Erkenntnisse aus dem I-Soon Datenleck


In einer zunehmend vernetzten Welt wird Cyberspionage zu einer immer größeren . Ein kürzlich veröffentlichtes Papier des Bundesamts für Verfassungsschutz (BfV) beleuchtet die Strukturen und Vorgehensweisen der APT-Einheiten des chinesischen Unternehmens i-Soon. Dieses Dokument, Teil 1 der Serie „CYBER INSIGHT“, bietet erste wertvolle Einblicke in die Methoden und Strategien, die hinter der Industrialisierung der Cyberspionage stehen. Inzwischen gibt es vier Teile mit tiefgehendem Einblick.

Einleitung

Am 16. Februar 2024 wurden auf GitHub brisante Daten veröffentlicht, die die Verbindungen zwischen i-Soon und chinesischen Nachrichtendiensten aufdecken. Diese Leaks beinhalten über 570 Dateien, darunter Präsentationen, Chatverläufe und Screenshots kompromittierter Daten. Die i-Soon-Leaks bieten einen beunruhigenden Einblick in die Industrialisierung der Cyberspionage: Die Auswertung dieser Daten zeigt, wie privatwirtschaftlich organisierte Unternehmen im staatlichen Auftrag Cyberangriffe durchführen, eine Praxis, die als Industrialisierung der Cyberspionage bezeichnet wird.

Das Unternehmen i-Soon

i-Soon, gegründet 2010, hat seinen Hauptsitz in Shanghai und Büros in 32 weiteren Provinzen Chinas. Als Cyber-Sicherheitsfirma ist i-Soon nicht nur für die Abwehr von Hackerangriffen verantwortlich, sondern führt auch selbst Angriffe im Auftrag der chinesischen Regierung durch. Der Gründer von i-Soon, ein ehemaliger Angehöriger des „Green Corps“, hat ein umfassendes Netzwerk von Cybersicherheitsfirmen aufgebaut, die eng mit den chinesischen Sicherheitsdiensten zusammenarbeiten.

Struktur und Vorgehensweise der APT-Einheiten

Die Leaks geben einen seltenen Einblick in die Organisation und Arbeitsweise von i-Soon. Die APT-Einheiten des Unternehmens bestehen aus über 70 Personen, aufgeteilt in drei Hauptteams: dem „Security Research Team“, den „Penetration Teams“ und dem „Basic Support Team“. Diese Teams arbeiten zusammen, um komplexe und zielgerichtete Cyberangriffe durchzuführen.

Dienstleistungen von i-Soon

i-Soon bietet eine Reihe von Dienstleistungen an, die auf die Bedürfnisse ihrer Kunden zugeschnitten sind:

  • Target Penetration Services: Diese Dienstleistungen zielen auf Netzwerke von Regierungsorganisationen und -behörden ab, um sensible Daten zu extrahieren.
  • Battle Support Services: Unterstützung während aktiver Cyberangriffe, um die Effektivität zu maximieren.
  • Intelligence Services: Beschaffung und Analyse von Informationen zur Unterstützung von Cyberoperationen.

Die Vorgehensweise von i-Soon bei der Durchführung von Hacking-Kampagnen ist gut strukturiert und umfasst mehrere Schritte, von der Auswahl der Angriffsziele über die Organisation der Angriffe bis hin zur Unterstützung der Kunden während und nach den Angriffen.

i-Soon und das chinesische Cyber-Ökosystem

Die Leaks offenbaren auch die Rolle von i-Soon innerhalb des chinesischen Cyber-Ökosystems. Dieses Netzwerk umfasst verschiedene Sektoren, die eng mit staatlich unterstützter Cyberspionage verflochten sind. i-Soon führt nicht nur im Auftrag von Kunden Cyberoperationen durch, sondern generiert auch eigenständig Informationen, um diese gewinnbringend weiterzuverkaufen.

Einblick in die chinesische Cyberlandschaft

Die Daten geben einen umfassenden Einblick in die Komplexität und das Ausmaß des chinesischen Cyber-Ökosystems. Trotz ihrer Größe ist i-Soon nur ein mittelständisches Unternehmen innerhalb eines florierenden Wirtschaftszweigs in , das jedoch in der Lage ist, zahlreiche Angriffsoperationen gleichzeitig durchzuführen. Dies zeigt das hohe technische Niveau und die Effizienz der chinesischen Cybersicherheitsbranche.


Einbindung in das nationale Schwachstellen-Mining

i-Soon ist in das nationale Schwachstellen-Mining der Volksrepublik China integriert und arbeitet mit der „China National Vulnerability Database“ (CNNVD) zusammen. Chinesische Vorschriften verpflichten Unternehmen dazu, entdeckte Schwachstellen innerhalb von 48 Stunden an zentrale Sicherheitsbehörden zu melden. Diese Informationen stehen dann den entsprechenden Akteuren für potenziell offensive Cyberoperationen zur Verfügung. i-Soon fungiert dabei als technischer Partner und liefert Schwachstellenanalysen auf einer Level-3-Partnerschaft, die eine kontinuierliche Übermittlung neuer Schwachstellen sicherstellt.

Ausbildung und Zertifizierung

Das Unternehmen betreibt das „Anxun College“, das jährlich über 3.000 Studierende in Cyberoperationen ausbildet. Diese Einrichtung dient der Entwicklung qualifizierter Cyberexperten, die im Rahmen der Cybersicherheitsstrategie Chinas eine entscheidende Rolle spielen. Der Lehrplan umfasst sowohl Selbststudium als auch praktischen Unterricht und Wettbewerbe. Dabei werden gezielt Talente für i-Soon rekrutiert und für staatliche oder kommerzielle Cyberaktivitäten vorbereitet. Die zahlreichen Zertifizierungen des Unternehmens qualifizieren es für diverse sicherheitssensitive Aufgaben und betonen die staatliche Vertrauensstellung, die i-Soon genießt.

Personelle Verbindungen und Netzwerke

i-Soon weist enge personelle Verflechtungen mit dem chinesischen Staat und der Hackerszene auf. Eine geleakte Liste von „Mitarbeitern für vertrauliche Inhalte“ enthält detaillierte Informationen zu den Arbeitsbereichen und den Anforderungen an das Personal. Auch die Mitgliedschaft in der Kommunistischen Partei Chinas (KPCh) wird bei diesen Mitarbeitern vermerkt. Dies unterstreicht den politischen und staatlichen Einfluss auf das Unternehmen. Darüber hinaus bestehen über die Gründer und Mitarbeiter Verbindungen zu bekannten APT-Gruppierungen (Advanced Persistent Threats) und ehemaligen Mitgliedern der patriotischen Hackerszene Chinas, was die Einbindung in das chinesische Cyber-Ökosystem verdeutlicht.

Wirtschaftliche Dynamik und Auswirkungen

Die Aktivitäten von i-Soon veranschaulichen die umfassenden Möglichkeiten, die der chinesische Staat durch die Zusammenarbeit mit der florierenden Cybersecurity-Industrie erschließen kann. Das Angebot von i-Soon und ähnlichen Unternehmen erleichtert es dem Staat, auf professionelle Cyberdienste zuzugreifen, ohne eigene Ressourcen intensiv einsetzen zu müssen. Dieses Outsourcing führt zu einer verstärkten Professionalisierung der Cyberkampagnen und erschwert die Identifikation der Akteure. Der Slogan „Sicherheit ist grenzenlos“ auf der Firmenhomepage spiegelt die globale Ambition und die breite Dienstleistungspalette wider, die diese Zusammenarbeit erst ermöglicht.

Diese Erkenntnisse zeigen, dass die chinesische Cybersicherheitslandschaft nicht nur von staatlicher Seite strukturiert, sondern auch durch strategische Partnerschaften mit privaten Unternehmen geprägt ist, wodurch sich ein komplexes, professionelles und schwer rückverfolgbares System ergibt. Diese industriellen Strukturen haben direkte Auswirkungen auf die Sicherheitslage anderer Nationen und werfen Fragen zur Einhaltung internationaler Cybernormen auf.


Geopolitische Relevanz

Das Bundesamt für Verfassungsschutz (BfV) beleuchtet in seinem dritten Bericht zu den i-Soon-Leaks detaillierte Erkenntnisse über die Cyberangriffe des chinesischen Unternehmens i-Soon und deren geopolitische Relevanz. Die umfassenden Daten des Leaks erlauben Rückschlüsse auf konkrete Angriffsziele, Zielregionen und die strategische Stoßrichtung der Angriffe im Einklang mit chinesischen Interessen.

Zielregionen und betroffene Länder

i-Soon fokussiert seine Cyberoperationen gezielt auf Regionen wie West- und Südostasien, insbesondere Länder wie Hongkong, Taiwan, Indien, Nepal und Tibet. Diese Auswahl weist darauf hin, dass geopolitische Interessen Chinas maßgeblich die Zielsetzung der Angriffe beeinflussen. Das Leak zeigt, dass auch Institutionen und Mitgliedsstaaten der EU betroffen sind, darunter Frankreich und andere europäische Länder, was auf eine Ausweitung der Operationen in strategisch wichtige Regionen hinweist.

Konkrete Ziele der Angriffe

Der Leak bietet Einblicke in die verschiedenen Sektoren, die i-Soon gezielt angreift. Dabei stehen Regierungsbehörden mit über 43 % der Angriffe im Vordergrund, gefolgt von Telekommunikationsanbietern, die etwa 25 % der Angriffe ausmachen. Weitere Ziele umfassen den Medizin- und Energiesektor sowie wissenschaftliche und religiöse Einrichtungen. Die weitreichenden Zugriffsmöglichkeiten, die i-Soon seinen Auftraggebern anbietet, umfassen vollständige Kontrolle über Netzwerke, Zugang zu sensiblen Daten sowie Echtzeit-Überwachung, wie z.B. bei einem kasachischen Telekommunikationsdienstleister mit 820 GB an Daten.

Geopolitische Ausrichtung und Interessen Chinas

Die Angriffsziele spiegeln Chinas geopolitische Interessen wider. So stehen Länder wie Hongkong, Thailand, Taiwan, Kasachstan und Malaysia im Fokus, was die Bedeutung dieser Länder für die Informationsgewinnung unterstreicht. Die Kompromittierungen sind schwer nachzuverfolgen, da die Akteure professionell und unauffällig vorgehen. Dies deutet darauf hin, dass solche Operationen von hoher strategischer Bedeutung sind und wahrscheinlich langfristige Ziele verfolgen.

Rückschlüsse und globale Auswirkungen

Der Bericht verdeutlicht, wie intensiv private Unternehmen wie i-Soon in staatlich motivierte Cyberoperationen eingebunden sind und dabei hochprofessionelle Dienstleistungen anbieten, die chinesischen Interessen dienen. Die gezielte Wahl von Regierungsstellen, Telekommunikationsanbietern und anderen kritischen Sektoren lässt darauf schließen, dass China über private Akteure die Cybersicherheit anderer Länder systematisch schwächt und strategisch relevante Informationen sammelt. Der i-Soon-Leak illustriert damit beispielhaft, wie die Cyberspionage nicht nur als Mittel der Informationsbeschaffung, sondern auch als geopolitisches Werkzeug eingesetzt wird.


Bild des Produktportfolios

In der vierten und abschließenden Analyse des BfV zu den i-Soon-Leaks wird ein detailliertes Bild des Produktportfolios und der Abnehmer von i-Soon gezeichnet. Diese Untersuchung zeigt auf, wie gut ausgebaut die Produktpalette von i-Soon ist und welche Bedeutung diese für staatliche und sicherheitsrelevante Stellen Chinas hat. Die Produkte und Dienstleistungen von i-Soon richten sich an staatliche Auftraggeber, private Unternehmen und auch militärische Nutzer. Dieses Arsenal an Werkzeugen zeigt die enormen technischen Möglichkeiten, die der chinesische Sicherheitsapparat über private Anbieter wie i-Soon für offensive und defensive Cyberoperationen nutzen kann.

Produktübersicht und technisches Potenzial

Die Produktpalette von i-Soon umfasst eine Vielzahl spezialisierter Tools, darunter die „Integrated Combat Platform“ zur Steuerung großangelegter Cyberoperationen, eine „Automated Penetration Testing Platform“ für automatisierte Sicherheitstests, und eine „Microsoft E-Mail Encryption Platform“ zur Kompromittierung von Microsoft-Postfächern und Umgehung der Zwei-Faktor-Authentifizierung. Daneben bietet i-Soon Anonymisierungswerkzeuge wie die „Anonymous Anti-Tracing Wall“ an, die speziell zur Verschleierung von Cyberoperationen dient, und die „Individual (Soldier) Toolbox“ – ein mobiles Penetration-Testing-Set mit umfangreichen Funktionen zur Manipulation und zum Angriff auf Zielnetzwerke.

Kunden und Vertragsstrukturen

Das Zielpublikum von i-Soon sind vor allem Sicherheitsbehörden und Organisationen in China, darunter das Ministerium für Öffentliche Sicherheit (MPS), das Ministerium für Staatssicherheit (MSS) und die Volksbefreiungsarmee (PLA). Auch private Unternehmen, die selbst im Cybersektor tätig sind, gehören zur Kundschaft. Die Vertragsbücher geben Einblicke in spezifische Verträge wie „Network Technology Service Contracts“ und „Overseas Data Inquiry“, die explizit für Cyberoperationen und die Akquise von Informationen über E-Mail-Konten und andere sensiblen Daten ausgelegt sind.

Rückschlüsse und globale Auswirkungen

Die umfangreichen Angebote und der modulare Aufbau vieler Tools zeigen, dass i-Soon ein breites Arsenal an einfach bedienbaren, aber leistungsstarken Cybertools bereitstellt, das besonders für chinesische Sicherheitsbehörden optimiert ist. Der Markt für Cybersicherheitsdienstleistungen in China, dessen Expansion durch private Unternehmen wie i-Soon vorangetrieben wird, zeigt eine klare Industrialisierung der Cyberspionage. Diese Dynamik führt zu einer ständigen Innovation und Professionalisierung und bietet chinesischen staatlichen Stellen Zugriff auf maßgeschneiderte Cyberfähigkeiten ohne eigene Entwicklungsaufwendungen.

Insgesamt illustrieren die i-Soon-Leaks die Gefahr, die von einer privatwirtschaftlich betriebenen und dennoch staatlich gelenkten Cyberindustrie ausgeht. Chinesische Sicherheitsbehörden profitieren von einem System, das ihnen ermöglicht, Informationen und Einfluss weltweit effizient und zielgerichtet zu gewinnen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.