Cybersicherheit: China verstärkt den Druck auf die Unternehmen

Zum Jahresende 2016 hat die chinesische Regierung mit Maßnahmen zur Erhöhung der Cybersicherheit den Druck auf die Unternehmen erheblich verstärkt. Nach der Verabschiedung des Chinese Cybersecurity Law am 7. November 2016 legte die Cyberspace Administration of China (CAC) am 27. Dezember 2016 die neue chinesische Cybersicherheitsstrategie vor.Ausgangspunkt für die neue Strategie ist eine spezifisch chinesische Sichtweise auf die Chancen und Risiken des Cyberspace. Neue wirtschaftliche Chancen durch globale Vernetzung werden zwar betont, gleichzeitig aber auch eine Stärkung der nationalen Souveränität durch ihre Erweiterung hinein in den digitalen Raum proklamiert. Die Strategie soll helfen, “new territories” für chinesische Souveränität zu erobern und abzusichern. So unverbindlich und unkonkret die Strategie insgesamt auch bleibt, die Bewahrung und Verteidigung der nationalen Souveränität zieht sich durch den gesamten Text. Als größte Bedrohung aus dem Cyberspace werden nicht Kriminalität und Terrorismus angesehen, nicht einmal Cyberattacken auf kritische Infrastrukturen, sondern die Nutzung des Internets, um die internen politischen Angelegenheiten anderer Staaten zu beeinflussen. Interessant ist in diesem Zusammenhang auch der Begriff der “cultural security”, die es zu bewahren gelte. Hier finden sich – unter anderen Vorzeichen – ähnliche Sorgen um die Erosion von Werten und Moralvorstellungen wie sie derzeit in der westlichen “Fake News”-Debatte zu finden sind.

Wesentliche Ziele der chinesischen Strategie lassen sich mit “Beherrschung und Kontrolle” zusammenfassen. Cyberrisiken sollen kontrolliert, Abwehrmechanismen perfektioniert, nationale Gesetze auch im Cyberspace durchgesetzt werden (“bringing cyberspace under the rule of law”). Die Verteidigung chinesischer Souveränität über die Ausgestaltung des digitalen Raums steht an oberster Stelle der Zielpyramide. Um dieses strategische Ziel erreichen zu können, wird die Beherrschbarkeit der eingesetzten Technologie als zentrales operatives Ziel angesehen. Kerntechnologien sollen kontrollierbar sein. Aufbau und Erweiterung von Strukturen zur Untersuchung der Cybersicherheit von Produkten und Services bekommen einen besonderen Stellenwert.  Über die gesamte Supply Chain wichtiger IT-Produkte und  Dienstleistungen sollen Sicherheits-Prüfungen eingeführt werden.

Welche Produkte dies betrifft, richtet sich nach dem Einsatzbereich. Dieser ist allerdings – auch im Vergleich zu den europäischen Regelungen – weit gefasst. Neben Einrichtungen von Partei und Staat sowie den klassischen Infrastrukturbereichen wie Energie, Verkehr, Wasserversorgung oder Gesundheitswesen zählen für China aber auch die produzierende Industrie, die Forschung und der Bereich “wichtiger Internet-Anwendungen” hinzu. Dieser Ansatz gibt der CAC und den anderen staatlichen Behörden eine nahezu schrankenlose Möglichkeit, Sicherheits-Prüfungen von IT-Produkten und -Dienstleistungen zu verlangen.

Die neue Cybersicherheitsstrategie liefert damit den Überbau einer chinesischen Politik, die sich schon längere Zeit abgezeichnet hatte. Schon Anfang 2016 mussten westliche Hersteller von in China populären IT-Produkten Sicherheits-Prüfungen über sich ergehen lassen (vgl. http://www.nytimes.com/2016/05/17/technology/china-quietly-targets-us-tech-companies-in-security-reviews.html). Mit dem im November 2016 verabschiedeten Cybersicherheitsgesetz wird diese Praxis legalisiert und weiter ausgebaut. Das Gesetz tritt am 1. Juni 2017 in Kraft. Im Vergleich zu europäischen Regulierungen der IT- und Cybersicherheit wie der EU-Richtlinie für Netzwerk- und Informationssicherheit (NIS-Richtlinie) oder dem deutschen IT-Sicherheitsgesetz fallen zwei wesentliche Unterschiede auf:
“¢    Das Verständnis des chinesischen Gesetzgebers von Cybersicherheit ist deutlich weiter gefasst als die europäischen Ansätze. Der Schutz kritischer Infrastrukturen vor Angriffen, die Kontrollierbarkeit des digitalen Raums für die staatlichen Behörden und die Bekämpfung illegaler Internet-Inhalte sind gleichrangige Ziele. Selbst der Datenschutz im Internet wird als Teil der Cybersicherheitsregulierung behandelt.
“¢    Der weite Anwendungsbereich steht in einem auffälligen Missverhältnis zum Grad, in dem die Verpflichtungen für Unternehmen und die Rechte für Behörden konkretisiert sind. Beides bleibt weitgehend vage und eröffnet den chinesischen Behörden erhebliche Umsetzungsspielräume.

Im Einzelnen sieht das Gesetz Verpflichtungen für vier Gruppen von Unternehmen vor:

(1)    Netzwerkbetreiber müssen Informationssicherheits-Managementsysteme errichten, IT-Sicherheitsmaßnahmen implementieren, ihre Netze überwachen und Protokolldateien (undefinierten Ausmaßes) sechs Monate aufbewahren.

(2)    Anbieter von Telekommunikationsdiensten und wesentlichen Internetdiensten müssen von ihren Kunden vor der Bereitstellung des Internet-Zugangs oder eines Dienstes Informationen verlangen, die die Überprüfung der “realen Identität” ermöglichen. Betroffen sind nicht nur Zugangsanbieter, sondern auch Anbieter von Instant Messaging-Diensten oder Anbieter von Internetdiensten, die den Kunden die Veröffentlichung von Inhalten ermöglichen, also Cloud-Anbieter, Webhoster sowie Anbieter von Foren- und Blogplattformen.

(3)    Hersteller von Netzwerkprodukten und -diensten werden zu andauernder Sicherheitswartung ihrer Produkte verpflichtet. Erkannte Schwachstellen müssen schnellstens geschlossen, die Kunden darüber informiert werden. Für Hersteller von Netzwerkprodukten und -diensten, die für kritische Einsatzbereiche gedacht sind, ist eine Zertifizierung vorgeschrieben. Näheres ist bislang nicht definiert.

(4)    Betreiber kritischer Infrastrukturen treffen umfassende Verpflichtungen. Sie müssen das im Management der Informationssicherheit eingesetzte Personal Sicherheitsüberprüfungen unterziehen, das Personal fortlaufend fortbilden, Emergency Response Plans aufstellen und üben und die Sicherheit der IT ihrer Systeme jährlich durch unabhängige Stellen überprüfen lassen. Alle eingesetzten Netzwerkprodukte und -dienste müssen vor Einsatz eine Sicherheitsprüfung durchlaufen. Ein Informationsaustausch über Vorfälle muss innerhalb der Branche und mit den staatlichen Behörden etabliert werden. Alle personenbezogenen Daten sowie sonstigen betriebsrelevanten Daten der kritischen Infrastrukturen dürfen nur in China gespeichert werden. Ausnahmen bedürfen einer behördlichen Genehmigung.

Weitere für Unternehmen relevante Regelungen des Gesetzes betreffen die Beschränkung der Speicherung persönlicher Daten auf den Zweck des Dienstes, die Verpflichtung zu technischen Maßnahmen zum Schutz dieser Daten sowie die Mitwirkung bei der Bekämpfung illegaler Inhalte im Internet. Weitgehend undifferenzierte Generalklauseln enthalten umfassende Mitwirkungsverpflichtungen für die Unternehmen. Gleichzeitig enthält das Gesetz einen umfassenden Katalog von Strafen, die die Behörden für Zuwiderhandlungen verhängen können, sowohl gegen die Unternehmen selbst wie auch – ausdrücklich formuliert – gegen einzelne Verantwortliche aus den Unternehmen.

Fazit

Viele Maßnahmen im Bereich der Netzwerkbetreiber und Betreiber kritischer Infrastrukturen entsprechen im Grundsatz den Regulierungsvorhaben und -debatten in Europa. Einige gehen jedoch deutlich darüber hinaus. Die betrifft die namentliche Registrierung von Kunden, die verpflichtende Datenspeicherung in China, die immer flächendeckendere Sicherheitsprüfung von Produkten und der Katalog drastischer Strafen für Zuwiderhandeln gegen das Cybersicherheitsgesetz. Damit zeigt die chinesische Führung ihren unbedingten Willen, die Kontrolle über die chinesischen Netze zu behalten und weiter auszubauen.

Informelle Übersetzung der Cybersicherheitsstrategie vom 27. Dezember 2016
https://chinacopyrightandmedia.wordpress.com/2016/12/27/national-cyberspace-security-strategy/

Informelle Übersetzung des Cybersicherheitsgesetzes vom 7. November 2016
http://www.chinalawtranslate.com/cybersecuritylaw/?lang=en