Share
Beitragsbild zu USA verlieren im digitalen Wettrüsten: China bei Entwicklung von Exploits vorn

USA verlieren im digitalen Wettrüsten: China bei Entwicklung von Exploits vorn

Cyberoperationen sind zu einem festen Bestandteil geopolitischer Konflikte geworden – und mit ihnen die Bedeutung offensiver Cyberfähigkeiten. Doch ausgerechnet in diesem sicherheitspolitisch sensiblen Bereich drohen die USA ins Hintertreffen zu geraten.

Ein aktueller Bericht des Think Tanks Atlantic Council, der am 25. Juni veröffentlicht wurde, zeigt: China hat sich beim Aufbau einer offensiven Cyberinfrastruktur einen Vorsprung erarbeitet. Über den privaten Sektor entstand dort eine gut organisierte Lieferkette für Cyberwaffen. Zugleich werden gezielt Fachkräfte ausgebildet, die auf digitale Angriffsoperationen spezialisiert sind. Sicherheitslücken und Exploits gelten in China nicht nur als technische Herausforderungen – sie werden als strategisches Kapital betrachtet.

Dem gegenüber stehen die Vereinigten Staaten, die laut Experten sowohl bei der Entwicklung als auch beim Vorrat an einsatzfähigen Exploits hinterherhinken. Auch die Ausbildung von Spezialisten im Bereich der offensiven Cybersicherheit müsse dringend ausgebaut werden, um international konkurrenzfähig zu bleiben.

Dieser Bericht ist der erste, der eine vergleichende Studie innerhalb der internationalen offensiven Cyber-Lieferkette durchführt und dabei das fragmentierte, risikoscheue Beschaffungsmodell der Vereinigten Staaten mit dem ausgelagerten, trichterartigen Ansatz Chinas vergleicht.

Wichtigste Ergebnisse:

  • Zero-Day-Exploits werden immer schwieriger, undurchsichtiger und teurer, was zu „Feast-or-Famine”-Vertragszyklen führt.
  • Zwischenhändler mit früheren Verbindungen zur Regierung treiben die Kosten weiter in die Höhe und führen zu Ineffizienz auf dem US-amerikanischen und dem Five Eyes (FVEY)-Markt, während sie gleichzeitig das Vertrauen zwischen Käufern und Verkäufern untergraben.
  • Chinas inländische Cyber-Pipeline stellt die der Vereinigten Staaten in den Schatten. China rekrutiert zunehmend auch im Nahen Osten und in Ostasien.
  • Die Vereinigten Staaten sind für ihre Zero-Day-Fähigkeiten auf internationale Talente angewiesen, investieren jedoch nur wenig in einheimische Talente – und wenn, dann eher in die Verteidigung als in die Offensive.
  • Die Beschaffungsprozesse der USA begünstigen große Generalunternehmer und legen Wert auf extrem hohe Genauigkeit, Vertrauen und Geheimhaltung, was zu Marktineffizienzen und einer übermäßigen Ausrichtung auf kostspielige, ausgefeilte Zero-Day-Exploits führen kann.
  • Chinas Beschaffungsprozesse verwenden dezentrale Vertragsmethoden. Die Kommunistische Partei Chinas (KPCh) lagert Operationen aus, verkürzt Vertragszyklen und verlängert die Lebensdauer eines Exploits durch zusätzliche Ressourcen und „n-day“-Nutzung.
  • Die Cybersicherheitsziele der USA in Verbindung mit der Marktdominanz der „Big Tech“-Unternehmen sind ein strategisches Gegengewicht zum Offensivprogramm der USA und zeigen einen strategischen Kompromiss zwischen wirtschaftlichem Wohlstand und nationaler Sicherheit.
  • Chinas offensive Cyberindustrie ist bereits stark mit Einrichtungen für künstliche Intelligenz (KI) verflochten, und der private Sektor in China setzt KI proaktiv für Cyberoperationen ein.
  • Angesichts des undurchsichtigen internationalen Marktes für Zero-Day-Exploits, der Präferenz von Regierungskunden für vollständige Exploit-Ketten, die mehrere Exploit-Primitives nutzen, und der Zunahme von Bug-Kollisionen können Regierungen fast nie sicher sein, dass sie wirklich über eine „einzigartige Fähigkeit“ verfügen.

Empfehlungen:

  1. Stärkung der Lieferkette durch die Schaffung von Beschleunigern für die Schwachstellenforschung im Verteidigungsministerium (DOD), die Finanzierung von Hacking-Clubs und -Wettbewerben im Inland, den Ausbau des Programms „Centers of Academic Excellence in Cyber Operations” (CAE-CO) der National Security Agency (NSA) und die Bereitstellung rechtlicher Schutzmaßnahmen für Sicherheitsforscher.
  1. Verbesserung der Beschaffungsprozesse durch die Einrichtung eines staatlich finanzierten Schwachstellenbrokers in einem staatlich finanzierten Forschungs- und Entwicklungszentrum (FFRDC), um den Kauf von Exploits zu dezentralisieren und zu vereinfachen, während gleichzeitig die Budgets für Cyberfähigkeiten aufgestockt und die Forschung zur automatisierten Generierung von Exploit-Ketten ausgeweitet werden.
  1. Anpassung der politischen Rahmenbedingungen, um Spionageabwehrstrategien auf dem Zero-Day-Markt zu berücksichtigen (Zerstörung der Fähigkeiten böswilliger Akteure bei gleichzeitiger Rekrutierung williger „verantwortungsbewusster” Akteure für eine formellere Pipeline), Finanzierung von N-Day-Forschung durch das US Cyber Command (USCYBERCOM), wo dies angemessen ist, und Nutzung von Allianzen wie dem Pall Mall-Prozess, um Chinas wachsender Cyber-Dominanz entgegenzuwirken.

Ohne sinnvolle Reformen laufen die Vereinigten Staaten Gefahr, ihren verbleibenden strategischen Vorsprung im Cyberspace an China abzugeben. Durch die Förderung einer gezielteren offensiven Cyber-Lieferkette und die Anpassung ihrer Beschaffungsstrategien können die USA eine stetige Versorgung mit offensiven Cyberfähigkeiten sicherstellen und so ihren Vorsprung auf dem digitalen Schlachtfeld behaupten.

Cybersicherheit im geopolitischen Wettstreit: Die Zero-Day-Lieferkette als strategisches Schlüsselelement

Hintergrund

Im digitalen Schattenkrieg zwischen den Vereinigten Staaten und China nimmt ein unsichtbares Gut eine zentrale Rolle ein: Zero-Day-Schwachstellen – Sicherheitslücken, die Herstellern unbekannt sind und daher ungeschützt ausgenutzt werden können.

Der Zugang zu diesen Schwachstellen bildet die Grundlage für offensive Cyberoperationen und wird zunehmend zu einer strategischen Ressource im geopolitischen Machtspiel beider Großmächte.

Während Cyberoperationen in der öffentlichen Wahrnehmung oft hinter konventionellen militärischen Mitteln zurückstehen, sind sie längst fester Bestandteil moderner Sicherheits- und Verteidigungsstrategien. Streitkräfte, Geheimdienste und Strafverfolgungsbehörden in den USA und China nutzen sie gleichermaßen, um Informationen zu sammeln, militärische Operationen zu unterstützen oder gezielte Angriffe mit realen Auswirkungen durchzuführen.

Insbesondere die Vereinigten Staaten verfolgen das Ziel, ihre Cyberkapazitäten auszubauen – nicht zuletzt, um den wachsenden Einfluss Chinas im digitalen Raum einzudämmen. Die Sicherung der Zero-Day-Lieferkette, also der Zugang zu bislang unbekannten Schwachstellen und entsprechenden Exploits, ist dabei von strategischer Bedeutung. Ohne diese Fähigkeiten lassen sich weder verteidigungs- noch offensivorientierte Cyberstrategien wirksam umsetzen.

Doch der Markt für solche digitalen Waffen ist zunehmend international und privatwirtschaftlich organisiert. Firmen und Akteure außerhalb staatlicher Kontrolle handeln mit Schwachstellen und Exploits – oftmals über Ländergrenzen hinweg. In diesem Umfeld stellt sich für die USA und ihre Verbündeten eine doppelte Herausforderung: Wie lässt sich ein verlässlicher Zugang zu hochentwickelten Cyberfähigkeiten gewährleisten, während gleichzeitig verhindert wird, dass China sich auf denselben Wegen vergleichbare Mittel beschafft?

Angesichts des verschärften geopolitischen Wettbewerbs dürfte die Antwort auf diese Frage über die digitale Handlungsfähigkeit westlicher Demokratien mitentscheiden – und darüber, wer im 21. Jahrhundert im Cyberspace den Ton angibt.

Cyberoperationen umfassen eine Vielzahl von offensiven Cyberfähigkeiten – viele der wichtigsten Cyberfähigkeiten beinhalten die Ausnutzung von „Zero-Day“-Schwachstellen (auch als Zero-Days oder 0-Days bekannt). Zero-Day-Schwachstellen sind Probleme oder Schwachstellen („Bugs“) in Software oder Hardware, die dem Anbieter in der Regel nicht bekannt sind und für die keine Lösung verfügbar ist – mit anderen Worten, der Anbieter hatte „null Tage“ Zeit, um das Problem zu beheben.

Einige dieser Schwachstellen sind ausnutzbar: Ein Akteur, der über Kenntnisse der Schwachstelle verfügt, könnte einen Code schreiben, der diese Schwachstelle ausnutzt. Dies führt zu einem „Zero-Day-Exploit“ – einem Code, der eine Reihe von Aktionen ermöglicht, darunter den Zugriff auf das Computersystem, auf dem die Software installiert ist, die Ausweitung von Berechtigungen auf diesen Systemen oder die Fernsteuerung von Befehlen.

Die Suche nach Schwachstellen und das Schreiben von Exploits hat sich aufgrund ihrer strategischen Bedeutung für Regierungen weltweit in den letzten 20 Jahren zu einer milliardenschweren internationalen Dienstleistungsbranche entwickelt. Private Unternehmen entwickeln heute häufig hochmoderne offensive Cyberfähigkeiten für Regierungen. Angesichts der Sensibilität im Zusammenhang mit der Unterstützung von Cyberoperationen der Regierungen werben viele dieser Unternehmen nicht offen für ihre Dienstleistungen, wodurch die Branche von Geheimhaltung umgeben ist. Aufgrund dieser Geheimhaltung und der Vielfalt der angebotenen Produkte (d. h. Regierungen zielen auf unterschiedliche Technologiesysteme ab, und keine zwei Zero-Days sind identisch) ist die Lieferkette für solche Fähigkeiten nicht nur für Außenstehende undurchsichtig, sondern auch für Regierungen und sogar für Akteure innerhalb der Branche.

In diesem stark fragmentierten und undurchsichtigen Markt erzielen große Unternehmen wie L3Harris oder ManTech aus den Vereinigten Staaten häufig Bewertungen in Höhe von mehreren Millionen Dollar. Bemerkenswert ist, dass der Wert der israelischen NSO Group in ihrer Blütezeit 1 Milliarde Dollar erreichte. Unterdessen erhalten einzelne US-Regierungsbehörden Millionen von Dollar für die Beschaffung offensiver Tools. Die Tools dieser Unternehmen wurden eindeutig von solchen Regierungsbehörden gekauft und in modernen Cyberoperationen eingesetzt. Bemerkenswert ist, dass von allen Zero-Day-Schwachstellen, die 2023 und 2024 von Google „in freier Wildbahn“ entdeckt wurden, etwa 50 Prozent kommerziellen Anbietern zugeschrieben wurden, die Fähigkeiten an Regierungskunden verkaufen. Diese Statistik umfasst zwar nur entdeckte Zero-Day-Exploits, dennoch handelt es sich um eine bedeutende Reihe von Fähigkeiten, die von Akteuren des privaten Sektors bereitgestellt werden.

Die Branche für offensive Cyberfähigkeiten ist international und weist je nach Region unterschiedliche Professionalisierungsgrade auf. Unternehmen in Russland, Israel, Spanien, Singapur und den Vereinigten Staaten unterhalten unterschiedliche Beziehungen zu ihren jeweiligen Regierungen, anderen Firmen (einschließlich Zwischenhändlern und Maklern), internationalen Regierungskunden und sogar cyberkriminellen Gruppen. Die Untersuchung offensiver Cyberfähigkeiten hat jedoch Unternehmen mit Sitz in Israel und Europa gegenüber dem größten geopolitischen Rivalen der Vereinigten Staaten, China, stark überbewertet. Dies ist überraschend, da das chinesische Hacking- und Cybersicherheits-Ökosystem sehr robust ist. Chinesische Unternehmen wurden mehrfach direkt mit von der chinesischen Regierung geförderten Cyberoperationen gegen die Vereinigten Staaten in Verbindung gebracht. Darüber hinaus ist die Entwicklung offensiver Cyberfähigkeiten in den Vereinigten Staaten weitgehend unerforscht oder wird in einer Weise untersucht, die der heimischen Hacker-Community einen Bärendienst erweist.

Warum ist diese Frage wichtig?

Auf den ersten Blick ist es schwer zu verstehen, warum der Markt für Zero-Day-Exploits im privaten Sektor – eine Reihe obskurer Unternehmen, die Codes verkaufen, mit denen Regierungen in weit verbreitete Software eindringen können – für die Wahrung nationaler Interessen im Cyberspace, insbesondere gegenüber China, von Bedeutung sein sollte.

Eine einfache Erklärung für diesen Zusammenhang lautet wie folgt: Die Vereinigten Staaten und ihre Verbündeten sind in zunehmendem Maße auf eine digitalisierte Welt angewiesen, und China ist sowohl ein versierter Gegner als auch ein hartnäckiges Ziel im Cyberspace.

Wenn die Geheimdienste eines Landes in hochwertige, schwer zugängliche digitale Ziele eindringen wollen, müssen sie wahrscheinlich Zero-Day-Exploits oder andere maßgeschneiderte (d. h. speziell angefertigte oder angepasste) offensive Cyberfähigkeiten einsetzen.

Aufgrund des sinkenden internen Angebots und der steigenden Nachfrage nach solchen Fähigkeiten sind Geheimdienste sowohl in den Vereinigten Staaten als auch in China zunehmend darauf angewiesen, solche Exploits auf dem privaten Zero-Day-Exploit-Markt zu erwerben. Der private Zero-Day-Markt ist jedoch undurchsichtig und internationaler, als die politischen Entscheidungsträger erwarten. Selbst wenn die Vereinigten Staaten und China tatsächlich in einen „neuen Kalten Krieg“ eintreten, beziehen beide Länder ihre Fähigkeiten nach wie vor von einem weitgehend undurchsichtigen internationalen Markt für offensive Cyberfähigkeiten und wissen nicht, ob sie mit potenziell sich überschneidenden Fähigkeiten beliefert werden. Kurz gesagt, jede Cyberoperation, die auf erworbenen Fähigkeiten beruht und von den Vereinigten Staaten, China oder anderen durchgeführt wird, birgt ein Risiko für die Spionageabwehr und die operative Sicherheit, ohne dass eine Garantie dafür besteht, dass sie in Zukunft ähnliche Fähigkeiten beschaffen können. Daher ist die Sicherung der Cyber-Lieferkette (Verständnis der Branche, Einschränkung böswilliger Akteure und Gewährleistung der Verfügbarkeit durch vertrauenswürdige Parteien) wichtig, um solche Risiken zu begegnen.

Während die Regierung des ehemaligen Präsidenten Joe Biden versuchte, Akteure des privaten Sektors durch zusätzliche Regulierung einzuschränken und schlechte Akteure auf die Liste der Unternehmen zu setzen, waren diese Maßnahmen vor allem auf Menschenrechtsbedenken aus Europa und Israel ausgerichtet. Die Regierung von Präsident Donald Trump entfernt sich von diesem Ansatz und konzentriert sich auf China als geostrategische Bedrohung über transnationale digitale Repressionsrahmen hinaus und signalisiert gleichzeitig die Bereitschaft, mit Akteuren des privaten Sektors in diesem Bereich zusammenzuarbeiten. Die Trump-Regierung hat seit 2025 die Pläne für ein US Cyber Command (USCYBERCOM) 2.0 vorangetrieben, das sich auf eine bessere Zusammenarbeit mit Partnern aus der Privatwirtschaft konzentriert. Dies ist eine Fortsetzung der Politik der ersten Trump-Regierung: Trump war der erste Präsident, der die Befugnis für offensive Cyberoperationen an den Verteidigungsminister delegierte (durch das National Security Presidential Memorandum–13), wodurch das USCYBERCOM mehr Spielraum für Operationen ohne Zustimmung des Präsidenten erhielt, wenn auch weiterhin mit einem robusten behördenübergreifenden Überprüfungsprozess.

Wenn die Vereinigten Staaten ihre Cyberfähigkeiten auf internationaler Ebene durch die Einbindung privater Partner weiter ausbauen wollen, verfügen sie dann über die erforderlichen Lieferketten und Beschaffungskapazitäten, um dies zu unterstützen – insbesondere wenn ihr Gegner die Volksrepublik China ist? Obwohl der Autor allgemeine Analogien zwischen dem Cyberbereich und anderen Bereichen nicht gutheißt, kann die Analyse der Lieferketten und Beschaffungsstrukturen im Cyberbereich mit Fragen der Verbreitung von Atomwaffen oder anderen Waffen vergleichbar sein. Um beispielsweise zu beantworten, ob ein Land in der Lage ist, eine Atomwaffe zu bauen, muss man wissen, wie viel angereichertes Uran das Land leicht beschaffen kann. Um zu beantworten, ob ein Land zu einer Cybermacht werden kann, die Zugang zu den schwierigsten digitalen Zielen hat, muss man sich fragen, wie leicht es Zero-Day-Exploits und andere offensive Cyberfähigkeiten beschaffen und erwerben kann.

Quelle: Atlantic Council


Teile diesen Beitrag: