Executive Summary

Am 1. Juni 2017 trat nach jahrelangen nationalen und internationalen Debatten endlich Chinas nationales Cybersicherheitsgesetz in Kraft. Ein Großteil des Gesetzes konzentrierte sich auf den Schutz der Daten chinesischer Nutzer, während die Bewertungen des Gesetzes die potenziellen negativen Auswirkungen auf ausländische Unternehmen und Technologien sowie die Schwierigkeiten bei der Einhaltung der belastenden, vagen und umfassenden neuen gesetzlichen Anforderungen hervorhoben.

Die Recherchen von Recorded Future konzentrierten sich auf die weitreichenden Befugnisse, die das Cybersicherheitsgesetz dem China Information Technology Evaluation Center (CNITSEC), einem Büro in Chinas führendem Auslandsgeheimdienst, dem Ministerium für Staatssicherheit (MSS), einräumt. Das Gesetz gibt "Netzwerkinformationsabteilungen", einschließlich CNITSEC, die Befugnis, "nationale Sicherheitsüberprüfungen" (siehe Artikel 35) von Technologien durchzuführen, die ausländische Unternehmen auf dem chinesischen Markt nutzen oder verkaufen wollen.

Die Integration des MSS in die Informationssicherheitsarchitektur Chinas über CNITSEC wird es ihm möglicherweise ermöglichen, (1) Schwachstellen in ausländischen Technologien zu identifizieren, die China dann bei seinen eigenen Geheimdienstoperationen ausnutzen könnte, und (2) ausländischen Unternehmen die unmögliche Wahl stellen, entweder ihre proprietäre Technologie oder ihr geistiges Eigentum an das MSS zu übergeben oder vom chinesischen Informationstechnologiemarkt ausgeschlossen zu werden, Das wird 2018 voraussichtlich 242 Milliarden US-Dollar erreichen.

Hintergrund

In unserem Blogbeitrag vom Mai 2017, in dem wir die Bedrohungsakteursgruppe APT3 dem chinesischen MSS zuschreiben, haben wir auch eine chinesische Informationssicherheitsorganisation identifiziert, die tatsächlich vom MSS betrieben wird – CNITSEC, in diesem Beitrag auch als „das Zentrum“ bezeichnet.

Laut einer wissenschaftlichen Studie , die in der Fachzeitschrift "China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain" veröffentlicht wurde, wird CNITSEC vom MSS geleitet und beherbergt einen Großteil der technischen Cyber-Expertise des Geheimdienstes. CNITSEC wird vom MSS verwendet, um "Schwachstellentests und Bewertungen der Softwarezuverlässigkeit durchzuführen". Laut einer Depesche des US-Außenministeriums aus dem Jahr 2009 wird angenommen, dass China auch Schwachstellen nutzen könnte, die aus den Aktivitäten von CNITSEC für Geheimdienstoperationen abgeleitet wurden. Der ehemalige Direktor und derzeitige Parteisekretär von CNITSEC, Wu Shizhong, bezeichnet sich sogar selbst als MSS, einschließlich seiner Arbeit als stellvertretender Leiter des chinesischen Nationalen Komitees für Informationssicherheitsstandards noch im Januar 2016.

Analyse

Die Rolle von CNITSEC im neuen Regulierungssystem für Informationstechnologie wurde erst in den letzten Monaten deutlich, als der chinesische Staat begann, Regelungen zur Unterstützung des CSL auszuarbeiten und zu veröffentlichen.

Das Cybersicherheitsgesetz ist weit gefasst und die Sprache vage

Bevor wir uns mit der Rolle von CNITSEC befassen, ist es wichtig, zunächst die relevanten Abschnitte des CSL und die Verpflichtungen zu überprüfen, die ausländische Unternehmen wahrscheinlich eingehen werden (für eine gute englische Übersetzung siehe China Law Translate). Für Unternehmen ist es wichtig, die Ungenauigkeit und den Umfang des CSL sowie des Nationalen Sicherheitsgesetzes von 2015 zu beachten, da beide vage Formulierungen enthalten, auf die sich die chinesischen Behörden berufen können, um Überprüfungen der nationalen Sicherheit, den Datenaustausch mit Regierungsbehörden und sogar Inspektionen von proprietärer Technologie oder geistigem Eigentum zu erzwingen.

Einer der am schlechtesten definierten Abschnitte des Gesetzes war bei seiner Verabschiedung im November 2016 „Kapitel Drei: Sicherheit des Netzwerkbetriebs“. Kapitel drei umfasst 18 Artikel, die die Verantwortung der „Netzwerkbetreiber“ für den „Schutz der Netzwerksicherheit“ und zusätzliche rechtliche Verantwortlichkeiten für Unternehmen definieren, die „kritische Informationsinfrastrukturen“ betreiben.

Nur einer der drei oben genannten Begriffe wurde im Gesetz selbst definiert. Die CSL besagt, dass "Netzbetreiber" "Netzwerkeigentümer, -manager und -anbieter" sind. Laut einer KPMG-Analyse des Gesetzes:

Als „Netzbetreiber“ können auch Unternehmen und Institutionen bezeichnet werden, die über Netzwerke Dienstleistungen anbieten und Geschäftsaktivitäten durchführen. Zu den Netzbetreibern können neben den herkömmlichen Telekommunikationsbetreibern und Internetunternehmen auch folgende Unternehmen gehören:

• Finanzinstitute, die persönliche Daten der Bürger erfassen und Online-Dienste bereitstellen, etwa Bankinstitute, Versicherungsgesellschaften, Wertpapierfirmen und Stiftungen.
• Anbieter von Produkten und Dienstleistungen im Bereich Cybersicherheit.
• Unternehmen, die über Websites verfügen und Netzwerkdienste anbieten.

Dabei handelt es sich um eine so weit gefasste Auslegung des Begriffs, dass sie jedes Unternehmen umfassen könnte, das das Internet nutzt oder Benutzerdaten in China sammelt. Darüber hinaus unterliegen Unternehmen, die als „Netzbetreiber“ eingestuft werden, einer Überprüfung durch staatliche Regulierungsbehörden, wenn sie jemals große Mengen an Nutzerdaten ins Ausland übertragen möchten (siehe Artikel 37).

Gemäß Artikel 28 des CSL sind "Netzbetreiber" auch verpflichtet, den öffentlichen und staatlichen Sicherheitsbehörden Unterstützung bei der "Wahrung der nationalen Sicherheit und bei der Aufklärung von Straftaten" zu leisten. Dies könnte Unternehmen in die Lage versetzen, den chinesischen Strafverfolgungsbehörden und staatlichen Sicherheitsbehörden Informationen über Nutzer oder Aktivitäten zur Verfügung stellen zu müssen, die im Westen nicht als Straftaten gelten, insbesondere über "internetbezogene Straftaten". Zu diesen "internetbezogenen Verbrechen" gehört die Nutzung des Internets, um "Fakten zu fabrizieren oder zu verzerren, Gerüchte zu verbreiten, die soziale Ordnung zu stören", "andere zu beleidigen oder zu verleumden" und "schädliche Informationen" zu verbreiten. Eine Untergruppe von "Netzbetreibern" wird vom Gesetz als Betreiber von "kritischen Informationsinfrastrukturen" eingestuft und unterliegt noch stärkeren Regulierungen und Überprüfungen. Der Text des CSL klassifiziert "kritische Informationsinfrastrukturen" als:

Öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Regierung (E-Government) und andere kritische Informationsinfrastrukturen, deren Zerstörung, Funktionsverlust oder Datenleck die nationale Sicherheit, die Volkswirtschaft und den Lebensunterhalt der Menschen oder das öffentliche Interesse ernsthaft gefährden könnten.

Die Definition des chinesischen Staates für "nationale Sicherheit" wurde im Juli 2015 im "Nationalen Sicherheitsgesetz" wie folgt formalisiert:

Das relative Fehlen internationaler oder innerstaatlicher Bedrohungen für die Regierungsgewalt, die Souveränität, die Einheit und territoriale Integrität des Staates, das Wohlergehen der Bevölkerung, eine nachhaltige wirtschaftliche und soziale Entwicklung und andere wichtige nationale Interessen sowie die Fähigkeit, einen dauerhaften Zustand der Sicherheit zu gewährleisten.

Unternehmen in diesem Sektor und alle von ihnen gekauften Produkte oder Dienstleistungen werden ebenfalls einer "nationalen Sicherheitsüberprüfung" unterzogen, die es der Regierung ermöglicht, "den Quellcode von Computerprogrammen anzufordern" und "in das geistige Eigentum der Unternehmen einzutauchen". In dem Artikel heißt es auch, dass "sogar Fast-Food-Lieferunternehmen als kritische Infrastruktur angesehen werden könnten, urteilten die Shanghaier Regulierungsbehörden während eines Pilotlaufs für das Gesetz", wahrscheinlich weil sie persönliche Informationen von Millionen chinesischer Nutzer besitzen.

Die Rolle von CNITSEC im CLS bietet Möglichkeiten zur MSS-Sammlung. Wie in unserem Blog zu APT3 und dem MSS dargelegt und oben noch einmal ausführlich beschrieben, hat CNITSEC seine Beziehung zum MSS nie offiziell anerkannt, aber der Auftrag des Zentrums, dem chinesischen Staat, der Partei und Regierungsorganisationen zu dienen sowie Prüfungen gemäß dem CSL durchzuführen, ist gut dokumentiert.

• Auf der Website des CNITSEC wird beschrieben, dass das Zentrum von der Zentralregierung mit dem umfassenden Mandat ausgestattet wurde, Sicherheitslücken und Risikoeinschätzungen in den Informationsnetzwerken von Parteien und Regierungen zu untersuchen sowie Sicherheitstests für Informationstechnologien, Produkte und Systeme durchzuführen. Zudem verfüge es über „erstklassige“ Ressourcen und Geräte zur Schwachstellenanalyse sowie über professionelle technische Forschungs- und Entwicklungslabore.
• In einem Interview mit der chinesischsprachigen Zeitung Southern Metropolitan im Juni 2017 bestätigte CNITSECs Chefingenieur Wang Jun, dass CNITSEC von der chinesischen Regierung für die Durchführung der nationalen Sicherheitsüberprüfungen im Rahmen des CSL zertifiziert worden sei. Wang erläuterte weiter, dass eine Überprüfung von einer zuständigen staatlichen Behörde, einem nationalen Industriezweig oder vom Markt, d. h. von den Nutzern und der Öffentlichkeit, initiiert werden könne.
• Auf einer Konferenz später im Monat hielt Wang eine Grundsatzrede zum gleichen Thema, in der er eine explizite Verbindung zwischen Artikel 59 des Nationalen Sicherheitsgesetzes von 2015 herstellte, der die rechtliche Verpflichtung zur Überprüfung und Aufsicht der nationalen Sicherheit ausländischer kommerzieller Investitionen, Technologien, Produkte und Dienstleistungen festlegte; die Sicherheitsüberprüfungen, die im Rahmen des 13. Fünfjahresplans Chinas vorgeschrieben sind; und die im Rahmen des CSL vorgeschriebenen nationalen Sicherheitsüberprüfungen.

Wang (Foto unten) betonte in seiner Rede auch, dass sich die nationalen Sicherheitsüberprüfungen des CSL auf die möglichen Auswirkungen auf die nationale Sicherheit, Sicherheitsrisiken, Sicherheitszuverlässigkeit, Kontrolle, Sicherheitsmechanismen und technologische Transparenz konzentrieren würden. Er beharrte weiterhin darauf, dass die Prüfungen von professionellen „Dritten“ durchgeführt würden, die vorgeblich objektiv und unabhängig seien. Dass jedoch CNITSEC, eine Abteilung des MSS, als zertifizierter Prüfer der nationalen Sicherheit hervorgeht, stellt jede andere Organisation in Frage, die ebenfalls eine solche Zertifizierung besitzt.

CNITSEC betreibt auch die China National Vulnerability Database of Information Security (CNNVD), das Informationssicherheitsbewertungszentrum des Landes, und ist für den Aufbau, den Betrieb und die Wartung der nationalen Datenmanagementplattform für Informationssicherheitslücken verantwortlich.

Offensichtlich funktioniert CNNVD ähnlich wie andere National Vulnerability Databases (NVD), wie z. B. das National Institute of Standards and Technology (NIST) NVD der US-Regierung, das von einer Abteilung innerhalb des Department of Homeland Security (DHS) betrieben wird, die damit beauftragt ist, Software-Schwachstellen öffentlich zu identifizieren, zu melden und Patches für diese zu erstellen. Obwohl es in China kein genaues DHS-Äquivalent gibt, sind die Mission und der Umfang des Ministeriums für öffentliche Sicherheit (MPS) am ähnlichsten und werden weithin als Chinas DHS-Pendant angesehen. Das ähnlichste US-Pendant der MSS ist die Central Intelligence Agency (CIA); Das MSS ist jedoch auch befugt, Informationen innerhalb Chinas zu sammeln, wobei einige Funktionen dem Federal Bureau of Investigation (FBI) ähneln. Zum Vergleich: Das MSS, das das CNNVD betreibt, wäre ungefähr das Äquivalent zu dem der CIA, die das NIST NVD betreibt.

Das grundlegende Problem mit dem MSS, der CNITSEC und CNNVD betreibt, und allgemeiner mit der Rolle des MSS in Chinas organisatorischer Infrastruktur für Informationssicherheit, besteht darin, dass der MSS Chinas "führender ziviler Geheimdienst" ist, der sowohl für Auslandsaufklärung als auch für Spionageabwehroperationen verantwortlich ist. Laut "China's Security State: Philosophy, Evolution, and Politics" ist das MSS "verantwortlich für das Sammeln und Bewerten ziviler Geheimdienstinformationen, die für die nationale Sicherheit relevant sind, und für die Durchführung von Spionageabwehroperationen gegen andere Länder".

Dies bedeutet, dass der MSS die weit gefassten Formulierungen und neuen Befugnisse des chinesischen Cybersicherheitsgesetzes nutzt, um möglicherweise Zugriff auf Schwachstellen in ausländischen Technologien zu erhalten, die er dann für seine eigenen Geheimdienstoperationen ausnutzen könnte. Die MSS haben ein Mitspracherecht bei der Meldung von Schwachstellen über den CNNVD, da sie diesen betreiben. Zudem könnten sie kritische Schwachstellen in Software oder Hardware leicht identifizieren und vor der Öffentlichkeit verbergen, um sie dann für ihre eigenen Zwecke zu nutzen.

Es gibt zwei entscheidende Unterschiede hinsichtlich der Art und Weise, wie das MSS das CNNVD betreiben könnte und wie die CIA oder NSA mit dem NIST NVD-System interagieren. Erstens: Obwohl umfassend dokumentiert ist, dass die von der ETERNAL-Reihe der NSA-Tools ausgenutzten Schwachstellen weder Microsoft noch dem NIST NVD bekannt waren, bevor sie von der ShadowBrokers-Gruppe erworben wurden, ist die NSA nicht im NIST NVD aufgeführt und hat diese Schwachstellen nicht aktiv aus der Datenbank zensiert. Das MSS betreibt (über CNITSEC) das CNNVD und kann die der Öffentlichkeit gemeldeten Schwachstellen unterdrücken oder kontrollieren.

Zweitens könnte das MSS die vom CNNVD durchgeführten Forschungsergebnisse zur Unterstützung seiner Operationen nutzen. US-Geheimdienste wie die NSA und die CIA identifizieren Schwachstellen auf der Grundlage ihrer eigenen Untersuchungen und dürfen die nicht öffentlichen Forschungsergebnisse des NIST NVD nicht nutzen.

Auswirkungen

Da die Definitionen im CSL vage und undurchsichtig sind, stehen viele ausländische Unternehmen – insbesondere jene, die zur „kritischen Informationsinfrastruktur“ zählen – vor der schwierigen Entscheidung, entweder ihre proprietäre Technologie/ihr geistiges Eigentum dem MSS zu überlassen oder vom chinesischen Markt ausgeschlossen zu werden. Wenn sie zulassen, dass ihre Technologie einer Sicherheitsüberprüfung durch das MSS unterzogen wird, kann dies als Nebenfolge dazu führen, dass aktuelle Kunden oder Benutzer einem höheren Risiko von vom chinesischen Staat gesponserten Cyberangriffen ausgesetzt werden.

Ausländische Unternehmen, die in China geschäftlich tätig werden möchten – insbesondere solche in den Sektoren der „kritischen Informationsinfrastruktur“ – stehen nun vor einer Vielzahl technischer, rechtlicher und ethischer Entscheidungen im Zusammenhang mit ihrer Geschäftstätigkeit in China, die zuvor möglicherweise nicht berücksichtigt wurden. Diese Entscheidungen werden sich auf die taktischen und strategischen Pläne und Abläufe von Unternehmen in einem breiten Spektrum vertikaler Branchen auswirken.

Erstens müssen Unternehmen, die wissen, dass das MSS Schwachstellen in proprietären Produkten oder Dienstleistungen aufdecken und operationalisieren könnte, drei mögliche Risikoszenarien bewerten:

• Gefährdung der eigenen Maschinen oder Netzwerke des Unternehmens.
• Risiko für das Produkt oder die Dienstleistung eines Unternehmens.
• Derivaterisiko für Kunden, Klienten oder Benutzer auf der ganzen Welt.

Die meisten in China verwendeten Produkte und Dienste unterscheiden sich nicht völlig von ihren globalen Pendants. Dadurch steigt das Risiko, dass die vom MSS entdeckten Schwachstellen ausgenutzt werden könnten, um internationale Benutzer dieser Maschinen, Netzwerke, Produkte und Dienste auszunutzen. Unternehmen in diesem vage definierten Sektor der „kritischen Informationsinfrastruktur“ sind am stärksten gefährdet. Dazu gehören wahrscheinlich Software- und Hardwareanbieter, SaaS- (Software as a Service), IaaS- (Infrastructure as a Service) und PaaS-Unternehmen (Platform as a Service), Cloud-, Sicherheits- und Netzwerkanbieter und viele mehr.

Zweitens könnte die Zusammenarbeit mit den chinesischen Behörden durch die Bereitstellung von Informationen über die Themen inländischer Ermittlungen Unternehmen in Europa und Nordamerika der öffentlichen Kritik, Klagen und möglicher Zensur durch mehrere Regierungsebenen aussetzen. Im Jahr 2007 geriet Yahoo ins Fadenkreuz einer parteiübergreifenden Kongressanhörung, nachdem es den chinesischen Behörden Informationen zur Verfügung gestellt hatte, die mit der Inhaftierung eines regimekritischen Journalisten in Verbindung standen. Der CEO und der Generalrat des Unternehmens wurden vom Vorsitzenden des Ausschusses für auswärtige Angelegenheiten des Repräsentantenhauses als "moralische Pygmäen" und "verantwortungslos" gebrandmarkt und sind seit dem Vorfall gezwungen, seinen Ruf bei Bürgerrechtsgruppen zu verteidigen. Yahoo war sogar gezwungen, eine private Klage beizulegen, die sich aus der Zusammenarbeit mit der chinesischen Regierung ergab. In Zukunft werden noch mehr Unternehmen gezwungen sein, den Spagat zwischen der Einhaltung chinesischer Vorschriften und der Befolgung westlicher Geschäftsethik einzufädeln, um ähnliche Schwierigkeiten in Zukunft zu vermeiden.

Anmerkung der Redaktion

Dies soll keine Rechtsberatung oder Rechtsbeistand ersetzen. Bei weiteren Fragen zum chinesischen Gesetz zur Cybersicherheit sollten Sie unbedingt einen Rechtsberater vor Ort konsultieren.