
Die chinesische Cyberspace-Verwaltung (CAC), das Ministerium für öffentliche Sicherheit (MPS) und das Ministerium für Industrie und Informationstechnologie (MIIT) veröffentlichten im Juli 2021 die „Vorschriften zum Management von Sicherheitslücken in Netzwerkprodukten“ (RMSV). Noch bevor die Vorschriften im September 2021 in Kraft traten, hatten Analysten vor den möglichen Auswirkungen der neuen Verordnung gewarnt.1 Es geht um die Vorschrift, dass Software-Schwachstellen – Fehler im Code, die Angreifer ausnutzen können – innerhalb von achtundvierzig Stunden nach ihrer Entdeckung durch die Industrie an das MIIT gemeldet werden müssen (Artikel 7 Absatz 2).2 Die Vorschriften verbieten Forschern: Informationen über Schwachstellen zu veröffentlichen, bevor ein Patch verfügbar ist, es sei denn, sie stimmen sich mit dem Produkteigentümer und dem MIIT ab; Proof-of-Concept-Code zu veröffentlichen, der zeigt, wie eine Schwachstelle ausgenutzt werden kann; und den Schweregrad einer Schwachstelle zu übertreiben.3 Die Vorschriften führen dazu, dass alle Berichte über Software-Schwachstellen an das MIIT weitergeleitet werden, bevor ein Patch verfügbar ist. Im Gegensatz dazu beruht das US-System auf der freiwilligen Meldung von Schwachstellen an Unternehmen, wobei die Schwachstellen von Forschern stammen, die auf der Jagd nach Geld und Prestige sind, oder von Cybersicherheitsunternehmen, die eine Ausnutzung in freier Wildbahn beobachten.
Software-Schwachstellen sind kein alltäglicher Teil des technischen Ökosystems. Hacker nutzen diese Schwachstellen oft aus, um ihre Ziele zu kompromittieren. Für eine Organisation, die mit offensiven Operationen betraut ist, wie etwa ein Militär oder ein Geheimdienst, ist es besser, mehr Schwachstellen zu haben. Kritiker betrachten dies als Anhäufung eines Arsenals.4 Wenn ein Angreifer ein Ziel identifiziert, kann er eine Sammlung von Schwachstellen konsultieren, die seine Operation ermöglichen. Das Sammeln von mehr Schwachstellen kann das operative Tempo, den Erfolg und die Reichweite erhöhen. Unternehmen, die über eine große Anzahl von Werkzeugen verfügen, arbeiten effizienter, aber Unternehmen patchen und aktualisieren ihre Software regelmäßig, so dass alte Schwachstellen auslaufen. In einer sich verändernden Betriebsumgebung ist eine Pipeline mit neuen Schwachstellen besonders wertvoll.
In diesem Bericht werden die Struktur der neuen Schwachstellendatenbanken des MIIT, das Zusammenspiel zwischen den neuen und den älteren Datenbanken sowie die Mitgliederlisten der an diesen Systemen beteiligten Unternehmen detailliert beschrieben. Der Bericht enthält vier Hauptergebnisse.
Quelle: Atlantic Council
Fachartikel

Cybersecurity im Gesundheitswesen: Warum Exposure Management der Schlüssel zur Prävention ist

Mehrdeutige Techniken: Warum der Kontext über Böswilligkeit entscheidet

Die 5 größten SAP-Sicherheitsrisiken und wie Sie diese mindern können

Vom Blocker zum Enabler: Wie Cybersicherheit geschäftlichen Mehrwert schafft

Forrester Unified Vulnerability Management (UVM) – Was es bedeutet und warum es wichtig ist
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier

Cybersicherheit in KMUs: Alarmiert, aber schlecht gerüstet

Forescout warnt vor zunehmendem staatlich gefördertem Hacktivismus

Internationale KnowBe4-Umfrage: Über 90 Prozent halten Phishing-Tests für sinnvoll
Hamsterrad-Rebell

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe
