Security: China erschwert Veröffentlichung von Software-Bugs

Die chinesische Regierung schränkt die Sicherheitsforschung deutlich ein. Sicherheitslücken könnten schlicht gehortet statt schnell behoben werden.

Artikel veröffentlicht am ,
Die chinesische Regierung hat neue Regeln zum Umgang mit Sicherheitslücken veröffentlicht.
Die chinesische Regierung hat neue Regeln zum Umgang mit Sicherheitslücken veröffentlicht. (Bild: Tingshu Wang/Reuters)

Die chinesische Regierung hat neue Richtlinien für Sicherheitsforscher veröffentlicht, die die bisherige Praxis im Umgang mit gefundenen Fehlern in Software sowie mit den Herstellern deutlich einschränkt. Das berichtet das Magazin The Record unter Verweis auf die Regeln der chinesischen Behörden.

Stellenmarkt
  1. Junior Consultant Controlling / Berichtswesen (m/w/d)
    Lidl Dienstleistung GmbH & Co. KG, Bad Wimpfen
  2. Sachbearbeitung (m/w/d) im Referat 8506 "Dienstleistungszentren Ländlicher Raum, Berufsbildung und Beratung Agrar- und Hauswirtschaft"
    Ministerium für Wirtschaft, Verkehr, Landwirtschaft und Weinbau, Mainz
Detailsuche

Die neuen Regularien enthalten zwar Vorschriften, die auch von vielen Sicherheitsforschern gefordert werden, wie etwa das Verbot zum Handel von bisher unbekannten Sicherheitslücken.

Darüber hinaus müssen Anbieter über Möglichkeiten verfügen, um Meldungen über gefundenen Sicherheitslücken in den eigenen Produkten entgegenzunehmen. Außerdem werden Unternehmen ermutigt, etwa über Bug-Bounty-Programme Prämien für gemeldete Sicherheitslücken zu verteilen.

Meldung ans Ministerium

Vorgesehen ist aber auch, dass an Anbieter gemeldete Lücken innerhalb von zwei Tagen dem chinesische Ministerium für Industrie und Informationstechnik (MIIT) mitgeteilt werden müssen. Details zu den Lücken dürfen darüber hinaus auch nicht mit anderen ausländischen Stellen außer dem betroffenen Hersteller geteilt werden.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Eine Veröffentlichung der Details als sogenanntes Full Disclosure ist zudem nur nach Zustimmung durch das MIIT erlaubt und auch erst, nachdem der betroffene Hersteller einen angemessenen Zeitraum zum Erstellen der Patches hatte.

Befürchtungen von Sicherheitsforschern

Diese Kombination könnte dazu führen, dass der chinesische Staat eine riesige Sammlung von Sicherheitslücken aufbaut, die noch nicht behoben wurden. Derartige Sammlungen wiederum sind begehrte Ziele für Angriffe, wie etwa die bei der NSA entwendeten Informationen über Lücken und Exploits gezeigt haben.

Darüber hinaus befürchtet die Forscherin Katie Moussouris laut dem Bericht, dass Hersteller mit Bug-Bounty-Programmen, die Meldungen aus China entgegennehmen, davon ausgehen müssen, dass der chinesische Staat dafür künftig eine Art Backdoor besitzt. Denn durch die Berichtspflicht der Forscher erhält der Staat immer Zugriff auf die Lücken.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

In den vergangenen Jahren haben chinesische Sicherheitsforscher immer wieder an den Bug-Bounty-Programmen etwa von Microsoft oder Google teilgenommen. Die chinesische Regierung könnte künftig aber diese Informationen aus den Programmen selbst nutzen, um eigene Exploits für noch nicht behobene Lücke zu erstellen.

Der chinesischen Regierung wird immer wieder vorgeworfen, aktiv Spionagesoftware einzusetzen. Exploits für noch nicht gepatchte Software könnten dazu beitragen, diese weiter zu verteilen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

cubei 15. Jul 2021 / Themenstart

Möglich war es doch schon immer Sicherheitslücken auszunutzen, die Änderung ist doch...

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /