Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > Google Zero-Day-Exploits 2024: Was sie für Ihre Datensicherheit bedeuten
Google Zero-Day-Exploitation-Analyse 2024: Das bedeutet es für Ihre Datensicherheit

Google Zero-Day-Exploits 2024: Was sie für Ihre Datensicherheit bedeuten

von Patrick Spencer updated Mai 2, 2025 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Die neu veröffentlichte Google 2024 Zero-Day Exploitation Analysis zeigt eine besorgniserregende Veränderung in der Art und Weise, wie Angreifer Unternehmensinfrastrukturen ins Visier nehmen. Im Jahr 2024 konzentrieren sich Cyberkriminelle verstärkt auf Systeme, die Ihre sensibelsten und regulierten Daten verarbeiten. Laut Bericht richteten sich 44 % aller in freier Wildbahn ausgenutzten Zero-Day-Schwachstellen gegen Unternehmens-Technologien und offenbarten damit gravierende Lücken in traditionellen Sicherheitsmodellen. Dies stellt einen deutlichen Anstieg gegenüber den Vorjahren dar und signalisiert einen dringenden Handlungsbedarf für Unternehmen, ihre Sicherheitsstrategien zu überdenken – insbesondere für jene, die unter Datenschutz-Regulierungen wie DSGVO, HIPAA und CMMC 2.0 stehen.

Was ist Sie vertrauen darauf, dass Ihre Organisation sicher ist. Aber können Sie das verifizieren?

Jetzt lesen

Was ist die Google 2024 Zero-Day Exploitation Analysis?

Eine Zero-Day-Schwachstelle bezeichnet eine Sicherheitslücke in Software, die von Angreifern ausgenutzt wird, bevor Entwickler einen Patch bereitstellen können. Die Google 2024 Zero-Day Exploitation Analysis ist ein jährlicher Bericht der Google Threat Intelligence Group (GTIG), der diese Schwachstellen verfolgt und Muster bei deren Ausnutzung in realen Angriffen analysiert. Die umfassende Analyse kombiniert eigene GTIG-Forschung mit Erkenntnissen aus Vorfalluntersuchungen und Berichten aus vertrauenswürdigen offenen Quellen und bietet damit einen der maßgeblichsten Einblicke in die aktuelle Bedrohungslage.

Im Jahr 2024 verzeichnete die GTIG 75 in freier Wildbahn ausgenutzte Zero-Day-Schwachstellen – ein Rückgang gegenüber 98 im Jahr 2023, aber immer noch mehr als die 63 im Jahr 2022. Obwohl diese Zahlen jährlich schwanken, zeigt der Trend: Die Ausnutzung von Zero-Day-Schwachstellen nimmt langsam, aber stetig zu. Besonders auffällig ist der Wechsel von Angriffen auf Endanwender-Technologien wie Browser und Mobilgeräte hin zu unternehmensnahen Systemen. Während Anbieter die Sicherheit gängiger Plattformen verbessert haben, verlagern Angreifer ihre Aktivitäten auf Sicherheitssoftware, File-Transfer-Tools, Netzwerk-Appliances und Kollaborationsinfrastrukturen – Systeme mit hohem Zugriffslevel und geringer Sichtbarkeit.

Enterprise Data Exchange Systems: Das neue Hauptziel

Eines der dringendsten Ergebnisse des Berichts ist die veränderte Angriffsfläche. 2024 wurden Enterprise Data Exchange Systeme zum Hauptziel: 44 % aller Zero-Day-Schwachstellen richteten sich gegen Unternehmens-Technologien – ein Anstieg gegenüber 37 % im Jahr 2023. Dazu zählen Managed File Transfer (MFT)-Plattformen, E-Mail- und Webmail-Server, Kollaborationslösungen wie Microsoft 365, Web-Formulare in öffentlich zugänglichen Anwendungen sowie SFTP– und Netzwerktransfer-Appliances.

Diese Systeme sind aus mehreren Gründen besonders attraktive Ziele. Sie verarbeiten regelmäßig sensible Inhalte, darunter personenbezogene Daten, Finanzdaten und andere regulierte Informationen. Oft arbeiten sie außerhalb der Reichweite von Endpoint Detection and Response (EDR)-Tools und schaffen so blinde Flecken im Security Monitoring. Zudem verfügen sie in der Regel über erhöhte Zugriffsrechte im gesamten Unternehmensnetzwerk, was Angreifern nach dem Erstzugriff laterale Bewegungen ermöglicht.

Besonders besorgniserregend ist der Anstieg von Exploits, die mit einer einzigen Schwachstelle Remote Code Execution ermöglichen und damit traditionelle Perimeter-Abwehrmechanismen vollständig umgehen. Im Gegensatz zu komplexen Exploit-Ketten, die mehrere Schwachstellen benötigen, können diese Single-Point-Exploits kritische Systeme mit minimalem Aufwand kompromittieren – was sie für Angreifer besonders gefährlich und attraktiv macht.

Schlüssel-Schwachstellen mit Auswirkungen auf die Data Compliance

Der Bericht stellt einen direkten Zusammenhang zwischen mehreren Zero-Day-Exploits und Compliance-Verstößen sowie potenziellen Meldepflichten her. Ein bedeutendes Beispiel ist CVE-2024-55956, eine Zero-Day-Schwachstelle in der Cleo MFT-Plattform, die von der Gruppe FIN11 für Datendiebstahl und Erpressung ausgenutzt wurde. Es ist das dritte Mal in vier Jahren, dass diese Gruppe eine MFT-Lösung angreift – ein klares Zeichen für ein anhaltendes Angriffsmuster auf File-Transfer-Infrastrukturen.

Cross-Site-Scripting (XSS)-Schwachstellen waren ein weiteres häufiges Angriffsmuster, insbesondere gegen E-Mail- und Mailserver in Unternehmen. Diese Exploits ermöglichen unautorisierten Zugriff und Skriptausführung, was zu Credential-Diebstahl und Datenabfluss führen kann. Für Unternehmen mit Compliance-Anforderungen sind die Folgen gravierend, da solche Angriffe zu unbefugtem Zugriff auf geschützte Daten führen können.

Cookie-Hijacking-Angriffe stellen eine weitere ausgeklügelte Bedrohung dar, die im Bericht hervorgehoben wird. Sie wurden genutzt, um Sitzungsdaten für login.microsoftonline.com zu stehlen, wodurch Multi-Faktor-Authentifizierung umgangen und Konten in Microsoft 365-Anwendungen wie Outlook, SharePoint und Teams kompromittiert werden konnten. Nach Erlangen dieses Zugriffs agieren Angreifer oft über längere Zeit unentdeckt in der digitalen Umgebung eines Unternehmens.

Der Bericht beschreibt außerdem, wie Angreifer das beliebte WordPress-Plugin Contact Form 7 kompromittierten, um JavaScript einzuschleusen, das Browser-Cookies stiehlt. Diese Angriffsart stellt ein direktes Risiko für Datenschutz und PCI DSS-Compliance dar, insbesondere für Organisationen, die sensible Informationen über Web-Formulare erfassen. Jeder dieser Angriffstypen kann gegen Regularien wie DSGVO, HIPAA, PCI DSS und CMMC 2.0 verstoßen – vor allem, wenn Datenabfluss, unautorisierter Zugriff oder fehlende sichere Entwicklungspraktiken nachgewiesen werden können.

Der Blind Spot im Unternehmen: Wo Security Monitoring versagt

Trotz der kritischen Bedeutung von Systemen wie MFT, VPNs und SFTP-Appliances macht der Bericht deutlich, dass viele davon außerhalb des klassischen EDR- und SIEM-Monitorings liegen. Dadurch entstehen gefährliche blinde Flecken in der Sicherheitsarchitektur. Diese Systeme sind oft nicht für detailliertes Logging oder die Erkennung von Anomalien ausgelegt, sondern werden als „Set-and-Forget“-Infrastruktur separat vom zentralen Security Operations Management betrieben.

Das Risiko besteht darin, dass diese Systeme meist Administratorrechte besitzen, verschiedene Umgebungen verbinden und Dateien mit vertraulichen oder regulierten Informationen verarbeiten. Ohne adäquates Monitoring und Sicherheitskontrollen ermöglichen diese Blind Spots Angreifern, sich unbemerkt im Netzwerk zu bewegen, seitliche Angriffe durchzuführen oder sensible Daten mit minimalem Widerstand zu exfiltrieren – ein erhebliches Risiko für Unternehmen in regulierten Branchen.

Reale Exploits zeigen Vertrauensbruch beim Datei- und Inhaltsaustausch

Um die Auswirkungen dieser Schwachstellen zu verstehen, lohnt sich ein Blick auf konkrete Beispiele aus dem Bericht. Besonders alarmierend ist der Fall FIN11 und die gezielte Attacke auf Cleos MFT-Plattform (CVE-2024-55956). Dieser Angriff wurde für gezielte Erpressungskampagnen genutzt und ist bereits die dritte MFT-Plattform, die FIN11 in nur vier Jahren ins Visier nimmt. Das zeigt eine systemische Schwäche in den Patch-Prozessen der Anbieter und deutet darauf hin, dass Angreifer File-Transfer-Infrastrukturen gezielt als lukratives Ziel auswählen.

Ein weiteres Beispiel betrifft WebKit-Exploits, mit denen Microsoft-Login-Cookies gestohlen wurden. Diese ausgefeilten Angriffe umgehen MFA-Schutzmechanismen, verschaffen Angreifern Zugriff auf kritische Anwendungen wie E-Mail, OneDrive und Teams und untergraben das Vertrauen in Cloud-Authentifizierungsprozesse. Die Auswirkungen sind weitreichend, da Unternehmen zunehmend auf cloudbasierte Kollaborationstools setzen.

Auch der WordPress-Formular-Exploit über Contact Form 7 ist ein relevanter Angriffsvektor. Angreifer schleusten JavaScript ein, um Cookies zu stehlen – gezielt bei Regierungswebsites. Besonders kritisch: Der Angriff kann auf jedem ungepatchten Web-Formular repliziert werden und betrifft somit potenziell zahlreiche Organisationen mit ähnlichen Technologien. Diese Beispiele zeigen: Dateiübertragung, E-Mail- und Formular-Workflows sind keine passive Infrastruktur mehr – sie sind aktive Angriffsflächen, die robuste Sicherheitsmaßnahmen erfordern.

2024 Kiteworks Bericht zur Sicherheit und Compliance bei der Kommunikation sensibler Inhalte

Wie Unternehmen reagieren sollten: Zero Trust und einheitliche Kontrolle

Die wirksamste Verteidigung gegen diese sich wandelnden Bedrohungen ist die Implementierung eines Zero-Trust-Sicherheitsmodells, das direkt auf die Datenbewegung angewendet wird. Dieser Ansatz geht davon aus, dass Bedrohungen sowohl innerhalb als auch außerhalb traditioneller Netzwerkgrenzen existieren, und verlangt daher eine Verifizierung jedes Zugriffs – unabhängig vom Standort.

Unternehmen sollten Zero-Trust-Prinzipien auf den Austausch von Inhalten anwenden, indem sie Least-Privilege-Policies für alle Filesharing-, Transfer- und Formularprozesse durchsetzen. Das bedeutet, Anwendern nur die Zugriffsrechte zu gewähren, die sie für ihre jeweilige Aufgabe benötigen – und nicht mehr. So wird das Schadenspotenzial bei kompromittierten Zugangsdaten minimiert.

Sicherheitsteams sollten das Monitoring auf MFT- und SFTP-Systeme ausweiten, indem sie diese in bestehende EDR- und SIEM-Workflows integrieren. Dadurch werden kritische Transparenzlücken geschlossen und diese wichtigen Systeme erhalten denselben Sicherheitsfokus wie andere Infrastrukturbereiche.

Der Einsatz gehärteter, einheitlicher Plattformen wie das Private Data Network von Kiteworks, das E-Mail, File-Transfer, Web-Formulare und API-Sicherheit unter einer Architektur vereint, kann das Risiko zusätzlich senken. Solche integrierten Lösungen bieten in der Regel mehr Transparenz und Kontrolle als das Management mehrerer Einzellösungen verschiedener Anbieter.

Unternehmen müssen zudem sichere Entwicklungspraktiken priorisieren – insbesondere bei Drittanbieter-Plugins, Legacy-Appliances und Komponenten von Lieferanten. Viele der 2024 ausgenutzten Schwachstellen resultierten aus grundlegenden Programmierfehlern, die durch bessere Entwicklungsprozesse und regelmäßige Code-Reviews vermeidbar gewesen wären.

Regelmäßige Patch-Audits sind unerlässlich, vor allem für MFT- und VPN-Lösungen, die auf Zero-Day-Patch-Bereitschaft und Reaktionsfähigkeit der Anbieter geprüft werden sollten. Wer weiß, wie schnell Anbieter auf Schwachstellen reagieren und Patches bereitstellen, kann fundierte Entscheidungen über den Einsatz von Technologien treffen.

Was bedeutet das für Ihr Unternehmen?

Für die meisten Unternehmen ist die wichtigste Erkenntnis aus der Google 2024 Zero-Day Exploitation Analysis: Die Sicherheitslandschaft hat sich grundlegend verändert. Die Systeme, mit denen Sie sensible Daten senden, teilen und empfangen, sind jetzt Hauptziele für Cyberangriffe. E-Mail-Server, File-Transfer-Plattformen, Kollaborations-Tools und Web-Formulare müssen genauso konsequent abgesichert werden wie Endpoints und Cloud-Infrastruktur.

Unternehmen müssen ihre Datenschutzstrategien modernisieren, indem sie Zero-Trust-Prinzipien anwenden, umfassendes Monitoring einführen und eine einheitliche Governance für Inhalte über alle Kommunikationskanäle hinweg etablieren. Der Bericht macht deutlich: Klassische perimeterbasierte Sicherheitsansätze reichen nicht mehr aus, wenn Angreifer gezielt die Infrastruktur angreifen, die Ihre sensibelsten Daten verarbeitet.

Für IT-Sicherheitsverantwortliche, Compliance-Beauftragte und Datenschutz-Teams bedeutet das: Die aktuellen Sicherheitsstrategien müssen mit besonderem Fokus auf Systeme, die regulierte Daten verarbeiten, neu bewertet werden. Es gilt, Silos zwischen Security Operations und den Teams, die Kommunikationsinfrastruktur betreuen, aufzubrechen. Und: Alle Mechanismen des Datenaustauschs sind Teil des kritischen Sicherheitsperimeters – nicht bloß operative Randbereiche.

Wer sich dieser neuen Realität nicht anpasst, riskiert Datenschutzverletzungen, regulatorische Strafen und Reputationsschäden – in einer Zeit, in der die Angriffsfläche nicht mehr nur Endpoints betrifft, sondern alle Wege, auf denen Daten Ihr Unternehmen durchqueren.

FAQs

Eine Zero-Day-Schwachstelle ist ein Fehler in Software, der von Angreifern aktiv ausgenutzt wird, bevor ein Fix oder Patch verfügbar ist. Diese Schwachstellen zählen zu den gefährlichsten Bedrohungen, da es zu Beginn des Angriffs keinerlei Schutzmaßnahmen gibt. Der Name stammt daher, dass Entwickler „null Tage“ Zeit haben, das Problem zu beheben, da die Schwachstelle bereits bei ihrer Entdeckung ausgenutzt wird.

MFT-Systeme verarbeiten hochsensible Datenbewegungen und sind oft weniger abgesichert, als es ihrer Bedeutung entspricht. Sie verarbeiten typischerweise große Mengen vertraulicher Informationen und sind daher attraktive Ziele für Datendiebstahl. Zudem verschaffen sie Angreifern Zugriff auf vertrauliche Dateien und ermöglichen es, sichtbare Teile des Netzwerks zu umgehen – oft ohne Sicherheitsalarme auszulösen und mit der Möglichkeit, sich dauerhaft einzunisten.

Cookie-Hijacking-Angriffe gefährden den Datenschutz, indem Angreifer Authentifizierungs-Token stehlen, die Websites zur Anmeldung verwenden. Mit diesen Token können Angreifer legitime Anwender imitieren und unautorisierten Zugriff auf E-Mails, Dokumente und interne Systeme erlangen – und das ohne Auslösen der Multi-Faktor-Authentifizierung. Dadurch sind weitreichende Datenpannen möglich, da Angreifer mit denselben Rechten wie berechtigte Nutzer oft über längere Zeit unentdeckt agieren.

Werden Web-Formulare kompromittiert, können verschiedene wichtige Regularien verletzt werden. DSGVO-Compliance ist gefährdet, da solche Angriffe zu unbefugtem Zugriff auf personenbezogene Daten europäischer Bürger führen können. PCI DSS-Anforderungen können verletzt werden, wenn Zahlungsdaten über kompromittierte Formulare erhoben werden. HIPAA-Verstöße sind möglich, wenn geschützte Gesundheitsdaten in Gesundheitskontexten über solche Formulare übermittelt werden. Zudem können branchenspezifische Vorgaben wie CMMC 2.0 für Verteidigungsauftragnehmer betroffen sein, wenn sensible Informationen über kompromittierte Web-Formulare abfließen.

Unternehmen können File-Transfers und Kollaborations-Tools durch mehrere Schutzebenen absichern. Eine einheitliche Plattform mit Zero-Trust-Zugriffskontrollen bildet die Basis und verlangt kontinuierliche Verifizierung statt Vertrauen auf Basis des Netzwerkstandorts. Automatisierte Verschlüsselung für Daten während der Übertragung und im ruhenden Zustand schützt Informationen selbst bei durchbrochenen Perimeter-Sicherheiten. Inhaltsbasierte Zugriffsbeschränkungen auf Basis von Datenklassifizierung stellen sicher, dass sensible Informationen nur autorisierten Anwendern zugänglich sind. Echtzeit-Überwachung von Transfers erkennt verdächtige Aktivitäten sofort, und starke Authentifizierungsmechanismen – idealerweise mit mehreren Faktoren – reduzieren das Risiko von Credential-Diebstahl und Missbrauch.

Weitere Ressourcen

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks