Pavlovs digitales Haus: Russland konzentriert sich bei der Schwachstellenanalyse nach innen [Bericht]

Klicken Sie hier um die komplette Analyse als PDF herunterzuladen.

Geltungsbereich: Im Laufe des vergangenen Jahres hat Recorded Future die Veröffentlichungsgeschwindigkeit, die Missionen und den Nutzen der nationalen Schwachstellendatenbanken (NVDs) zweier Länder untersucht: China und den Vereinigten Staaten. Wir beschlossen, dieselben Analyseverfahren auf die Schwachstellendatenbank Russlands anzuwenden, um zu sehen, was wir daraus lernen konnten. Dieser Bericht enthält eine detaillierte Analyse der Schwachstellen, die vom Föderalen Dienst für technische Kontrolle und Exportkontrolle Russlands (FSTEC), in offiziellen Dokumenten der russischen Regierung, in Daten von Recorded Future und in Open Source Intelligence (OSINT) veröffentlicht wurden. Die für diesen Bericht analysierten Daten wurden am 30. März 2018 zusammengestellt.

Executive Summary

Russlands Datenbank zu Schwachstellen ist äußerst fokussiert. Allerdings ist es unvollständig, langsam und zielt wahrscheinlich darauf ab, die Kontrolle des russischen Staates über Technologieunternehmen und -nutzer zu unterstützen. Im Allgemeinen veröffentlicht Russland lediglich 10 Prozent der bekannten Schwachstellen, ist im Durchschnitt 83 Tage langsamer als Chinas National Vulnerability Database (NVD), 50 Tage langsamer als die NVD der USA und ist bei den wenigen Technologien, die es abdeckt, unvollständig.

Wichtige Urteile

• Die russische Schwachstellendatenbank wird vom Föderalen Dienst für technische Kontrolle und Exportkontrolle Russlands (FSTEC) betrieben. FSTEC ist die militärische Organisation, die für den Schutz von Staatsgeheimnissen und die Unterstützung von Spionageabwehr- und Gegenspionageoperationen zuständig ist.

• Die Schwachstellendatenbank von FSTEC ist auch als BDU (Банк данных угроз безопасности информации) bekannt. Der BDU hat lediglich 11.036 der von NVD gemeldeten 107.901 CVEs veröffentlicht (ungefähr 10 Prozent).

• FSTEC hat 61 Prozent der Schwachstellen veröffentlicht, die von staatlich geförderten russischen Bedrohungsgruppen ausgenutzt werden. Dies liegt zwar deutlich über den üblichen 10 Prozent, die Daten reichen jedoch nicht aus, um den Einfluss russischer Geheimdienste auf die FSTEC-Veröffentlichungen zu bestimmen.

• FSTEC füllt die BDU-Datenbank mit Schwachstellen, die vor allem eine Bedrohung für die russischen staatlichen Informationssysteme darstellen. Dadurch erhalten die Forscher Informationen darüber, welche Technologien, Hardware und Software in den Netzwerken der russischen Regierung zum Einsatz kommen.

Hintergrund

Der Föderale Dienst für technische Kontrolle und Exportkontrolle Russlands (FSTEC) wurde 2004 gegründet und untersteht dem russischen Verteidigungsministerium . FSTEC verfügt über eine Zentrale in Moskau, sieben regionale „Hauptquartiere“ und ein Forschungs- und Testinstitut für Informationssicherheit, das unter dem Namen „Staatliches Wissenschafts- und Forschungsexperimentalinstitut für technische Informationsschutzprobleme des FSTEC“ (GNIII PTZI FSTEC) bekannt ist.

Der FSTEC-Hauptsitz befindet sich in Moskau, 105066, Moskau, ul. Staraya Basmannaya, 17.

Auf der offiziellen Website des Premierministers wird der FSTEC als „ein föderales Exekutivorgan beschrieben, das für die Umsetzung der Regierungspolitik, die Organisation der Zusammenarbeit und Interaktion zwischen den Ministerien sowie die Ausübung von Sonder- und Kontrollfunktionen im Bereich der Staatssicherheit verantwortlich ist.“

Laut weiteren offiziellen Dokumenten aus dem Jahr 2016 setzt der FSTEC die Staatspolitik um, organisiert die abteilungsübergreifende Zusammenarbeit und übt besondere Funktionen der Staatssicherheit in folgenden Bereichen aus:

• Sicherheit von Informationssystemen
• Abwehr ausländischer technischer Bedrohungen für Russland
• Sicherheit von Staatsgeheimnissen
• Ausfuhrkontrolle

Wie der Name der Organisation bereits andeutet, fallen die ersten drei Bereiche eindeutig in den Aufgabenbereich der technischen Kontrolle. Unserer umfassenden Prüfung der FSTEC-Dokumentation zufolge nimmt die Exportkontrolle wahrscheinlich einen viel geringeren Anteil der FSTEC-Ressourcen ein als alle Aufgaben und Funktionen, die der technischen Kontrolle unterliegen. Die Mission der technischen Kontrolle umfasst die interne Kontrolle, staatliche Informationssysteme und nach Russland verkaufte ausländische Technologie.

Obwohl FSTEC dem britischen Verteidigungsministerium unterstellt ist, verfügt es über eine wesentlich längere und umfangreichere Liste von Befugnissen, insbesondere in den Bereichen der technischen Kontrolle und der Sicherheit von Staatsgeheimnissen. Den auf der Website des FSTEC veröffentlichten Unterlagen zufolge reguliert die Organisation außerdem den Handel mit Materialien, die in chemischen und nuklearen Waffen verwendet werden könnten, bekämpft technischen Geheimdienstspionage, gibt Stellungnahmen zur Nutzung russischen Territoriums für ausländische wissenschaftliche Forschung ab und finanziert Forschungen zur Untersuchung der von verschiedenen Arten von Systemen und Geräten ausgehenden Strahlung.

Darüber hinaus verfügt das FSTEC über einen Vorstand aus nach Amtsposition ernannten hohen Regierungsbeamten. Zu diesem Gremium gehören unter anderem der erste stellvertretende Chef des Generalstabs des russischen Militärs, der stellvertretende Innenminister, der Leiter des Dienstes für Wirtschaftssicherheit beim Föderalen Sicherheitsdienst (FSB) und der stellvertretende Direktor des SVR. Die Hauptaufgaben des Gremiums bestehen in der Festlegung und Verwaltung des FSTEC-Budgets sowie in der Koordinierung abteilungsübergreifender Funktionen.

Zu den unzähligen Aufgaben im Rahmen der vier Hauptfunktionen des FSTEC gehört auch die Zusammenarbeit mit dem FSB beim Schutz von Staatsgeheimnissen, die Unterstützung der technischen Spionageabwehr und der ^{Spionageabwehr1} und die Überwachung der Kommunikation von Regierungsbeamten, die mit Staatsgeheimnissen arbeiten.

FSTEC is currently run by Director Vladimir Selin, who has been in that position since May 2011. Selin is supported by one First Deputy Director, Sergey Yakimov, and four Deputy Directors. In addition to his position as Director of FSTEC, Selin is also a member of the Defense Ministry Board, and Deputy Chairman of the Commission on State Secrets (on which he sits with Chief of the General Staff of the Russian Military General Valery Gerasimov).

Offiziellen staatlichen Unterlagen zufolge waren dem FSTEC im Jahr 2015 insgesamt 1.111 Mitarbeiter zugewiesen , Sicherheits-, Schutz- und Wartungspersonal nicht eingerechnet. Von den 1.111 Mitarbeitern arbeiten 225 in der Moskauer Zentrale und die restlichen 886 sind auf die sieben Regionalbüros von FSTEC verteilt.

Da der Schwerpunkt der Mission auf der technischen Kontrolle liegt, ist es wahrscheinlich, dass die Mehrheit dieser 1.111 Mitarbeiter an Themen arbeitet, die mit diesem Mandat in Zusammenhang stehen, während eine viel kleinere Minderheit die Exportkontrollarbeit von FSTEC unterstützt.

FSTECs Prozess zur Veröffentlichung von Sicherheitslücken

FSTEC betreibt außerdem eine Datenbank zur Veröffentlichung von Schwachstellen, zu der es über die Website bdu.fstec.ru/vul öffentlichen Zugriff gewährt. Auf der Homepage heißt es, der Zweck der Datenbank bestehe darin, „das Bewusstsein interessierter Personen für bestehende Bedrohungen für Informationssicherheitssysteme zu schärfen“ und sie sei für ein breites Spektrum an Kunden, Betreibern, Entwicklern, Informationssicherheitsexperten, Testlabors und Zertifizierungsstellen konzipiert.

FSTEC gibt außerdem an, dass die Datenbank „Informationen über die wichtigsten Bedrohungen für die Informationssicherheit und Schwachstellen enthält, vor allem solche, die für staatliche Informationssysteme und automatisierte Systeme zur Verwaltung von Produktions- und Technologieprozessen kritischer Einrichtungen charakteristisch sind.²”

Homepage der Sicherheitsbedrohungsdatenbank des FSTEC, auf der Zweck und Zielgruppe der Daten aufgeführt sind.

FSTEC erhebt keinen Anspruch auf Vollständigkeit dieser Datenbank. Stattdessen konzentriert man sich auf die Veröffentlichung von Schwachstellen in Informationssystemen, die vom Staat und in „kritischen Einrichtungen“ verwendet werden. Dieser Auftrag spiegelt sich auch in den Zuständigkeiten und Tätigkeiten der sieben Regionalabteilungen des FSTEC wider. Die Mehrzahl der Aufgaben der regionalen Hauptquartiere dreht sich überwiegend um die Bekämpfung ausländischer technischer Geheimdienste und den Schutz staatlicher Informationssysteme und Daten in den einzelnen Bezirken. Die sieben wichtigsten der zehn bis elf Aufgaben, die den regionalen Hauptquartieren übertragen wurden, betreffen allesamt die Bekämpfung der ausländischen Informationsbeschaffung und den Schutz staatlicher Informationssysteme, während sich die übrigen auf die Exportkontrolle beziehen.

Das Melden einer Bedrohung oder Schwachstelle an die Datenbank (die sogenannte BDU) ist relativ einfach. FSTEC stellt für die Übermittlung ein Formular bereit, das den Einträgen zu den Sicherheitslücken selbst sehr nahe kommt.

FSTEC- Meldeformular für Schwachstellen.

FSTEC BDU entry for CVE-2018-8148.

FSTEC bietet sogar einfache Download-Links zum Abrufen der gesamten Datenbank als Excel- oder XML-Dateien. Diese Downloads enthalten typische Felder aus anderen Schwachstellendatenbanken, darunter interne IDs, entsprechende CVE-Kennungen, betroffene Technologien, Links zu unterstützenden Dokumenten, Schweregradbewertungen usw. Was in der Veröffentlichung nicht enthalten ist, ist das Datum, an dem FSTEC die Sicherheitslücke erstmals offenlegte. Wir haben proprietäre Techniken verwendet, um diese Daten für die von FSTEC seit dem 1. Januar 2017 offengelegten Schwachstellen zu ermitteln.

FSTEC ist keine öffentliche Dienstleistungsorganisation

FSTEC ist eine dem Verteidigungsministerium (MOD) unterstellte, von ihm geleitete und administrativ Teil desselben. Die gesamte derzeitige Führungsspitze des FSTEC, einschließlich des Direktors, der stellvertretenden Direktoren und aller Leiter der regionalen Hauptquartiere^3, sind ehemalige Militäroffiziere, von denen viele gleichzeitig in früheren Funktionen innerhalb des FSTEC in Offiziers- oder Reservepositionen dienten.

Screenshot der Biografie von Pavel Maksyakov, Leiter des FSTEC-Büros im Wolgabezirk.

Der Hauptauftrag des FSTEC ist klar definiert, dokumentiert und wird in jedem Gesetz und jeder Anordnung wiederholt; sein übergeordnetes Mandat ist die Staatssicherheit. Anders als „Schwesterorganisationen“ in anderen Ländern, wie etwa CNITSEC in China (das CNNVD betreibt), erhebt FSTEC keinen Anspruch darauf, einen öffentlichen Dienst zu leisten, sondern füllt seine Schwachstellen-Datenbank (BDU) mit Schwachstellen, die in erster Linie eine Bedrohung für staatliche Informationssysteme darstellen. Der Unterschied zwischen FSTEC und CNITSEC besteht jedoch darin, dass es sich bei FSTEC offen um eine militärische Organisation mit einer offenkundigen Geheimhaltungsmission handelt.

Ein Treffen zwischen dem chinesischen Ministerpräsidenten Li Keqiang und dem russischen Ministerpräsidenten Dmitri Medwedew im Jahr 2014 deutet darauf hin, dass die russische Regierung das chinesische Handelsministerium als funktionales chinesisches Gegenstück zu FSTEC betrachtet und nicht CNITSEC oder das Ministerium für Staatssicherheit. Dies liegt vermutlich daran, dass sich FSTEC in erster Linie auf die technische Kontrolle der nationalen Informations- und Technologieumgebung konzentriert, was eine viel umfassendere Aufgabe darstellt als die von CNITSEC.

Da es sich bei FSTEC offenkundig um eine militärische Organisation handelt, drehen sich die Fragen zu FSTECs Schwachstellendatenbank vor allem darum, warum FSTEC die wenigen Schwachstellen überhaupt veröffentlicht. Wie unten dokumentiert, ist die BDU extrem langsam und nicht umfassend. Die wenigen veröffentlichten Schwachstellen sagen mehr über die Mission des FSTEC und die russischen staatlichen Informationssysteme aus als über die Absichten des russischen Militärs für offensive Cyberoperationen.

Bedrohungsanalyse

FSTEC begann 2014 mit der Veröffentlichung von Schwachstellendaten, ungefähr 15 Jahre nach der Einrichtung der US-amerikanischen National Vulnerability Database (NVD). Wie unten zu sehen ist, weisen die nach Jahren veröffentlichten FSTEC-Schwachstellen zunächst ein geringes Veröffentlichungsvolumen im Jahr 2014, einen Anstieg im Jahr 2015 und dann ein niedrigeres Veröffentlichungsniveau zwischen 2016 und 2018 auf.

Nach Jahren veröffentlichte russische Schwachstellen.

Was ist im Jahr 2015 passiert?

Bei der Untersuchung der Zuordnung der BDU-Kennungen von FSTEC zu den CVE-Kennungen von NVD stellten wir fest, dass die Zuordnungen nicht immer eins zu eins waren. FSTEC verknüpfte gelegentlich mehrere CVEs mit einer einzigen BDU-Sicherheitslücke und erstellte gelegentlich auch mehrere BDU-Kennungen für unterschiedliche Betriebssysteme, die für eine einzige CVE anfällig sind. Russische BDUs decken 11.036 – oder ungefähr 10 Prozent – der 107.901 von NVD gemeldeten CVEs ab. Dieser Unterschied ist nicht einfach nur auf den späteren Start von FSTEC zurückzuführen, da etwa 25 Prozent der von FSTEC abgedeckten CVEs aus der Zeit vor der Inbetriebnahme von FSTEC stammen.

Trotz der nichtlinearen Korrelation zwischen BDU- und CVE-Kennungen ist klar, dass FSTEC im Jahr 2015 weitaus mehr Schwachstellen veröffentlicht hat als in jedem anderen Jahr. Dies liegt wahrscheinlich daran, dass 2015 ein experimentelles Jahr für die BDU-Datenbank war, in dem FSTEC ihre Funktionalität und Nützlichkeit evaluierte. Obwohl im jährlichen Tätigkeitsbericht 2015 des FSTEC (veröffentlicht im März 2016) nicht auf die Ergebnisse des BDU-Experiments eingegangen wurde, geht aus den Daten klar hervor, dass die Entscheidung getroffen wurde, den Umfang und die Anzahl der veröffentlichten Schwachstellen drastisch zu reduzieren. Ein engerer Umfang steht zudem besser im Einklang mit dem öffentlichen Auftrag der Datenbank, der darin besteht, über Schwachstellen in vom Staat oder in „kritischen Einrichtungen“ verwendeten Informationssystemen zu berichten.

Darüber hinaus handelte es sich bei 75 Prozent der von FSTEC am schnellsten veröffentlichten Schwachstellen um Schwachstellen in Browsern oder industrieller Steuerungssoftware.

In früheren Berichten haben wir die unterschiedlichen Veröffentlichungsraten von Schwachstellen in den nationalen Schwachstellendatenbanken Chinas und der USA untersucht und festgestellt, dass die Chinesen bei der Offenlegung im Durchschnitt viel schneller sind als die USA. Wir untersuchten die in den Jahren 2017 bis 2018 veröffentlichten Schwachstellen, die in allen drei nationalen Schwachstellendatenbanken vorhanden waren. Dabei stellten wir fest, dass die Offenlegung russischer Schwachstellen dramatisch hinter den Offenlegungen in den USA und China zurückbleibt. Die Offenlegung russischer Schwachstellen erfolgt nicht nur unvollständig, sondern auch äußerst langsam.

Tagelange Verzögerung bei der Offenlegung von Schwachstellen in verschiedenen nationalen Schwachstellendatenbanken.

Um besser zu verstehen, wie FSTEC die offenzulegenden Schwachstellen auswählte, untersuchten wir die Technologieanbieter, die FSTEC in einem höheren Maße abdeckte als angesichts der Gesamtabdeckungsrate von 10 Prozent erwartet. Die schwarze Linie in den beiden folgenden Diagrammen (beim Wert für 10) stellt die 10 Prozent aller Schwachstellen dar, die FSTEC veröffentlicht. Alle Anbieter mit einer Abdeckung von weniger als 10 Prozent gelten als „untergedeckt“, und alle Anbieter mit einer Abdeckung von deutlich über 10 Prozent gelten als „übergedeckt“.

Prozentsatz der von FSTEC abgedeckten CVEs von Anbietern.

Prozentsatz der von FSTEC abgedeckten CVEs von Anbietern.

Ähnliche Analysen deuten darauf hin, dass FSTEC Content-Management-Systeme (wie WordPress, Joomla und Drupal) sowie IBM und Huawei im Vergleich zu seinem Basisabdeckungsgrad über alle Technologien hinweg deutlich unterschätzt.

Abdeckung russischer APT-Sicherheitslücken

In einer Veröffentlichung von Recorded Future aus dem Jahr 2016 haben wir eine Analyse der von russischen APTs ausgenutzten Schwachstellen bereitgestellt und insbesondere aufgezeigt, welche Anbieter am stärksten vertreten waren.

Bild aus einem Recorded Future-Blog: „ Kandidatur für ein öffentliches Amt: Russische APT-Toolkits enthüllt.“

Anbieter für alle diese Technologien wurden in den Bereichen aufgelistet, auf die sich FSTEC übermäßig konzentrierte. Dies bedeutet, dass FSTEC weit mehr als 10 Prozent der für jeden Anbieter entdeckten Schwachstellen veröffentlicht hat. Allerdings produziert jeder dieser Anbieter einige der am häufigsten verwendeten Softwareprogramme der Welt und es wäre vernünftig anzunehmen, dass russische APT-Gruppen es auf diese Technologien abgesehen haben.

Um diesen Punkt genauer zu untersuchen, haben wir außerdem eine aktualisierte Analyse aller Schwachstellen durchgeführt, die in den letzten vier Jahren von russischen APT-Gruppen ausgenutzt wurden. Indem wir nur Schwachstellen mit einer CVE-Nummer und solche, die auch von US NVD und CNNVD veröffentlicht wurden, nutzten, identifizierten wir 49 Schwachstellen, die in diesem Zeitraum von russischen APT-Gruppen ausgenutzt wurden.

Dreißig dieser 49 Schwachstellen, also 61 Prozent, wurden von FSTEC veröffentlicht. Dies liegt deutlich über dem FSTEC-Durchschnitt von 10 Prozent. Darüber hinaus wurden 18 dieser 30 veröffentlichten Schwachstellen von APT28 ausgenutzt, das dem Hauptnachrichtendienst des russischen Militärs (GRU) zugeschrieben wird. Dies bedeutet, dass FSTEC 60 Prozent der vom russischen Militär ausgenutzten Schwachstellen veröffentlicht. Dies liegt weit außerhalb des statistischen Durchschnitts von 10 Prozent des FSTEC.

Viele dieser Schwachstellen betreffen wiederum die am weitesten verbreitete Software der Welt. Diese ungewöhnlich hohe Melderate sowohl seitens der Softwareanbieter als auch seitens der Schwachstellen selbst wirft jedoch zwei Möglichkeiten auf. Erstens: Da es die Aufgabe von FSTEC ist, die Informationssysteme der russischen Regierung zu schützen, deutet dies darauf hin, dass diese Programme auch in russischen Regierungsystemen zum Einsatz kommen und diese selbst ebenfalls diesen Schwachstellen ausgesetzt sind. Dies ist ein weiterer Beleg dafür, dass die Untersuchung von FSTEC-Veröffentlichungen Einblicke in die Informationssysteme der russischen Regierung geben kann.

Zweitens ist FSTEC eine militärische Organisation, in deren Vorstand mehrere Mitglieder des militärischen Geheimdienstes sitzen und die regelmäßig mit dem militärischen Geheimdienst zusammenarbeiten würde, um geheime Systeme zu schützen. Es ist möglich, dass der militärische Geheimdienst dazu verpflichtet ist, staatliche russische Informationssysteme mit dem ihm bekannten Wissen über Schwachstellen zu schützen, oder dass russische Militärhacker die von FSTEC veröffentlichten Schwachstellen für ihre Operationen ausnutzen.

Die öffentlichen Aufzeichnungen und verfügbaren Daten reichen noch nicht aus, um die Beziehung zwischen FSTEC und vom russischen Staat geförderten Cyberoperationen zu bestimmen. Es ist jedoch klar, dass die Schwachstellendatenbank von FSTEC von den russischen Geheimdiensten auf andere Weise genutzt wird als CNNVD von den chinesischen Geheimdiensten. In China verzögert oder verheimlicht das CNNVD die Veröffentlichung von Schwachstellen, die von den Geheimdiensten ausgenutzt werden, während in Russland FSTEC möglicherweise Schwachstellen veröffentlicht, die von den Geheimdiensten ausgenutzt werden, um sich vor ihnen zu schützen.

Der einzige von FSTEC abgedeckte, oben nicht aufgeführte Anbieter mit hoher Abdeckung ist Novell.

Aus unserer Analyse der Abdeckung wissen wir, dass sich FSTEC mehr auf Adobe konzentriert als jeder andere einzelne Anbieter, da das Unternehmen fast die Hälfte aller Adobe-Sicherheitslücken abdeckt. Bei genauerer Betrachtung der von FSTEC nicht abgedeckten Adobe-Sicherheitslücken stellten wir jedoch fest, dass FSTEC 386 Adobe-Sicherheitslücken mit einem CVSS-Score von 10 bzw. 871 Adobe-Sicherheitslücken mit einem CVSS-Score von über acht nicht veröffentlicht hat. FSTEC geht bei der Offenlegung von Schwachstellen in dem Technologiebereich, in dem die Daten eindeutig das größte Interesse zeigen, noch nicht einmal umfassend vor.

Wäre FSTEC eine seriöse Quelle für Informationen zu Sicherheitslücken, müsste es schneller und umfassender sein. Selbst die Unternehmenspartner von FSTEC behaupten nicht, ausschließlich die BDU-Datenbank zu verwenden. Im Folgenden untersuchen wir drei Hypothesen, warum FSTEC so wenige Schwachstellen veröffentlicht.

Technologielizenzierung

Ein wesentlicher Bestandteil der technischen Kontrollmission von FSTEC besteht darin, Produktüberprüfungen durchzuführen und Lizenzen an Unternehmen zu vergeben, die ihre Produkte in Russland verkaufen möchten. Einem Reuters-Artikel vom Juni 2017 zufolge führen sowohl der FSB als auch das FSTEC Überprüfungen ausländischer Technologien durch, darunter „Quellcodes für Sicherheitsprodukte wie Firewalls, Antivirenanwendungen und Verschlüsselungssoftware, bevor sie den Import und Verkauf dieser Produkte im Land erlauben“. Berichten zufolge beauftragt der FSB zur Durchführung einiger seiner Überprüfungen zertifizierte Partnerunternehmen, darunter eine Firma namens Echelon, die auch als Partner von FSTEC bei der Verwaltung der BDU-Datenbank fungiert.

Laut Echelon und den Websites einer Reihe anderer zertifizierter FSTEC-Partner ⁴ ist der FSB für die Überprüfung kryptografischer und Verschlüsselungstools verantwortlich, während FSTEC Lizenzen für die Entwicklung oder Produktion und den technischen Schutz „vertraulicher Informationen“ vergibt. FSTEC-Lizenzen sind für die Produktion und den Verkauf von Software in Russland grundsätzlich erforderlich.

Unter den Partnern von FSTEC bei der Verwaltung der BDU – darunter Digital Security, das Institute of System Programming der Russischen Akademie der Wissenschaften VP Ivannikova, Rusbitech, All-Tech-Soft und Perspective Monitoring – behauptet nur Echelon, Kunden bei FSTEC-, FSB- und MOD-Überprüfungen unterstützen zu können.

Anders als der FSB bedient sich FSTEC bei seinen Prüfungen allerdings weder Partner noch Vermittler. Im Oktober 2016 veröffentlichte FSTEC auf seiner Website eine Klarstellung, in der es hieß, dass FSTEC nicht mit „Vermittlern“ interagiere und bei der „Bereitstellung staatlicher Dienstleistungen für die Lizenzierung“ nicht mit privaten Organisationen zusammenarbeite.

FSTEC veröffentlicht für jede von ihm ausgestellte Zertifizierung ein Verzeichnis der Lizenznehmer. Für das Entwicklungs- und Produktionsregister wurden im Jahr 2018 14 Lizenzen vergeben, für den technischen Schutz wurden in diesem Jahr 66 Lizenzen vergeben (Stand: 9. Juli 2018). Dies steht im Gegensatz zu den 140 Entwicklungs- und Produktionslizenzen und 293 technischen Schutzlizenzen, die im Jahr 2017 erteilt wurden.

Viele namhafte internationale Unternehmen haben diese Zertifizierungen erhalten, darunter Honeywell, Alcatel-Lucent, Kaspersky, Huawei, Hewlett-Packard, Bombardier, Atos und Symantec.

Zeitleiste der von FSTEC durchgeführten Inspektionen ausländischer Technologien.

Die Kriterien für die Erteilung einer FSTEC-Lizenz sind so weit gefasst, dass es schwierig ist zu beurteilen, welche Informationen eines Softwareunternehmens für den Genehmigungsprozess als unnötig erachtet werden. Darüber hinaus sind die Informationen, die ein Unternehmen dem FSTEC übermitteln muss, trotz der unterschiedlichen Zertifizierungssysteme und -nachweise sehr ähnlich zu denen, die der FSB für seine Lizenzierung verlangt. Hierzu gehören umfangreiche Daten zu Personal, Einrichtungen, Produkten, Softwareproduktion und -tests und mehr.

Ausblick

Warum veröffentlicht FSTEC so wenige Schwachstellen?

Wie die oben genannte Untersuchung zeigt, veröffentlicht FSTEC allgemein nur etwa 10 Prozent der bekannten Schwachstellen. Die größere Frage ist: „Warum?“ Warum sollten Ressourcen für eine Datenbank zur Offenlegung von Sicherheitslücken verschwendet werden, die 90 Prozent der Sicherheitslücken für ihre Benutzer nicht abdeckt? Es gibt drei wahrscheinliche Hypothesen:

1. FSTEC verfügt über erheblich zu wenige Ressourcen und kann sich nur auf Schlüsseltechnologien für russische Benutzer und die wichtigsten Schwachstellen dieser Technologien konzentrieren.

2. FSTEC ist eine militärische Organisation und veröffentlicht „gerade genug“ Inhalte, um als nationale Schwachstellendatenbank glaubwürdig zu sein. Die russische Regierung benötigt die Erforschung von Schwachstellen als Grundlage für die anderen technischen Kontrollaufgaben des FSTEC, etwa für die Anforderung der Überprüfung ausländischer Software.

3. FSTEC verfolgt sowohl eine offensive als auch eine Informationssicherheitsmission und veröffentlicht seine Veröffentlichungen auf der Grundlage der konkurrierenden Anforderungen. Dies wäre ähnlich der Funktionsweise des chinesischen NVD (CNNVD).

In früheren Untersuchungen haben wir festgestellt, dass das NIST Information Technology Laboratory (ITL) etwa 400 wissenschaftliche und technische Mitarbeiter beschäftigt und über ein Budget von etwa 120 Millionen US-Dollar pro Jahr verfügt. Das ITL besteht aus sieben Abteilungen und betreibt zahlreiche Datenbanken und Systeme, darunter das US-NVD. Zum Vergleich: Russlands FSTEC beschäftigt 1.111 Mitarbeiter (Sicherheits-, Schutz- und Wartungspersonal nicht eingerechnet) und verfügt über eine ungefähr vergleichbare (wenn nicht sogar leicht größere) bürokratische Struktur und einen vergleichbaren Aufgabenbereich. Obwohl es sich bei NIST ITL und FSTEC nicht um vergleichbare Organisationen handelt, zeigt dieser lose Vergleich doch, dass FSTEC für seine Mission nicht übermäßig unterfinanziert ist und dass die Tatsache, dass nur 10 Prozent der veröffentlichten Schwachstellen gemeldet werden, eine Frage der eigenen Entscheidung ist und nicht auf Ressourcenbeschränkungen zurückzuführen ist.

Darüber hinaus deckt FSTEC nicht einmal die Technologien angemessen ab, auf die es sich am meisten konzentriert. Wie unser obiges Beispiel zeigt, hat FSTEC etwa die Hälfte aller Adobe-Sicherheitslücken veröffentlicht. Allerdings fehlen immer noch über 1.000 Adobe-Sicherheitslücken mit einem CVSS von „kritisch“ oder „hoch“. Wenn Adobe wirklich so wichtig wäre, würde FSTEC es nicht versäumen, diese Schwachstellen mit den höchstmöglichen Schweregradbewertungen zu veröffentlichen. Dies lässt den Schluss zu, dass FSTEC den Veröffentlichungsbedarf nicht allein durch die Konzentration auf einige Schlüsseltechnologien ermittelt. Dies schließt auch Hypothese Nummer eins aus, nämlich dass FSTEC massiv unterfinanziert sei und weder über das Personal noch das Kapital verfüge, um mit NVD Schritt zu halten.

Zweitens finden wir keine Beweise für die dritte Hypothese, dass FSTEC dem Modell von CNNVD folgt, wenn es darum geht, öffentliche Offenlegung und offensive Cyber-Missionen in Einklang zu bringen. FSTEC ist keine öffentliche Organisation – seine Datenbank ist nicht umfassend oder aktuell und veröffentlicht nicht genügend Schwachstellen, um eine umfassende Schutzmission zu unterstützen. Die Mission von FSTEC ist stattdessen sehr fokussiert und spezifisch: den Schutz des russischen Staates und der kritischen Infrastruktursysteme und die Unterstützung der Spionageabwehr.

Darüber hinaus überhäuft FSTEC Berichte über Schwachstellen, die von vom russischen Staat gesponserten Bedrohungsgruppen ausgenutzt wurden, während CNNVD die Veröffentlichung von Schwachstellen, die vom chinesischen Geheimdienst ausgenutzt wurden, verzögert oder verheimlicht. Wenn überhaupt, konzentriert sich FSTEC bei seiner Unterstützung der russischen staatlichen Informationssysteme möglicherweise ein wenig zu sehr, da die wenigen Schwachstellen, die es veröffentlicht, Einblicke in die Prioritäten und Software der russischen Regierung geben.

Abschließend gehen wir mit hoher Wahrscheinlichkeit davon aus, dass Hypothese Nummer zwei die Mission und Absicht der russischen NVD genau beschreibt. Ziel dieser Strategie ist es, dass die Schwachstellendatenbank des FSTEC eine Grundlage für staatliche Informationssysteme und eine legitime Deckung für die Überprüfung ausländischer Technologien bietet. Gemäß den im Februar 2017 vorgenommenen Änderungen an der FSTEC-Dokumentation hinsichtlich der Inspektion und Anforderungen an staatliche Informationssysteme sollen die Schwachstellen in der BDU-Datenbank eine Sicherheitsgrundlage für staatliche Informationssysteme bieten – und keine umfassende Liste der Schwachstellen darstellen. Dies wird auch durch den Anstieg der Veröffentlichung von Sicherheitslücken im Jahr 2015 verdeutlicht, einem Jahr, in dem die zukünftige Funktionalität der Datenbank experimentell getestet wurde und das zu einem Rückgang der Veröffentlichungen führte. Unsere Untersuchungen und Daten zeigen, dass die BDU-Datenbank keinen Anspruch auf Vollständigkeit erhebt, sondern lediglich eine Grundlage für die Sicherheit staatlicher Informationssysteme und Softwareprüfungen darstellt.

Angesichts der funktionalen, organisatorischen und informellen Überschneidungen zwischen FSTEC und FSB ist es zudem möglich, dass die Konzentration der BDU-Datenbank auf genau die Technologien, die russische APT-Gruppen bekanntermaßen bevorzugen, teilweise auf Kenntnissen des FSB über seine eigenen Operationen und die Ausnutzbarkeit dieser Technologien beruht. Abgesehen von der Überschneidung zwischen den von FSTEC abgedeckten Schwachstellen und denen, die von russischen APT-Gruppen am häufigsten ausgenutzt werden, gibt es nur minimale Beweise zur Unterstützung dieser Theorie.

Zu diesem Zweck geben die von FSTEC veröffentlichten Schwachstellen mehr Aufschluss über die Hardware und Software, die russische Regierungsorganisationen in ihren Netzwerken verwenden, als darüber, welche Schwachstellen sie in ihren offensiven Cyberoperationen angreifen werden.