Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > Googles Zero-Day-Bericht 2024 deckt Sicherheitslücken in Unternehmen auf

Googles Zero-Day-Bericht 2024 deckt Sicherheitslücken in Unternehmen auf

von Patrick Spencer updated Mai 2, 2025 Cybersecurity-Risikomanagement

Lesezeit: 5 Minuten

Der neueste Bericht von Google, Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis, enthüllt eine beunruhigende Realität: Hacker verlagern ihren Fokus auf die Infrastruktur, die Ihre sensibelsten Unternehmensdaten verarbeitet. Veröffentlicht am 29. April 2025 von Googles Threat Intelligence Group (GTIG), verfolgte die Analyse 75 Zero-Day-Schwachstellen, die im Jahr 2024 ausgenutzt wurden. Fast die Hälfte zielte auf Unternehmenssysteme ab – eine dramatische Veränderung gegenüber den Vorjahren, als Browser und Telefone die Bedrohungslandschaft dominierten.

Table of Contents

Was der Zero-Day-Bericht von Google tatsächlich herausfand

Zero-Day-Schwachstellen sind Softwarefehler, die Angreifer ausnutzen, bevor Anbieter sie beheben können. Die Threat Intelligence Group von Google verfolgt diese Exploits jährlich und kombiniert ihre eigene Forschung mit Untersuchungen zu Datenschutzverstößen und zuverlässigen Berichten von Drittanbietern. Ihre Analyse für 2024 zeigt sowohl Fortschritte als auch neue Herausforderungen in der Cybersicherheit auf.

Die Rohdaten erzählen einen Teil der Geschichte: 75 Zero-Days im Jahr 2024, weniger als 98 im Jahr 2023, aber mehr als 63 im Jahr 2022. Aufschlussreicher ist, wo diese Angriffe stattfanden. Unternehmenssysteme waren Ziel von 33 dieser Exploits – 44 % der Gesamtzahl – im Vergleich zu 37 % im Vorjahr. Innerhalb der Unternehmenssysteme trugen Sicherheits- und Netzwerktechnologien die Hauptlast und machten 20 Schwachstellen aus, was über 60 % aller auf Unternehmen abzielenden Zero-Days entspricht.

Vielleicht am auffälligsten: 18 verschiedene Unternehmensanbieter wurden angegriffen, was fast alle Anbieter repräsentiert, die 2024 von Zero-Days betroffen waren. Traditionelle Ziele wie Browser und mobile Geräte verzeichneten signifikante Rückgänge – Browser-Exploits sanken von 17 auf 11, während mobile von 17 auf 9 fielen.

Warum Dateitransfer- und Sicherheitstools zu Hauptzielen wurden

Der Bericht identifiziert spezifische Gründe, warum Angreifer sich auf Unternehmensinfrastruktur verlagerten. Sicherheitsappliances, VPNs und Managed File Transfer (MFT)-Plattformen bieten Angreifern einzigartige Vorteile:

Single-Point-Kompromittierung: Im Gegensatz zu Verbrauchsgeräten, die oft komplexe Exploit-Ketten erfordern, können viele Unternehmenssysteme mit nur einer Schwachstelle vollständig kompromittiert werden. Der Bericht stellt fest, dass diesen Produkten oft die gestaffelten Verteidigungen fehlen, die in modernen Browsern und Betriebssystemen zu finden sind.

Privilegierter Zugriff: Diese Systeme laufen typischerweise mit administrativen Privilegien und sind mit mehreren Netzwerksegmenten verbunden, was eine schnelle laterale Bewegung nach der ersten Kompromittierung ermöglicht.

Begrenzte Überwachung: Ein kritischer Befund – viele Sicherheits- und Netzwerktechnologien arbeiten außerhalb des Bereichs von Endpoint Detection and Response (EDR)-Tools, was Sichtbarkeitslücken schafft, die Angreifer ausnutzen.

Hochwertige Daten: Dateitransfer-Systeme, E-Mail-Server und Kollaborationsplattformen verarbeiten routinemäßig regulierte Daten, einschließlich Finanzunterlagen, Gesundheitsinformationen und geistigem Eigentum.

Kritische Schwachstellen, die die Compliance bedrohen

Mehrere Exploits aus dem Jahr 2024 betreffen direkt Organisationen, die den Datenschutz-Vorschriften wie der DSGVO, HIPAA und CMMC 2.0 unterliegen:

CVE-2024-55956 (Cleo MFT-Plattform): Ein vermuteter FIN11-Cluster nutzte diese Schwachstelle für Datendiebstahl und Erpressung aus. Der Bericht betont, dass dies das “dritte Jahr der letzten vier (2021, 2023 und 2024)” markiert, in dem FIN11 oder assoziierte Gruppen Dateitransferprodukte ins Visier nahmen – was den anhaltenden Fokus auf diese Systeme zeigt.

Cross-Site-Scripting (XSS)-Angriffe: Sechs XSS-Schwachstellen zielten auf verschiedene Produkte ab, darunter Mail-Server und Unternehmenssoftware. Diese ermöglichen die Ausführung nicht autorisierter Skripte und potenziellen Datenabfluss, was klare Compliance-Risiken schafft.

WebKit-Cookie-Sammlung: Der Bericht beschreibt einen ausgeklügelten Angriff, bei dem bösartiges JavaScript auf einer ukrainischen Regierungswebsite Browser-Cookies sammelte. Die Angreifer zielten speziell darauf ab, Zugangsdaten für login.microsoftonline.com zu erhalten, was potenziell Microsoft 365-Dienste wie Outlook und SharePoint kompromittieren könnte.

Befehlsinjektions-Schwachstellen: Acht Befehlsinjektionsfehler wurden “fast ausschließlich auf Netzwerk- und Sicherheitssoftware und -appliances” abgezielt, so der Bericht. Diese ermöglichen es Angreifern, beliebige Befehle mit Systemprivilegien auszuführen.

Die Erkennungslücke: Wo traditionelle Sicherheit versagt

Die Analyse von Google hebt ein grundlegendes Problem hervor: Die Systeme, die Ihre sensibelsten Daten verarbeiten, haben oft die geringste Sichtbarkeit. Der Bericht stellt ausdrücklich fest, dass “Endpoint Detection and Response (EDR)-Tools normalerweise nicht für diese Produkte ausgelegt sind.”

Dies schafft kaskadierende Sicherheitsherausforderungen:

Sicherheitsteams fehlt die Echtzeitsichtbarkeit in Dateitransfers und Datenaustausch
Verhaltensanomalie-Erkennung wird ohne ordnungsgemäße Protokollierung unmöglich
Die Reaktion auf Vorfälle wird durch unzureichende forensische Daten behindert
Compliance-Audits fehlen die notwendigen Dokumentationen

Der Bericht stellt fest, dass diese blinden Flecken besonders gefährlich sind, da betroffene Systeme “allein durch Remote-Code-Ausführung oder Privilegieneskalation erreichen können”, ohne die komplexen Exploit-Ketten, die typischerweise für Endbenutzergeräte erforderlich sind.

Bemerkenswerte Angriffe aus dem Bericht

Das Verständnis spezifischer Exploits hilft, die sich entwickelnde Bedrohungslandschaft zu veranschaulichen:

Der Angriff auf die ukrainische Regierungswebsite: GTIG-Forscher entdeckten bösartiges JavaScript, das in die Contact Form 7-Plugin-Dateien auf einer ukrainischen diplomatischen Website injiziert wurde. Dies war keine Schwachstelle im WordPress-Plugin selbst, sondern eine gezielte Kompromittierung, die Besuchercookies sammelte. Der Code zielte speziell auf MacOS-Benutzer auf Intel-Hardware ab und zeigte eine ausgeklügelte Zielauswahl.

Die dualen Exploits der CIGAR-Gruppe: Der Bericht beschreibt, wie die CIGAR-Gruppe (auch bekannt als RomCom) CVE-2024-9680 (eine Firefox-Schwachstelle) in Kombination mit CVE-2024-49039 (einem Windows-Privilegieneskalationsfehler) nutzte. Diese Gruppe betreibt sowohl Finanzkriminalität als auch mutmaßliche russische Regierungsspionage, was zeigt, wie Zero-Days mehreren Bedrohungsakteuren dienen.

Nordkoreanische Innovation: Zum ersten Mal erreichten nordkoreanische Akteure die von China unterstützten Gruppen mit fünf zugeordneten Zero-Days. Der Bericht stellt fest, dass diese Akteure “traditionelle Spionageoperationen mit Versuchen zur Finanzierung des Regimes mischen”, indem sie ausgeklügelte Techniken wie bösartige Anzeigen verwenden, die Zero-Click-Ausführungen auslösen.

Verteidigungsmaßnahmen gegen moderne Zero-Day-Bedrohungen aufbauen

Basierend auf den Ergebnissen des Berichts benötigen Organisationen mehrschichtige Verteidigungen, die speziell auf Schwachstellen in der Unternehmensinfrastruktur abzielen:

Sicherheitsüberwachung erweitern: Integrieren Sie MFT, SFTP und Sicherheitsappliances in Ihre SIEM– und Sicherheitsoperations-Workflows. Der Bericht betont, dass diese Systeme die gleiche Aufmerksamkeit wie traditionelle Endpunkte benötigen.

Zero-Trust-Architektur implementieren: Wenden Sie das Prinzip des geringsten Privilegs auf alle Filesharing– und Datenbewegungen an. Gehen Sie von einer Kompromittierung aus und verifizieren Sie jede Transaktion, insbesondere für Systeme mit administrativen Privilegien.

Sichere Entwicklung priorisieren: Der Bericht identifiziert, dass Befehlsinjektionen, XSS und Use-After-Free-Fehler – alle durch sicheres Codieren vermeidbar – die Exploits von 2024 dominierten. Regelmäßige Codeüberprüfungen und moderne Entwicklungsmethoden sind unerlässlich.

Sicherheitsbewertung von Anbietern: Da 18 Unternehmensanbieter ins Visier genommen wurden, bewerten Sie, wie schnell Ihre Anbieter auf Schwachstellen reagieren. Der Bericht stellt fest, dass “Patches das Potenzial beweisen, diese Sicherheitslücken von vornherein zu verhindern.”

Einheitliche Plattformen in Betracht ziehen: Lösungen wie das Kiteworks Private Data Network, die E-Mail, Dateitransfer und API-Sicherheit konsolidieren, können die Komplexität reduzieren und die Sichtbarkeit verbessern im Vergleich zur Verwaltung mehrerer Punktlösungen.

Was das für Ihre Sicherheitsstrategie bedeutet

Der Bericht von Google vermittelt eine klare Botschaft: Die Infrastruktur, die Sie zum Austausch sensibler Daten verwenden, ist zu einem primären Angriffsvektor geworden. Mit 44 % der Zero-Days, die auf Unternehmenssysteme abzielen, und über 60 % davon, die Sicherheits- und Netzwerktechnologien treffen, müssen traditionelle Sicherheitsmodelle aktualisiert werden.

Wichtige Erkenntnisse für Sicherheitsverantwortliche:

Attribution bleibt herausfordernd: GTIG konnte nur 34 von 75 Schwachstellen bestimmten Akteuren zuordnen, was uns daran erinnert, dass viele Angriffe nicht zugeordnet werden.
Verbesserungen bei Anbietern wirken: Browser- und mobile Exploits nahmen signifikant ab, was zeigt, dass Sicherheitsinvestitionen in diesen Bereichen Früchte tragen.
Neue Anbieter sind einem größeren Risiko ausgesetzt: Der Bericht stellt fest, dass kleinere Unternehmensanbieter möglicherweise nicht über die Ressourcen und Erfahrungen von “Big Tech”-Unternehmen verfügen, um Zero-Days zu adressieren.
Beharrlichkeit zahlt sich für Angreifer aus: Gruppen wie FIN11 zielen wiederholt auf die gleichen Arten von Infrastrukturen ab, was darauf hindeutet, dass sie zuverlässige Angriffspfade gefunden haben.

Für Organisationen, die regulierte Daten gemäß PCI DSS, HIPAA, DSGVO oder CMMC-Anforderungen verarbeiten, erfordern diese Erkenntnisse sofortige Aufmerksamkeit. Die Systeme, die Ihre sensibelsten Informationen verarbeiten – Dateitransfers, E-Mails, Web-Formulare – können nicht länger als passive Infrastruktur behandelt werden. Sie sind aktive Schlachtfelder, die umfassende Sicherheitsstrategien erfordern.

Häufig gestellte Fragen

Die Threat Intelligence Group von Google identifizierte 75 Zero-Day-Schwachstellen, die im Jahr 2024 in freier Wildbahn ausgenutzt wurden, wobei 33 auf Unternehmenssysteme abzielten.

Sicherheits- und Netzwerktechnologien waren am stärksten gefährdet, mit 20 Zero-Days – über 60 % aller auf Unternehmen abzielenden Schwachstellen. Dateitransfersysteme, VPNs und Sicherheitsappliances waren besonders betroffen.

Unternehmenssysteme erfordern oft nur einzelne Schwachstellen für eine vollständige Kompromittierung, arbeiten mit hohen Privilegien, verarbeiten wertvolle Daten und fehlen häufig EDR-Überwachung – was sie zu effizienten Zielen macht.

Erweitern Sie die Sicherheitsüberwachung auf alle Datenaustauschsysteme, implementieren Sie Zero-Trust-Prinzipien, stellen Sie sichere Codierungspraktiken sicher, bewerten Sie die Reaktionsfähigkeit der Anbieter auf Schwachstellen und ziehen Sie einheitliche Sicherheitsplattformen für bessere Sichtbarkeit in Betracht.

Der Bericht stellt ausdrücklich fest, dass EDR-Tools typischerweise Sicherheits- und Netzwerktechnologien nicht überwachen können, was gefährliche blinde Flecken schafft, die zusätzliche Sicherheitsmaßnahmen erfordern.

Weitere Ressourcen