site-logo
site-logo
site-logo

Chinas internetexponierte Verteidigungssysteme: Eine Fallstudie über modernes Cyber-Versagen

Chinas internetexponierte Verteidigungssysteme: Eine Fallstudie über modernes Cyber-Versagen

Chinas internetexponierte Verteidigungssysteme: Eine Fallstudie über modernes Cyber-Versagen

blog-details-image
author

Prayukth K V

In der modernen Cyber-Intelligence bleibt ein eigentümliches, beständiges Paradoxon bestehen. Staatlich gesteuerte, offensive Akteure, die in der Lage sind, hochentwickelte, mehrstufige Supply-Chain-Angriffe zu konzipieren, scheitern oft an grundlegender defensiver Cyber-Hygiene in ihrer eigenen Infrastruktur. Aktuelle Erkenntnisse aus Open-Source-Intelligence-Analysen (OSINT) – darunter technische Indikatoren, die von Plattformen wie dem International Cyber Digest aggregiert und bewertet werden – verdeutlichen mehrere Fälle, in denen öffentlich erreichbare Systeme und kritische Infrastrukturknoten im Umfeld der chinesischen Streitkräfte und deren Rüstungszulieferern ungeschützt dem Internet ausgesetzt waren. Eine solche Exposition macht nicht nur die chinesischen Streitkräfte anfällig für langfristige Aufklärung und/oder offensive Cyber-Operationen, sondern liefert auch wertvolle Lehren für Verteidigungsorganisationen und Unternehmen weltweit.

Obwohl das Gesamtrisiko von einer Vielzahl von Faktoren abhängt, kann die ungeschützte Freigabe von internetseitigen Ports und Assets alle übrigen defensiven Sicherheitsmaßnahmen drastisch schwächen. Es handelt sich hierbei um eine der grundlegendsten und am leichtesten vermeidbaren Sicherheitslücken, die einer Organisation unterlaufen können.

Unsere Analyse bewertet die architektonischen Schwachstellen, strategischen Auswirkungen und systemischen Mängel in der operativen Sicherheit (OPSEC), die regelmäßig zu derartigen Expositionen führen. Für Intelligence-Analysten, militärische Cyber-Operateure und Führungskräfte im Bereich Kritischer Infrastrukturen (KRITIS) ist dieser Vorfall eine eindringliche Warnung: Direkt aus dem Internet zugängliche Systeme gehören weiterhin zu den gravierendsten Risiken der modernen Sicherheits-Governance. Ein einziges unmanaged Edge-Gerät oder ein fehlerhaft konfiguriertes Gateway kann jahrelange strategische Sicherheits- und operative IT-Investitionen hinfällig machen.

Dieser Artikel baut auf den Untersuchungen der International Cyber Digest Gruppe auf, die Sie hier abrufen können.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag darüber zu lesen, warum traditionelle OT-Risikoanalysen unzulänglich sind und wie OThello Assess dies behebt. Sie finden ihn hier.

Analyse des Vorfalls

Öffentlich zugängliche Internet-Scanning-Daten und Intelligence-Erkenntnisse zeigen, dass es sich bei den exponierten Systemen in erster Linie um Edge-Infrastrukturen, unmanaged Remote-Access-Gateways und lokale Staging-Umgebungen handelt. Während die spezifischen internen militärischen Command-and-Control-Kerne (C2) offenbar streng segmentiert bleiben, lassen sich die Schwachstellen am Perimeter meist Hilfsnetzwerken, Forschungsinstituten und externen Logistikdienstleistern des Verteidigungssektors zuordnen.

Art der Exposition

Die exponierten Systeme weisen in der Regel folgende Vektoren auf:

  • Fehlkonfigurierte Edge-Router und Firewalls: Externe Schnittstellen, die über Standard-Webprotokolle (HTTP/HTTPS) oder Fernwartungsprobleme (SSH, RDP) ohne IP-Whitelisting oder zwingende Multi-Faktor-Authentisierung (MFA) zugänglich sind.

  • Exponiertes Industrial IoT und Gebäudeleittechnik (GLT): Umgebungssteuerungen und sekundäre Gebäudeautomationssysteme, die über globale Suchmaschinen wie Shodan oder Censys direkt abgefragt werden können.

  • Shadow-IT in Staging-Umgebungen: Software-Testumgebungen und Daten-Repositorys von Zulieferern des Verteidigungssektors, die zwar die Produktivumgebungen spiegeln, bei denen jedoch grundlegende Sicherheitsrichtlinien nicht durchgesetzt werden.


Grundlegende Architekturdefizite

Diese Exposition deutet eher auf Mängel im grundlegenden Asset Management, bei den Cyber-Hygiene-Praktiken und in der Governance hin, als auf ein Versagen hochentwickelter Sicherheitswerkzeuge. Sie ist ein direktes Resultat schwacher Netzsegmentierung und eines unzureichenden Asset Lifecycle Managements (ALM).

Wenn Hilfsknoten oder Entwicklungsumgebungen ohne strikte, deterministische Filterung des ein- und ausgehenden Datenverkehrs (Ingress/Egress) an die Produktivseite angebunden werden, kann selbst eine Perimeter-Sicherheitslücke an einem nachgeordneten Forschungsinstitut einen direkten Pfad für gegnerische Aufklärung (Reconnaissance), Persistenz und laterale Bewegung (Lateral Movement) eröffnen.

Strategische und geopolitische Auswirkungen

Wenn militärische oder staatsnahe Infrastrukturen exponiert sind, reichen die strategischen Konsequenzen weit über ein zeitnahes Patch-Management hinaus.

Operative Vorbereitung des Gefechtsfeldes (OPB)

Für gegnerische Geheimdienste sind frei zugängliche Expositionen eine unschätzbare Quelle präziser passiver Aufklärung. Angreifer müssen das Netzwerk nicht aktiv scannen oder sondieren – Aktionen, die Intrusion-Detection-Systeme auslösen könnten. Stattdessen können sie Daten aus historischen, internetweiten Scanning-Datenbanken erheben, um:

  • den digitalen Fußabdruck sowie den physischen Standort staatsnaher Organisationen zu kartieren;

  • spezifische Hardware-Hersteller und Firmware-Versionen zu identifizieren, um gezielt N-Day- oder Zero-Day-Exploits zu sammeln;

  • autonome Systemnummern (ASNs) und IP-Adressbereiche mit bestimmten Einheiten oder Militärdienststellen zu korrelieren.

Das Paradoxon der militärischen Modernisierung

Mit der Transformation moderner Streitkräfte, der Integration von Cloud-Architekturen, datengestützter Logistik und vernetzten Führungsstrukturen vergrößert sich deren Angriffsfläche exponentiell. Im Fall der chinesischen Streitkräfte wogen operative Anforderungen offenbar schwerer als Sicherheitsaspekte. Dies führte zur Entstehung einer Reihe von Sicherheitslücken, die im Laufe der Zeit sowohl an Tragweite als auch an Störungspotenzial zunahmen. Für Streitkräfte, die den Anspruch erheben, hochgradig fortschrittliche Verteidigungssysteme zu betreiben, wirft dieser Vorfall ein schlechtes Licht auf das IT-Sicherheitsniveau.

Diese Episode zeigt, dass militärische Modernisierung ohne eine entsprechende, strikt durchgesetzte defensive Cyber-Hygiene ein asymmetrisches Risiko birgt. Die Komplexität der Verwaltung von Milliarden vernetzter Endpunkte übersteigt oft die bürokratischen und operativen Mechanismen, die zu deren Absicherung geschaffen wurden.    

Besondere und wenig beachtete Aspekte des Vorfalls

Analysen staatlich gelenkter Cyber-Operationen konzentrieren sich häufig stark auf hochentwickelte offensive Fähigkeiten und vernachlässigen dabei die praktischen Realitäten des administrativen Alltags in Netzwerken.

Die operative Asymmetrie: Offensive Raffinesse ist nicht gleichzusetzen mit defensiver Reife. Eine Organisation kann über hochkarätige Einheiten zur Cyber-Spionage verfügen und gleichzeitig daran scheitern, ihre eigene, banale Edge-Routing-Infrastruktur abzusichern. Diese Diskrepanz kann in Konfliktzeiten erhebliche und unvorteilhafte Auswirkungen auf dem Gefechtsfeld haben.

Bequemlichkeit versus Sicherheitsdisziplin

Innerhalb von Verteidigungs-Ökosystemen sind operative Reibungsverluste häufig der Haupttreiber für Shadow-IT und unautorisierte Internet-Expositionen. Analysten, Entwickler und Forscher umgehen restriktive zentrale Sicherheitskontrollen, um Remote-Arbeit, Datenaustausch oder schnelles Prototyping zu ermöglichen. Wenn Sicherheitsarchitekturen zu starr sind oder sich nur langsam anpassen lassen, greifen Mitarbeiter zu unautorisierten Behelfslösungen – wie etwa der Bereitstellung nicht freigegebener VPNs oder der Freigabe von Staging-Servern –, um das gewünschte Arbeitstempo beizubehalten.

Die Verwundbarkeit des Zulieferer-Ökosystems

Moderne Verteidigungsstrukturen hängen von einem weit verzweigten Netz aus kommerziellen Auftragnehmern, akademischen Institutionen und Logistikdienstleistern ab. Dieses erweiterte Ökosystem bildet oft die Schwachstelle operativer Einsätze. Während das Militär selbst strenge Air-Gap- und Zero-Trust-Vorgaben durchsetzt, arbeitet ein Dritt- oder Viertzulieferer möglicherweise mit Standard-Sicherheitsverfahren der freien Wirtschaft. Dies macht ihn faktisch zu einem unüberwachten Hintertürchen in das strategische Gesamtnetzwerk – und damit zu einem Single Point of Failure.

Lehren für Unternehmen und KRITIS-Betreiber

Für CISOs und Betreiber Kritischer Infrastrukturen liefert dieser Vorfall konkrete Handlungsempfehlungen zum Schutz hochkomplexer Umgebungen.

Die Relevanz von External Attack Surface Management (EASM)

Man kann nur schützen, was man auch kennt. Traditionelle Asset-Inventare arbeiten von innen nach außen; sie verlassen sich darauf, dass interne Werkzeuge aktive Assets melden. Moderne Abwehr erfordert jedoch eine Perspektive von außen nach innen. Organisationen müssen den öffentlichen IPv4-/IPv6-Adressraum kontinuierlich aus der Sicht eines Angreifers überwachen, um Schatten-Assets, vergessene Staging-Umgebungen und Fehlkonfigurationen zu erkennen, bevor Angreifer dies tun.

Maßnahmen zur Härtung der Kernarchitektur

Säule der Cyber-Abwehr

Operative Umsetzung

Zero Trust Network Access (ZTNA)

Ersetzen Sie traditionelle, perimeterbasierte VPNs durch identitäts- und kontextsensitive Access-Proxies. Kein Asset darf allein aufgrund seines Netzwerkstandorts als vertrauenswürdig eingestuft werden.

Mikrosegmentierung

Isolieren Sie Entwicklungs-, Staging- und Administrationsumgebungen strikt von den Produktivnetzwerken mittels restriktiver Firewall-Regeln (Default-Deny).

Automatisierte Expositionsvalidierung

Nutzen Sie kontinuierliche, automatisierte Scans und Red-Teaming-Tools, um zu überprüfen, ob die Sicherheitsmaßnahmen am Perimeter wie beabsichtigt funktionieren.

 

Perspektive für OT/ICS und Kritische Infrastrukturen

Die Verschmelzung von Informationstechnik (IT) und Operational Technology (OT) innerhalb kritischer Infrastrukturen stellt eine hochgradig kritische Verwundbarkeit dar. Wenn selbst staatlich gelenkte Akteure Schwierigkeiten haben, ihre Perimeter in Hilfsnetzwerken sauber zu halten, ist das Risiko für Industrial Control Systems (ICS), die Fertigungsanlagen, Stromnetze und die Wasserversorgung steuern, als gravierend einzustufen.

Exponierte Human-Machine-Interfaces (HMIs) oder Speicherprogrammierbare Steuerungen (SPS/PLC) stellen ein unverhältnismäßig hohes operatives Risiko dar. Im Gegensatz zu klassischen IT-Systemen, bei denen eine Kompromittierung meist in Datenabfluss mündet, kann ein Vorfall im OT-Umfeld physische Zerstörung, langandauernde Betriebsunterbrechungen und Gefahren für Leib und Leben zur Folge haben. Die IT/OT-Konvergenz erfordert, dass jede Verbindung zwischen diesen Schichten durch unidirektionale Sicherheitsgateways (Datendioden) und strenge Protokollvalidierung abgesichert wird.

Cyber Threat Intelligence und gegnerische Vorgehensweisen

Staatlich gelenkte Advanced Persistent Threats (APTs) nutzen Schwachstellen und Expositionen am Netzwerk-Perimeter systematisch als primären Vektor für den Erstzugang (Initial Access).

Automatisierte Erfassung und Ausnutzung

Moderne Angriffstaktiken setzen stark auf automatisierte Aufklärungsketten. Professionelle Angreifer nutzen kontinuierliche Datenströme aus kommerziellen und proprietären Internet-Scanning-Plattformen. Wird eine neue Schwachstelle in einem Edge-Gerät bekannt (z. B. eine kritische Sicherheitslücke in einer gängigen Firewall oder VPN-Appliance), gleichen diese Systeme die Schwachstelle automatisch mit ihrer Datenbank exponierter Systeme ab.

Nutzung von Operational Relay Networks (ORNs)

Um ihre Identität und geografische Herkunft zu verschleiern, nutzen staatliche Akteure zunehmend kompromittierte SOHO-Router (Small Office/Home Office) und IoT-Geräte als Operational Relay Networks (ORNs). Diese gekaperten Geräte bilden ein hochgradig verteiltes Proxy-Netzwerk. Sollte die eigene Infrastruktur eines Angreifers Schwachstellen oder Fehlkonfigurationen aufweisen, können diese verdeckten Proxy-Netzwerke für Counter-Intelligence-Teams sichtbar werden, was laufende Spionagekampagnen weltweit gefährdet.

Empfehlungen und Abwehrmaßnahmen

Um komplexe Unternehmensnetzwerke und KRITIS-Umgebungen gegen Bedrohungen auf staatlichem Niveau abzusichern, empfiehlt Shieldworkz Sicherheitsverantwortlichen die Implementierung folgender struktureller Sicherheitskontrollen:

  • Einführung eines bidirektionalen Asset-Inventars: Vergleichen Sie interne Configuration Management Databases (CMDB) mindestens wöchentlich mit den Daten aus kontinuierlichen externen EASM-Scans. Abweichungen müssen als kritische Vorfälle behandelt werden.

  • Durchsetzung einer strikten Filterung des ausgehenden Datenverkehrs (Egress Filtering): Unterbinden Sie, dass interne Systeme eigenständig Verbindungen ins Internet aufbauen, sofern dies nicht explizit erforderlich und freigegeben (Whitelisting) ist. Viele Sicherheitsvorfälle werden erst dadurch entdeckt, dass kompromittierte interne Systeme versuchen, Verbindungen zu schädlicher externer Infrastruktur aufzubauen.

  • Führen Sie regelmäßig Überprüfungen der Cyber-Hygiene sowie Validierungen der Sicherheitskontrollen und -maßnahmen durch.

  • Außerbetriebnahme von Altsystemen (Legacy-Infrastruktur): Setzen Sie eine strikte Lifecycle-Richtlinie für veraltete Hard- und Software durch. Systeme, die moderne Authentisierungsmechanismen (wie SAML/OIDC mit hardwaregestützter MFA) nicht unterstützen, müssen vollständig aus dem internetseitigen Perimeter entfernt werden.

  • Zuweisung klarer Verantwortlichkeiten auf Führungsebene: Governance-Strukturen müssen Abteilungsleiter und externe Dienstleister rechtlich und operativ für unautorisierte IT-Bereitstellungen (Schatten-IT) in die Pflicht nehmen. Perimeter-Änderungen dürfen ausnahmslos nur über zentralisierte, auditierte Change-Control-Prozesse erfolgen.

Erfahren Sie mehr über Othello Assess, ein auf der IEC 62443 basierendes Tool zur Risikobewertung, mit dem Sie umfassende Risikoanalysen, Architektur-Reviews, Security-Level-Analysen (SL), Compliance-Prüfungen, Sicherheitslücken-Bewertungen und vieles mehr in weniger als einem Tag durchführen können. Sie können sich hier für eine Othello-Testversion anmelden.

 

Wöchentlich erhalten

Ressourcen & Nachrichten

Erfahren Sie, wie unsere branchenführenden OT-Security-Lösungen kritische Sicherheitsherausforderungen gemäß KRITIS-Anforderungen bewältigen

Dies könnte Ihnen auch gefallen.

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.