Hinweis zum Umfang: Im Laufe des vergangenen Jahres hat Recorded Future die Veröffentlichungsgeschwindigkeiten, Missionen und Nützlichkeit der nationalen Vulnerhabendatenbanken (NVDs) von zwei Ländern: China und den Vereinigten Staaten. Wir beschlossen, die gleichen Analysetechniken auf die russische Schwachstellendatenbank anzuwenden, um zu sehen, was wir daraus lernen können. Dieser Bericht enthält eine detaillierte Analyse der Schwachstellen, die vom Föderalen Dienst für technische und Exportkontrolle Russlands (FSTEC) veröffentlicht wurden, offizielle russische Regierungsdokumente, Recorded Future-Daten und Open-Source-Intelligence (OSINT). Die für diesen Bericht analysierten Daten wurden am 30. März 2018 zusammengestellt.

Executive Summary

Russlands Datenbank zu Schwachstellen ist äußerst fokussiert. Allerdings ist es unvollständig, langsam und zielt wahrscheinlich darauf ab, die Kontrolle des russischen Staates über Technologieunternehmen und -nutzer zu unterstützen. Im Allgemeinen veröffentlicht Russland lediglich 10 Prozent der bekannten Schwachstellen, ist im Durchschnitt 83 Tage langsamer als Chinas National Vulnerability Database (NVD), 50 Tage langsamer als die NVD der USA und ist bei den wenigen Technologien, die es abdeckt, unvollständig.

Wichtige Urteile

• Die russische Schwachstellendatenbank wird vom Föderalen Dienst für technische Kontrolle und Exportkontrolle Russlands (FSTEC) betrieben. FSTEC ist die militärische Organisation, die für den Schutz von Staatsgeheimnissen und die Unterstützung von Spionageabwehr- und Gegenspionageoperationen zuständig ist.
• Die Schwachstellendatenbank von FSTEC ist auch als BDU (Банк данных угроз безопасности информации) bekannt. Der BDU hat lediglich 11.036 der von NVD gemeldeten 107.901 CVEs veröffentlicht (ungefähr 10 Prozent).
• FSTEC hat 61 Prozent der Schwachstellen veröffentlicht, die von staatlich geförderten russischen Bedrohungsgruppen ausgenutzt werden. Dies liegt zwar deutlich über den üblichen 10 Prozent, die Daten reichen jedoch nicht aus, um den Einfluss russischer Geheimdienste auf die FSTEC-Veröffentlichungen zu bestimmen.
• FSTEC füllt die BDU-Datenbank mit Schwachstellen, die vor allem eine Bedrohung für die russischen staatlichen Informationssysteme darstellen. Dadurch erhalten die Forscher Informationen darüber, welche Technologien, Hardware und Software in den Netzwerken der russischen Regierung zum Einsatz kommen.

Hintergrund

Der Föderale Dienst für technische und Exportkontrolle Russlands (FSTEC) wurde 2004 gegründet und untersteht dem Verteidigungsministerium (MOD). FSTEC verfügt über eine Zentrale in Moskau, sieben regionale „Hauptquartiere“ und ein Forschungs- und Testinstitut für Informationssicherheit, das als Staatliches Wissenschafts- und Forschungsexperimentelles Institut für technische Informationsschutzprobleme des FSTEC oder GNIII PTZI FSTEC bekannt ist.

FSTEC-Hauptsitz in Moskau, befindet sich in 105066, Moskau, ul. Staraya Basmannaya, 17.

Auf der offiziellen Website des Premierministers wird der FSTEC als „ein föderales Exekutivorgan beschrieben, das für die Umsetzung der Regierungspolitik, die Organisation der Zusammenarbeit und Interaktion zwischen den Ministerien sowie die Ausübung von Sonder- und Kontrollfunktionen im Bereich der Staatssicherheit verantwortlich ist.“

Laut weiteren offiziellen Dokumenten aus dem Jahr 2016 setzt der FSTEC die Staatspolitik um, organisiert die abteilungsübergreifende Zusammenarbeit und übt besondere Funktionen der Staatssicherheit in folgenden Bereichen aus:

• Sicherheit von Informationssystemen
• Abwehr ausländischer technischer Bedrohungen für Russland
• Sicherheit von Staatsgeheimnissen
• Ausfuhrkontrolle

Wie der Name der Organisation bereits andeutet, fallen die ersten drei Bereiche eindeutig in den Aufgabenbereich der technischen Kontrolle. Unserer umfassenden Prüfung der FSTEC-Dokumentation zufolge nimmt die Exportkontrolle wahrscheinlich einen viel geringeren Anteil der FSTEC-Ressourcen ein als alle Aufgaben und Funktionen, die der technischen Kontrolle unterliegen. Die Mission der technischen Kontrolle umfasst die interne Kontrolle, staatliche Informationssysteme und nach Russland verkaufte ausländische Technologie.

Obwohl die FSTEC dem Verteidigungsministerium untersteht, verfügt sie über eine viel längere und umfangreichere Liste von Behörden, insbesondere im Bereich der technischen Kontrolle und der Sicherheit von Staatsgeheimnissen. Laut den auf der Website der FSTEC aufgeführten Unterlagen reguliert die Organisation auch den Handel mit Materialien, die in chemischen und nuklearen Waffen verwendet werden könnten, bekämpft technische Aufklärung, gibt Stellungnahmen über die Nutzung des russischen Territoriums für ausländische wissenschaftliche Forschung ab und finanziert die Forschung zur Erforschung der Strahlung, die von verschiedenen Arten von Systemen und Geräten emittiert wird.

Die FSTEC hat auch ein Gremium aus hochrangigen Regierungsbeamten, die nach ihrer Position ernannt werden. Diesem Gremium gehören unter anderem der Erste Stellvertretende Chef des Generalstabs des russischen Militärs, der stellvertretende Innenminister, der Leiter des Wirtschaftssicherheitsdienstes des Föderalen Sicherheitsdienstes (FSB) und der stellvertretende Direktor des SVR an. Die Hauptaufgabe des Vorstands besteht in der Festlegung und Verwaltung des FSTEC-Budgets sowie in der Koordination der abteilungsübergreifenden Funktionen.

Zu den unzähligen Zuständigkeiten im Rahmen der vier Hauptfunktionen des FSTEC gehört auch die Zusammenarbeit mit dem FSB beim Schutz von Staatsgeheimnissen, die Unterstützung der technischen Spionageabwehr und der Spionageabwehr ^{und die} Befugnis, die Kommunikation von Regierungsbeamten zu überwachen, die mit Staatsgeheimnissen arbeiten.

Das FSTEC wird derzeit von Direktor Vladimir Selin geleitet, der diese Position seit Mai 2011 innehat. Selin wird von einem ersten stellvertretenden Direktor, Sergej Jakimow, und vier stellvertretenden Direktoren unterstützt. Neben seiner Position als Direktor des FSTEC ist Selin auch Mitglied des Vorstands des Verteidigungsministeriums und stellvertretender Vorsitzender der Kommission für Staatsgeheimnisse (in der er zusammen mit dem Chef des Generalstabs des russischen Militärs , General Waleri Gerassimow, sitzt).

Laut offiziellen staatlichen Dokumenten wurden dem FSTEC im Jahr 2015 insgesamt 1.111 Mitarbeiter zugewiesen, Sicherheits-, Schutz- und Wartungspersonal nicht mitgerechnet. Von den 1.111 Mitarbeitern sind 225 in der Moskauer Zentrale tätig, die restlichen 886 verteilen sich auf die sieben Regionalbüros der FSTEC.

Da der Schwerpunkt der Mission auf der technischen Kontrolle liegt, ist es wahrscheinlich, dass die Mehrheit dieser 1.111 Mitarbeiter an Themen arbeitet, die mit diesem Mandat in Zusammenhang stehen, während eine viel kleinere Minderheit die Exportkontrollarbeit von FSTEC unterstützt.

FSTECs Prozess zur Veröffentlichung von Sicherheitslücken

FSTEC betreibt außerdem eine Datenbank zur Veröffentlichung von Sicherheitslücken, zu der es über die Website bdu.fstec.ru/vul öffentlichen Zugriff gewährt. Auf der Homepage heißt es, der Zweck der Datenbank bestehe darin, „das Bewusstsein interessierter Personen für bestehende Bedrohungen von Informationssicherheitssystemen zu schärfen“ und sie sei für ein breites Spektrum an Kunden, Betreibern, Entwicklern, Informationssicherheitsexperten, Testlaboren und Zertifizierungsstellen konzipiert.

FSTEC gibt außerdem an, dass die Datenbank „Informationen über die wichtigsten Bedrohungen für die Informationssicherheit und Schwachstellen enthält, vor allem solche, die für staatliche Informationssysteme und automatisierte Systeme zur Verwaltung von Produktions- und Technologieprozessen kritischer Einrichtungen charakteristisch sind.²”

Homepage der FSTEC Security Threats Database, auf der der Zweck und die Zielgruppe der Daten aufgeführt sind.

FSTEC erhebt keinen Anspruch auf Vollständigkeit dieser Datenbank. Stattdessen konzentriert man sich auf die Veröffentlichung von Schwachstellen in Informationssystemen, die vom Staat und in „kritischen Einrichtungen“ verwendet werden. Dieser Auftrag spiegelt sich auch in den Zuständigkeiten und Tätigkeiten der sieben Regionalabteilungen des FSTEC wider. Die Mehrzahl der Aufgaben der regionalen Hauptquartiere dreht sich überwiegend um die Bekämpfung ausländischer technischer Geheimdienste und den Schutz staatlicher Informationssysteme und Daten in den einzelnen Bezirken. Die sieben wichtigsten der zehn bis elf Aufgaben, die den regionalen Hauptquartieren übertragen wurden, betreffen allesamt die Bekämpfung der ausländischen Informationsbeschaffung und den Schutz staatlicher Informationssysteme, während sich die übrigen auf die Exportkontrolle beziehen.

Das Melden einer Bedrohung oder Schwachstelle an die Datenbank (die sogenannte BDU) ist relativ einfach. FSTEC stellt für die Übermittlung ein Formular bereit, das den Einträgen zu den Sicherheitslücken selbst sehr nahe kommt.

Formular zur Einreichung von FSTEC-Schwachstellen.

FSTEC BDU-Eintrag für CVE-2018-8148.

FSTEC bietet sogar einfache Download-Links zum Abrufen der gesamten Datenbank als Excel- oder XML-Dateien. Diese Downloads enthalten typische Felder aus anderen Schwachstellendatenbanken, darunter interne IDs, entsprechende CVE-Kennungen, betroffene Technologien, Links zu unterstützenden Dokumenten, Schweregradbewertungen usw. Was in der Veröffentlichung nicht enthalten ist, ist das Datum, an dem FSTEC die Sicherheitslücke erstmals offenlegte. Wir haben proprietäre Techniken verwendet, um diese Daten für die von FSTEC seit dem 1. Januar 2017 offengelegten Schwachstellen zu ermitteln.

FSTEC ist keine öffentliche Dienstleistungsorganisation

FSTEC ist eine Organisation, die dem Verteidigungsministerium (MOD) untersteht, von ihm geleitet wird und administrativ Teil des Verteidigungsministeriums ist. Alle derzeitigen leitenden Angestellten des FSTEC, einschließlich des Direktors, der stellvertretenden Direktoren und aller Leiter des regionalen Hauptquartiers³ , sind ehemalige Militäroffiziere, von denen viele auch gleichzeitig in Offiziers- oder Reservepositionen in früheren Funktionen innerhalb des FSTEC tätig waren.

Screenshot der Biografie von Pavel Maksyakov, Leiter des FSTEC-Büros im Wolgabezirk.

Die Hauptaufgabe des FSTEC besteht darin, explizit, dokumentiert und in einem Gesetz nach dem anderen und einer Ordnung nach der anderen zu wiederholen; Die Staatssicherheit ist ihr übergeordnetes Mandat. Im Gegensatz zu "Schwesterorganisationen" in anderen Ländern, wie z. B. CNITSEC in China (die CNNVD betreibt), behauptet FSTEC nicht, einen öffentlichen Auftrag zu haben, sondern füllt seine Schwachstellendatenbank (BDU) mit Schwachstellen, die in erster Linie eine Bedrohung für staatliche Informationssysteme darstellen. FSTEC unterscheidet sich jedoch von CNITSEC dadurch, dass es sich bei der FSTEC um eine offene militärische Organisation mit einer offenen Mission zur Staatsgeheimhaltung handelt.

Ein Treffen zwischen dem chinesischen Ministerpräsidenten Li Keqiang und dem russischen Ministerpräsidenten Dmitri Medwedew im Jahr 2014 deutet darauf hin, dass die russische Regierung das chinesische Handelsministerium als funktionales chinesisches Gegenstück zu FSTEC betrachtet und nicht CNITSEC oder das Ministerium für Staatssicherheit. Dies liegt vermutlich daran, dass sich FSTEC in erster Linie auf die technische Kontrolle der nationalen Informations- und Technologieumgebung konzentriert, was eine viel umfassendere Aufgabe darstellt als die von CNITSEC.

Da es sich bei FSTEC offenkundig um eine militärische Organisation handelt, drehen sich die Fragen zu FSTECs Schwachstellendatenbank vor allem darum, warum FSTEC die wenigen Schwachstellen überhaupt veröffentlicht. Wie unten dokumentiert, ist die BDU extrem langsam und nicht umfassend. Die wenigen veröffentlichten Schwachstellen sagen mehr über die Mission des FSTEC und die russischen staatlichen Informationssysteme aus als über die Absichten des russischen Militärs für offensive Cyberoperationen.

Bedrohungsanalyse

FSTEC begann 2014 mit der Veröffentlichung von Schwachstellendaten, etwa 15 Jahre nach der Einrichtung der U.S. National Vulnerability Database (NVD). Wie unten zu sehen ist, zeigen die nach Jahren veröffentlichten FSTEC-Schwachstellen ein anfänglich geringes Publikationsvolumen im Jahr 2014, einen Anstieg im Jahr 2015 und dann ein niedrigeres Publikationsniveau zwischen 2016 und 2018.

Nach Jahren veröffentlichte russische Schwachstellen.

Was ist im Jahr 2015 passiert?

Bei der Untersuchung der Zuordnung der BDU-Kennungen von FSTEC zu den CVE-Kennungen von NVD stellten wir fest, dass die Zuordnungen nicht immer eins zu eins waren. FSTEC verknüpfte gelegentlich mehrere CVEs mit einer einzigen BDU-Sicherheitslücke und erstellte gelegentlich auch mehrere BDU-Kennungen für unterschiedliche Betriebssysteme, die für eine einzige CVE anfällig sind. Russische BDUs decken 11.036 – oder ungefähr 10 Prozent – der 107.901 von NVD gemeldeten CVEs ab. Dieser Unterschied ist nicht einfach nur auf den späteren Start von FSTEC zurückzuführen, da etwa 25 Prozent der von FSTEC abgedeckten CVEs aus der Zeit vor der Inbetriebnahme von FSTEC stammen.

Trotz der nichtlinearen Korrelation zwischen BDU- und CVE-Identifikatoren ist klar, dass FSTEC im Jahr 2015 weit mehr Schwachstellen veröffentlicht hat als in jedem anderen Jahr. Das liegt wohl daran, dass 2015 ein Experimentierjahr für die BDU-Datenbank war, in dem FSTEC ihre Funktionalität und ihren Nutzen evaluiert hat. Obwohl im jährlichen Tätigkeitsbericht 2015 des FSTEC (veröffentlicht im März 2016) nicht auf die Ergebnisse des BDU-Experiments eingegangen wurde, geht aus den Daten hervor, dass beschlossen wurde, den Umfang und die Anzahl der veröffentlichten Schwachstellen drastisch zu reduzieren. Ein engerer Geltungsbereich steht auch in besserer Abstimmung mit dem öffentlichen Auftrag der Datenbank, der darin besteht, über Schwachstellen in Informationssystemen zu berichten, die vom Staat oder in "kritischen Einrichtungen" verwendet werden.

Darüber hinaus handelte es sich bei 75 Prozent der von FSTEC am schnellsten veröffentlichten Schwachstellen um Schwachstellen in Browsern oder industrieller Steuerungssoftware.

In früheren Berichten haben wir die unterschiedlichen Veröffentlichungsraten von Schwachstellen in den nationalen Schwachstellendatenbanken Chinas und der USA untersucht und festgestellt, dass die Chinesen bei der Offenlegung im Durchschnitt viel schneller sind als die USA. Wir untersuchten die in den Jahren 2017 bis 2018 veröffentlichten Schwachstellen, die in allen drei nationalen Schwachstellendatenbanken vorhanden waren. Dabei stellten wir fest, dass die Offenlegung russischer Schwachstellen dramatisch hinter den Offenlegungen in den USA und China zurückbleibt. Die Offenlegung russischer Schwachstellen erfolgt nicht nur unvollständig, sondern auch äußerst langsam.

Tagelange Verzögerung bei der Offenlegung von Schwachstellen in verschiedenen nationalen Schwachstellendatenbanken.

Um besser zu verstehen, wie FSTEC die offenzulegenden Schwachstellen auswählte, untersuchten wir die Technologieanbieter, die FSTEC in einem höheren Maße abdeckte als angesichts der Gesamtabdeckungsrate von 10 Prozent erwartet. Die schwarze Linie in den beiden folgenden Diagrammen (beim Wert für 10) stellt die 10 Prozent aller Schwachstellen dar, die FSTEC veröffentlicht. Alle Anbieter mit einer Abdeckung von weniger als 10 Prozent gelten als „untergedeckt“, und alle Anbieter mit einer Abdeckung von deutlich über 10 Prozent gelten als „übergedeckt“.

Prozentsatz der von FSTEC abgedeckten CVEs von Anbietern.

Prozentsatz der von FSTEC abgedeckten CVEs von Anbietern.

Ähnliche Analysen deuten darauf hin, dass FSTEC Content-Management-Systeme (wie WordPress, Joomla und Drupal) sowie IBM und Huawei im Vergleich zu seinem Basisabdeckungsgrad über alle Technologien hinweg deutlich unterschätzt.

Abdeckung russischer APT-Sicherheitslücken

In einer Veröffentlichung von Recorded Future aus dem Jahr 2016 haben wir eine Analyse der von russischen APTs ausgenutzten Schwachstellen bereitgestellt und insbesondere aufgezeigt, welche Anbieter am stärksten vertreten waren.

Bild aus einem Recorded Future-Blog: „ Kandidatur für ein öffentliches Amt: Russische APT-Toolkits enthüllt.“

Anbieter für alle diese Technologien wurden in den Bereichen aufgelistet, auf die sich FSTEC übermäßig konzentrierte. Dies bedeutet, dass FSTEC weit mehr als 10 Prozent der für jeden Anbieter entdeckten Schwachstellen veröffentlicht hat. Allerdings produziert jeder dieser Anbieter einige der am häufigsten verwendeten Softwareprogramme der Welt und es wäre vernünftig anzunehmen, dass russische APT-Gruppen es auf diese Technologien abgesehen haben.

Um diesen Punkt genauer zu untersuchen, haben wir außerdem eine aktualisierte Analyse aller Schwachstellen durchgeführt, die in den letzten vier Jahren von russischen APT-Gruppen ausgenutzt wurden. Indem wir nur Schwachstellen mit einer CVE-Nummer und solche, die auch von US NVD und CNNVD veröffentlicht wurden, nutzten, identifizierten wir 49 Schwachstellen, die in diesem Zeitraum von russischen APT-Gruppen ausgenutzt wurden.

Dreißig dieser 49 Schwachstellen, also 61 Prozent, wurden von FSTEC veröffentlicht. Das ist deutlich mehr als der FSTEC-Durchschnitt von 10 Prozent. Darüber hinaus wurden 18 dieser 30 veröffentlichten Schwachstellen von APT28 ausgenutzt, was dem Hauptnachrichtendienstdirektorat (GRU) des russischen Militärs zugeschrieben wird. Das bedeutet, dass FSTEC 60 Prozent der vom russischen Militär ausgenutzten Schwachstellen veröffentlicht. Das liegt weit außerhalb des statistischen Durchschnitts von 10 Prozent der FSTEC.

Viele dieser Schwachstellen betreffen wiederum die am weitesten verbreitete Software der Welt. Diese ungewöhnlich hohe Melderate sowohl seitens der Softwareanbieter als auch seitens der Schwachstellen selbst wirft jedoch zwei Möglichkeiten auf. Erstens: Da es die Aufgabe von FSTEC ist, die Informationssysteme der russischen Regierung zu schützen, deutet dies darauf hin, dass diese Programme auch in russischen Regierungsystemen zum Einsatz kommen und diese selbst ebenfalls diesen Schwachstellen ausgesetzt sind. Dies ist ein weiterer Beleg dafür, dass die Untersuchung von FSTEC-Veröffentlichungen Einblicke in die Informationssysteme der russischen Regierung geben kann.

Zweitens ist FSTEC eine militärische Organisation, in deren Vorstand mehrere Mitglieder des militärischen Geheimdienstes sitzen und die regelmäßig mit dem militärischen Geheimdienst zusammenarbeitet, um geheime Systeme zu schützen. Es ist möglich, dass der militärische Geheimdienst verpflichtet sein könnte, die russischen staatlichen Informationssysteme mit dem ihm vorliegenden Wissen über Schwachstellen zu schützen, oder dass russische Militärhacker die von FSTEC veröffentlichten Schwachstellen für ihre Operationen ausnutzen könnten.

Die öffentlichen Aufzeichnungen und verfügbaren Daten reichen noch nicht aus, um die Beziehung zwischen FSTEC und vom russischen Staat geförderten Cyberoperationen zu bestimmen. Es ist jedoch klar, dass die Schwachstellendatenbank von FSTEC von den russischen Geheimdiensten auf andere Weise genutzt wird als CNNVD von den chinesischen Geheimdiensten. In China verzögert oder verheimlicht das CNNVD die Veröffentlichung von Schwachstellen, die von den Geheimdiensten ausgenutzt werden, während in Russland FSTEC möglicherweise Schwachstellen veröffentlicht, die von den Geheimdiensten ausgenutzt werden, um sich vor ihnen zu schützen.

Der einzige von FSTEC abgedeckte, oben nicht aufgeführte Anbieter mit hoher Abdeckung ist Novell.

Aus unserer Analyse der Abdeckung wissen wir, dass sich FSTEC mehr auf Adobe konzentriert als jeder andere einzelne Anbieter, da das Unternehmen fast die Hälfte aller Adobe-Sicherheitslücken abdeckt. Bei genauerer Betrachtung der von FSTEC nicht abgedeckten Adobe-Sicherheitslücken stellten wir jedoch fest, dass FSTEC 386 Adobe-Sicherheitslücken mit einem CVSS-Score von 10 bzw. 871 Adobe-Sicherheitslücken mit einem CVSS-Score von über acht nicht veröffentlicht hat. FSTEC geht bei der Offenlegung von Schwachstellen in dem Technologiebereich, in dem die Daten eindeutig das größte Interesse zeigen, noch nicht einmal umfassend vor.

Wenn FSTEC eine ernsthafte Ressource für Informationen über Schwachstellen wäre, müsste sie schneller und umfassender sein. Selbst die Unternehmenspartner von FSTEC erheben nicht den Anspruch, ausschließlich die BDU-Datenbank zu nutzen. Im Folgenden untersuchen wir drei Hypothesen, warum FSTEC so wenige Schwachstellen veröffentlicht.

Technologielizenzierung

Ein wesentlicher Teil der technischen Kontrollaufgabe von FSTEC besteht darin, Produktprüfungen durchzuführen und Lizenzen an Unternehmen zu vergeben, die ihre Produkte in Russland verkaufen möchten. Einem Reuters-Artikel vom Juni 2017 zufolge führen sowohl der FSB als auch das FSTEC Überprüfungen ausländischer Technologien durch, darunter „Quellcodes für Sicherheitsprodukte wie Firewalls, Antivirenanwendungen und Software mit Verschlüsselung, bevor sie den Import und Verkauf der Produkte im Land gestatten“. Berichten zufolge beauftragt der FSB für die Durchführung einiger Überprüfungen zertifizierte Partnerunternehmen, darunter ein Unternehmen namens Echelon, das auch Partner des FSTEC bei der Verwaltung der BDU-Datenbank ist.

Laut Echelon und den Websites einer Reihe anderer zertifizierter FSTEC-Partner4 ist der FSB für die Überprüfung von Kryptografie- und Verschlüsselungstools verantwortlich, während FSTEC Lizenzen für die Entwicklung oder Produktion und den technischen Schutz von "vertraulichen Informationen^" vergibt. FSTEC-Lizenzen sind für die Produktion und den Verkauf von Software in Russland in der Regel erforderlich.

Unter den Partnern von FSTEC bei der Verwaltung des BDU, darunter Digital Security, Institute of System Programming der Russischen Akademie der Wissenschaften VP Ivannikova, Rusbitech, All-Tech-Soft und Perspective Monitoring, behauptet nur Echelon, Kunden bei FSTEC-, FSB- und MOD-Überprüfungen unterstützen zu können.

Anders als der FSB bedient sich FSTEC bei seinen Prüfungen allerdings weder Partner noch Vermittler. Im Oktober 2016 veröffentlichte FSTEC auf seiner Website eine Klarstellung, in der es hieß, dass FSTEC nicht mit „Vermittlern“ interagiere und bei der „Bereitstellung staatlicher Dienstleistungen für die Lizenzierung“ nicht mit privaten Organisationen zusammenarbeite.

FSTEC veröffentlicht für jede von ihm ausgestellte Zertifizierung ein Verzeichnis der Lizenznehmer. Für das Entwicklungs- und Produktionsregister wurden im Jahr 2018 14 Lizenzen vergeben, für den technischen Schutz wurden in diesem Jahr 66 Lizenzen vergeben (Stand: 9. Juli 2018). Dies steht im Gegensatz zu den 140 Entwicklungs- und Produktionslizenzen und 293 technischen Schutzlizenzen, die im Jahr 2017 erteilt wurden.

Viele namhafte internationale Unternehmen haben diese Zertifizierungen erhalten, darunter Honeywell, Alcatel-Lucent, Kaspersky, Huawei, Hewlett-Packard, Bombardier, Atos und Symantec.

Zeitleiste der von FSTEC durchgeführten Inspektionen ausländischer Technologien.

Die Kriterien für die Erteilung einer FSTEC-Lizenz sind so weit gefasst, dass es schwierig ist zu beurteilen, welche Informationen eines Softwareunternehmens für den Genehmigungsprozess als unnötig erachtet werden. Darüber hinaus sind die Informationen, die ein Unternehmen dem FSTEC übermitteln muss, trotz der unterschiedlichen Zertifizierungssysteme und -nachweise sehr ähnlich zu denen, die der FSB für seine Lizenzierung verlangt. Hierzu gehören umfangreiche Daten zu Personal, Einrichtungen, Produkten, Softwareproduktion und -tests und mehr.

Ausblick

Warum veröffentlicht FSTEC so wenige Schwachstellen?

Wie die oben genannte Untersuchung zeigt, veröffentlicht FSTEC allgemein nur etwa 10 Prozent der bekannten Schwachstellen. Die größere Frage ist: „Warum?“ Warum sollten Ressourcen für eine Datenbank zur Offenlegung von Sicherheitslücken verschwendet werden, die 90 Prozent der Sicherheitslücken für ihre Benutzer nicht abdeckt? Es gibt drei wahrscheinliche Hypothesen:

1. FSTEC verfügt über erheblich zu wenige Ressourcen und kann sich nur auf Schlüsseltechnologien für russische Benutzer und die wichtigsten Schwachstellen dieser Technologien konzentrieren.
2. FSTEC ist eine militärische Organisation und veröffentlicht „gerade genug“ Inhalte, um als nationale Schwachstellendatenbank glaubwürdig zu sein. Die russische Regierung benötigt die Erforschung von Schwachstellen als Grundlage für die anderen technischen Kontrollaufgaben des FSTEC, etwa für die Anforderung der Überprüfung ausländischer Software.
3. FSTEC verfolgt sowohl eine offensive als auch eine Informationssicherheitsmission und veröffentlicht seine Veröffentlichungen auf der Grundlage der konkurrierenden Anforderungen. Dies wäre ähnlich der Funktionsweise des chinesischen NVD (CNNVD).

In früheren Untersuchungen haben wir offengelegt, dass das NIST Information Technology Laboratory (ITL) etwa 400 wissenschaftliche und technologische Mitarbeiter beschäftigt und über ein Budget von etwa 120 Millionen US-Dollar pro Jahr verfügt. Die ITL besteht aus sieben Geschäftsbereichen und betreibt zahlreiche Datenbanken und Systeme, darunter auch die U.S. NVD. Im Vergleich dazu hat das russische FSTEC 1.111 Mitarbeiter, Sicherheits-, Schutz- und Wartungspersonal nicht eingerechnet, und eine in etwa vergleichbare (wenn nicht sogar etwas größere) bürokratische Struktur und einen Aufgabenumfang. Obwohl NIST ITL und FSTEC keine analogen Organisationen sind, zeigt dieser lose Vergleich, dass FSTEC für seine Aufgabe nicht stark unterversorgt ist und dass die Meldung von nur 10 Prozent der veröffentlichten Schwachstellen eine Funktion der Wahl ist und nicht auf Ressourcenbeschränkungen zurückzuführen ist.

Darüber hinaus deckt FSTEC nicht einmal die Technologien angemessen ab, auf die es sich am meisten konzentriert. Wie unser obiges Beispiel zeigt, hat FSTEC etwa die Hälfte aller Adobe-Sicherheitslücken veröffentlicht. Allerdings fehlen immer noch über 1.000 Adobe-Sicherheitslücken mit einem CVSS von „kritisch“ oder „hoch“. Wenn Adobe wirklich so wichtig wäre, würde FSTEC es nicht versäumen, diese Schwachstellen mit den höchstmöglichen Schweregradbewertungen zu veröffentlichen. Dies lässt den Schluss zu, dass FSTEC den Veröffentlichungsbedarf nicht allein durch die Konzentration auf einige Schlüsseltechnologien ermittelt. Dies schließt auch Hypothese Nummer eins aus, nämlich dass FSTEC massiv unterfinanziert sei und weder über das Personal noch das Kapital verfüge, um mit NVD Schritt zu halten.

Zweitens finden wir keine Beweise für die dritte Hypothese, dass FSTEC dem Modell von CNNVD folgt, wenn es darum geht, öffentliche Offenlegung und offensive Cyber-Missionen in Einklang zu bringen. FSTEC ist keine öffentliche Organisation – seine Datenbank ist nicht umfassend oder aktuell und veröffentlicht nicht genügend Schwachstellen, um eine umfassende Schutzmission zu unterstützen. Die Mission von FSTEC ist stattdessen sehr fokussiert und spezifisch: den Schutz des russischen Staates und der kritischen Infrastruktursysteme und die Unterstützung der Spionageabwehr.

Darüber hinaus überhäuft FSTEC Berichte über Schwachstellen, die von vom russischen Staat gesponserten Bedrohungsgruppen ausgenutzt wurden, während CNNVD die Veröffentlichung von Schwachstellen, die vom chinesischen Geheimdienst ausgenutzt wurden, verzögert oder verheimlicht. Wenn überhaupt, konzentriert sich FSTEC bei seiner Unterstützung der russischen staatlichen Informationssysteme möglicherweise ein wenig zu sehr, da die wenigen Schwachstellen, die es veröffentlicht, Einblicke in die Prioritäten und Software der russischen Regierung geben.

Schließlich beurteilen wir mit hoher Sicherheit, dass Hypothese Nummer zwei die Mission und Absicht der russischen NVD genau beschreibt. Diese Absicht besteht darin, dass die Schwachstellendatenbank von FSTEC eine Grundlage für staatliche Informationssysteme und eine legitime Deckung für ausländische Technologieüberprüfungen bietet. Gemäß den im Februar 2017 vorgenommenen Änderungen der FSTEC-Dokumentation in Bezug auf Inspektionen und Anforderungen an staatliche Informationssysteme sollen Schwachstellen in der BDU-Datenbank eine Sicherheitsgrundlage – und keine umfassende Schwachstellenliste – für staatliche Informationssysteme bieten. Dies zeigt sich auch an dem Anstieg der Veröffentlichung von Schwachstellen im Jahr 2015, das ein Experimentierjahr für die zukünftige Funktionalität der Datenbank war und zu einem anschließenden Rückgang der Veröffentlichungen führte. Unsere Recherchen und Daten deuten darauf hin, dass die BDU-Datenbank nicht umfassend sein soll, sondern lediglich eine Grundlage für die Sicherheit von Informationssystemen und Softwareinspektionen von Behörden darstellt.

Es ist auch möglich, dass angesichts der funktionalen, verwaltungstechnischen und informellen Überschneidungen zwischen FSTEC und FSB ein Teil des Fokus der BDU-Datenbank auf genau die Technologien, für die russische APT-Gruppen bekanntermaßen bevorzugt werden, von den Kenntnissen des FSB über seine eigenen Operationen und die Verwertbarkeit dieser Technologien abgeleitet sein könnte. Es gibt nur minimale Beweise, die diese Theorie stützen, abgesehen von der Überschneidung zwischen den Schwachstellen, die FSTEC abdeckt, und denen, die von russischen APT-Gruppen am häufigsten genutzt werden.

Zu diesem Zweck geben die von FSTEC veröffentlichten Schwachstellen mehr Aufschluss über die Hardware und Software, die russische Regierungsorganisationen in ihren Netzwerken verwenden, als darüber, welche Schwachstellen sie in ihren offensiven Cyberoperationen angreifen werden.

¹

Laut demGlossar der Begriffe zur Spionageabwehr des National Counterintelligence and Security Center(NCSC) ist Spionageabwehr ein eigener Unterbereich der Spionageabwehr und stellt die „offensive oder aggressive Seite der Spionageabwehr“ dar. „Spionageabwehr ist eine offensive Operation, ein Mittel, um Informationen über die Opposition zu erlangen, indem man die Operationen der Opposition nutzt – oder, häufiger, den Versuch der Nutzung – dieser Operationen macht.“

^{arabische Ziffer}Dieser Inhalt wurde maschinell mit Google Übersetzer übersetzt.

³Biografien der einzelnen Regionalleiter finden Sie unter der Registerkarte "Территориальные органы" auf der https://fstec.ru.

⁴Siehe http://rusbitech.ru/about/certificate/, und https://www.altx-soft.ru/license.htm.