Das BSI zählt derzeit rund 119 neue Sicherheitslücken pro Tag (Quelle: BSI-Lagebild Angriffsfläche) — 24 Prozent mehr als im Vorjahr. Ein Teil davon wird ausgenutzt, bevor überhaupt ein Patch existiert. Ein solcher Zero-Day-Exploit trifft signaturbasierte Virenscanner blind: keine bekannte Signatur, kein Patch, keine Warnung — nur ein Angreifer, der bereits im Netzwerk sitzt. Zero-Day-Exploit-Schutz durch EDR funktioniert anders: EDR stoppt Angriffe, indem es verdächtiges Prozessverhalten statt bekannter Signaturen erkennt, auch ohne dass die Schwachstelle bereits katalogisiert ist. Wer seine Endpoint-Security-Ausstattung noch nicht auf Verhaltenserkennung umgestellt hat, sollte das vor der nächsten Angriffswelle nachholen.
Was ist ein Zero-Day-Exploit — und warum ist 2026 anders?
Ein Zero-Day-Exploit nutzt eine Sicherheitslücke aus, für die der Hersteller noch keinen Patch bereitgestellt hat. Der Name kommt daher, dass Entwickler „null Tage“ Zeit hatten, die Lücke zu schließen, bevor sie aktiv angegriffen wurde.
Neu 2026 ist die Geschwindigkeit. Sicherheitsforscher der Google Threat Intelligence Group identifizierten im Juni 2026 den ersten bekannten KI-generierten Zero-Day-Exploit: ein Python-Skript, das eine Zwei-Faktor-Authentifizierung automatisiert umging. Das BSI warnte im selben Monat in einem Arbeitspapier, dass KI-Systeme Schwachstellen zunehmend autonom erkennen und direkt in Angriffe umsetzen. Die Zeitspanne zwischen Entdeckung einer Lücke und ihrer aktiven Ausnutzung schrumpft dadurch spürbar.
Warum KMU besonders im Visier stehen
Kleine und mittlere Unternehmen gelten bei Zero-Day-Angriffen oft als leichteres Ziel als Konzerne. Der Grund liegt selten am fehlenden Problembewusstsein, sondern an knapperen Ressourcen: Ohne dediziertes Security-Team bleibt weniger Zeit, Patches zeitnah einzuspielen oder Alarme rund um die Uhr auszuwerten.
Gleichzeitig sind KMU für Angreifer attraktiv, weil sie oft als Einfallstor zu größeren Geschäftspartnern dienen — etwa über Zulieferketten oder gemeinsame IT-Schnittstellen. Automatisierte, KI-gestützte Angriffswerkzeuge verschärfen dieses Ungleichgewicht zusätzlich, weil sie kleinere Netzwerke ebenso effizient scannen wie große.
Warum klassischer Virenschutz bei Zero-Days versagt
Signaturbasierte Antivirenprogramme vergleichen Dateien mit einer Datenbank bekannter Schadsoftware. Bei einem Zero-Day-Exploit existiert diese Signatur schlicht noch nicht — der Scanner meldet „sauber“, während im Hintergrund bereits Daten abfließen.
Drei Gründe, warum das in der Praxis zum Problem wird:
- Patch-Lücke: Zwischen Bekanntwerden einer Schwachstelle und dem Rollout eines Patches vergehen in vielen Unternehmen mehrere Tage bis Wochen.
- Dateilose Angriffe: Moderne Exploits nutzen oft legitime Systemwerkzeuge (PowerShell, WMI) statt eigener Malware-Dateien. Klassische Scanner haben nichts zu erkennen.
- Fehlende Kontextsicht: Ein einzelner verdächtiger Prozess wirkt isoliert harmlos; erst die Kette aus mehreren Aktionen zeigt den Angriff.
Wie schützt modernes EDR vor Zero-Day-Exploits?
Modernes EDR überwacht Endpunkte kontinuierlich auf Verhaltensebene statt auf Signaturbasis. Es erkennt verdächtige Prozessketten, etwa Rechteausweitung gefolgt von Datenverschlüsselung, in Echtzeit, isoliert den betroffenen Rechner automatisch vom Netzwerk und liefert dem Sicherheitsteam eine vollständige Angriffs-Timeline zur Analyse, ohne dass vorher eine bekannte Signatur vorliegen muss.
Diese Verhaltensanalyse läuft unabhängig davon, ob die zugrunde liegende Schwachstelle katalogisiert ist. Lösungen wie Sophos EDR kombinieren dafür maschinelles Lernen mit vordefinierten Erkennungsregeln (Indicators of Attack), die typische Angriffsmuster statt einzelner Dateien bewerten.
EDR vs. klassischer Virenschutz im Vergleich
| Kriterium | Klassischer Virenschutz | Modernes EDR |
|---|---|---|
| Erkennungsbasis | Bekannte Signaturen | Verhalten + Prozessketten |
| Zero-Day-Schutz | Kaum vorhanden | Kernfunktion |
| Reaktion | Datei blockieren/löschen | Automatische Netzwerk-Isolation |
| Sichtbarkeit | Einzelereignis | Vollständige Angriffs-Timeline |
| Analysetiefe | Gering | Forensische Rückverfolgung |
Der Unterschied zeigt sich vor allem im Ernstfall. Ein klassischer Scanner meldet eine gelöschte Datei. EDR liefert die komplette Kette vom Erstzugriff bis zur versuchten Rechteausweitung.
KI-generierte Exploits: Die nächste Eskalationsstufe
Der von der Google Threat Intelligence Group dokumentierte Fall zeigt, wohin sich die Bedrohungslage entwickelt: Angreifer nutzen generative KI, um Exploit-Code automatisiert an neue Systemversionen anzupassen. Das senkt die technische Hürde für Angriffe, die früher tiefes Spezialwissen erforderten.
Für Unternehmen bedeutet das: Verhaltensbasierte Erkennung wird vom „Nice-to-have“ zur Grundausstattung, weil sich signaturbasierte Ansätze gegen automatisiert generierte Varianten kaum noch zeitnah halten lassen. Details zur Abgrenzung von EDR gegenüber verwandten Technologien liefert der Beitrag EDR, XDR und MDR im Unterschied.
Praxisbeispiel: So läuft eine Zero-Day-Erkennung ab
Ein typischer Ablauf verdeutlicht den Unterschied: Ein Mitarbeiter öffnet einen präparierten Anhang, der eine bislang unbekannte Schwachstelle in einer weit verbreiteten Bürosoftware ausnutzt. Der Exploit startet im Hintergrund einen PowerShell-Prozess, der Zugangsdaten aus dem Arbeitsspeicher auslesen will.
Ein klassischer Virenscanner sieht in diesem Moment nur ein legitimes Systemwerkzeug und schlägt nicht an, denn PowerShell gehört schließlich zu Windows. EDR bewertet dagegen die gesamte Kette: ungewöhnlicher Prozessstart durch ein Office-Dokument, gefolgt von Speicherzugriff auf Anmeldedaten. Diese Kombination löst einen Alarm aus, der Endpunkt wird automatisch vom Netzwerk isoliert, noch bevor sich der Angreifer lateral — also auf weitere Systeme im Netzwerk — bewegen kann. Das Sicherheitsteam erhält anschließend eine vollständige Timeline zur forensischen Aufarbeitung, ohne dass vorher eine Signatur für den Exploit existiert haben muss.
EDR-Einführung: Diese Schritte zählen für KMU
- Bestandsaufnahme: Welche Endpunkte (Server, Laptops, mobile Geräte) müssen abgedeckt werden?
- Rollout planen: EDR-Agenten schrittweise ausrollen, beginnend mit kritischen Servern.
- Reaktionsprozess festlegen: Wer reagiert auf einen Alarm — intern oder als Managed-Detection-Service?
- Testlauf: Simulierten Angriff (Tabletop-Übung) durchführen, bevor ein echter Angriff eintritt.
- Kontinuierliches Tuning: Erkennungsregeln nach den ersten Wochen an das eigene Umfeld anpassen.
Wer unsicher ist, welche EDR-Lösung zur eigenen Infrastruktur passt, bekommt im Produktberater in wenigen Minuten eine passende Empfehlung nach Unternehmensgröße und Budget.
Häufige Fragen zu Zero-Day-Exploits und EDR
Was ist der Unterschied zwischen einem Zero-Day-Exploit und einer bekannten Schwachstelle?
Bei einer bekannten Schwachstelle existiert bereits ein Patch oder zumindest ein Advisory. Ein Zero-Day-Exploit nutzt eine Lücke aus, die dem Hersteller noch nicht bekannt ist oder für die noch keine Korrektur bereitsteht.
Kann klassische Antivirensoftware Zero-Day-Angriffe erkennen?
Nur eingeschränkt. Signaturbasierte Scanner erkennen ausschließlich bereits katalogisierte Schadsoftware. Für unbekannte Exploits ist verhaltensbasierte Erkennung wie EDR notwendig.
Was kostet eine EDR-Lösung für kleine Unternehmen?
Sophos EDR kostet derzeit rund 134 Euro pro Nutzer und Jahr (Stand Juli 2026, Preis auf cyber-shop.eu). Andere Hersteller liegen je nach Funktionsumfang und Endpunktzahl in ähnlicher Größenordnung.
Ersetzt EDR eine Firewall?
Nein. EDR schützt den einzelnen Endpunkt, eine Firewall kontrolliert den Netzwerkverkehr an der Perimeter-Grenze. Beide Ebenen ergänzen sich und sollten kombiniert eingesetzt werden.
Wie lange braucht die Einführung von EDR im Unternehmen?
Der technische Rollout der Agenten ist meist innerhalb weniger Tage abgeschlossen. Bis Erkennungsregeln sauber auf das eigene Umfeld eingestellt sind, sollten Unternehmen zusätzlich zwei bis vier Wochen Tuning-Zeit einplanen.
Reicht EDR für KMU ohne eigenes Security-Team aus?
Allein oft nicht — Alarme müssen ausgewertet werden. Viele KMU kombinieren EDR deshalb mit einem Managed-Detection-and-Response-Service, der die Überwachung übernimmt.
Zero-Day-Schutz mit EDR: Die Kernaussage für Unternehmen
Zero-Day-Exploits lassen sich nicht durch Patches allein verhindern, weil die Lücke per Definition noch unbekannt ist. Verhaltensbasierte Erkennung durch EDR ist damit keine Kür mehr, sondern die Grundlage, um auf genau diese Angriffe reagieren zu können, bevor Schaden entsteht. Welche EDR-Kategorie zu Ihrer Unternehmensgröße passt, zeigt ein Blick in die EDR-Produktübersicht.
Sophos im Cyber Shop konfigurieren
Endpoint, Firewall, MDR, XDR — alle Lizenzen mit DACH-Mittelstand-Staffelpreisen.
