China hat sich in den letzten Jahren zu einem wichtigen Player im globalen Cyberraum entwickelt. Nicht nur in der Entwicklung und im Vertrieb kommerziell erfolgreicher Technologien und Digitalprodukte wie 5G (Huawei) und TikTok (ByteDance) nehmen chinesische Akteure eine führende Rolle ein. Auch in der Regulierung des Cyberraums beschreitet China neue Wege. Besondere Aufmerksamkeit hat vor kurzem eine neue chinesische Richtlinie zum Umgang mit IT-Sicherheitslücken erhalten. Doch wie unterscheidet sich Chinas Ansatz von dem in Europa und den USA, und was sind potentielle Implikationen für die IT-Sicherheit und Forschung?

Die "Regulations on the Management of Network Product Security Vulnerabilities", welche seit dem 1. September 2021 in Kraft sind, definieren die Meldewege und -pflichten ("Disclosure") chinesischer Sicherheitsforscher im Umgang mit Schwachstellen klarer als je zuvor. Demnach werden Sicherheitsforscher dazu ermutigt, gefundene Sicherheitslücken an die betreffenden Produktbetreiber weiterzugeben. Eine Veröffentlichung von Sicherheitslücken bevor Sicherheitsupdates verfügbar sind dürfte nur durch das Ministerium für Industrie und Informationswirtschaft (MIIT, Ministry of Industry and Information Technology) und das Ministerium für öffentliche Sicherheit (MPS, Ministry of Public Security) erfolgen. Dies ist auch nicht nach einem Zeitraum von mehreren Monaten erlaubt, wie international üblich, um Herstellern auf verantwortungsvolle Weise Druck zur Behebung von Sicherheitslücken zu machen. Stattdessen sollen Lücken von den Herstellern selbst innerhalb von zwei Tagen an das MIIT gemeldet werden, welches diese dann an andere Behörden weiterleitet. Die Weitergabe von Schwachstellen an ausländische Individuen und Organisationen ist – mit Ausnahme der Produktanbieter – nicht erlaubt. Im Zuge von Log4j konnte man sehen wie China das Gesetz implementiert.

Das neue chinesische Disclosure-Gesetz passt zum bisherigen chinesischen Ansatz staatlich gelenkter Steuerung des Cyberraums: Während in den 1990er-Jahren Chinas rasante Modernisierung das Internet als neuen Wirtschaftsraum erschloss, entwickelten chinesische Behörden – mit Unterstützung amerikanischer Firmen – auch die sogenannte "Great Firewall", das weitreichende Zensursystem, welche heute stärker als je ist. Im Zuge der weltweiten Finanzkrise 2008 beschloss die chinesische Regierung, die Digitalwirtschaft zu einem wichtigen Fundament der zukünftigen inländischen Wirtschaft zu machen. Glasfaser, Smartphones und soziale Medien sorgten schliesslich für eine flächendeckende Verbreitung des Internets in China, begleitet von immer komplexeren Kontrollmassnahmen: eigene Standards für IT-Sicherheitsprodukte, Zensurvorgaben auch für ausländische Unternehmen, und – gerade im letzten Jahr – verschiedene regulatorische Massnahmen, um die Macht chinesischer Internetkonzerne in Schach zu halten.

Das neue Disclosure-Gesetz lässt sich somit als konsequente Weiterentwicklung von Chinas Cyberstrategie sehen: Mit der raschen Weitermeldung von Sicherheitslücken an das MIIT sollen die wirtschaftlichen Chancen der Digitalisierung so weit wie möglich nutzbar gemacht werden, ohne dass der Staat dabei zu sehr die Kontrolle über potenzielle Risiken verliert. Nicht-staatliche Akteure wie Sicherheitsforscher:innen und Unternehmen werden dabei direkt in die Erreichung staatlicher Ziele mit einbezogen – ein Ansatz, der schon lange unter dem Label "whole-of-nation" bekannt ist und auch z. B. von Forscher der Universität der Bundeswehr für die Steigerung der Resilienz im Cyberraum befürwortet wird.

Die Weitergabepflicht von IT-Sicherheitslücken an das MIIT innerhalb von 48 Stunden nach Befund ist nun der Punkt, der am meisten Kritik aus dem Ausland hervorgerufen hat. Das Argument ist, dass sich chinesische Geheimdienste somit wohl (exklusiven) Zugang zu wichtigen Schwachstellen sicherten, um diese gegebenenfalls für offensive Zwecke gegen andere Staaten und Akteure nutzen zu können. Dass dieser Verdacht nicht ganz unbegründet ist zeigt unter anderem ein Bericht der Sicherheitsfirma Recorded Future, die schon 2017 in einer Analyse feststellten, dass gemeldete Schwachstellen in China zum Teil erst mit einer Verzögerung an die betroffenen Firmen gemeldet und während dieser Zeitverzögerung auch Cyberangriffe registriert werden konnten. Die Analysten hegen einen ähnlichen Verdacht auch gegenüber US-amerikanischen Stellen, auch wenn sich die Muster dort von denen chinesischer Akteure unterscheiden.

Seit 2014 ist bekannt, dass die USA einen sogenannten Vulnerabilities Equities Prozess implementiert haben, in welchem Schwachstellen, die von Sicherheitsbehörden gefunden werden, auf ihre mögliche Nutzung für offensive Zwecke evaluiert werden. Auch deutsche Sicherheitsforscher argumentieren für den Aufbau eines ähnlichen Prozesses in deutschen Institutionen. Der chinesische Ansatz geht nun deutlich weiter: Dadurch, dass Schwachstellen von Unternehmen direkt an das MIIT gemeldet werden müssen (und das weitere Verfahren damit recht intransparent bleibt), soll praktisch die gesamte chinesische Sicherheits-Community in eine Art Vulnerabilities Equities Prozess mit chinesischer Prägung einbezogen werden (1). In den USA und in Europa ist dagegen die Skepsis gegenüber einem unkontrollierten Ausbau staatlicher Zugriffsmöglichkeiten und der Effektivität offensiver Cybermassnahmen insbesondere von Seiten zivilgesellschaftlicher Organisationen gross.

Das neue Gesetz bietet zwar Raum für opportunistisches Handeln, hat aber auch eine oft übersehene defensive Ausrichtung.

Präsident Xi Jinping und Chinas Führung vertreten die Ansicht, dass es "ohne Netzwerksicherheit keine Staatssicherheit" gibt. Das Ziel, die Netzwerksicherheit zu erhöhen, lässt sich aus unterschiedlichen Perspektiven nachvollziehen: Einerseits sind das Internet und die damit verbundenen Technologien in den letzten Jahren in allen Gesellschaftsbereichen immer wichtiger geworden, was die Angriffsfläche erhöht hat.

Gleichzeitig wurde die Sicherheit dabei lange Zeit vernachlässigt. Qihoo 360, eine der führenden chinesischen Sicherheitsfirmen, kam im Jahr 2015 zum Ergebnis, dass fast die Hälfte der von ihr untersuchten zwei Millionen Webseiten Schwachstellen aufwiesen – 13% davon sogar gravierende. 95% der betroffenen Webseiten blieben dabei über einen langen Zeitraum ungefixt. Zwar hat sich die Situation laut einer Studie aus dem Jahr 2019, die auf einem weit kleineren Datensatz basierte, leicht verbessert. Investitionen in die IT-Sicherheit als Anteil der Gesamtausgaben in die Digitalisierung hinken in China allerdings mit 1% gegenüber 15% in den USA noch weit nach.

Daneben gibt es Indizien, dass die verwundbare IT-Sicherheit tatsächlich ausgenutzt wird: Das Ministry of State Security (MSS), zuständig für die chinesischen Geheimdienste, behauptete 2019, dass fast 100 Advanced Persistent Threats (APT) Gruppen regelmässig chinesische Infrastrukturen angreifen. Qihoo 360 beschreibt ebenfalls Angriffe auf chinesische Regierungsorganisationen sowie kritische Industriesektoren. Hinzu kommt der generelle Anstieg der Cyberkriminalität in China sowie finanziell motivierte Cyberangriffe, die sich ebenfalls Schwachstellen zu Nutze machen. Das neue Gesetz könnte also theoretisch dafür sorgen, dass Schwachstellen schneller identifiziert und geschlossen werden, um Cyberangriffe zu erschweren.

Voraussetzung für die Effektivität des Gesetzes ist jedoch auch, dass sich talentierte Sicherheitsforscher in dem neuen Rahmen zurechtfinden und entsprechend der Vorstellungen der chinesischen Politik agieren. Es ist möglich, dass das Gesetz ganz generell die Sorge chinesischer Sicherheitsforschern vor rechtlichen Konsequenzen reduziert. Dies ist aus Sicht der Cybersicherheit zunächst positiv zu werten, versuchen doch Organisationen teilweise durch angedrohte oder tatsächliche Gerichtsverfahren die Arbeit von externen Forschern an ihren Systemen einzuschränken.

Einer Erhebung von HackerOne zufolge stehen unterschiedliche Motivationen hinter der Arbeit von Sicherheitsforschern. Ganz vorne dabei ist die Lernerfahrung: Im Aufdecken von Schwachstellen können Sicherheitsforscher ihr Verständnis komplexer Systeme und ihre Fähigkeiten erproben. Im neuen Gesetz werden der eigentlichen Aktivität des Hackens tatsächlich keine neuen Grenzen gesetzt. Der Austausch mit Kollegen aus aller Welt jedoch wird deutlich eingeschränkt, wenn Sicherheitslücken nicht mehr veröffentlicht und auch nicht mehr an ausländische Organisationen weitergegeben werden dürfen.

Auch für diejenigen Sicherheitsforscher, die vor allem auf Geld und Karriere aus sind, dürften internationale Erfolgsaussichten geringer werden. Dafür wird von chinesischer Seite viel in heimische Alternativen investiert: Preisgelder auf dem chinesischen Tianfu Cup, einem Wettbewerb, bei dem Sicherheitsforscher live ihre Fähigkeiten präsentieren, betragen insgesamt 1,5 Millionen US-Dollar. Spitzenteams wie Qihoo 360 von Tencent und andere attraktive chinesische Arbeitgeber – unter anderem auch das Militär – werben inzwischen ebenfalls um nationale Talente.

Schliesslich geben viele Sicherheitsforscher auch noch an, dadurch motiviert zu sein, dass sie zum Schutz von Unternehmen und Individuen beitragen können. Für diese wird entscheidend sein, wie sie sich zur potenziellen Nutzung der von ihnen aufgedeckten Schwachstellen für offensive Zwecke positionieren.

Neben den geopolitischen Implikationen und unklaren Auswirkungen auf die Netzwerksicherheit und Forschung, stellt sich auch die Frage, wie europäische Modelle aussehen könnten. Forscher und diverse Institutionen fordern auch in Deutschland schon seit langem eine proaktivere Herangehensweise an den Umgang mit Schwachstellen. Auch in der Schweiz werden Stimmen laut, die zum Handeln auffordern, der Bund hat kürzlich erste Massnahmen mitgeteilt.

Forderungen sind unter anderem:

Denn dass sich im Schatten des Internet-Booms ein florierender Schwarzmarkt für Zero-Day-Schwachstellen entwickelt hat, hat sicher auch mit der fehlenden staatlichen Übersicht zu tun. Die neuen chinesischen Regelungen stehen insofern auch für einen Versuch, Disclosure-Prozesse stärker in staatliche Bahnen zu lenken. Ob dieses "Vulnerabilities Disclosure mit chinesischer Prägung" die erkannten Probleme effektiv angeht und dabei auch förderlich ist für ein friedliches Miteinander, muss sich selbstverständlich noch zeigen.

[1] Jantje Silomon, Mischa Hansel und Fabiola Schwarz (im Erscheinen) Bug Bounties: Between new Regulations and Geopolitical Dynamics, 17th International Conference on Cyber Warfare and Security Proceedings, New York.