In der modernen Cyber-Intelligence besteht nach wie vor ein bemerkenswertes Paradoxon. Staatlich gesteuerte Angreifer, die in der Lage sind, hochentwickelte, mehrstufige Supply-Chain-Angriffe zu konzipieren, scheitern auf ihrer eigenen Infrastruktur oft an grundlegender Cyber-Hygiene. Jüngste OSINT-Überwachungen (Open-Source Intelligence), einschließlich technischer Indikatoren, die von Plattformen wie dem International Cyber Digest aggregiert und analysiert wurden, zeigen mehrere Fälle auf, in denen Systeme mit Internetanbindung und kritische Infrastrukturknoten (KRITIS) im Umfeld der chinesischen Streitkräfte und deren Rüstungsdienstleister ungeschützt im öffentlichen Internet betrieben wurden. Eine solche Exposition macht nicht nur die chinesischen Streitkräfte anfällig für langfristige Aufklärung und/oder offensive Cyber-Operationen, sondern liefert auch wertvolle Lehren für Verteidigungsorganisationen und Unternehmen weltweit.

Obwohl das Gesamtrisiko von mehreren Faktoren abhängt, kann die Freigabe von internetseitigen Ports und Assets alle anderen Sicherheitsmaßnahmen drastisch schwächen. Es handelt sich hierbei um einen der grundlegendsten und am leichtesten vermeidbaren Sicherheitsfehler, die einer Organisation unterlaufen können.

Unsere Analyse bewertet die architektonischen Schwachstellen, strategischen Auswirkungen und systemischen Missstände in der operativen Sicherheit (OPSEC), die häufig zu solchen Expositionen führen. Für Intelligence-Analysten, militärische Cyber-Operateure und Entscheidungsträger im KRITIS-Sektor ist dieser Vorfall eine eindringliche Warnung. Aus dem Internet erreichbare Systeme verbleiben eine der gravierendsten Schwachstellen im modernen Sicherheitsmanagement. Ein einziges unmanaged Edge-Gerät oder ein falsch konfiguriertes Gateway kann jahrelange Investitionen in strategische Sicherheit und Betriebsabläufe zunichtemachen.

Dieser Artikel basiert auf den Recherchen der International Cyber Digest Gruppe, die Sie hier abrufen können.

Bevor wir fortfahren, lesen Sie gerne auch unseren vorherigen Blogbeitrag darüber, warum vordefinierte OT-Risikoanalysen oft unzureichend sind und wie OThello Assess dies löst, und zwar hier.

Analyse des Vorfalls

Öffentlich zugängliche Internet-Scanning-Daten und Intelligence-Erkenntnisse zeigen, dass die exponierten Assets primär aus Edge-Infrastrukturen, unmanaged Gateways für den Remote-Zugriff und lokalen Staging-Umgebungen bestehen. Während die eigentlichen internen militärischen Command-and-Control-Zentren (C2) offenbar stark segmentiert bleiben, lassen sich die Schwachstellen am Perimeter typischerweise Hilfsnetzwerken, Forschungsinstituten und Drittanbietern aus der Verteidigungslogistik zuordnen.

Art der Exposition

Die freiliegenden Systeme sind in der Regel über folgende Vektoren erreichbar:

• Fehlkonfiguriertes Edge-Routing und Firewalls: Externe Schnittstellen, die über Standard-Webprotokolle (HTTP/HTTPS) oder Ports für die Fernwartung (SSH, RDP) ohne IP-Whitelisting beziehungsweise ohne verpflichtende Multi-Faktor-Authentisierung (MFA) zugänglich sind.

• Exponiertes Industrial IoT und Gebäudeleittechnik (GLT): Klimasteuerungen und sekundäre Gebäudeautomationssysteme, die über globale Suchmaschinen wie Shodan oder Censys direkt abgefragt werden können.

• Shadow-IT in Staging-Umgebungen: Software-Testumgebungen und Daten-Repositorys von Zulieferern der Verteidigungsindustrie, die zwar die Produktivumgebungen spiegeln, bei denen jedoch grundlegende Sicherheitsrichtlinien nicht durchgesetzt werden.

Sicherheitsrelevante Architekturdefizite

Diese Exposition deutet eher auf ein Versagen im grundlegenden Asset-Management, bei den Prozessen der Cyber-Hygiene sowie der Governance hin als auf das Versagen hochentwickelter Sicherheitswerkzeuge. Sie verweist direkt auf eine unzureichende Netzwerksegmentierung und mangelhaftes Asset Lifecycle Management (ALM).

Wenn Hilfsknoten oder Entwicklungsumgebungen ohne strikte, deterministische Filterung des eingehenden und ausgehenden Datenverkehrs mit der Produktionsinfrastruktur verbunden werden, kann selbst die Exposition eines Perimeters bei einem zweitklassigen Forschungsinstitut Angreifern den Weg für Aufklärung, Persistenz und laterale Bewegung (Lateral Movement) ebnen.

Strategische und geopolitische Auswirkungen

Wenn Infrastrukturen von Streitkräften oder staatsnahen Akteuren exponiert sind, gehen die strategischen Konsequenzen weit über ein kurzfristiges Patch-Management hinaus.

Operational Preparation of the Battlefield (OPB)

Für gegnerische Nachrichtendienste sind öffentliche Informationen eine unschätzbare Quelle für passive Aufklärung. Angreifer müssen das Netzwerk nicht aktiv scannen oder sondieren – Aktivitäten, die Intrusion-Detection-Systeme (IDS) auslösen könnten. Stattdessen können sie einfach historische Daten aus globalen Internet-Scanning-Systemen nutzen, um:

• den digitalen Fußabdruck und den physischen Standort staatsnaher Organisationen zu kartografieren.

• spezifische Hardware-Hersteller und Firmware-Versionen zu identifizieren, um gezielt N-Day- oder Zero-Day-Exploits zu sammeln.

• Autonome Systemnummern (ASNs) und IP-Adressbereiche mit bestimmten Einheiten oder Militärdienststellen zu korrelieren.

Das Paradoxon der militärischen Modernisierung

Mit der Transformation moderner Streitkräftereform – durch die Integration von Cloud-Architekturen, datengestützter Logistik und vernetzten Befehlsstrukturen – vergrößert sich deren Angriffsfläche exponentiell. Im Fall der chinesischen Streitkräfte überwogen die operativen Anforderungen die Prioritäten der Informationssicherheit, was im Laufe der Zeit zu einer Reihe von Sicherheitslücken führte, die sich sowohl in ihrer Tragweite als auch im Sabotagepotenzial massiv vergrößerten. Für Streitkräfte, die den Anspruch erheben, modernste Verteidigungstechnologien einzusetzen, wirft dieser Vorfall ein schlechtes Licht auf das IT-Sicherheitsniveau.

Diese Episode verdeutlicht, dass eine militärische Modernisierung ohne eine entsprechende, streng durchgesetzte Cyber-Hygiene asymmetrische Risiken birgt. Die Komplexität der Verwaltung von Milliarden vernetzter Endpunkte übersteigt häufig die bürokratischen und operativen Mechanismen, die zu deren Absicherung vorgesehen sind.    

Besondere und bisher kaum beachtete Aspekte dieses Vorfalls

Analysen staatlich gesteuerter Cyber-Operationen konzentrieren sich häufig stark auf hochentwickelte Angriffsfähigkeiten (Offensive Cyber Capabilities) und vernachlässigen dabei die pragmatische Realität der alltäglichen Netzwerkadministration.

Die operative Asymmetrie: Elitäre Offensivkompetenz korreliert nicht zwingend mit defensiver Reife. Eine Organisation kann hochentwickelte Cyber-Spionageeinheiten unterhalten, während sie gleichzeitig daran scheitert, die eigene, banale Edge-Routing-Infrastruktur adäquat abzusichern. Diese Diskrepanz kann in Konfliktsituationen auf dem Schlachtfeld erhebliche, nachteilige Auswirkungen haben.

Bequemlichkeit versus Sicherheitsdisziplin

Innerhalb von Verteidigungsstrukturen ist der Haupttreiber für Schatten-IT und unbefugte Internet-Expositionen häufig operative Reibung. Analysten, Entwickler und Forscher umgehen restriktive zentrale Sicherheitskontrollen, um Remote-Arbeit, Datenaustausch oder schnelles Prototyping zu ermöglichen. Wenn Sicherheitsarchitekturen zu starr sind oder sich nur langsam anpassen, schaffen Mitarbeiter eigenmächtige Workarounds – wie die Bereitstellung unautorisierter VPNs oder das Freigeben von Staging-Servern –, um die gewünschte Arbeitsgeschwindigkeit beizubehalten.

Die Verwundbarkeit der Zuliefererkette

Moderne Verteidigungsstrukturen hängen von einem weit verzweigten Netzwerk aus kommerziellen Auftragnehmern, akademischen Institutionen und Logistikdienstleistern ab. Dieses erweiterte Ökosystem bildet häufig die Schwachstelle operativer Einsätze. Während eine zentrale Teilstreitkraft strenge Vorgaben zur Netztrennung (Air-Gapping) und Zero-Trust-Richtlinien umsetzt, arbeitet ein nachgelagerter Softwareentwickler oder Komponentenzulieferer möglicherweise nur mit Standard-Sicherheitspraktiken. Dies fungiert faktisch als unüberwachtes Hintertor in das strategische Gesamtnetzwerk und wird somit zum Single Point of Failure.

Erkenntnisse für Unternehmen und KRITIS-Betreiber

Für Chief Information Security Officers (CISOs) und Betreiber kritischer Infrastrukturen liefert dieser Vorfall konkrete Handlungsempfehlungen für die Absicherung komplexer Umgebungen.

Die Relevanz von External Attack Surface Management (EASM)

Man kann nur schützen, was man auch kennt. Traditionelle Asset-Inventare arbeiten nach dem Inside-Out-Prinzip; sie verlassen sich auf interne Tools zur Erfassung aktiver Assets. Moderne Verteidigung erfordert jedoch eine Outside-In-Perspektive. Organisationen müssen den öffentlichen IPv4-/IPv6-Adressraum kontinuierlich aus der Perspektive eines Angreifers überwachen, um Schatten-IT, vergessene Testumgebungen und unbefugte Konfigurationen zu detektieren, bevor böswillige Akteure dies tun.

Sicherheitsmaßnahmen für die Kernarchitektur

OT-/ICS- und KRITIS-Perspektive

Die Schnittstelle zwischen Informationstechnik (IT) und operativer Technologie (OT) innerhalb kritischer Infrastrukturen stellt eine hochsensible Schwachstelle dar. Wenn bereits staatliche Akteure Schwierigkeiten haben, ihre Perimeter auf Hilfsnetzwerken sauber abzusichern, ist das Risiko für industrielle Steuerungssysteme (ICS), die die Produktion, Energienetze und die Wasserversorgung steuern, als kritisch einzustufen.

Exponierte Human-Machine-Interfaces (HMIs) oder speicherprogrammierbare Steuerungen (SPS/PLC) bergen ein unverhältnismäßig hohes Betriebsrisiko. Im Gegensatz zur klassischen IT, bei der ein Vorfall meist zu Datenabfluss führt, kann eine Kompromittierung im OT-Umfeld physische Zerstörung, langwierige Betriebsausfälle und eine konkrete Gefährdung von Menschenleben nach sich ziehen. Die Konvergenz von IT und OT erfordert, dass jegliche Kopplung zwischen diesen Schichten durch unidirektionale Sicherheitsgateways (Datendioden) und eine strenge Protokollvalidierung abgesichert wird.

Cyber Threat Intelligence und Vorgehensweise von Angreifern

Staatlich gestützte Advanced Persistent Threats (APTs) nutzen Schwachstellen im Perimeter systematisch als primären Vektor für den Erstzugang (Initial Access).

Automatisierte Erfassung und Instrumentierung

Das Vorgehen moderner Angreifer stützt sich stark auf automatisierte Aufklärungsketten. Professionelle Akteure nutzen kontinuierliche Datenströme von kommerziellen und proprietären Internet-Scanning-Plattformen. Sobald eine neue Schwachstelle in einem Edge-Gerät (z. B. ein kritischer Fehler in einer weit verbreiteten Firewall oder VPN-Appliance) veröffentlicht wird, gleichen diese Systeme die Schwachstelle automatisch mit ihrer Datenbank exponierter Assets ab.

Nutzung von Operational Relay Networks (ORNs)

Um ihre Urheberschaft und geografische Herkunft zu verschleiern, nutzen staatliche Akteure zunehmend kompromittierte SOHO-Router (Small Office/Home Office) und IoT-Geräte als Operational Relay Networks (ORNs). Diese gekaperten Geräte bilden ein hochgradig verteiltes Proxy-Netzwerk. Sollte jedoch die eigene Infrastruktur des Angreifers exponiert oder fehlerhaft konfiguriert sein, können diese verdeckten Proxy-Netzwerke für Counter-Intelligence-Teams sichtbar werden, was aktive Spionagekampagnen weltweit gefährdet.

Empfehlungen und Abwehrmaßnahmen

Um komplexe Unternehmens- und KRITIS-Umgebungen effektiv gegen Angriffe auf staatlichem Niveau zu schützen, empfiehlt Shieldworkz die Implementierung folgender struktureller Sicherheitskontrollen:

• Einführung eines bidirektionalen Asset-Inventars: Gleichen Sie interne Configuration Management Databases (CMDB) mindestens wöchentlich mit den Daten kontinuierlicher externer EASM-Scans ab. Abweichungen müssen als kritische Sicherheitsvorfälle behandelt werden.

• Durchsetzung einer strikten Filterung des ausgehenden Datenverkehrs (Egress Filtering): Untersagen Sie internen Systemen den Aufbau ausgehender Verbindungen in das Internet, es sei denn, dies ist explizit erforderlich und freigegeben. Viele Kompromittierungen werden erst dadurch entdeckt, dass kompromittierte interne Assets eine Verbindung zu bösartigen externen Command-and-Control-Servern aufbauen.

• Führen Sie regelmäßig Audits zur Cyber-Hygiene durch und validieren Sie die Wirksamkeit bestehender Sicherheitskontrollen.

• Ausrangieren von Altsystemen (Legacy-Infrastruktur): Setzen Sie eine strikte Lifecycle-Richtlinie für veraltete Hardware und Software durch. Systeme, die moderne Authentisierungsverfahren (wie SAML/OIDC mit hardwaregestützter MFA) nicht unterstützen, müssen vollständig aus dem internetseitigen Perimeter entfernt werden.

• Etablierung klarer Verantwortlichkeiten auf Führungsebene: Governance-Strukturen müssen Abteilungsleiter und Drittanbieter für unautorisierte Internet-Expositionen (Schatten-IT) in die Pflicht nehmen. Perimeteränderungen dürfen ausnahmslos nur über zentralisierte, auditierte Change-Management-Prozesse erfolgen.

Erfahren Sie mehr über Othello Assess, ein Tool zur Risikobewertung nach IEC 62443, mit dem Sie umfassende Risikoanalysen, Architektur-Reviews, Security-Level-Analysen, Compliance-Tracking, Audits von Sicherheitslücken und vieles mehr in weniger als einem Tag durchführen können. Sie können sich hier für einen Othello-Testzugang registrieren.