Dank eines Cybersicherheitsgesetzes, das eine vorherige Information der chinesischen Regierung vorschreibt, hat China unbeabsichtigt eine private Armee von Hackern aufgestellt, um Schwachstellen in Computernetzwerken im Ausland aufzudecken.
Im Juli 2021 veröffentlichten Chinas Cyberspace-Aufsichtsbehörde, sein Ministerium für öffentliche Sicherheit und sein Industrieministerium gemeinsam die Vorschriften zum Management von Schwachstellen in der Netzwerkproduktsicherheit, die chinesische Unternehmen dazu verpflichten, Lücken in ihrer Software oder den von ihnen verwendeten Produkten innerhalb von 48 Stunden nach Entdeckung zu melden.
Nach dieser Regel vergeben die staatlichen Institutionen Chinas Belohnungen für das Auffinden von Cybersicherheitslücken in Software, die häufig von ausländischen Regierungen genutzt wird, was möglicherweise eine subtile neue Form der staatlich unterstützten Cyberkriegsführung darstellt. Gleichzeitig fördert China junge Cybersicherheitsingenieure und verdoppelt damit seine Bemühungen, ausländische Systeme auf Bereiche zu untersuchen, die die chinesische Regierung ausnutzen kann.
Laut der Cybersicherheitsanalystin Dakota Cary letzte Woche hat das neue Gesetz die Landschaft der Online-Netzwerksicherheit in China effektiv verändert erzählt Der Datensatz Podcast – betrieben vom Cybersicherheitsunternehmen Recorded Futures – dass jedes Unternehmen, das innerhalb seiner Grenzen tätig ist, der Regierung Fehler in der Codierung melden muss, bevor es weitere Schritte unternimmt, um die Schwachstelle zu beheben oder sie der Öffentlichkeit bekannt zu machen.
Cary, ein nicht ansässiger Mitarbeiter des Global China Hub des Think Tanks Atlantic Council, glaubt, dass die Anforderung sowohl die Zusammenarbeit als auch den Wettbewerb zwischen den Agenturen gefördert und zu Bemühungen geführt hat, sich gegenseitig zu übertreffen. Und in einer offensichtlichen Verlagerung von den früheren freiwilligen Offenlegungen hin zu Chinas Cyberspace-Aufsichtsbehörde oder seinen Geheimdiensten gebe es jetzt Rivalität in der Struktur von Schwachstellendatenbanken, sagte er.
Eine „Sicherheitslücke“ ist eine Lücke im geschriebenen Code einer Software oder einer Website, die es einem Hacker ermöglichen kann, aus der Ferne auf ein Computersystem zuzugreifen. Große Technologiegiganten wie Google und Facebook bezahlen sogenannte „White-Hat“-Hacker, also gutgläubige Hacker, um diese Punkte zu finden, die das Potenzial haben, Softwareunternehmen zu untergraben.
Laut Cary waren chinesische Forscher vor der Verabschiedung des Gesetzes von 2021 aktive Teilnehmer am globalen Ökosystem für Softwaresicherheit. Sie arbeiteten über Bug-Bounty-Programme mit Unternehmen wie Microsoft und Apple zusammen und trugen zur Identifizierung und Behebung von Software-Schwachstellen bei.
Durch die strengeren Cybersicherheitsgesetze steht die chinesische Regierung jedoch an der Spitze dieses Prozesses und spiegelt Pekings umfassendere Strategie wider, die Kontrolle über Cybersicherheitsaufzeichnungen und andere Arten von Daten der Informationstechnologie zu zentralisieren.
Tomohiro Ohsumi/Getty Images News/WireImage
Chinas eigene aufstrebende Cybersicherheitsindustrie bedeutet, dass Peking auch seine eigenen Systeme vor Angriffen ausländischer Regierungen schützen muss. Die Auswirkungen seines rechtlichen Ansatzes sind jedoch vielfältig. Chinesische White Hats, die Systemschwachstellen identifizieren können, könnten sich auch auf ausländische Netzwerke richten und sie zu einer privaten Hackerarmee machen, die einem doppelten Zweck dient.
Laut einer Studie des chinesischen Cybersicherheitsforums FreeBuf und der Internetsicherheitsunternehmen 360 und QAX gab es in China im Jahr 2021 mehr als 170.000 White Hats, von denen die meisten junge Männer waren, die zwischen 1990 und 2009 geboren wurden.
Cary erzählte Der Datensatz dass es erhebliche Überschneidungen in der Schwachstellendatenbank des chinesischen Industrieministeriums und der von Unternehmen gibt, die die Volksbefreiungsarmee und die Geheimdienste des Landes bedienen.
Wang Qi, CEO von DarkNavy, einer unabhängigen Forschungseinrichtung für Cybersicherheit, erzählt Die Shanghaier Nachrichten-Website Sixth Tone stellte diese Woche fest, dass Software-Schwachstellen unabhängig von Hackern existieren, aber es ist der Akt der Entdeckung, der zu ihrer Behebung führen kann.
Der wachsende Wert der digitalen Industrie habe die Sicherheitskosten erhöht, sagte Wei Tao, Chief Cybersecurity Officer der mit Alibaba verbundenen Ant Group, gegenüber der Website. Wang sagte, unzureichende Investitionen in die Hacking-Branche könnten zu deren negativer Ausnutzung und dem unvermeidlichen Auftreten böswilliger Vorfälle führen.
„Derzeit ist der Wettbewerb um Talente hart. In China kommen auf 100 Forschungs- und Entwicklungsingenieure weniger als 0,5 Sicherheitsingenieure. Wenn der traditionelle Sicherheitssektor diese Talente, von denen einige noch Studenten sind, nicht aufnehmen kann, werden sie am Ende verschwinden.“ in der schwarzen und grauen Industrie. Das ist schrecklich“, wurde Wei zitiert.
Ungewöhnliches Wissen
Newsweek ist bestrebt, herkömmliche Meinungen in Frage zu stellen und auf der Suche nach Gemeinsamkeiten Zusammenhänge zu finden.
Newsweek ist bestrebt, herkömmliche Meinungen in Frage zu stellen und auf der Suche nach Gemeinsamkeiten Zusammenhänge zu finden.