Zum Jahresende 2016 hat die chinesische Regierung mit Ma\u00dfnahmen zur Erh\u00f6hung der Cybersicherheit den Druck auf die Unternehmen erheblich verst\u00e4rkt. Nach der Verabschiedung des Chinese Cybersecurity Law am 7. November 2016 legte die Cyberspace Administration of China (CAC) am 27. Dezember 2016 die neue chinesische Cybersicherheitsstrategie vor.Ausgangspunkt f\u00fcr die neue Strategie ist eine spezifisch chinesische Sichtweise auf die Chancen und Risiken des Cyberspace. Neue wirtschaftliche Chancen durch globale Vernetzung werden zwar betont, gleichzeitig aber auch eine St\u00e4rkung der nationalen Souver\u00e4nit\u00e4t durch ihre Erweiterung hinein in den digitalen Raum proklamiert. Die Strategie soll helfen, “new territories” f\u00fcr chinesische Souver\u00e4nit\u00e4t zu erobern und abzusichern. So unverbindlich und unkonkret die Strategie insgesamt auch bleibt, die Bewahrung und Verteidigung der nationalen Souver\u00e4nit\u00e4t zieht sich durch den gesamten Text. Als gr\u00f6\u00dfte Bedrohung aus dem Cyberspace werden nicht Kriminalit\u00e4t und Terrorismus angesehen, nicht einmal Cyberattacken auf kritische Infrastrukturen, sondern die Nutzung des Internets, um die internen politischen Angelegenheiten anderer Staaten zu beeinflussen. Interessant ist in diesem Zusammenhang auch der Begriff der “cultural security”, die es zu bewahren gelte. Hier finden sich – unter anderen Vorzeichen – \u00e4hnliche Sorgen um die Erosion von Werten und Moralvorstellungen wie sie derzeit in der westlichen “Fake News”-Debatte zu finden sind.<\/p>\n
Wesentliche Ziele der chinesischen Strategie lassen sich mit “Beherrschung und Kontrolle” zusammenfassen. Cyberrisiken sollen kontrolliert, Abwehrmechanismen perfektioniert, nationale Gesetze auch im Cyberspace durchgesetzt werden (“bringing cyberspace under the rule of law”). Die Verteidigung chinesischer Souver\u00e4nit\u00e4t \u00fcber die Ausgestaltung des digitalen Raums steht an oberster Stelle der Zielpyramide. Um dieses strategische Ziel erreichen zu k\u00f6nnen, wird die Beherrschbarkeit der eingesetzten Technologie als zentrales operatives Ziel angesehen. Kerntechnologien sollen kontrollierbar sein. Aufbau und Erweiterung von Strukturen zur Untersuchung der Cybersicherheit von Produkten und Services bekommen einen besonderen Stellenwert.\u00a0 \u00dcber die gesamte Supply Chain wichtiger IT-Produkte und\u00a0 Dienstleistungen sollen Sicherheits-Pr\u00fcfungen eingef\u00fchrt werden.<\/p>\n
Welche Produkte dies betrifft, richtet sich nach dem Einsatzbereich. Dieser ist allerdings – auch im Vergleich zu den europ\u00e4ischen Regelungen – weit gefasst. Neben Einrichtungen von Partei und Staat sowie den klassischen Infrastrukturbereichen wie Energie, Verkehr, Wasserversorgung oder Gesundheitswesen z\u00e4hlen f\u00fcr China aber auch die produzierende Industrie, die Forschung und der Bereich “wichtiger Internet-Anwendungen” hinzu. Dieser Ansatz gibt der CAC und den anderen staatlichen Beh\u00f6rden eine nahezu schrankenlose M\u00f6glichkeit, Sicherheits-Pr\u00fcfungen von IT-Produkten und -Dienstleistungen zu verlangen.<\/p>\n
Die neue Cybersicherheitsstrategie liefert damit den \u00dcberbau einer chinesischen Politik, die sich schon l\u00e4ngere Zeit abgezeichnet hatte. Schon Anfang 2016 mussten westliche Hersteller von in China popul\u00e4ren IT-Produkten Sicherheits-Pr\u00fcfungen \u00fcber sich ergehen lassen (vgl. http:\/\/www.nytimes.com\/2016\/05\/17\/technology\/china-quietly-targets-us-tech-companies-in-security-reviews.html<\/a>). Mit dem im November 2016 verabschiedeten Cybersicherheitsgesetz wird diese Praxis legalisiert und weiter ausgebaut. Das Gesetz tritt am 1. Juni 2017 in Kraft. Im Vergleich zu europ\u00e4ischen Regulierungen der IT- und Cybersicherheit wie der EU-Richtlinie f\u00fcr Netzwerk- und Informationssicherheit (NIS-Richtlinie) oder dem deutschen IT-Sicherheitsgesetz fallen zwei wesentliche Unterschiede auf: Im Einzelnen sieht das Gesetz Verpflichtungen f\u00fcr vier Gruppen von Unternehmen vor:<\/p>\n (1)\u00a0\u00a0 \u00a0Netzwerkbetreiber m\u00fcssen Informationssicherheits-Managementsysteme errichten, IT-Sicherheitsma\u00dfnahmen implementieren, ihre Netze \u00fcberwachen und Protokolldateien (undefinierten Ausma\u00dfes) sechs Monate aufbewahren.<\/p>\n (2)\u00a0\u00a0 \u00a0Anbieter von Telekommunikationsdiensten und wesentlichen Internetdiensten m\u00fcssen von ihren Kunden vor der Bereitstellung des Internet-Zugangs oder eines Dienstes Informationen verlangen, die die \u00dcberpr\u00fcfung der “realen Identit\u00e4t” erm\u00f6glichen. Betroffen sind nicht nur Zugangsanbieter, sondern auch Anbieter von Instant Messaging-Diensten oder Anbieter von Internetdiensten, die den Kunden die Ver\u00f6ffentlichung von Inhalten erm\u00f6glichen, also Cloud-Anbieter, Webhoster sowie Anbieter von Foren- und Blogplattformen.<\/p>\n (3)\u00a0\u00a0 \u00a0Hersteller von Netzwerkprodukten und -diensten werden zu andauernder Sicherheitswartung ihrer Produkte verpflichtet. Erkannte Schwachstellen m\u00fcssen schnellstens geschlossen, die Kunden dar\u00fcber informiert werden. F\u00fcr Hersteller von Netzwerkprodukten und -diensten, die f\u00fcr kritische Einsatzbereiche gedacht sind, ist eine Zertifizierung vorgeschrieben. N\u00e4heres ist bislang nicht definiert.<\/p>\n (4)\u00a0\u00a0 \u00a0Betreiber kritischer Infrastrukturen treffen umfassende Verpflichtungen. Sie m\u00fcssen das im Management der Informationssicherheit eingesetzte Personal Sicherheits\u00fcberpr\u00fcfungen unterziehen, das Personal fortlaufend fortbilden, Emergency Response Plans aufstellen und \u00fcben und die Sicherheit der IT ihrer Systeme j\u00e4hrlich durch unabh\u00e4ngige Stellen \u00fcberpr\u00fcfen lassen. Alle eingesetzten Netzwerkprodukte und -dienste m\u00fcssen vor Einsatz eine Sicherheitspr\u00fcfung durchlaufen. Ein Informationsaustausch \u00fcber Vorf\u00e4lle muss innerhalb der Branche und mit den staatlichen Beh\u00f6rden etabliert werden. Alle personenbezogenen Daten sowie sonstigen betriebsrelevanten Daten der kritischen Infrastrukturen d\u00fcrfen nur in China gespeichert werden. Ausnahmen bed\u00fcrfen einer beh\u00f6rdlichen Genehmigung.<\/p>\n Weitere f\u00fcr Unternehmen relevante Regelungen des Gesetzes betreffen die Beschr\u00e4nkung der Speicherung pers\u00f6nlicher Daten auf den Zweck des Dienstes, die Verpflichtung zu technischen Ma\u00dfnahmen zum Schutz dieser Daten sowie die Mitwirkung bei der Bek\u00e4mpfung illegaler Inhalte im Internet. Weitgehend undifferenzierte Generalklauseln enthalten umfassende Mitwirkungsverpflichtungen f\u00fcr die Unternehmen. Gleichzeitig enth\u00e4lt das Gesetz einen umfassenden Katalog von Strafen, die die Beh\u00f6rden f\u00fcr Zuwiderhandlungen verh\u00e4ngen k\u00f6nnen, sowohl gegen die Unternehmen selbst wie auch – ausdr\u00fccklich formuliert – gegen einzelne Verantwortliche aus den Unternehmen.<\/p>\n Viele Ma\u00dfnahmen im Bereich der Netzwerkbetreiber und Betreiber kritischer Infrastrukturen entsprechen im Grundsatz den Regulierungsvorhaben und -debatten in Europa. Einige gehen jedoch deutlich dar\u00fcber hinaus. Die betrifft die namentliche Registrierung von Kunden, die verpflichtende Datenspeicherung in China, die immer fl\u00e4chendeckendere Sicherheitspr\u00fcfung von Produkten und der Katalog drastischer Strafen f\u00fcr Zuwiderhandeln gegen das Cybersicherheitsgesetz. Damit zeigt die chinesische F\u00fchrung ihren unbedingten Willen, die Kontrolle \u00fcber die chinesischen Netze zu behalten und weiter auszubauen.<\/p>\n Informelle \u00dcbersetzung der Cybersicherheitsstrategie vom 27. Dezember 2016 Informelle \u00dcbersetzung des Cybersicherheitsgesetzes vom 7. November 2016 Zum Jahresende 2016 hat die chinesische Regierung mit Ma\u00dfnahmen zur Erh\u00f6hung der Cybersicherheit den Druck auf die Unternehmen erheblich verst\u00e4rkt. Nach der Verabschiedung des Chinese Cybersecurity Law am 7. November 2016 legte die Cyberspace Administration of China (CAC) am 27. … Continue reading
\n“\u00a2\u00a0\u00a0 \u00a0Das Verst\u00e4ndnis des chinesischen Gesetzgebers von Cybersicherheit ist deutlich weiter gefasst als die europ\u00e4ischen Ans\u00e4tze. Der Schutz kritischer Infrastrukturen vor Angriffen, die Kontrollierbarkeit des digitalen Raums f\u00fcr die staatlichen Beh\u00f6rden und die Bek\u00e4mpfung illegaler Internet-Inhalte sind gleichrangige Ziele. Selbst der Datenschutz im Internet wird als Teil der Cybersicherheitsregulierung behandelt.
\n“\u00a2\u00a0\u00a0 \u00a0Der weite Anwendungsbereich steht in einem auff\u00e4lligen Missverh\u00e4ltnis zum Grad, in dem die Verpflichtungen f\u00fcr Unternehmen und die Rechte f\u00fcr Beh\u00f6rden konkretisiert sind. Beides bleibt weitgehend vage und er\u00f6ffnet den chinesischen Beh\u00f6rden erhebliche Umsetzungsspielr\u00e4ume.<\/p>\nFazit<\/h1>\n
\nhttps:\/\/chinacopyrightandmedia.wordpress.com\/2016\/12\/27\/national-cyberspace-security-strategy\/<\/a><\/p>\n
\nhttp:\/\/www.chinalawtranslate.com\/cybersecuritylaw\/?lang=en<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"