Menschen auf den höchsten Machtebenen in China wissen die Bedeutung von Cyber-Fähigkeiten zu schätzen. Der CEO von Qihoo 360, dem größten Cybersicherheitsunternehmen des Landes, kritisierte bekanntermaßen chinesische Forscher, die außerhalb des Landes arbeiten, und flehte sie an, „in China zu bleiben“, um den „strategischen Wert“ mächtiger Software-Schwachstellen zu erkennen, die in Cyber-Spionagekampagnen verwendet werden. Innerhalb weniger Monate wurde sein Unternehmen mit einer Hacking-Kampagne gegen die uigurische Minderheit des Landes in Verbindung gebracht.
Es folgte eine Welle strengerer Vorschriften, die die Kontrolle der Regierung über den Cybersicherheitssektor verschärften und den Sicherheits- und Geheimdiensten des Staates Vorrang vor allem anderen einräumten – einschließlich der Unternehmen, deren Software unsicher ist.
„Die Chinesen haben ein einzigartiges System, das das autoritäre Modell des Parteistaates widerspiegelt“, sagt Dakota Cary, Analystin am Center for Security and Emerging Technology in Georgetown.
Chinesischen Cyberforschern ist es praktisch verboten, an internationalen Hacking-Events und -Wettbewerben teilzunehmen, Turnieren, die sie einst dominierten. Bei einem Hacking-Wettbewerb treten einige der weltbesten Sicherheitsforscher gegeneinander an, um mächtige Schwachstellen in den beliebtesten Technologien der Welt wie iPhones, Teslas oder sogar der Art von Mensch-Maschine-Schnittstellen zu finden und auszunutzen, die beim Betrieb moderner Fabriken helfen. Preise im Wert von Hunderttausenden von Dollar sind ein Anreiz, Sicherheitslücken zu identifizieren, damit sie behoben werden können.
Wenn chinesische Forscher nun aber zu internationalen Wettbewerben gehen wollen, brauchen sie eine Genehmigung, die selten erteilt wird. Und sie müssen alles vorher den Regierungsbehörden vorlegen – einschließlich aller Kenntnisse über Software-Schwachstellen, die sie möglicherweise auszunutzen beabsichtigen. Kein anderes Land übt eine so strenge Kontrolle über eine so große und talentierte Klasse von Sicherheitsforschern aus.
Dieses Mandat wurde durch eine Verordnung erweitert, die vorschreibt, dass alle Software-Sicherheitslücken zuerst der Regierung gemeldet werden müssen, wodurch chinesische Beamte ein beispielloses frühes Wissen erhalten, das für defensive oder offensive Hacking-Operationen verwendet werden kann.
„Die gesamte Schwachstellenforschung durchläuft einen Aktienprozess, bei dem die chinesische Regierung ein Vorkaufsrecht erhält“, sagt Adam Meyers, Senior Vice President of Intelligence beim Cybersicherheitsunternehmen CrowdStrike. „Sie können wählen, was sie damit machen, was die Sichtbarkeit der durchgeführten Forschung und ihre Fähigkeit, Nutzen aus all dem zu ziehen, wirklich erhöht.“
Wir haben eine Ausnahme von dieser Regel gesehen: Ein Mitarbeiter des chinesischen Cloud-Computing-Giganten Alibaba hat die berühmte Log4j-Schwachstelle an Entwickler bei Apache gemeldet, anstatt sie zuerst an chinesische Regierungsbehörden auszuliefern. Das Ergebnis war eine öffentliche Bestrafung von Alibaba und eine implizite Warnung für alle anderen, die an einen ähnlichen Schritt denken.
Chinas strengere Politik wirkt sich weit über das Land hinaus aus.
In den letzten zehn Jahren hat das „Bug Bounty“-Modell Millionen von Dollar bereitgestellt, um ein globales Ökosystem von Forschern aufzubauen, die Sicherheitslücken in Software finden und dafür bezahlt werden, diese zu melden. Mehrere amerikanische Unternehmen veranstalten Marktplätze, auf denen jedes Technologieunternehmen seine eigenen Produkte im Austausch gegen Prämien für die Forscher zur genauen Prüfung anbieten kann.
Nach allen Maßstäben rangiert China an oder nahe der Spitze, wenn es darum geht, amerikanische Firmen vor Schwachstellen in ihrer Software zu warnen. In seiner Zeugenaussage vor dem Kongress sagte Cary letzte Woche, eine namentlich nicht genannte große amerikanische Firma habe ihm mitgeteilt, dass chinesische Forscher im Jahr 2021 4 Millionen Dollar erhalten hätten. Die amerikanischen Unternehmen profitieren von der Beteiligung dieser chinesischen Forscher. Wenn die Forscher einen Fehler melden, können die Unternehmen ihn beheben. Das ist der Status quo, seit die Prämienprogramme vor einem Jahrzehnt an Popularität gewannen.
Da die chinesische Regierung jedoch die Kontrolle verschärft, liefert dieses Multimillionen-Dollar-Ökosystem nun einen stetigen Strom von Software-Schwachstellen an die chinesischen Behörden – effektiv finanziert von den Unternehmen und ohne Kosten für Peking.
„Chinas Politik, dass Forscher Schwachstellen an das Ministerium für Industrie und Informationstechnologie übermitteln müssen, schafft eine unglaublich wertvolle Pipeline von Softwarefähigkeiten für den Staat“, sagt Cary. „Die Politik hat Forschung im Wert von mindestens 4 Millionen US-Dollar kostenlos gekauft.“
Roboter-Hacking-Spiele
Im Jahr 2016 gewann eine leistungsstarke Maschine namens Mayhem die Cyber Grand Challenge, einen Cybersicherheitswettbewerb der US Defense Advanced Research Projects Agency.
Mayhem, das zu einem Pittsburgh-Unternehmen namens ForAllSecure gehört, gewann durch das automatische Erkennen, Patchen und Ausnutzen von Software-Sicherheitslücken. Das Pentagon setzt die Technologie inzwischen in allen militärischen Zweigen ein. Sowohl die defensiven als auch die offensiven Möglichkeiten waren für alle Zuschauer sofort offensichtlich – einschließlich der chinesischen Beamten.
DARPA hat seit 2016 kein ähnliches Programm mehr durchgeführt. China hingegen hat laut Carys Recherchen seit 2017 mindestens sieben „Robot Hacking Games“-Wettbewerbe veranstaltet. Chinesische akademische, militärische und privatwirtschaftliche Teams wurden alle von Wettbewerben angezogen, die vom chinesischen Militär überwacht werden. Offizielle Dokumente verknüpfen die automatisierte Erkennung von Software-Schwachstellen direkt mit Chinas nationalen Zielen.
Als die Roboter-Hacking-Spiele begannen, sagte der CEO von Qihoo 360, dass automatisierte Tools zur Erkennung von Sicherheitslücken ein „Keule des Attentäters“ für China seien.
„Wer auch immer die automatische Vulnerability-Mining-Technologie beherrscht, wird die erste Gelegenheit haben, das Netzwerk anzugreifen und zu verteidigen“, sagte er. Er behauptete, sein eigenes Unternehmen habe „ein vollständig autonomes automatisches Vulnerability-Mining-System“ entwickelt und argumentierte, dass die Technologie der „Killer“ der Netzwerksicherheit sei.
Die Roboter-Hacking-Spiele sind ein Beispiel dafür, wie chinesische Beamte auf höchster Ebene einen amerikanischen Erfolg sehen und ihn dann geschickt zu ihrem eigenen machen konnten.
„China hat das US-System immer wieder studiert, seine besten Attribute kopiert und in vielen Fällen Umfang und Reichweite erweitert“, sagt Cary.
Während die Rivalität zwischen den USA und China weiterhin als die bestimmende geopolitische Beziehung des 21. Jahrhunderts fungiert, wird Cyber eine übergroße Rolle in dem spielen, was Chinas Führer zu Recht als „neue Ära“ bezeichnen. Es berührt alles vom kommerziellen Wettbewerb über den technologischen Fortschritt bis hin zur Kriegsführung.
In dieser neuen Ära ist es das erklärte Ziel von Xi, China zu einer „Cyber-Supermacht“ zu machen. Jedenfalls hat er es geschafft.