Illustration Absmeier foto freepik

Die Google Threat Intelligence Group (GTIG) hat ihren jährlichen Zero-Day-Bericht veröffentlicht: Sie hat im Jahr 2025 insgesamt 90 Zero-Day-Sicherheitslücken identifiziert, die in freier Wildbahn ausgenutzt wurden. Obwohl diese Zahl niedriger ist als der Rekordwert von 2023 (100), liegt sie deutlich über der Zahl von 2024 (78). Insgesamt scheint sich die jährliche Anzahl in dem Bereich 60 bis 100 zu stabilisieren. Gemäß den Incident-Response-Einsätzen von Mandiant bei Sicherheitsvorfällen ist die Ausnutzung von Schwachstellen der häufigste Vektor für den Erstzugriff, noch vor gestohlenen Anmeldedaten oder Phishing. Bereits seit 2024 beobachtet die GTIG außerdem einen strukturellen Wandel: Die Angreifer nehmen verstärkt Firmen ins Visier.

Unternehmen sind das neue Hauptziel

48 Prozent aller Zero-Day-Angriffe im Jahr 2025 haben auf Technologien für Unternehmen abgezielt, damit hat dieser Trend einen neuen Höchststand erreicht. Angreifer nutzen Sicherheits- und Netzwerktools aus, insbesondere Edge-Geräte, denen es oft an Endpoint Detection and Response (EDR)-Technologie mangelt. Die zunehmende Anzahl von Software, Geräten und Anwendungen in betrieblichen Infrastrukturen vergrößert die Angriffsfläche: Für eine erfolgreiche Ausnutzung reicht ein einziger Schwachpunkt aus, um eine Sicherheitslücke zu schaffen.

Wandel in der Spionage

Mit 35 Prozent ordnete die GTIG zum ersten Mal seit Beginn der Erfassung mehr Zero-Day-Schwachstellen kommerziellen Überwachungsanbietern (Commercial Surveillance Vendors, CSVs) zu als traditionellen, staatlich geförderten Cyber-Spionagegruppen (28 Prozent). Das zeigt: CSVs senken die Einstiegshürde für Zero-Day-Zugriffe noch weiter und machen sie einem breiteren Kundenspektrum zugänglich.

Cyber-Spionagegruppen mit Verbindungen zur Volksrepublik China dominieren weiterhin die traditionelle, staatlich geförderte Spionage durch Zero-Day-Exploits. Diese Bedrohungsakteure, beispielsweise die Gruppen UNC5221 und UNC3886, konzentrierten sich auf Sicherheitsanwendungen und Edge-Geräte, um einen dauerhaften Zugriff auf strategische Ziele aufrechtzuerhalten.

Aber auch finanziell motivierte Bedrohungsgruppen setzen wieder verstärkt auf die Ausnutzung von Zero-Day-Schwachstellen: 2025 wurde ihnen die Ausnutzung von 9 Schwachstellen zugeordnet, darunter zwei Zero-Day-Exploits, die zum Einsatz von Ransomware führten. Dies entspricht fast dem Gesamtvolumen vom Rekordjahr 2023 (10 Schwachstellen) und ist fast doppelt so viel wie im Vorjahr (5).

Neues Angriffsmuster

Angriffe mit der Malware BRICKSTORM im Herbst 2025, die Spionageakteuren mit Verbindungen nach China zugeschrieben wird, zeigten ein mögliches neues Verhaltensmuster: Der gezielte Diebstahl von geistigem Eigentum, etwa Quellcode, um langfristig neue Zero-Day-Schwachstellen zu entwickeln. Anstatt nur sensible Kundendaten zu stehlen, nehmen die Angreifer das geistige Eigentum der betroffenen Unternehmen ins Visier, darunter beispielsweise Quellcode und proprietäre Entwicklungsdokumente. Dieses kann dazu verwendet werden, neue Schwachstellen in der Software des Anbieters aufzudecken, was nicht nur eine Bedrohung für die Opfer selbst, sondern auch für deren Kunden darstellt.

Beschleunigung durch künstliche Intelligenz

Künstliche Intelligenz wird voraussichtlich das »Wettrüsten« zwischen Angreifern und Verteidigern prägen und zu einer dynamischeren Bedrohungslage führen. Ganz konkret werden Ang reifer KI nutzen, um Angriffe zu automatisieren und zu skalieren, indem sie die Aufklärung, die Entdeckung von Schwachstellen und die Entwicklung von Exploits beschleunigen.

Dies erhöht den Druck auf die Verteidiger, Zero-Day-Exploits besser zu erkennen und darauf zu reagieren. Sie können KI in Form von agentenbasierten Lösungen nutzen, um ihre Sicherheitsmaßnahmen zu verbessern. KI-Agenten decken proaktiv bisher unbekannte Sicherheitslücken auf und helfen bei deren Behebung, sodass Anbieter Schwachstellen neutralisieren können, bevor sie ausgenutzt werden.

Was ist ein Zero-Day-Angriff?

Ein Zero-Day-Angriff nutzt eine Sicherheitslücke in Software oder Hardware aus, die dem Hersteller noch nicht bekannt ist – es gibt also null Tage Vorwarnzeit (Zero Day), um einen Patch bereitzustellen.

Das bedeutet konkret:

Die Schwachstelle ist nicht dokumentiert
Es existiert kein Sicherheitsupdate
Klassische Schutzmechanismen greifen oft nicht

Die Google Threat Intelligence Group (GTIG) im Jahr 2025 insgesamt 90 Zero-Day-Schwachstellen beobachtet, die aktiv ausgenutzt wurden – ein weiterhin sehr hohes Niveau.

Besonders kritisch:
Die Ausnutzung von Schwachstellen ist inzwischen der häufigste Weg für den Erstzugriff bei Cyberangriffen – noch vor Phishing oder gestohlenen Zugangsdaten.

Warum sind Unternehmen besonders betroffen?

Unternehmen sind das neue Hauptziel von Zero-Day-Angriffen.

48  % aller Zero-Day-Angriffe 2025 richteten sich gegen Unternehmens‑Technologien
Besonders häufig betroffen:
- Sicherheits- und Netzwerktools
- Edge-Geräte (Firewalls, Gateways, VPNs)
Diese Geräte haben oft keine EDR‑Überwachung, was Angriffe schwer erkennbar macht

Ein zentrales Risiko ist die wachsende Angriffsfläche:

Für einen erfolgreichen Angriff reicht eine einzige ungepatchte Schwachstelle aus.

Wer steckt hinter Zero-Day-Angriffen?

Es gibt mehrere Akteursgruppen:

Staatlich unterstützte Spionagegruppen

Besonders aktiv: Gruppen mit Bezug zur Volksrepublik China
Ziel: dauerhafter Zugriff auf strategische Ziele
Fokus auf Sicherheitssoftware und Edge-Geräte

Kommerzielle Überwachungsanbieter (CSV)

35  % der Zero-Days wurden 2025 CSVs zugeordnet
Damit erstmals mehr als klassischen staatlichen Gruppen
CSVs senken die Einstiegshürde für Zero-Day-Nutzung deutlich

Finanziell motivierte Gruppen

Setzen Zero-Days zunehmend wieder für Ransomware ein
2025: 9 ausgenutzte Schwachstellen, fast so viele wie im Rekordjahr 2023

Neues Angriffsmuster: Diebstahl von Quellcode

Ein besonders gefährlicher Trend:

Angreifer stehlen geistiges Eigentum, z. B.:
- Quellcode
- interne Entwicklungsdokumente
Ziel: langfristig neue Zero-Day-Schwachstellen entwickeln
Beispiel: Malware BRICKSTORM (Herbst 2025)

Das ist doppelt gefährlich:

Schaden für das betroffene Unternehmen
Folgerisiko für alle Kunden dieser Software

Wie kann man sich gegen Zero-Day-Angriffe schützen?

Da es keine Patches gibt, geht es weniger um Vermeidung – sondern um Erkennung und Eindämmung.

Fokus auf Angriffserkennung statt nur Prävention

Klassische Signaturen reichen nicht aus
Verhaltenserkennung wird entscheidend

Schutz von Edge- und Netzwerkgeräten

Diese sind besonders häufig betroffen
Sie sollten gleichwertig wie Endpoints überwacht werden

Einsatz von KI in der Verteidigung

Angreifer nutzen KI zur Automatisierung und Skalierung
Verteidiger müssen nachziehen

Konkret:

Agentenbasierte KI‑Lösungen
Proaktives Auffinden unbekannter Schwachstellen
Unterstützung bei schneller Behebung, bevor Exploits entstehen

Schutz von geistigem Eigentum

Quellcode und Entwicklungsdokumente besonders absichern
Zugriff stark einschränken und überwachen

Kurz zusammengefasst

Zero-Day-Angriffe nutzen unbekannte Schwachstellen ohne Patch
Unternehmen sind heute das Hauptziel
Edge-Geräte und Sicherheitssoftware stehen besonders im Fokus
Der Schutz erfordert:
- bessere Erkennung
- konsequente Überwachung
- KI‑gestützte Sicherheitsansätze

Absmeier & KI

684 Artikel zu „Zero Day“

Ausgabe 1-2-2026 | Security Spezial 1-2-2026 | News | IT-Security

Whitelisting im Unternehmen: Wie Allow-Listing Zero-Day-Angriffe stoppt und die Angriffsfläche reduziert

6. März 2026

Unternehmen stehen heute vor einer Sicherheitslage, in der klassische Abwehrmechanismen allein nicht mehr ausreichen. Malware, Ransomware, Schatten-IT, komplexe Multi-Cloud-Architekturen und strenge Datenschutzvorgaben treffen auf eine Arbeitswelt, die von Dynamik und Flexibilität geprägt ist. In diesem Spannungsfeld gewinnt ein Sicherheitsprinzip zunehmend an Bedeutung, das zwar traditionell wirkt – aber gerade deshalb enorme Stärke entfaltet: konsequentes Whitelisting.