:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/6a/5f6a737eebc82ba0eb0166c032258431/0118121346.jpeg "Laut CheckPoint steigt die Anzahl an DDoS-Attacken weiter stark an. (Bild: Pablo Lagarto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/f3/9cf30203963b4b2516689269567a33b3/0118300101.jpeg "Das Bundesamt für Verfassungsschutz rechnet die Gruppierung APT 28 dem russischen Militärnachrichtendienst GRU zu. Die Gruppe, die seit 2004 in der Cyberspionage aktiv ist, zähle zu den aktivsten und gefährlichsten Cyberakteuren weltweit. (© PX Media – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/0c/b20c11699199bbf957efd7384857d97b/0118244590.jpeg "Derzeit gibt es Sicherheitslücken in Cisco-Firewalls, mit denen Angreifer die Geräte übernehmen können. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/de/97de094fc7b4e649bd8e42473ded2648/0117949527.jpeg "Wir haben uns 16 zum Teil kostenfreie Wekzuege angesehen, mit denen WLANs besser eingerichtet, überwacht, abgesichert und gemanagt werden können. (Bild: © bancha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/20/a12095069777c1a93e9510acac9053fb/0118129216.jpeg "Enthus und Arctic Wolf arbeiten nun zusammen daran, den Cyberschutz in mittelständischen Unternehmen, öffentlichen Einrichtungen und im Gesundheitswesen zu stärken. (Bild: KI-generiert / Canva)")
:quality(80)/p7i.vogel.de/wcms/9a/72/9a727561736d06f63114314f2c65058c/0118144646.jpeg "Dank CRA können sich sowohl Verbraucher als auch B2B-Anwender zukünftig deutlich stärker auf die langfristige Sicherheit ihrer Produkte verlassen. (Bild: gopixa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c2/9bc2119482f666af72507ae0500e99ff/0118143520.jpeg "Fast alle Java-Dienste sind durch eine oder mehrere schwerwiegende Schwachstellen gefährdet, die aus Drittanbieter-Bibliotheken stammen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/00/4400f0d0f6fa77a333cd676459e1ab7c/0118009094.jpeg "Wie sich Cloud-Infrastrukturen entwickeln – und was dies für die Security bedeutet. (Bild: © kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b7/c6b7e3064ca1c5e7adcc0de7dddca371/0118119876.jpeg "Entwickler sollten so schnell wie möglich aktuelle Versionen von PHP installieren. (Bild: Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/0d/6b0d29108a99bbb8767fac4b5007b82b/0118143533.jpeg "Grund für das schlechte Abschneiden vieler Industriebetriebe sei vor allem die Langlebigkeit vieler Produktionsanlagen; da laufe als Betriebssystem zum Teil noch Windows 95 oder 98, sagt Christian Korff von Cisco. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/0f/f90f6a702d68c2ea26c836049781925f/0118141432.jpeg "Da Unternehmen zunehmend KI-Technologien einsetzen, ist es angezeigt, die mit diesen Systemen verbundenen potenziellen Risiken zu reduzieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Project Zero Was ist Project Zero?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Das Project Zero wurde 2014 von Google ins Leben gerufen. Es besteht aus einem Team von Sicherheitsexperten, die nach Zero-Day-Schwachstellen in Hard- und Software suchen. Das Team beschäftigt sich sowohl mit Google-Produkten als auch mit Produkten anderer Hersteller.
Beim Project Zero handelt es sich um ein Team aus Sicherheitsexperten, das im Auftrag von Google nach Zero-Day-Schwachstellen in Hard- und Softwareprodukten sucht. Für das Projekt ist es unerheblich, ob die Produkte von Google selbst oder von anderen Herstellern stammen.
Google gründete das Project Zero im Jahr 2014 mit dem Ziel, die Sicherheit des Internets und digitaler Produkte oder Anwendungen für jedermann zu verbessern. Böswilligen Akteure soll es erschwert werden, selbst Zero-Day-Schwachstellen zu finden und diese auszunutzen. Im Fokus des Arbeit des Project Zero stehen vor allem populäre und häufig genutzte Produkte. Beispiele hierfür sind Webbrowser, Betriebssysteme für Smartphones oder Computer, Webanwendungen oder häufig eingesetzte Open-Source-Bibliotheken.
Gefundene Schwachstellen werden an den Hersteller gemeldet. Dieser hat anschließend eine definierte Anzahl an Tagen (in der Regel 90 Tage) Zeit, die Schwachstelle zu schließen, bevor Google die Details öffentlich macht. Die genaue Anzahl an Sicherheitsexperten, die für das Project Zero arbeiten ist nicht bekannt. Ihr beruflicher Hintergrund ist teils sehr unterschiedlich. Sie haben beispielsweise im Bereich der Produktsicherheit oder als Sicherheitsberater für andere Unternehmen oder für staatliche Institutionen gearbeitet oder stammen aus dem universitären beziehungsweise schulischen Bereich. Aus Google-internen Abteilungen wurden ebenfalls Sicherheitsexperten für das Project Zero rekrutiert. Nach eigenen Aussagen arbeiten auch einige der weltbesten Hacker für das Projekt.
Die Aufgabe des Teams ist es nicht nur, Zero-Day-Schwachstellen zu finden, sondern auch zu analysieren und öffentlich zu dokumentieren, wie die Schwachstellen in der Praxis ausgenutzt werden könnten. Das Google-Team arbeitet transparent und dokumentiert den kompletten Prozess der Offenlegung und Behebung der Sicherheitslücken. Es betreibt einen umfangreichen Blog, indem erkannte Schwachstellen und ihre Ausnutzung ausführlich beschrieben werden. Seit der Gründung hat das Project Zero eine große Anzahl teils sehr weitreichender und kritischer Schwachstellen gefunden und durch Information der Hersteller für deren Schließung gesorgt.
Was ist eine Zero-Day-Schwachstelle?
Das Google Project Zero beschäftigt sich mit dem Aufspüren und Analysieren sogenannter Zero-Day-Schwachstellen. Eine Zero-Day-Schwachstelle ist eine bisher unentdeckter Sicherheitslücke in einem Soft- oder Hardware-Produkt, die selbst der Hersteller noch nicht kennt. Findet ein Angreifer eine solche Lücke, hat der Hersteller quasi null Tage Zeit, diese zu schließen, um einen Angriff zu verhindern. Ausgenutzt werden Zero-Day-Schwachstellen mithilfe sogenannter Zero-Day-Exploits. Zero-Day-Schwachstellen und passende Zero-Day-Exploits sind in cyberkriminellen Kreisen sehr begehrt, da Angriffe aufgrund fehlender Patches große Erfolgsaussichten haben und sie über längere Zeiträume unentdeckt bleiben können. Auch Geheimdienste oder andere staatliche Institutionen nutzen sehr gerne Zero-Day-Schwachstellen für ihre Zwecke. Es gibt daher einen Markt für Zero-Day-Schwachstellen und -Exploits, auf dem große Summen für diese geboten werden.
Ziele und Grundsätze des Project Zero
Allgemeines Ziel des Project Zero ist es, das Internet sicherer zu machen und die Cybersicherheit für jedermann zu verbessern. Das Team beschränkt sich nicht auf bestimmte Produkte oder Hersteller. Im Fokus stehen besonders die populären und von vielen Menschen genutzten Hard- und Softwareprodukte. Das Team verfolgt einen transparenten Ansatz. Gefundene Zero-Day-Schwachstellen werden unter Einhaltung strikter Offenlegungsregeln zunächst nur dem Hersteller gemeldet. Den Herstellern wird eine angemessene Zeit (in der Regel 90 Tage) eingeräumt, die Schwachstelle zu schließen, bevor sie öffentlich gemacht wird. Abläufe und Details der Schwachstellen werden öffentlich dokumentiert. Indem danach geforscht wird, wie gefundene Schwachstellen für Angriffe missbraucht werden könnten und diese Untersuchungen öffentlich gemacht werden, sollen die Hersteller dazu ermutigt werden, sichere Programmier- und Designpraktiken für ihre Produkte anzuwenden.
Vorgehensweise bei entdeckten Schwachstellen
Ursprünglich räumte das Project Zero dem Hersteller nach der Information über eine Schwachstelle eine Frist von 90 Tagen ein, einen Patch oder ein andere Art der Behebung bereitzustellen. Mit der Bereitstellung eines Patches oder nach Ablauf der 90 Tage informierte das Projekt die Öffentlichkeit.
Mittlerweile hat Google sein Vorgehen etwas verändert. Stellt ein Hersteller ein Patch für eine Schwachstelle bereit, wartet das Google-Team 30 weitere Tage, bis es mit der Zero-Day-Schwachstelle an die Öffentlichkeit geht. Das soll den Usern mehr Zeit geben, den Patch zu installieren. Es können daher von der Information des Herstellers bis zur Information der Öffentlichkeit bis zu 120 Tage vergehen. Wird kein Patch bereitgestellt, informiert Google weiterhin nach 90 Tagen die Öffentlichkeit. Die Hersteller haben zusätzlich die Möglichkeit, eine Verlängerung von 14 Tagen für das Erstellen einer Lösung zu beantragen. Bei akuten Gefahren und bereits für Angriffe aktiv ausgenutzten Sicherheitslücken können kürzere Fristen greifen (zum Beispiel sieben Tage plus drei Tage Verlängerung).
Beispiele einiger vom Project Zero gefundener Schwachstellen
Seit der Gründung hat das Project Zero zahlreiche Zero-Day-Schwachstellen gefunden oder an deren Identifizierung mitgewirkt. 2019 waren es bereits über 1.600 Schwachstellen. Im Folgenden eine kurze Liste einiger vom Project Zero gefundener Zero-Day-Schwachstellen:
- 2014: im Safari-Browser und im Windows-Betriebssystem 8.1
- 2017/2018: im Reverse-Proxy von Cloudflare und Beteiligung an der Entdeckung der Sicherheitslücken Meltdown und Spectre in Prozessoren mehrerer Hersteller
- 2019: Schwachstelle in Apple iMessage und fünf verschiedene iPhone-Exploit-Chains in den Betriebssystemen iOS 10 bis iOS 12
- 2020: Sicherheitslücke bei GitHub (Onlinedienst für Softwareentwicklung und Versionsverwaltung)
- 2021: mehrere Sicherheitslücken im Videokonferenz-Tool Zoom
- 2023: mehrere kritische Zero-Day-Lücken in Samsung-Modemchips (Exynos-Chips) für Smartphones
(ID:49945618)
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/5b/fe/5bfe9ac4c9941c8a58330f1e3e0d9130/0111274736.jpeg "Obwohl eine vollständige Prävention unmöglich ist, gibt es mehrere Abwehrmaßnahmen, die vor Zero-Day-Bedrohungen schützen können. (Bild: sdecoret - stock.adobe.com)")