China: Unternehmen müssen Schwachstellen melden – Hacker warten bereits

B2B Cyber Security ShortNews

Beitrag teilen

Unternehmen – auch ausländische – sind in China laut Gesetz verpflichtet Schwachstellen in Systemen und Fehler in Codes umgehend an eine staatliche Stelle zu melden. Allerdings warnen Experten, da China staatlich kontrollierte Hacker nutzt und mit den Informationen zu den Schwachstellen fast ungehindert Zugriff auf die Systeme der Unternehmen erlangen könnte.

Die Denkfabrik Atlantic Council hat einen Report veröffentlicht der auf die neue chinesische Verordnung analysiert, die Unternehmen vorschreibt, dass sie Sicherheitslücken und Fehler in Codes an eine staatliche Ministerium für Industrie und Informationstechnologie (MIIT) innerhalb 48 Stunden melden müssen. Gleichzeit warnen die Experten, da China mehrere Hackergruppen staatlich kontrolliert und die Informationen sofort zum Angriff nutzen kann. Der Report trägt daher auch den Titel “Wie China Software-Schwachstellen zu einer Waffe macht”. In der Analyse gehen die Experten der Denkfabrik sogar davon aus, dass der aktuell ständige Quell an Zero-Day-Lücken auf die Chinesische Datenbank des MIIT zurückgeht.

Viele neue Zero-Day-Lücken aus MIIT-Datenbank?

Die chinesischen Regeln verbieten es Forschern Informationen über Schwachstellen zu veröffentlichen, bevor ein Patch verfügbar ist, es sei denn, sie stimmen sich mit dem Produkteigentümer und dem MIIT ab Auch Veröffentlichung von Proof-of-Concept-Code, der zeigt, wie eine Schwachstelle ausgenutzt werden kann ist nicht erlaubt.

Laut dem Report ist die Weitergabe der Sicherheitslücke an das Pekinger Büro des 13. MSS-Büros besonders besorgniserregend. Experten weisen darauf hin, dass das Büro die letzten zwanzig Jahre damit verbracht hat, sich frühzeitig Zugang zu Software-Schwachstellen zu verschaffen.

Kaum Weitergabe von ICS-Schwachstellen

Seit Mai 2021 gibt es nahezu einen vollständige Rückgang der öffentlich gemeldeten ICS-Schwachstellen in China laut der CNVD-Datenbank (Bild: Sleight of Hand, Cary und Del Rosso, Atlantic Council).

Der Report hat auch festgestellt, dass viele im ICS-Bereich (Industrial Control System) gemeldeten Schwachstellen nicht mehr an die betroffenen Unternehmen weitergeleitet werden. Die chinesischen staatlichen Datenbanken zeigen seit Mai 2021 fast keine Schwachstellen im ICS-Bereich an. Davor waren es monatlich 40 bis 80 und mehr Schwachstellen. Ab Mai 2021 liegen sie plötzlich bei 1 bis 10. Im Vergleich dazu hat die US-amerikanische CISA weiterhin monatliche ICS-Meldungen von über 100 Schwachstellen.

Die Experten geben zu bedenken, dass viele ausländische Unternehmen vielleicht gar nicht wissen, dass ihre chinesischen Mitarbeiter die Schwachstellen melden. Schließlich könnten sie vielleicht bestraft werden, wenn sie das chinesische Gesetz unterlaufen.

Mehr bei AtlanticCouncil.org

 

Passende Artikel zum Thema

Zustandsbericht über die OT-Sicherheit

Eine aktuelle Erhebung unter Industrieunternehmen weltweit – darunter auch Deutschland – zeichnet ein besorgniserregendes Bild über den Stand der OT-Sicherheit ➡ Weiterlesen

Löchriges LG WebOS gefährdet Präsentations-TVs in Unternehmen 

On vielen Unternehmen stehen in Konferenzräumen inzwischen große TV-Geräte für Events oder Video-Konferenzen. Das dies unerwartet auch Schwachstellen hinter die ➡ Weiterlesen

BSI warnt: Palo-Alto-Firewalls mit kritischer Schwachstelle 

Das BSI warnt: Das Betriebssystem PAN-OS hat eine eklatante, kritische Schwachstelle die mit dem CVSS-Wert 10.0 von 10 eingestuft wurde. ➡ Weiterlesen

XZ-Schwachstelle: kostenloser XZ Backdoor Scanner

Die Bitdefender Labs bieten einen kostenlosen Scanner, mit dem Unternehmen ihre IT-Systeme auf die am 29. März 2024 bekannt gewordene ➡ Weiterlesen

Sichere Maschinenidentitäten

Ein deutscher IT-Security-Hersteller veröffentlicht die neue Version der TrustManagementAppliance. Die PKI- und Key-Management-Lösung bietet Funktionen für das Lifecycle-Management von Zertifikaten. ➡ Weiterlesen

Cyberattacken via API

Im ersten Monat des Jahres 2024 hat die Häufigkeit von API-Angriffen zugenommen und betrifft durchschnittlich 1 von 4,6 Unternehmen pro ➡ Weiterlesen

Staatlich unterstützte Cyberangriffe

Ein Report des IT-Notfallteams der Europäischen Union (CERT-EU) berichtet von einer hohen Zahl im Jahr 2023 erfolgter staatlich unterstützter Spear-Phishing-Angriffe ➡ Weiterlesen

Hacker legen Wirtschaftsdatenbank Genios lahm

Bibliotheken, Hochschulen und Unternehmen haben zur Zeit keinen Zugriff auf die Wirtschaftsdatenbank des Anbieters Genios - ein Tochterunternehmen der FAZ ➡ Weiterlesen