verbreitung.

Wer betroffen ist

Der Zusammenbruch trifft ungleichmäßig. Teams, die moderne, containerisierte und häufig neu aufgebaute Infrastruktur betreiben, verkraften ein eintägiges Exploit-Fenster besser als Teams, die langlebige VMs mit quartalsweisen Patch-Zyklen betreiben. Das passt schlecht zu vielen Branchen, die diesen Artikel lesen.

iGaming-Plattformen sind besonders exponiert. Live-Wett-Infrastruktur läuft auf Hochtouren, Zahlungsintegrationen sind weitläufig, und regulatorische Einschränkungen verlangsamen häufig das Notfall-Patching, weil jede Änderung in mehreren Jurisdiktionen eine Compliance-Freigabe erfordert. Ein 24-Stunden-Exploit-Fenster gegen einen Stack, der 72 Stunden benötigt, um eine regulierte Konfigurationsänderung auszurollen, ist ein strukturelles Missverhältnis. Die Produktionsvorfälle, die ich in diesem Bereich erlebt habe, lassen sich meist auf ein Drittanbieter-SDK oder eine Odds-Feed-Integration zurückführen, für die niemand im Kernteam zuständig ist. Diese Anbieter müssen jetzt denselben Takt einhalten.

Fintech steckt in einer ähnlichen Zwickmühle. PCI-Scope, Change-Advisory-Board-Theater und Core-Banking-Partner, die nach ihrem eigenen trägen Zeitplan deployen, bedeuten, dass das schwächste Glied die tatsächliche Patch-Latenz vorgibt. Die unbequeme Wahrheit: Wenn Ihr KYC-Anbieter monatlich patcht, ist Ihr effektives Exposure-Fenster monatlich – unabhängig davon, wie schnell Ihre eigene Pipeline läuft.

Crypto- und DeFi-Teams haben das gegenteilige Problem. Sie patchen schnell, aber unveränderliche Contracts können gar nicht gepatcht werden. Wenn das Exploit-Fenster auf eine Stunde schrumpft, muss die gesamte Verteidigungsstrategie auf Circuit Breaker, pausierbare Contracts und aggressives Monitoring des Mempools umgestellt werden. Code, der nicht geändert werden kann, braucht eine Infrastruktur drumherum, die es kann.

Enterprise-Infrastrukturanbieter stehen direkt vor der Haftungsfrage. Bruce Schneiers Aussage im ZDC-Bericht ist unmissverständlich: „Keine Branche der letzten 150 Jahre hat Sicherheit verbessert, ohne dazu von der Regierung gezwungen worden zu sein." Er weist auch darauf hin, dass unsichere, marktschnelle Produkte besser gebaute Konkurrenten stets schlagen. Wenn Haftungsgesetzgebung kommt, kehren sich die wirtschaftlichen Anreize endlich um. Wenn nicht, geht das Rennen nach unten weiter.

Maßnahmen für Security-Teams

Konkrete Maßnahmen für die nächsten zwei Wochen, nach Priorität geordnet:

Prüfen Sie Ihre tatsächliche Patch-Latenz, nicht die angegebene. Nehmen Sie die letzten zehn CVEs, die Ihren Stack betrafen. Messen Sie die Echtzeit von der CVE-Veröffentlichung bis zum Produktions-Deployment. Liegt der Median über 48 Stunden, sagen die ZDC-Zahlen, dass Sie bereits verlieren. Identifizieren Sie den Engpass: Anbieter-Verzögerung, CAB-Prozess, Regressionstests oder Rollout-Fenster.

Inventarisieren Sie Ihre C- und C++-Exposition. Dass 70 % der Schwachstellen Memory-Safety-Bugs sind, ist ein Planungsinput, kein Trivia. Identifizieren Sie, welche Services in Ihrem kritischen Pfad noch in unsicheren Sprachen geschrieben sind. Sie werden sie dieses Quartal nicht neu schreiben, aber Sie sollten wissen, welche die wertvollsten Kandidaten für eine Rust-Migration im nächsten Jahr sind.

Machen Sie Hosts entsorgbar. Wenn der Neuaufbau eines kompromittierten Produktionsknotens länger als fünfzehn Minuten dauert, beheben Sie das, bevor Sie eine weitere EDR-Lizenz kaufen. Entsorgbarkeit ist die günstigste Gegenmaßnahme gegen einen Exploit, den Sie ohnehin nicht rechtzeitig hätten patchen können.

Richten Sie KEV-gesteuertes Alerting ein. Abonnieren Sie die MITRE CVE-Feeds und CISA-KEV-Updates direkt in Ihre On-Call-Rotation – nicht nur in einen Slack-Kanal, den nachts um 2 Uhr niemand liest. Wenn das Exploit-Fenster ein Tag beträgt, reicht asynchrone Benachrichtigung nicht aus.

Setzen Sie Ihre Anbieter schriftlich unter Druck. Fügen Sie Patch-SLA-Klauseln in Verlängerungsverträge ein. Kritische Patch-Verpflichtungen unter 72 Stunden sollten selbstverständlich sein. Wenn ein Anbieter dem nicht zustimmen kann, ist er ein potenzieller Haftungstransfer.

Die wichtigsten Erkenntnisse

• Die mittlere Zeit von der Offenlegung bis zur Ausnutzung sank von ~1 Jahr (2021) auf ~1 Tag (2026), mit einer Prognose von 1 Stunde im Jahr 2027. Das 90-Tage-Disclosure-Fenster ist ein Relikt.
• Der Anteil von Zero-Days an Exploits stieg in fünf Jahren von 31 % auf 73,2 %. Verteidiger kommen nach dem Angreifer – nicht davor.
• 70 % der Schwachstellen sind Memory-Safety-Bugs. Die Rust-Migration kritischer Services ist eine strategische Priorität, kein Nice-to-have.
• Die ZDC zählt nur öffentliche Exploits. Private und staatliche Aktivitäten sind per definitionem nicht erfasst – die reale Kurve ist schlimmer.
• Entsorgbare Infrastruktur, Anbieter-Patch-SLAs und KEV-gesteuertes Paging schlagen jedes einzelne glänzende Defensiv-Tool bei der Schließung der Lücke.