Eine Zero-Day-Lücke kostet bis zu 10 Millionen Dollar… noch

22. November 2021 um 10:04
  • security
  • lücke
  • studie
  • international
  • cybercrime
image

Der Markt für offiziell unentdeckte Lücken war bislang vor allem staatlichen Akteuren vorbehalten. Neue Vertriebsmodelle könnten dies bald ändern.

Sicherheitsforscher von Digital Shadows warnen vor einer beunruhigenden Entwicklung im Markt der Cyberkriminellen, nachdem sie sich durch diverse Darknet-Foren gelesen haben. In einem "Vulnerability Intelligence Report" beschreiben sie Bewegungen im hochpreisigen Segment der Zero-Day-Lücken. Diese von den Herstellern noch nicht entdeckten Schwachstellen sind unter Cyberkriminellen hochbegehrt.
Zero Days versprechen längerfristigen Zugang zu Systemen und lassen sich kaum verteidigen. Laut den Security-Spezialisten von Digital Shadows sollen für eine solche Schwachstelle bis zu 10 Millionen Dollar fliessen. Klar, dass dieser Markt bislang vor allem staatlichen oder staatlich unterstützten Gruppen vorbehalten war, während die Lücken für den gewöhnlichen Cyberkriminellen unerschwinglich blieben.
Das hat in der Vergangenheit immer wieder zu Diskussionen über Geheimdienste geführt, die mit ihrer Geheimhaltung der Lücken und mit ihren aktiv dafür entwickelten Exploits massgeblich zur Unsicherheit im Internet beigetragen haben. Erinnert sei etwa an die berüchtigten Shadow Broker, die 2016 NSA-Tools veröffentlichten. Mit verheerenden Auswirkungen. Nun könnte aber alles noch viel verflixter werden.
Mittlerweile treten Ransomware-Banden mit ihren grossen Vermögen, das sie in ihren Raubzügen angesammelt haben, als Käufer auf. Zugleich haben sich die Zero-Day-Anbieter neue Vertriebsmodelle einfallen lassen, um weiteres Geld zu erschliessen. Sie sollen Exploit-as-a-Service-Modelle diskutieren. In diesem Rahmen könnten auch finanzschwächere Akteure die begehrten Schwachstellen mieten, um ihre Angriffe durchzuführen. 
Man sehe "mehr und mehr finanziell motivierte Bedrohungsakteure mit gefährlichen Tools", schreiben die Forscher in ihrem Bericht. Die Anbieter würden ihre Zero-Day-Lücken häufig in Foren von Kriminellen in Auktionen verkaufen. Das ist übrigens ein weiteres Argument für Bug-Bounty-Programme: Wenn die offiziellen Prämien für unentdeckte Lücken höher sind als die Gebote der Kriminellen, gäbe es wenige Gründe, sie nicht zu melden. 

Loading

Mehr zum Thema

imageAbo

Schweizer Anwaltskanzlei schildert Reaktion auf Cyberangriff

Die Kanzlei reagierte rasch. Hinter dem Angriff steckt eine in der Schweiz noch kaum bekannte Ransomware-Bande.

publiziert am 16.7.2026
image

Security-Fachleute misstrauen KI – mehr oder weniger

KI kann die Effizienz erhöhen, aber manche fühlen mehr Stress als früher.

publiziert am 15.7.2026
image

SAP schliesst 20 Sicherheitslücken

Der Softwarekonzern hat in Kooperation mit Sicherheitsspezialisten mehrere Löcher in seinen Geschäftsanwendungen gestopft. Vier davon sind als besonders kritisch eingestuft.

publiziert am 15.7.2026
image

Microsofts Monster-Patch-Tuesday

Der Software-Riese will diesen Monat nicht weniger als 622 Sicherheitslücken in seinen Produkten schliessen.

publiziert am 15.7.2026