Fachbeiträge
Neuigkeiten zu IT-Themen und Comp4U

In diesem zweiten Teil unserer Blogreihe über das Unternehmen i-Soon widmen wir uns den engen Verflechtungen dieses privaten Cybersecurity-Dienstleisters mit dem chinesischen Staat, insbesondere im Bereich der nationalen Schwachstellen-Datenbank.
Seit 2021 sind in China strenge Regeln zum Schwachstellen-Mining in Kraft. Unternehmen wie i-Soon sind verpflichtet, neu entdeckte Schwachstellen in digitalen Systemen innerhalb von 48 Stunden an die „China National Vulnerability Database“ (CNNVD) zu melden. Diese Datenbank wird vom „China National Information Technology Security Evaluation Center“ (CNITSEC) betrieben und ermöglicht es dem Staat, gezielt auf Schwachstellen zuzugreifen und diese für offensive Zwecke zu nutzen.
Die Teilnahme an der CNNVD ist hierarchisch strukturiert und unterteilt die Partner in drei Levels, abhängig von der Qualität und Menge der bereitgestellten Schwachstellen. i-Soon wird auf „Level 3“ geführt und ist verpflichtet, jährlich eine bestimmte Anzahl an Schwachstellen zu melden. Damit ist das Unternehmen ein essenzieller Bestandteil der staatlichen Cyberoperationen. Unternehmen, die mit dem CNNVD kooperieren, leisten dadurch einen wesentlichen Beitrag zur Stärkung des chinesischen Cyberapparats. In diesem System wird Chinas Strategie zur „Industrialisierung der Cyberspionage“ besonders deutlich: Es wird ein leistungsfähiges Netzwerk geschaffen, das private und staatliche Ressourcen miteinander vereint und so eine hohe Schlagkraft erreicht.
Zusätzlich zur Schwachstellenmeldung bieten CNNVD-Partner wie i-Soon technische Unterstützung für den Staat. Diese Verpflichtung umfasst unter anderem technische Seminare, Schwachstellenevaluierungen und gegebenenfalls spezielle Analysen zu entdeckten Schwachstellen. Es zeigt sich, dass i-Soon nicht nur als reiner Dienstleister fungiert, sondern eng in Chinas Cyberstruktur integriert ist.
Um sich als Partner auf Level 3 des CNNVD zu qualifizieren, musste i-Soon eine Reihe von Zertifizierungen erlangen, die vom Staat unterstützt werden. Unter anderem besitzt das Unternehmen eine Level-2-Zertifizierung für den Umgang mit Verschlusssachen im Zusammenhang mit Cyberoperationen. Solche Qualifikationen geben i-Soon die Befähigung, auch Aufträge der chinesischen Regierung zu übernehmen, die sicherheitskritische Informationen betreffen. Das Unternehmen bietet darüber hinaus umfassende Ausbildungsprogramme an und schult dabei jährlich tausende Teilnehmer in Cybersicherheits- und Angriffsstrategien, ein Bereich, der von der chinesischen Regierung ebenfalls stark gefördert wird.
Die enge Verzahnung zwischen i-Soon und dem staatlichen Sicherheitsapparat zeigt sich ebenfalls auf personeller Ebene. Mitarbeitende in vertraulichen Bereichen müssen keine Verbindungen ins Ausland haben. Zudem rekrutiert i-Soon Nachwuchs auch gezielt aus Wettbewerben und anderen Sicherheitsprogrammen, die eine potenzielle Quelle für neue Mitarbeiter darstellen.
Teil 3 der Reihe wirft einen genaueren Blick auf die konkreten Angriffsziele von i-Soon und die Auswirkungen ihrer Operationen auf internationale Ebene.
Die hier aufgeführten Informationen basieren auf Berichten des Bundesamts für Verfassungsschutz, die im Detail über die Aktivitäten und Verflechtungen von i-Soon informieren. Eine genaue Übersicht und die Originaldokumente sind hier zu finden:
https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2024-08-08-bfv-cyber-insight-teil-2.pdf?__blob=publicationFile&v=5
Falls Sie wissen möchten, wie internationale Cyberbedrohungen Ihre IT-Sicherheitsstrategie beeinflussen können, unterstützen wir Sie gerne mit fundierter Beratung und passenden Lösungen. Bitte kontaktieren Sie uns unter
Comp4U GmbH
Robert-Bosch-Str. 5
63225 Langen
Tel: +49 (0) 6103-9707-500
E-Mail: info@comp4u.de
Kontakt aufnehmen