Ende letzten Jahres hat die chinesische Regierung ein neues Cybersicherheitsgesetz eingeführt, das sogenannte
Cybersecurity Muti-Level Protection Scheme (MLPS 2.0) . Das Gesetz, das im Dezember in Kraft getreten ist, bedeutet, dass die Regierung uneingeschränkten Zugriff auf alle Daten innerhalb des Landes hat, unabhängig davon, ob sie auf chinesischen Servern gespeichert oder über chinesische Netze übertragen werden.
Dies bedeutet, dass es keine anonymen VPNs gibt (und viele beliebte VPNs chinesischen Unternehmen gehören). Keine privaten oder verschlüsselten Nachrichten. Keine anonymen Online-Konten oder sensiblen Daten. Alle Daten sind für die chinesische Regierung zugänglich und zugänglich, einschließlich Daten ausländischer Unternehmen auf chinesischen Servern oder über China,
wie in einem Kommentar der Anwaltskanzlei Reed Smith
erläutert . In gewissem Sinne können MLPS 2.0 und verwandte Gesetze mit dem russischen „Spring Law Package“ verglichen werden.
Alles ist genauso schlimm, wie es scheint, und es wird schlimmer. MLPS 2.0 wird von zwei zusätzlichen Gesetzen unterstützt, die alle Abhilfemaßnahmen, Garantien oder Lücken beseitigen, die einst zur Wahrung der Integrität von Unternehmensdaten verwendet wurden. Beide sind Anfang des Monats in Kraft getreten,
schreibt CSOnline.
Das erste ist das neue Auslandsinvestitionsgesetz, das ausländische Investoren genauso behandelt wie chinesische Investoren. Obwohl dies angekündigt wurde, um den Investitionsprozess zu straffen, werden ausländischen Investoren in der Praxis viele der Rechte genommen, die sie zuvor hatten.
Der zweite Teil enthält neue Richtlinien für die Verschlüsselung. Auch hier scheint es auf den ersten Blick so, als ob sie unter Berücksichtigung des Gemeinwohls vorgeschlagen wurden. Vom Ministerium für öffentliche Sicherheit formell verabschiedete Gesetze zum Schutz der Netzwerkinfrastruktur vor „Schäden“ und externen Bedrohungen. Erst bei näherer Betrachtung treten Nebenwirkungen auf.
Nach dem derzeitigen MLPS, das seit 2008 besteht, müssen Netzbetreiber (ein sehr weit gefasster Begriff, der alle angeschlossenen Computer oder Systeme umfasst, die Daten senden oder verarbeiten) ihre Netze und Informationssysteme auf verschiedenen Ebenen klassifizieren und geeignete Sicherheitsmaßnahmen anwenden. Das System ordnet Informations- und Kommunikationstechnologiesysteme (IKT) auf einer Sensitivitätsskala ein: 1 - am unempfindlichsten, 5 - am empfindlichsten. Je höher die Bewertung, desto strenger ist das Ministerium für öffentliche Sicherheit (IPS) dieses System. Die dritte Ebene ist der Punkt, an dem sich die Selbstzertifizierung in ein staatliches Audit verwandelt. Dieses Niveau wird erreicht, wenn eine Beschädigung des Netzwerks zu "besonders schwerwiegenden Schäden an den legitimen Rechten und Interessen chinesischer Bürger, juristischer Personen und anderer interessierter Organisationen führt oder die öffentliche Ordnung und die öffentlichen Interessen ernsthaft beeinträchtigt oder die nationale Sicherheit beeinträchtigt".
NewAmerica Analystenfirma
erklärt, dass MLPS 2.0 eine "Tendenz zu mehr Prüfungen" darstellt. Innerhalb von MLPS 2.0 werden die zu testenden Netzwerke im Wesentlichen auf alle IT-Systeme erweitert.
Datenlokalisierungsanforderungen
Nach dem neuen Kryptogesetz dürfen die Entwicklung, der Verkauf und die Nutzung von Kryptografiesystemen "die Sicherheit des Staates und das öffentliche Interesse nicht beeinträchtigen". Darüber hinaus werden Kryptografiesysteme, die nicht „verifiziert und authentifiziert“ wurden, ebenfalls illegal. Wenn Ihr Unternehmen versucht, Informationen vor der Regierung zu verbergen, können und werden Sie im Allgemeinen bestraft.
Wenn Ihr Rechenzentrum beispielsweise einen chinesischen Softwaredienst verwendet, können alle von diesem Dienst gespeicherten und verwalteten Daten entfernt werden. Dies beinhaltet Geschäftsgeheimnisse, Finanzinformationen und mehr. Wenn Sie im Inland Vermögenswerte speichern, haben Sie ebenfalls keine vollständige Kontrolle über diese. Sie können jederzeit und mit minimaler Berechtigung von der Regierung beschlagnahmt werden.
Die in der neuen Gesetzgebung enthaltenen Anforderungen an die Datenlokalisierung wirken sich auch stark auf die Cloud-Sicherheit aus. Experten erklären, dass die Speicherung von Daten weniger wichtig ist als deren Speicherung. So trägt die Lokalisierung nur sehr wenig zum Schutz vertraulicher Informationen bei, während gleichzeitig einfach anzuwendende Speicherorte für Daten geschaffen werden, die sich zum Hacken eignen.
China hat es nie gescheut, die Privatsphäre und die Datensicherheit zu vernachlässigen. Diese neuen Regeln sind lediglich eine Formalisierung dessen, was im Land seit langem die Norm ist. Dies macht es aber für Unternehmen einfacher.
Probleme für ausländische Unternehmen
Der amerikanische Think Tank, das Center for Strategic and International Studies (CSIS), gibt an, dass China in den letzten Jahren
rund 300 neue nationale Cybersicherheitsstandards veröffentlicht hat. Eine der neuesten Änderungen ist das MLPS-Update.
Neue Gesetze sind besonders problematisch für Rechenzentren ausländischer Unternehmen.
Tatsächlich haben sie noch zwei Möglichkeiten.
Das erste ist einfach, die Geschäftstätigkeit in China einzustellen, auch durch Partnerschaften. Theoretisch könnte dies, wenn genügend Unternehmen diesem Weg folgen, Druck auf die chinesische Regierung ausüben und sie zur Aufhebung des Gesetzes zwingen.
Die zweite besteht darin, zuzustimmen, die Privatsphäre und die Sicherheit als Preis für die Geschäftstätigkeit in China zu verringern.
Wir können sagen, dass ausländische Unternehmen in Russland die gleichen zwei Möglichkeiten haben.
Ich würde gerne denken, dass sie gemeinsam den ersten Weg gehen werden. Leider ist es in der Realität wahrscheinlicher, dass die zweite Option gewählt wird. Denn für viele ist dieser Preis akzeptabel.