Staatliche Schatten: Googles Analyse zu Zero-Day-Exploits im Jahr 2024

Sicherheitslücken, die ausgenutzt werden, bevor überhaupt ein Patch verfügbar ist – sogenannte Zero-Days – sind das Schreckgespenst der IT-Sicherheitswelt. In einem umfassenden Jahresbericht analysiert Googles Threat Intelligence Group (GTIG) den weltweiten Einsatz solcher Exploits im Jahr 2024. Die Ergebnisse sind alarmierend: Der Großteil dieser hochgefährlichen Angriffe geht auf das Konto staatlicher Akteure – oder von deren Auftragnehmern.

Ein begleitender Artikel auf heise online unterstreicht: Zwei Drittel der erfolgreichen Zero-Day-Angriffe sind direkt oder mittelbar staatlich gesteuert.

Sachverhalt: Googles Bedrohungsanalyse

Die GTIG identifizierte für das Jahr 2024 75 in freier Wildbahn ausgenutzte Zero-Day-Schwachstellen, etwas weniger als 2023 (98), aber weiterhin über dem Fünfjahresdurchschnitt. Die Angriffe wurden in zwei Hauptkategorien eingeteilt:

  • Endnutzertechnologien wie Mobilgeräte, Browser und Betriebssysteme
  • Unternehmensbezogene Technologien, darunter vor allem Sicherheits- und Netzwerkprodukte

Verlagerung der Angriffsziele

Während lange Zeit Browser und Mobilgeräte im Fokus standen, verschiebt sich das Interesse der Angreifer nun zunehmend auf Unternehmenssoftware. 44 % aller Zero-Day-Angriffe im Jahr 2024 richteten sich gegen Unternehmenssysteme – ein signifikanter Anstieg gegenüber 2023 (37 %). Besonders beliebt bei Angreifern waren:

  • Ivanti Cloud Services Appliance
  • Cisco Adaptive Security Appliance
  • Palo Alto Networks PAN-OS

Der Grund ist naheliegend: Diese Systeme verfügen über weitreichende Rechte im Unternehmensnetzwerk, und ihre Kompromittierung eröffnet weitgehenden Zugang ohne komplexe Angriffsketten.

Grafiken von Google zum Report

Analyse: Wer nutzt Zero-Days – und warum?

Staatliche Akteure dominieren

In 34 der 75 Fälle konnte Google die Angreifer mit hoher Wahrscheinlichkeit identifizieren:

  • 53 % der Angriffe gingen auf das Konto von Cyber-Spionagegruppen, entweder direkt staatlich oder über sog. „Commercial Surveillance Vendors“ (CSVs) – also Firmen, die Spionagewerkzeuge entwickeln und exklusiv an staatliche Stellen verkaufen.
  • Besonders aktiv: (5 Zero-Days), (ebenfalls 5) und verschiedene Gruppen aus Russland und dem Iran.
  • Auffällig: Auch Nordkorea nutzt Zero-Days zunehmend nicht nur zur , sondern zur finanziellen Bereicherung, etwa im Rahmen von – und Datenexfiltration.

Sicherheitsfirmen unter Beschuss

Ironischerweise geraten auch Anbieter von Sicherheitslösungen selbst verstärkt ins Visier. Besonders betroffen: Ivanti, das 2024 häufiger Ziel war als Apple. Ein bemerkenswerter Wandel in der Priorisierung durch Angreifer – und ein Weckruf an die Branche.

Staatliche Hacker im Überblick

Zu den bedeutsamsten internationalen Akteuren gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern und die Stabilität der europäischen Demokratien zu untergraben.

Neben den im Folgenden benannten Hauptakteuren gibt es auch andere Länder und nichtstaatliche Akteure, die versuchen, Wahlen in Europa zu beeinflussen. Dazu gehören beispielsweise Gruppen, die im Auftrag von Regierungen oder aus eigenem Interesse handeln, um bestimmte politische Agenden voranzutreiben. Diese Akteure nutzen eine Vielzahl von Methoden, darunter Cyberangriffe, Desinformation, wirtschaftlichen Druck und diplomatische Manöver, um ihre Ziele zu erreichen. Die Europäische Union und ihre Mitgliedstaaten stehen vor der Herausforderung, diese Bedrohungen zu erkennen und abzuwehren, um die Integrität ihrer demokratischen Prozesse zu schützen.

Russland

Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.

Russische Hacker und ihre Aktivitäten

China

China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.

Hackeraktivitäten und Spionage aus China

Iran

Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.

Irans Cyberfähigkeiten und Hacker

Nordkorea

Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.

Cyberkriminalität in Nordkorea und die Bedrohung der Kryptowährungsindustrie

Technische Auswertung: Welche Lücken wurden genutzt?

Die meistgenutzten Schwachstellenarten im Jahr 2024:

  • Use-after-free (z. B. in Browser-Engines wie WebKit)
  • Command-Injection (insbesondere bei Netzwerkprodukten)
  • Cross-Site-Scripting (XSS)

Diese Fehler lassen sich durch saubere Programmierung, moderne Entwicklungspraktiken und regelmäßige Code-Reviews größtenteils vermeiden. Die Realität zeigt jedoch: Auch im Jahr 2024 werden dieselben Schwachstellen wie vor zehn Jahren ausgenutzt – ein Indiz für strukturelle Versäumnisse bei Herstellern.

Handlungsempfehlungen

Googles Bericht gibt Unternehmen einige klare Ratschläge:

  • Zero-Trust-Architekturen und Least-Privilege-Prinzipien konsequent umsetzen
  • Netzwerksegmentierung und Monitoring stärken
  • EDR-Integration für bisher „blinde Flecken“ wie VPN- und Sicherheitsgeräte
  • Legacy-Code aktiv refaktorisieren und absichern

Vor allem aber: Zero-Days sind nicht nur ein technisches, sondern ein politisches Problem. Wenn staatliche Akteure ihre Aufklärungsmittel durch Angriffe auf zivil genutzte Systeme beschaffen, wird die Sicherheit der Allgemeinheit fahrlässig geopfert.

Zum Thema Hacking bei uns:

Ergebnis

Googles Jahresanalyse der Zero-Day-Exploits für 2024 entlarvt eine gefährliche Realität: Der Großteil der Angriffe stammt von staatlichen oder staatlich unterstützten Akteuren. Der Trend geht dabei klar in Richtung unternehmensfokussierter Produkte, besonders im Netzwerk- und Sicherheitsbereich. Hersteller, die diese Produkte liefern, stehen mehr denn je in der Pflicht, ihre Software robust und resilient zu gestalten. Der Bericht ist ein Appell an die Politik und die Industrie zugleich: Die Verteidigung gegen Zero-Day-Angriffe beginnt mit Verantwortung – und endet nicht bei technischer Kompetenz.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.