Unsicherheit bei vielen Unternehmen

China verschärft Cybersecurity-Gesetz

01.06.2017
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
In der Diskussion um die EU-Datenschutzgrundverordnung (DSGVO) ist ein wenig untergegangen, dass auch China seine Gesetze zur Cybersecurity verschärft hat. Die neuen Regeln gelten seit dem 1. Juni und sorgen vielerorts für Verunsicherung.

Nachdem Chinas Volkskongress im November vergangenen Jahres ein Gesetz zur Verschärfung derCybersecurity verabschiedet, sind die neuen Regeln nun seit dem 1. Juni in Kraft. Dabei gehe es vor allem darum, Ordnung und Sicherheit des Cyberraums zu sichern, hatte vor einigen Monaten die staatliche Nachrichtenagentur Xinhua berichtet. Behörden sollte dazu ermächtigt werden, Hacker-Angriffe und Cyber-Terrorismus effizienter bekämpfen zu können. Unternehmen und Verbände kritisierten, die vagen Formulierungen ließen viel Spielraum in der Auslegung des Gesetzes zu.

Wer in China Geschäfte machen will, muss sich seit Anfang Juni an verschärfte Cybersecurity-Gesetze halten.
Wer in China Geschäfte machen will, muss sich seit Anfang Juni an verschärfte Cybersecurity-Gesetze halten.
Foto: Filipe Frazao - shutterstock.com

Seit Anfang Juni 2017 gelten im Reich der Mitte nun die neuen Regeln zur Cybersecurity. Bei vielen deutschen und europäischen Unternehmen herrscht indes große Unsicherheit darüber, inwiefern sie von der Gesetzesänderung betroffen sind, und welche Schritte sie unternehmen müssen, um ihren Geschäftsbetrieb nicht zu gefährden. Bei Verstößen droht der Entzug der sogenannten Bei’an-Lizenz und die chinesische Website oder Datenübertragungen inChina können gesperrt werden. Erschwerend kommt hinzu, dass die chinesischen Gesetzestexte weder auf Deutsch noch auf Englisch verfügbar sind, was eine korrekte Auslegung schwierig macht. Derzeit kursieren im Netz lediglich inoffizielle Übersetzungen.

"Die Unsicherheit auf der Seite der Unternehmen ist groß", erklärt Alex Nam, Managing Director bei CDNetworksEMEA, spezialisiert auf Content Delivery sowie Cloud-Security-Lösungen und eigenen Angaben zufolge ein Experte für den chinesischen Markt. "Vielen Unternehmen, die mit Cloud- oder Infrastrukturpartnern arbeiten, wissen nicht, ob und welche Auswirkungen das Gesetz auf sie hat oder was sie unternehmen müssen."

CDNetworks hat daher die am häufigst gestellten Fragen von Unternehmen zusammengestellt, die momentan auf sie zukommen, und empfiehlt, welche Schritte Organisationen vornehmen sollten. Aber, so schränken die Verantwortlichen von CDNetworks ein: "Dies soll sich natürlich nicht als Auslegung der Rechtslage verstehen, sondern als Empfehlung rechtskonformer Maßnahmen aus der Praxis."

Was besagt das neue Gesetz und welche Änderungen ergeben sich damit?

Das Gesetz umfasst eine Vielzahl von Pflichten im elektronischen Geschäftsverkehr. Es definiert Leitlinien für die zukünftige Entwicklung der Netzlandschaft und die Rolle des Staates in diesem Zusammenhang. Die Cyberadministration of China (CAC) erhält maßgebliche Funktionen in der Gesetzgebung und fungiert als Prüf- und Zulassungsstelle.

Eine Änderung, von der sehr viele Unternehmen aktuell betroffen sind, ist die neuen Regulierung der "Datenauslieferung" in China. Laut aktuellen Auslegungen der neuen gesetzlichen Vorgaben, sollen alle als sensibel beziehungsweise personenbezogen definierte Daten im Land gehostet werden und China in Zukunft auch nicht mehr verlassen dürfen (außer mit spezieller Erlaubnis der Regierung).

Aufgrund der langsamen Ladezeiten, verursacht durch die große Entfernung nach China sowie die automatische Überprüfung von Inhalten durch die sogenannte "Great Firewall", stellen viele Unternehmen ihre Inhalte bereits über einen Server oder Knotenpunkt in China zur Verfügung. Das kann sehr häufig über einen Hoster, Cloud-Dienstleister oder Content Delivery Network-Anbieter (CDN) geschehen. Auch hier ergeben sich die entsprechenden im weiteren ausgeführten Konsequenzen.

Welche Unternehmen sind von dem neuen Gesetz betroffen?

Betroffen sind alle Unternehmen, die im elektronischen Geschäftsverkehr in China tätig sind. Dazu gehören natürlich Betreiber von Netzwerk- oder sogenannten Critical Information-Infrastrukturen, aber auch jedes andere Unternehmen und jede Organisation, die Web-Inhalte (Websites, Apps, etc.) in China "ausliefert" beziehungsweise dazu einen Betreiber von Netzwerk- oder sogenannten Critical Information-Infrastrukturen für das Hosting oder die Auslieferung nutzt.

Ein Beispiel: Hatte ein eCommerce-Anbieter datenverarbeitende Systeme, wie Bestell-, Rechnungs- oder Warenbestandsysteme bisher außerhalb von China betrieben, diese aber über einen Dienstleister – wie zum Beispiel ein CDN – in China ausgeliefert, müssen diese Systeme nun gespiegelt werden, damit die Daten innerhalb von China verarbeitet werden. Auch bei Daten von Apps – vom Fitnessarmband bis zu Anwendungen, die Stromzähler- oder Boiler-Daten übermitteln – ist dies der Fall. Es sind also Unternehmen aller Branchen betroffen, von Handel, über IT-Service-Anbieter bis hin zu Unternehmen aus den Bereichen Industrie, Tourismus, Medien, Online-Werbung, Gaming, u.v.m.

Nicht betroffen sind Unternehmen die ihre Inhalte von außerhalb Chinas anbieten, wozu auch Hongkong zählt. Da Hongkong zwar zu China gehört, aber außerhalb der "Great Firewall" liegt, müssen diese Organisationen jedoch nach wie vor mit Ladezeiten rechnen, die die Geduld der potenziellen Nutzer oft übersteigt. Daher ist dies nicht wirklich eine Alternative.