Die Serie Zero Day befasst sich mit der aktuellen Cyber-Bedrohungslage und behandelt die Folgen eines großflächigen Cyberangriffs in den USA. Für genau eine Minute fallen im gesamten Land gleichzeitig Strom, Mobilfunknetzwerk, Serversysteme, Verkehrsleitsysteme und Flugsicherungssysteme aus. Nach 60 Sekunden laufen alle Netzwerke und Systeme wieder, zudem wird eine Nachricht an alle Smartphones im gesamten Land verschickt. Der Angriff kostet über 3.000 Menschenleben und hat große Folgen auf die Gesellschaft. Die Serie greift dabei ein hochaktuelles und reales Risiko auf: Cyberattacken, die auf bisher unbekannte Schwachstellen – sogenannte Zero Day Vulnerabilities – abzielen. Doch wie realistisch ist das in der Serie gezeigte Szenario eines vergleichbaren Cyberangriffs auf kritische Infrastrukturen mit landesweiten Auswirkungen wirklich?

Kommentar von Emily Austin, Security Researcher bei Censys

Zero Day thematisiert ein brandaktuelles Thema: Nach zahlreichen Angriffen sind Cyberangriffe in den letzten Jahren immer mehr in den öffentlichen Fokus gerückt. Die Serie wurde deutlich von der realen Bedrohung durch Cyberangriffe inspiriert, greift die Aktualität des Themas auf und zeichnet ein düsteres und bedrohliches Bild nach einem großflächigen Angriff. Das Szenario einer Cyberattacke auf die Stromversorgung, das Mobilfunknetz oder Transport-, Verkehrs- und Flugsicherungssysteme ist dabei grundsätzlich selbstverständlich realistisch. Dass jedoch in einem einzigen Angriff landesweit alle Systeme und Infrastrukturen lahmgelegt werden, ist dagegen äußerst unrealistisch und aus dramaturgischen Gründen stark überzeichnet.

In den letzten Jahren haben wir einige Attacken gegen kritische Infrastrukturen erlebt. Reale Cyberangriffe auf KRITIS laufen aber anders ab als in der Serie gezeigt. Wird beispielsweise die Stromversorgung angegriffen, ist mit einem Stromausfall zu rechnen – jedoch in einer bestimmten Region und keineswegs in einer gesamten Stadt oder sogar in einem ganzen Land. In der Praxis ziehen selbst begrenzte Cyberangriffe auf kritische Infrastrukturen und der damit verbundene Stromausfall einen erheblichen Aufwand für die Wiederherstellung nach sich: Systeme müssen analysiert, Schwachstellen geschlossen und die Kontrolle zurückerlangt werden – ein Prozess, der oft Stunden oder Tage dauert, nicht Sekunden.

Zudem ist es überzeichnet, dass in einem einzigen Angriff alle kritischen Infrastrukturen gleichzeitig erfolgreich angegriffen werden können. Die Infrastrukturen eines Landes sind dezentral aufgebaut, in den USA gibt es beispielsweise über 3.000 verschiedene Stromversorger. Deren Netzwerke sind zudem in unterschiedlicher Form geschützt, der Schutz der verschiedenen Versorger stimmt niemals exakt überein. Ein Angriff des in der Serie gezeigten Ausmaßes würde daher sehr große Ressourcen benötigen, um für alle unterschiedlichen Netzwerke Einfallspunkte und ausnutzbare Exploits zu finden. Sicherlich wäre es möglich, eine Vulnerability zu finden, die bei mehreren Versorgungsunternehmen auftritt. Dabei könnte es sich beispielsweise um die gleiche Version einer Hardware handeln. Unrealistisch ist es jedoch, dass eine einzige ausnutzbare Schwachstelle bei allen Stromversorgern sowie bei allen anderen in der Serie vom Cyberangriff betroffenen landesweiten Systemen auftritt. Daher können auch nicht alle Systeme und Netzwerke landesweit gleichzeitig angegriffen und abgeschaltet werden.

Für eine solche Attacke sind außerdem umfangreiche Kenntnisse über jede einzelne Sicherheitsarchitektur erforderlich. Herauszufinden, mit welchen Schwachstellen IT-, IoT- oder OT-Netzwerke angreifbar sind, erfordert große personelle und zeitliche Ressourcen. Da sich Netzwerksysteme sowie mögliche Schwachstellen durch Patches laufend ändern, können gewonnene Erkenntnisse bereits schnell veraltet sein. Ein solches Vulnerability Mapping nicht nur für ein System, sondern für landesweit mehrere tausend Systeme durchzuführen und diese dann auch noch gleichzeitig anzugreifen, erscheint also ebenfalls mehr als unrealistisch.

Dramaturgische Überspitzungen vor konsistent realitätsnahem Szenario

Als spannender Thriller greift Zero Day aktuelle Themen auf und entwirft ein fesselndes Szenario mit direkten Bezügen auf reale Ereignisse. Die realistische Umsetzbarkeit eines derart groß angelegten Cyberangriffs auf landesweite kritische Infrastrukturen erscheint dabei jedoch mehr als zweifelhaft. Zero Day ist von realen Ereignissen und Schlagzeilen inspiriert – als Unterhaltungsformat nimmt sich die Serie aber erzählerische Freiheiten für mehr Spannung und Dramatik.

Einige Elemente aus der Serie haben durchaus einen realen Hintergrund – neben tatsächlichen Cyberangriffen auf KRITIS etwa hochspezialisierte Cyberoperationen wie Tailored Access Operations oder Veröffentlichungen aus Vault 7. Ob sich die in der Serie gezeigten Angriffe in dieser Form jedoch tatsächlich realisieren ließen, bleibt höchst fragwürdig und unglaubwürdig.

Letztlich gilt: Echte Cyberangriffe auf kritische Infrastrukturen sind oft weniger spektakulär, dafür aber ebenso gefährlich. In der Realität verbringen Angreifer Stunden mit der Analyse von Logs, statt auf Knopfdruck ein Land ins Chaos zu stürzen – eine weniger aufregende, aber dafür realistischere Darstellung von Cyberkriminalität.

Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management.

