Executive Summary

Im August 2017 analysierte Recorded Future die Sicherheits- und Risikoauswirkungen des chinesischen Cybersicherheitsgesetzes für internationale Unternehmen und kam zu dem Schluss, dass das Gesetz dem chinesischen Ministerium für Staatssicherheit (MSS) weitreichende neue Befugnisse einräumt. Das Cybersicherheitsgesetz sieht insbesondere vor, dass mehrere Sektoren einer „nationalen Sicherheitsüberprüfung“ unterzogen werden. Dies könnte es dem MSS ermöglichen, Schwachstellen in ausländischen Technologien zu identifizieren, die China anschließend für Spionageoperationen ausnutzen könnte.

Am 1. November 2018 erließ China neue Bestimmungen zum Gesetz mit dem Titel „Vorschriften zur Überwachung und Inspektion der Internetsicherheit durch Organe der öffentlichen Sicherheit“ (公安机关互联网安全监督检查规定). Die Vorschriften wurden wahrscheinlich erarbeitet, um Teile des chinesischen Cybersicherheitsgesetzes von 2017 zu präzisieren. Sie verleihen dem Ministerium für öffentliche Sicherheit (MPS) weitreichende Befugnisse über die Computernetzwerke chinesischer Unternehmen. Hierzu gehört angeblich die Vollmacht, bei praktisch jedem in China tätigen Unternehmen Penetrationstests aus der Ferne durchzuführen und sämtliche bei der Überprüfung gefundenen Informationen zu Benutzerdaten oder Sicherheitsmaßnahmen zu kopieren.

Diese neuen Bestimmungen legen keine Beschränkungen für den Umfang von Schwachstellen- oder Sicherheitsüberprüfungen fest und verlangen nur ein äußerst minimales Berichtspflicht gegenüber dem Unternehmen. Darüber hinaus verwenden die Vorschriften nach wie vor eine vage Terminologie und beschränken den Umfang persönlicher oder Remote-Inspektionen zur Prüfung der Netzwerksicherheit nicht. Wir gehen davon aus, dass die Kombination bestehender MSS-Vorschriften mit diesen neuen Bestimmungen des Cybersicherheitsgesetzes für das MPS die Versuche der chinesischen Regierung unterstützen wird, ausländische Unternehmen zu zensieren und zu überwachen.

Wichtige Urteile

• Neue Vorschriften ermächtigen das Ministerium für öffentliche Sicherheit (MPS), bei jedem Unternehmen mit fünf oder mehr mit dem Internet verbundenen Computern Vor-Ort- und Ferninspektionen durchzuführen. Diese weit gefasste Definition trifft auf fast jedes ausländische Unternehmen in China zu.
• Seit November 2018 ist es der MPS gestattet, bei Vor-Ort-Inspektionen Benutzerinformationen zu kopieren, Sicherheitsreaktionspläne zu protokollieren und auf Schwachstellen zu prüfen. Diese Informationen könnten von staatlichen Überwachungs- oder Sicherheitsorganen genutzt werden, um die internen Abläufe eines Unternehmens sowie dessen Kunden zu überwachen.
• Die People's Armed Police (PAP) wird bei den Inspektionen vor Ort anwesend sein, um sicherzustellen, dass die Unternehmen die Vorschriften einhalten.
• Darüber hinaus kann die MPS Ferninspektionen von Unternehmen durchführen, um diese auf Schwachstellen zu prüfen. Diese neuen Vorschriften machen die Durchführung von Ferninspektionen einfacher als die Durchführung von physischen Inspektionen und sind weder an eine bestimmte Zeit gebunden noch in ihrem Umfang begrenzt. Für Ferninspektionen kann das MPS externe „Cybersicherheitsdienstleister“ einbeziehen, wodurch sich das Risiko sowohl der Entdeckung von Schwachstellen als auch von Datenlecks erhöht.
• Diese Vorschriften ermächtigen MPS außerdem, die chinesischen Gesetze gegen verbotene Inhalte durchzusetzen und die Netzwerksicherheit als Rechtfertigung für die Überwachung der Einhaltung der Zensurgesetze zu nutzen.

Hintergrund

Das Ministerium für öffentliche Sicherheit (MPS) ist Chinas wichtigste Polizei- und Sicherheitsbehörde. Während die Organisation eine Vielzahl von Aufgaben der internen Sicherheit hat, wie z. B. die Grenzsicherheit und die Verwaltung nationaler Personalausweise, ist sie auch durch verschiedene nationale Cybersicherheitsvorschriften damit beauftragt, große Datenmengen zu verarbeiten und zu sammeln.

Neben vielen anderen Aufgaben ist das MPS für Chinas Golden Shield Project (金盾工程) verantwortlich, eine umfangreiche Reihe rechtlicher und technologischer Initiativen – darunter Chinas Große Firewall –, die die nachrichtendienstlichen Auswertungen und Überwachungsmöglichkeiten der nationalen Polizei verbessern sollen. Teil dieser Initiative ist die Ausweitung der Gesichtserkennungssoftware, die in einem landesweiten System von Überwachungskameras zum Einsatz kommt und dazu dienen soll, Andersdenkende besser zu lokalisieren und gegen sie vorzugehen.

Im Jahr 2017 wurde die MPS durch Chinas nationales Cybersicherheitsgesetz (CSL) zu einer der Organisationen gemacht, die für den "Schutz, die Überwachung und das Management der Cybersicherheit" im Rahmen ihres größeren Bereichs der Untersuchung von Angelegenheiten der öffentlichen und inneren Sicherheit verantwortlich sind, und die MPS hat speziell die Aufgabe, Akteure zu bestrafen, die gegen das CSL verstoßen.

Die neuen Bestimmungen des CSL, „Vorschriften zur Überwachung und Inspektion der Internetsicherheit durch öffentliche Sicherheitsorgane“, die vom MPS erstellt wurden, legen fest, welche Maßnahmen seine Zweigstellen auf Kreisebene und darüber umsetzen müssen, um die Cybersicherheit im Rahmen des CSL besser zu schützen, zu überwachen und zu verwalten. Dabei handelt es sich um eine zusätzliche Befugnis im Rahmen des Cybersicherheitsgesetzes, das dem chinesischen Ministerium für Staatssicherheit bereits die Befugnis erteilt hat, nationale Sicherheitsüberprüfungen ausländischer Technologien durchzuführen. Allerdings enthalten die neuen Bestimmungen einige Artikel mit umfassenden Maßnahmen, die jedes Unternehmen, das derzeit in China tätig ist, alarmieren sollten.

Analyse

Im Jahr 2017 analysierte Recorded Future die Bestimmungen des CSL zur Überprüfung der nationalen Sicherheit und enthüllte die umfassenden Befugnisse, die chinesischen staatlichen Sicherheitsorganisationen im Hinblick auf ausländische Technologien eingeräumt wurden. Dies galt insbesondere für Unternehmen, die „kritische Informationsinfrastrukturen“ betrieben. Die neuen CSL-Vorschriften befassen sich zwar nicht mit kritischen Informationsinfrastrukturen, konzentrieren sich jedoch auf Unternehmen im Allgemeinen.

Diese Aktualisierungen vom November 2018 ermächtigen die öffentlichen Sicherheitsorgane im Rahmen des MPS, Sicherheitsaufsicht und -inspektion bei Internetdienstanbietern (ISPs) und vernetzten Einheiten durchzuführen, um sicherzustellen, dass diese „die in Gesetzen und Verwaltungsvorschriften festgelegten Verpflichtungen zur Netzwerksicherheit erfüllen“, heißt es in Artikel 2 der neuen Vorschriften. Diese Regulierungsbemühungen sind so konzipiert, dass sie den Cybersicherheitsgesetzen anderer Industrieländer ähneln. Der entscheidende Unterschied besteht darin, dass das übergeordnete Ziel eine erweiterte staatliche Kontrolle und nicht der Datenschutz ist.

Laut dem Yunnan Network Security Corps, einem Zweig des MPS, ist die Definition einer vernetzten Einheit "eine Einheit mit einer festen IP oder mit fünf oder mehr Computern, die mit dem Internet verbunden sind, um internetbezogene oder internetbezogene Aktivitäten durchzuführen". Vernetzte Einheiten werden laut derselben MPS-Website in Yunnan in der Regel über die MPS registriert, um Hosting-Rechte auf chinesischen Servern zu erhalten, aber auch über andere Organisationen im Zusammenhang mit der Internetsicherheit auf Gemeinde- und Bezirksebene.

Screenshot der Beschreibung einer vernetzten Einheit des Yunnan Network Security Corps.

Das Gesetz legt fest, dass die öffentlichen Sicherheitsabteilungen auf Kreisebene und darüber Inspektionen bei vernetzten Einheiten und ISPs durchführen können, die Folgendes bereitstellen: Internetzugang, Datenzentren, Inhaltsverteilung, Domänennamendienste, Internetinformationsdienste, öffentliche Internetdienste oder sonstige Internetdienste. Diese umfassende Befugnis erstreckt sich auf nahezu jedes Unternehmen, das internetbezogene Dienste jeglicher Art anbietet, vom SaaS-Unternehmen bis hin zu einem Unternehmen, das seinen Mitarbeitern interne Internetdienste bereitstellt, solange das Unternehmen über mindestens fünf Computer verfügt, die für ihre Internetverbindung einen Router verwenden.

Persönliche Inspektionen

Gemäß Artikel 15 sind MPS-Niederlassungen bei persönlichen Kontrollen berechtigt, nahezu alle Unternehmensbereiche mit Bezug zu vernetzten Einheiten (联网使用单位) zu betreten, um die Computersysteme auf die Einhaltung der Netzwerksicherheit zu überprüfen. Beim Betreten von Geschäftsräumen, Computerräumen und Arbeitsplätzen können MPS-Beamte sämtliche mit der Inspektion in Zusammenhang stehenden Informationen einsehen oder kopieren. Hierzu gehören unter anderem sämtliche Benutzerinformationen, technische Maßnahmen für das Netzwerk und den Schutz der Informationssicherheit, Hosting- oder Domänennameninformationen sowie die Verbreitung von Inhalten, die die Organisation möglicherweise durchführt.

Diese Inspektion erstreckt sich auch auf andere Bestimmungen innerhalb des CSL im weiteren Sinne, einschließlich der Prüfung, ob die Veröffentlichung verbotener Informationen verhindert oder zensiert wird. Gemäß den Artikeln 10, 11 und 21 können Unternehmen, die Inhalte hosten, die von der chinesischen Regierung als "verbotene Informationen" eingestuft werden, die bei einer Inspektion gefunden wurden, nach dem Cybersicherheitsgesetz strafrechtlich verfolgt werden. Der Hof geht davon aus, dass die MPS diese Bestimmung als Mittel nutzen wird, um sicherzustellen, dass Unternehmen die Gesetze zu verbotenen Inhalten und Zensur einhalten. Da der Umfang der Inspektionen, die die Vorschriften vorsehen, so breit ist, ist nicht klar, ob auch Inhalte gelten, die außerhalb des chinesischsprachigen Internets veröffentlicht werden. Die Verweigerung der Zusammenarbeit kann jedoch nicht nur strafbar sein, sondern die Bestimmungen verlangen auch, dass mindestens zwei Mitglieder der Bewaffneten Volkspolizei (PAP) bei allen Inspektionen mitwirken und diese abzeichnen.

Artikel 16 besagt, dass MPS-Zweigstellen Ferninspektionen von vernetzten Einheiten und ISPs auf Schwachstellen in der Netzwerksicherheit durchführen können. Es ist nicht sofort klar, welchen Umfang eine Remote-Inspektion hat; er könnte alles von einem herkömmlichen Penetrationstest bis hin zur Installation von Hintertüren im System umfassen. Darüber hinaus enthält Artikel 18 eine Formulierung, die die Durchführung von Ferninspektionen einfacher macht als die Durchführung von Vor-Ort-Inspektionen, da für Ferninspektionen keine Genehmigung des Unternehmens erforderlich ist. Tatsächlich verlangt Artikel 16 lediglich, dass die MPS das inspizierte Unternehmen über Datum und Umfang der Inspektion informiert. Auch Umfang und Zeitrahmen einer Prüfung werden durch die Vorschriften nicht eingeschränkt. Schließlich ermächtigt Artikel 17 die MPS, in diese Inspektionen externe „Cybersicherheitsdienstleister“ einzubeziehen, eine Bestimmung, die das Risiko der Entdeckung von Schwachstellen und von Datenlecks erheblich erhöht.

Darüber hinaus schreibt Artikel 6 vor, dass das MPS Berichte über die Inspektionen verfasst und sie den zuständigen Regierungsbehörden zur Verfügung stellt, während Artikel 19 vorschreibt, dass die Zweigstellen des MPS die Organisationen beaufsichtigen und anleiten müssen, um etwaige versteckte Netzwerksicherheitsrisiken, die bei der Inspektion festgestellt werden, zu minimieren. Da in den Bestimmungen nicht angegeben ist, welche Ministerien in der chinesischen Regierung „relevant“ sind, könnten die erlangten Informationen theoretisch von chinesischen oder ausländischen Überwachungsbehörden genutzt werden, um Unternehmens- und Kundendaten zu überwachen.

Besonders alarmierend ist, dass die Vorschriften keine Verpflichtung für die MPS enthalten, den Unternehmen selbst die vollständigen Ergebnisse der Fern- oder Vor-Ort-Inspektionen offenzulegen. Artikel 18 legt fest, dass ein Vorgesetzter innerhalb der inspizierten Organisation einen vom MPS während einer Vor-Ort-Inspektion erstellten Inspektionsbericht unterzeichnen muss; es besteht für das MPS jedoch keine Verpflichtung, der Organisation während einer Ferninspektion einen Bericht vorzulegen. Die einzige erforderliche Kommunikation zwischen der MPS-Niederlassung und der Organisation vor einer Ferninspektion ist eine Ankündigung des Inspektionszeitpunkts, des Umfangs und „sonstiger Angelegenheiten“. Daher wissen Unternehmen, die einer Ferninspektion unterliegen, möglicherweise nicht genau, wo in ihrem Netzwerk MPS-Mitarbeiter Inspektionen durchführen, und kennen die Inspektionsergebnisse möglicherweise überhaupt nicht.

Da der Umfang der Inspektionen in diesen neuen Vorschriften nicht eingeschränkt wird, kann Artikel 16 MPS-Beamten auch das Recht einräumen, auf Teile des Unternehmens zuzugreifen, die nicht einmal mit China in Verbindung stehen oder sich dort befinden. Die Folgen unbegrenzter Ferninspektionen der Netzwerke internationaler Konzerne könnten weitreichend sein und erhebliche Risiken für Kunden und internationale Betriebe bedeuten.

Auswirkungen für in China tätige Unternehmen

Der Umfang der Inspektionsbefugnisse, die dem MPS durch diese neuen Vorschriften eingeräumt werden, könnte Auswirkungen auf nahezu alle ausländischen Unternehmen haben, die in China tätig sind. Die äußerst weit gefassten Kriterien und der Mangel an Konkretisierungen in dieser Verordnung bedeuten, dass die meisten in China tätigen Unternehmen jederzeit aus irgendeinem Grund einer MPS-Inspektion unterzogen werden könnten. Da der Umfang der Vor-Ort- und Ferninspektionen so undefiniert ist, gehen wir außerdem davon aus, dass die internationalen Niederlassungen und Kunden der inspizierten Unternehmen ebenfalls der Gefahr einer Offenlegung durch die chinesische Regierung und die Sicherheitsbehörden ausgesetzt sein könnten. Somit drohen bei fast allen ausländischen Unternehmen Durchsuchungen vor Ort, das Kopieren von Firmenbenutzerdaten, invasive Kontrollen auf „illegal veröffentlichte Materialien“ und Ferninspektionen der Firmennetzwerke.

Wie in der früheren Analyse des chinesischen Cybersicherheitsgesetzes von Recorded Future empfohlen, müssen Unternehmen drei mögliche Risikoszenarien bewerten:

• Gefährdung der eigenen Maschinen oder Netzwerke
• Risiko für Produkte, Dienstleistungen und geistiges Eigentum eines Unternehmens
• Derivaterisiko für Kunden, Klienten oder Benutzer auf der ganzen Welt

Diese neuen Bestimmungen setzen die Netzwerkinfrastruktur, Daten und geschützten Informationen von Unternehmen einem höheren Risiko von Angriffen und Überwachungsmaßnahmen durch MPS aus. Unternehmensnetzwerke und -produkte können umfangreichen Überprüfungen auf „illegales Material“ unterzogen werden und Unternehmen können strafrechtlich verfolgt werden, wenn solches Material gefunden wird. Bei Kunden, Daten und Systemen auf dem chinesischen Territorium besteht nicht nur das Risiko, dass ihre Daten in die Hände der chinesischen Regierung geraten, sondern auch ein erhöhtes Risiko von Datenschutzverletzungen durch Dritte und Überwachung durch die chinesische Regierung.

Die in der vorherigen Analyse von Recorded Future dargelegten Risiken für Unternehmen werden durch diese neuen CSL-Bestimmungen noch verschärft. Da die meisten in China verkauften Produkte und Dienstleistungen von Unternehmen ihren internationalen Pendants nicht unähnlich sind, können die vom MPS gefundenen Schwachstellen ausgenutzt werden, um sowohl inländische als auch internationale Benutzer auszunutzen. Entscheiden sich Unternehmen jedoch dazu, die neuen Bestimmungen nicht einzuhalten, müssen sie unter Umständen ein viertes mögliches Risikoszenario bewerten: die Gefährdung der Sicherheit der Mitarbeiter. Jeder Widerstand gegen die Inspektionen konnte von den anwesenden Beamten der Bewaffneten Volkspolizei zur Kenntnis genommen und darauf reagiert werden.

Recorded Future empfiehlt allen in China tätigen internationalen Unternehmen, Maßnahmen zur Bewertung ihres technologischen Fußabdrucks im Land, ihrer Evakuierungs- und Regierungsbeziehungsrichtlinien sowie ihrer Systemarchitektur zu ergreifen, um die Auswirkungen des Gesetzes zu minimieren und dem schlimmsten Fall einer MPS-Inspektion wirksam zu begegnen. Eine Änderung der Systemarchitektur eines Unternehmens, um die Verbindungen zwischen chinesischen und internationalen Betrieben so segmentiert wie möglich zu halten, ist wichtig, um zu verhindern, dass Inspektionen auf Unternehmensnetzwerke oder -datenbanken übergreifen, die keinen Bezug zum chinesischen Territorium haben. Darüber hinaus sollte die Sicherheit der Mitarbeiter und deren Information über die Inspektionen für im Land tätige Unternehmen weiterhin oberste Priorität haben.

Grundsätzlich sollten Unternehmen ihre Systeme sorgfältig auf bekannte Schwachstellen überprüfen. Um das Risiko für den weltweiten Betrieb zu quantifizieren, sollten in China tätige Niederlassungen ermitteln, welche Teile ihrer Infrastruktur bereits als vernetzte Einheiten (联网使用单位) registriert sind und diesen Einheiten bei der Aktualisierung und Segmentierung ihrer Systeme Priorität einräumen. Diese neuen Bestimmungen verleihen MPS-Beamten nun die rechtliche Befugnis, Unternehmenssysteme zu untersuchen. Durch das Patchen bekannter Schwachstellen wird jedoch verhindert, dass Inspektoren sich leicht ungewollten Zugriff verschaffen oder ihre Privilegien erweitern können. In China tätige Organisationen oder Unternehmen müssen zudem feststellen, ob ihre Produkte oder Dienstleistungen Material enthalten, dessen Veröffentlichung die chinesische Regierung als illegal erachtet. Außerdem müssen sie entscheiden, wo und wie diese Daten gehostet werden, um die Auswirkungen des Gesetzes so gering wie möglich zu halten.

Anmerkung der Redaktion*: Dies ist kein Ersatz für eine Rechtsberatung. Bitte konsultieren Sie bei Fragen und/oder für Beratung zu Vorschriften und Gesetzen, die Ihre Organisation betreffen könnten, unbedingt einen örtlichen Rechtsbeistand.*