Zero-Day und Less-than-Zero-Day Vulnerabilities und Exploits

Gegen unveröffentlichte – nur wenigen Personen bekannte – Sicherheitslücken (Less-than-Zero-Day Vulnerabilities) und diese ausnutzende Angriffsprogramme (Exploits) können IT-Systeme nicht geschützt werden. In der Vergangenheit wurden Sicherheitslücken meist dem Hersteller gemeldet; dieser stellte (allerdings nicht in allen Fällen) eine Fehlerkorrektur zur Verfügung. In jüngerer Zeit werden Sicherheitslücken systematisch (Tool-gestützt) gesucht und an Behörden, Unternehmen und an die organisierte Kriminalität verkauft – und nicht oder nicht sofort dem Hersteller gemeldet. Durch Ausnutzung dieser unveröffentlichten Sicherheitslücken ist Wirtschaftsspionage und Computersabotage (auch der Steuerungsrechner des Internet) unerkannt möglich [GI 2007]. Praktizierte Anwendungen sind – u.a. auch als Titan Rain – dokumentiert [BfDI 2007, Keizer 2006, NSTAC 2007, Pohl 2007, Rath 2007].