Erkenntnisse aus dem I-Soon Datenleck

In einer zunehmend vernetzten Welt wird Cyberspionage zu einer immer größeren . Ein kürzlich veröffentlichtes Papier des Bundesamts für Verfassungsschutz (BfV) beleuchtet die Strukturen und Vorgehensweisen der APT-Einheiten des chinesischen Unternehmens i-Soon. Dieses Dokument, Teil 1 der 4-teiligen Serie “CYBER INSIGHT”, bietet erste wertvolle Einblicke in die Methoden und Strategien, die hinter der Industrialisierung der Cyberspionage stehen. Inzwischen gibt es vier Teile mit tiefgehendem Einblick.

Einleitung: Was ist los gewesen bei I-Soon?

Am 16. Februar 2024 wurden auf GitHub brisante Daten veröffentlicht, die die Verbindungen zwischen i-Soon und chinesischen Nachrichtendiensten aufdecken. Diese Leaks beinhalten über 570 Dateien, darunter Präsentationen, Chatverläufe und Screenshots kompromittierter Daten. Die i-Soon-Leaks bieten einen beunruhigenden Einblick in die Industrialisierung der Cyberspionage: Die Auswertung dieser Daten zeigt, wie privatwirtschaftlich organisierte Unternehmen im staatlichen Auftrag Cyberangriffe durchführen, eine Praxis, die als Industrialisierung der Cyberspionage bezeichnet wird.

I-Soon: Chinas kleines, großes Datenleck

Das Unternehmen i-Soon

i-Soon, gegründet 2010, hat seinen Hauptsitz in Shanghai und Büros in 32 weiteren Provinzen Chinas. Als Cyber-Sicherheitsfirma ist i-Soon nicht nur für die Abwehr von Hackerangriffen verantwortlich, sondern führt auch selbst Angriffe im Auftrag der chinesischen Regierung durch. Der Gründer von i-Soon, ein ehemaliger Angehöriger des “Green Corps”, hat ein umfassendes Netzwerk von Cybersicherheitsfirmen aufgebaut, die eng mit den chinesischen Sicherheitsdiensten zusammenarbeiten.

Struktur und Vorgehensweise der APT-Einheiten

Die Leaks geben einen seltenen Einblick in die Organisation und Arbeitsweise von i-Soon. Die APT-Einheiten des Unternehmens bestehen aus über 70 Personen, aufgeteilt in drei Hauptteams: dem “Security Research Team”, den “Penetration Teams” und dem “Basic Support Team”. Diese Teams arbeiten zusammen, um komplexe und zielgerichtete Cyberangriffe durchzuführen.

Dienstleistungen von i-Soon

i-Soon bietet eine Reihe von Dienstleistungen an, die auf die Bedürfnisse ihrer Kunden zugeschnitten sind:

  • Target Penetration Services: Diese Dienstleistungen zielen auf Netzwerke von Regierungsorganisationen und -behörden ab, um sensible Daten zu extrahieren.
  • Battle Support Services: Unterstützung während aktiver Cyberangriffe, um die Effektivität zu maximieren.
  • Intelligence Services: Beschaffung und Analyse von Informationen zur Unterstützung von Cyberoperationen.

Die Vorgehensweise von i-Soon bei der Durchführung von Hacking-Kampagnen ist gut strukturiert und umfasst mehrere Schritte, von der Auswahl der Angriffsziele über die Organisation der Angriffe bis hin zur Unterstützung der Kunden während und nach den Angriffen.

i-Soon und das chinesische Cyber-Ökosystem

Die Leaks offenbaren auch die Rolle von i-Soon innerhalb des chinesischen Cyber-Ökosystems. Dieses Netzwerk umfasst verschiedene Sektoren, die eng mit staatlich unterstützter Cyberspionage verflochten sind. i-Soon führt nicht nur im Auftrag von Kunden Cyberoperationen durch, sondern generiert auch eigenständig Informationen, um diese gewinnbringend weiterzuverkaufen.

Einblick in die chinesische Cyberlandschaft

Die Daten geben einen umfassenden Einblick in die Komplexität und das Ausmaß des chinesischen Cyber-Ökosystems. Trotz ihrer Größe ist i-Soon nur ein mittelständisches Unternehmen innerhalb eines florierenden Wirtschaftszweigs in , das jedoch in der Lage ist, zahlreiche Angriffsoperationen gleichzeitig durchzuführen. Dies zeigt das hohe technische Niveau und die Effizienz der chinesischen Cybersicherheitsbranche.

Hackeraktivitäten und Spionage aus China

Einbindung in das nationale Schwachstellen-Mining

i-Soon ist in das nationale Schwachstellen-Mining der Volksrepublik China integriert und arbeitet mit der „China National Vulnerability Database“ (CNNVD) zusammen. Chinesische Vorschriften verpflichten Unternehmen dazu, entdeckte Schwachstellen innerhalb von 48 Stunden an zentrale Sicherheitsbehörden zu melden. Diese Informationen stehen dann den entsprechenden Akteuren für potenziell offensive Cyberoperationen zur Verfügung. i-Soon fungiert dabei als technischer Partner und liefert Schwachstellenanalysen auf einer Level-3-Partnerschaft, die eine kontinuierliche Übermittlung neuer Schwachstellen sicherstellt.

Entschlüsselung der Spionage in Europa: Ein Überblick über die Jahre 2010–2021

Ausbildung und Zertifizierung

Das Unternehmen betreibt das „Anxun College“, das jährlich über 3.000 Studierende in Cyberoperationen ausbildet. Diese Einrichtung dient der Entwicklung qualifizierter Cyberexperten, die im Rahmen der Cybersicherheitsstrategie Chinas eine entscheidende Rolle spielen. Der Lehrplan umfasst sowohl Selbststudium als auch praktischen Unterricht und Wettbewerbe. Dabei werden gezielt Talente für i-Soon rekrutiert und für staatliche oder kommerzielle Cyberaktivitäten vorbereitet. Die zahlreichen Zertifizierungen des Unternehmens qualifizieren es für diverse sicherheitssensitive Aufgaben und betonen die staatliche Vertrauensstellung, die i-Soon genießt.

i-Soon: Verbindungen zum chinesischen Staat und Cyber-Ökosystem

i-Soon weist enge personelle und strukturelle Verflechtungen mit dem chinesischen Staat und der nationalen Hackerszene auf. Eine geleakte Liste sogenannter „Mitarbeiter für vertrauliche Inhalte“ gibt detailliert Auskunft über die internen Arbeitsbereiche und dokumentiert die Anforderungen an das Personal. Auffällig ist, dass dort auch die Mitgliedschaft in der Kommunistischen Partei Chinas (KPCh) vermerkt wird – ein Indikator für die ideologische Anbindung und politische Kontrolle innerhalb des Unternehmens. Ebenso scheint das Fehlen familiärer Kontakte ins Ausland ein stillschweigendes Ausschlusskriterium zu sein.

Die Einbindung von i-Soon in das nationale Schwachstellen-Mining Chinas offenbart die enge institutionelle Verzahnung mit dem Sicherheitsapparat: Das Unternehmen ist als technischer Unterstützer in der „China National Vulnerability Database“ (CNNVD) registriert – einem staatlich kontrollierten Schwachstellenregister, das Informationen gezielt auch offensiven Cyberakteuren zur Verfügung stellt. i-Soon muss jährlich definierte Anforderungen erfüllen, um den Status als zertifizierter Partner zu behalten – darunter die Meldung von Schwachstellen und technische Unterstützungsleistungen für den chinesischen Staat.

Hinzu kommt eine bemerkenswerte Ausbildungsinfrastruktur: Mit dem firmeneigenen „Anxun College“ bildet i-Soon jährlich tausende Personen in offensiven Cyberfähigkeiten aus, darunter auch Angehörige staatlicher Einrichtungen. Die gezielte Rekrutierung über Wettbewerbe und die Integration von Studierenden aus dem öffentlichen Sektor deuten auf eine systematische Nachwuchsförderung im staatlichen Interesse hin.

Darüber hinaus bestehen über Gründer und Mitarbeitende Verbindungen zu bekannten APT-Gruppierungen (Advanced Persistent Threats) sowie zu ehemaligen Mitgliedern der patriotischen Hackerszene Chinas. Viele dieser Akteure betreiben heute eigene Unternehmen und arbeiten ihrerseits für staatliche Auftraggeber – ein Beleg für die Verwischung der Grenzen zwischen privatwirtschaftlicher Tätigkeit und staatlich gesteuerter Cyberspionage.

i-Soon steht somit exemplarisch für ein wachsendes Modell chinesischer Cyberfirmen, die mit staatlicher Duldung und Unterstützung operieren – wirtschaftlich motiviert, aber politisch eingebettet. Das Unternehmen agiert in einem Markt, in dem professionelle Cyberdienstleister hochspezialisierte Hacking-Tools, Personalschulungen und Angriffsoperationen als Paketlösung anbieten – und der chinesische Staat sich diese Dienste zunehmend zunutze macht.

Wirtschaftliche Dynamik und Auswirkungen

Die Aktivitäten von i-Soon veranschaulichen die umfassenden Möglichkeiten, die der chinesische Staat durch die Zusammenarbeit mit der florierenden Cybersecurity-Industrie erschließen kann. Das Angebot von i-Soon und ähnlichen Unternehmen erleichtert es dem Staat, auf professionelle Cyberdienste zuzugreifen, ohne eigene Ressourcen intensiv einsetzen zu müssen. Dieses Outsourcing führt zu einer verstärkten Professionalisierung der Cyberkampagnen und erschwert die Identifikation der Akteure. Der Slogan „Sicherheit ist grenzenlos“ auf der Firmenhomepage spiegelt die globale Ambition und die breite Dienstleistungspalette wider, die diese Zusammenarbeit erst ermöglicht.

Diese Erkenntnisse zeigen, dass die chinesische Cybersicherheitslandschaft nicht nur von staatlicher Seite strukturiert, sondern auch durch strategische Partnerschaften mit privaten Unternehmen geprägt ist, wodurch sich ein komplexes, professionelles und schwer rückverfolgbares System ergibt. Diese industriellen Strukturen haben direkte Auswirkungen auf die Sicherheitslage anderer Nationen und werfen Fragen zur Einhaltung internationaler Cybernormen auf.

Geopolitische Relevanz

Das Bundesamt für Verfassungsschutz (BfV) beleuchtet in seinem dritten Bericht zu den i-Soon-Leaks dann auch detaillierte Erkenntnisse über die Cyberangriffe des chinesischen Unternehmens i-Soon und deren geopolitische Relevanz. Die umfassenden Daten des Leaks erlauben Rückschlüsse auf konkrete Angriffsziele, Zielregionen und die strategische Stoßrichtung der Angriffe im Einklang mit chinesischen Interessen.

Zielregionen und betroffene Länder

Die Aktivitäten von i-Soon konzentrieren sich in auffälliger Weise auf geopolitisch sensible Regionen. Der Fokus liegt insbesondere auf West- und Südostasien mit Angriffen gegen Hongkong, Taiwan, Indien, Nepal und Tibet. Daneben sind zahlreiche weitere Länder betroffen, darunter Kasachstan, Malaysia, die Mongolei, Kirgisistan, die Türkei, Pakistan, Ägypten, Uganda, Vietnam, Südkorea und Afghanistan. Diese Auswahl spiegelt klar die strategischen Interessen der Volksrepublik China wider.

Bemerkenswert ist zudem die dokumentierte Ausweitung der Operationen auf europäische Zielregionen. Neben Frankreich erscheinen im Leak auch Hinweise auf kompromittierte Systeme mit EU-Bezug, darunter Dokumente, die mit dem Verschlüsselungssystem „ZED!“ (ZED! For European Union Security) markiert sind – ein von der NATO und EU-Institutionen genutztes Sicherheitsstandardverfahren. Weitere Screenshots deuten auf mögliche Angriffe gegen Nordmazedonien (im Kontext der EU-Beitrittsverhandlungen), die Tschechische Republik (Ministerrat der EU 2022) sowie Ziele in Großbritannien hin. All dies belegt ein erhebliches Interesse an außen- und sicherheitspolitisch relevanter Informationsgewinnung im europäischen Raum.

Konkrete Ziele der Angriffe

Aus dem Leak geht hervor, dass i-Soon primär Netzwerke von Regierungsbehörden (über 43 %) und Telekommunikationsanbietern (rund 25 %) ins Visier nimmt. Weitere betroffene Sektoren sind medizinische Einrichtungen, Energieversorger, Forschungsinstitutionen, religiöse Organisationen sowie Bildungseinrichtungen. Die breit gefächerte Zielpalette spricht für eine strategisch motivierte Informationsabschöpfung über verschiedene gesellschaftliche Sektoren hinweg.

Die Angriffsdaten geben detaillierten Einblick in das Vorgehen von i-Soon: Jeder Eintrag enthält Informationen zu Zielland, -typ, Dateigröße, Art der erbeuteten Daten, Beschreibung des Zugriffs sowie Bemerkungen der bearbeitenden Einheit. Es zeigt sich, dass i-Soon seinen Kunden die Möglichkeit bietet, auf Basis von Vorabdatensätzen gezielt auszuwählen, ob eine weitergehende Operation erfolgen soll. Dieses „On-Demand“-Modell unterstreicht die Industrialisierung und Dienstleistungslogik hinter der Cyberspionage.

Ein besonders eindrückliches Beispiel liefert der Fall eines kasachischen Telekommunikationsdienstleisters: i-Soon stellt hier einen 820 GB großen Datenauszug zur Verfügung, der unter anderem vollständigen Zugang zum internen Intranet, zu Dateiservern und Antiviren-Systemen sowie Echtzeitabfragen von Gesprächsprotokollen ermöglicht. Derart tiefgreifende Zugriffe belegen nicht nur technische Kompetenz, sondern auch die Bereitschaft, umfassende Kontrolle über kritische Infrastrukturen zu übernehmen.

Geopolitische Ausrichtung und Interessen Chinas

Die Angriffsziele spiegeln Chinas geopolitische Interessen wider. So stehen Länder wie Hongkong, Thailand, Taiwan, Kasachstan und Malaysia im Fokus, was die Bedeutung dieser Länder für die Informationsgewinnung unterstreicht. Die Kompromittierungen sind schwer nachzuverfolgen, da die Akteure professionell und unauffällig vorgehen. Dies deutet darauf hin, dass solche Operationen von hoher strategischer Bedeutung sind und wahrscheinlich langfristige Ziele verfolgen.

Rückschlüsse und globale Auswirkungen

Der Bericht verdeutlicht, wie intensiv private Unternehmen wie i-Soon in staatlich motivierte Cyberoperationen eingebunden sind und dabei hochprofessionelle Dienstleistungen anbieten, die chinesischen Interessen dienen. Die gezielte Wahl von Regierungsstellen, Telekommunikationsanbietern und anderen kritischen Sektoren lässt darauf schließen, dass China über private Akteure die Cybersicherheit anderer Länder systematisch schwächt und strategisch relevante Informationen sammelt. Der i-Soon-Leak illustriert damit beispielhaft, wie die Cyberspionage nicht nur als Mittel der Informationsbeschaffung, sondern auch als geopolitisches Werkzeug eingesetzt wird.

Bild des Produktportfolios

In der vierten und abschließenden Analyse des BfV zu den i-Soon-Leaks wird ein detailliertes Bild des Produktportfolios und der Abnehmer von i-Soon gezeichnet. Diese Untersuchung zeigt auf, wie gut ausgebaut die Produktpalette von i-Soon ist und welche Bedeutung diese für staatliche und sicherheitsrelevante Stellen Chinas hat. Die Produkte und Dienstleistungen von i-Soon richten sich an staatliche Auftraggeber, private Unternehmen und auch militärische Nutzer. Dieses Arsenal an Werkzeugen zeigt die enormen technischen Möglichkeiten, die der chinesische Sicherheitsapparat über private Anbieter wie i-Soon für offensive und defensive Cyberoperationen nutzen kann.

Produktübersicht und technisches Potenzial

Die Produktpalette von i-Soon umfasst eine Vielzahl spezialisierter Tools, darunter die „Integrated Combat Platform“ zur Steuerung großangelegter Cyberoperationen, eine „Automated Penetration Testing Platform“ für automatisierte Sicherheitstests, und eine „Microsoft E-Mail Encryption Platform“ zur Kompromittierung von Microsoft-Postfächern und Umgehung der Zwei-Faktor-Authentifizierung. Daneben bietet i-Soon Anonymisierungswerkzeuge wie die „Anonymous Anti-Tracing Wall“ an, die speziell zur Verschleierung von Cyberoperationen dient, und die „Individual (Soldier) Toolbox“ – ein mobiles Penetration-Testing-Set mit umfangreichen Funktionen zur Manipulation und zum Angriff auf Zielnetzwerke.

Kunden und Vertragsstrukturen

Das Zielpublikum von i-Soon setzt sich primär aus chinesischen Sicherheitsbehörden und Nachrichtendiensten zusammen – allen voran das Ministerium für Öffentliche Sicherheit (MPS), das Ministerium für Staatssicherheit (MSS) sowie die Volksbefreiungsarmee (PLA). Darüber hinaus adressiert das Unternehmen auch privatwirtschaftliche Akteure, insbesondere andere Cybersecurity-Firmen mit vergleichbarer Ausrichtung. Die interne Einteilung in vier Kundengruppen („Public Security“, „Safety“, „Military“, „Enterprise“) zeigt deutlich, dass i-Soon nicht nur staatliche Stellen, sondern auch kommerzielle Partner im Cybersektor beliefert​.

Die Vertragsbücher offenbaren konkrete Einblicke in die Formen der Zusammenarbeit: Vertragstitel wie „Network Technology Service Contract“, „Technical Cooperation Agreement“ oder „Overseas Data Inquiry“ verweisen auf technische Unterstützungsleistungen, unter anderem für den Zugriff auf E-Mail-Konten, Netzwerkstrukturen und sensible Personendaten. Auch der gezielte Ankauf von Zieldaten („Data Purchase Contract“) sowie die Bereitstellung von Anonymisierungsinfrastruktur („Anti-Tracing Sales Contract“) gehören zum Leistungsportfolio. Insbesondere das MSS nutzt laut Dokumenten auch sogenannte „Contract Hacker“ und Anonymisierungsnetzwerke für Cyberoperationen im Ausland​.

Die Produktpalette von i-Soon ist auf staatliche Bedürfnisse zugeschnitten. Die angebotenen Werkzeuge umfassen eine „Integrated Combat Platform“ für umfassende Cyberoperationen, automatisierte Penetrationstests, eine Plattform zur Kompromittierung von Microsoft-E-Mail-Konten, Systeme zur E-Mail-Analyse und zur anonymisierten Navigation im Clear- und sowie eine mobile „Soldier Toolbox“ mit offensiven Angriffsfunktionen wie Webshell-Nutzung und Paketmanipulation. Der modulare Aufbau vieler Tools erlaubt flexible Einsatzszenarien – auch durch technisch weniger versierte Nutzer.

Insgesamt bestätigt der Leak ein weitgehend industrialisiertes Geschäftsmodell: i-Soon bietet maßgeschneiderte Cyber-Dienstleistungen mit hohem Professionalisierungsgrad für staatliche Auftraggeber – inklusive Produktpflege, Nutzerschulung, Anonymisierung und Datenakquise. Dabei wird klar: Es handelt sich nicht um vereinzelte Auftragsarbeiten, sondern um eine fest etablierte Zulieferstruktur im chinesischen Cyber-Ökosystem.

Rückschlüsse und globale Auswirkungen

Die umfangreichen Angebote und der modulare Aufbau vieler Tools zeigen, dass i-Soon ein breites Arsenal an einfach bedienbaren, aber leistungsstarken Cybertools bereitstellt, das besonders für chinesische Sicherheitsbehörden optimiert ist. Der Markt für Cybersicherheitsdienstleistungen in China, dessen Expansion durch private Unternehmen wie i-Soon vorangetrieben wird, zeigt eine klare Industrialisierung der Cyberspionage. Diese Dynamik führt zu einer ständigen Innovation und Professionalisierung und bietet chinesischen staatlichen Stellen Zugriff auf maßgeschneiderte Cyberfähigkeiten ohne eigene Entwicklungsaufwendungen.

Rechtsanwalt Ferner zu Hackern aus China und Erkenntnissen aus dem I-Soon Datenleck

Insgesamt illustrieren die i-Soon-Leaks die Gefahr, die von einer privatwirtschaftlich betriebenen und dennoch staatlich gelenkten Cyberindustrie ausgeht. Chinesische Sicherheitsbehörden profitieren von einem System, das ihnen ermöglicht, Informationen und Einfluss weltweit effizient und zielgerichtet zu gewinnen – und deutsche Unternehmen müssen ihre Cybersicherheitspolitik darauf ausrichten!

Die i-Soon-Leaks zeigen dabei exemplarisch, wie chinesische Unternehmen im Bereich der Cyberspionage gezielt nationale Interessen verfolgen. Die regionalen und sektoralen Schwerpunkte decken sich mit den außen- und sicherheitspolitischen Zielsetzungen Pekings. Gleichzeitig verdeutlicht die Ausweitung auf europäische Institutionen und Mitgliedsstaaten den globalen Anspruch der eingesetzten Mittel – und die Notwendigkeit, Cybersicherheit als geopolitisches Thema zu begreifen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.