China: Informationspflicht gibt Hackern womöglich Zugriff auf Sicherheitslücken
Tech-Firmen müssen in China Informationen über Sicherheitslücken umgehend an die Regierung geben. Von dort dürften die auch an staatliche Hackergruppen gehen.
Ein seit zwei Jahren geltendes chinesisches Gesetz, das alle in dem Land operierenden Firmen verpflichtet, IT-Sicherheitslücken umgehend an eine staatliche Stelle zu melden, sorgt dafür, dass Details dazu auch zu Stellen mit Verbindungen zu staatlichen Hackergruppen gelangen. Das geht aus einem jetzt vorgelegten Report des Atlantic Council hervor, in dem die Denkfabrik sogar nahelegt, dass der wachsende Einsatz von Zero-Day-Lücken durch Chinas Hacker auf diese neue Quelle zurückgeht. Ein Autor des Berichts hat gegenüber dem US-Magazin Wired sogar darauf hingewiesen, dass sich internationale Konzerne dieses Vorgehens überhaupt nicht bewusst sein könnten, weil Angestellte in China die Weitergabe der Informationen intern verschweigen könnten.
Vorabwissen über Sicherheitslücken
Bei dem fraglichen Gesetz handelt es sich um Vorgaben zur Verwaltung von Sicherheitslücken in Netzwerkprodukten. Das ist seit Ende 2021 in Kraft und verpflichtet IT-Unternehmen dazu, Sicherheitslücken in der eigenen Software innerhalb von 48 Stunden nach deren Entdeckung an das Ministerium für Industrie und Informationstechnik zu melden. Gleichzeitig wird Sicherheitsforschern untersagt, Details über solche Lücken zu veröffentlichen, bevor ein Patch verfügbar ist. Konkret heiße das, dass alle Hinweise auf Sicherheitslücken bei der chinesischen Regierung landen und die bis zur Veröffentlichung eines Patches fast exklusiven Zugriff habe, heißt es in dem Report. Zwar ermögliche das nicht direkt Angriffe, aber Hacker könnten erfahren, wo sie ansetzen sollten.
Wie das Autorenteam zusammenfasst, müssen die Informationen äußerst detailliert sein und sogar offenlegen, wo genau sich die Lücke befindet und wie sie ausgenutzt werden kann. Diese Details landeten in einer Datenbank, die mit Behörden und Organisationen geteilt werde. Zu denen gehören demnach mehrere Einrichtungen, die mit staatlich gesteuerten Hackergruppen in Verbindung gebracht werden, oder sogar selbst für Angriffe verantwortlich sein sollen. Die würden fahrlässig handeln, wenn sie diesen Zugang zu den Informationen nicht benutzen würden, schreibt das Team. Zwar gebe es keine Beweise dafür, dass das geschieht, aber die Gruppe verweist auf eine Bilanz von Microsoft, laut der Hackergruppen der Volksrepublik merklich mehr Zero-Day-Lücken ausnutzen.
Die Analysten haben auch eine Liste von Firmen gefunden, die sich angeblich an das Gesetz halten und Details zu Sicherheitslücken an Chinas Regierung weitergeben. Dabei handelt es sich um die Hersteller von industriellen Kontrollsystemen (ICS) Beckhoff, D-Link, KUKA, Omron, Phoenix Contact und Schneider Electric. Nur D-Link (aus Taiwan) und Phoenix Contact (aus Deutschland) hätten das auf Nachfrage energisch verneint, schreibt Wired. Die uneindeutigste Antwort kam demnach vom französischen Konzern Schneider. Insgesamt sei das ganze Ausmaß der Kooperation aus der Wirtschaft auch deshalb nur schwer abzuschätzen. Vorstellbar wäre, dass sie nur vage oder wenig hilfreiche Details weitergeben, zitiert das US-Magazin einen Experten.
Möglich sei aber auch, dass sich die chinesischen Unternehmensteile an die Vorgaben halten, ohne dass das in den Konzernzentralen überhaupt bekannt sei, meint der Cybersicherheitsexperte J. D. Work gegenüber Wired. Führungskräfte in China könnten ein weiteres chinesisches Gesetz dergestalt interpretieren, dass die interne Weitergabe dieser Information als Spionage verboten ist. Dann wüssten die westlichen Firmen überhaupt nicht, dass diese Informationen in China umgehend an die Regierung fließen. Aber auch wenn sich die Wirtschaft bislang nicht vollumfänglich an das Gesetz halten würde, gebe es keine Garantie, dass die gültigen Regeln nicht irgendwann entschiedener durchgesetzt würden, meint Kristin Del Rosso von Sophos, als Co-Autorin des Berichts.
(mho)