- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Gesetzestexte nur auf Chinesisch


Regulierungen der "Datenauslieferung" in China: Neues Cybersecurity-Gesetz in China trifft europäische Unternehmen
Welche Unternehmen sind von dem neuen Gesetz seit dem 1. Juni 2017 betroffen?

- Anzeigen -





Am 1. Juni 2017 trat das von der chinesischen Regierung erlassene neue Gesetz zur Cybersecurity in Kraft. Bei vielen deutschen und europäischen Unternehmen herrscht große Unsicherheit darüber, inwiefern sie von der Gesetzesänderung betroffen sind und welche Schritte sie unternehmen müssen, um ihren Geschäftsbetrieb nicht zu gefährden. Werden entsprechende Änderungen nicht vorgenommen, so droht der Entzug der sogenannten Bei’an-Lizenz und die chinesische Website oder Datenübertragungen in China werden gesperrt. Die Gesetzestexte sind weder auf Deutsch noch auf Englisch verfügbar, sodass eine korrekte Auslegung schwierig ist.

Das trägt zur Verunsicherung bei. CDNetworks, spezialisiert auf Content Delivery und Cloud-Security-Lösungen und Expertin für den chinesischen Markt, hat die am häufigst gestellten Fragen von Unternehmen zusammengestellt, die momentan auf sie zukommen, und empfiehlt, welche Schritte Organisationen vornehmen sollten.

Was besagt das neue Gesetz und welche Änderungen ergeben sich damit?
Das Gesetz umfasst eine Vielzahl von Pflichten im elektronischen Geschäftsverkehr*. Es definiert Leitlinien für die zukünftige Entwicklung der Netzlandschaft und die Rolle des Staates in diesem Zusammenhang. Die Cyberadministration of China (CAC) erhält maßgebliche Funktionen in der Gesetzgebung und fungiert als Prüf- und Zulassungsstelle.

Eine Änderung, von der sehr viele Unternehmen aktuell betroffen sind, ist die neuen Regulierungen der "Datenauslieferung" in China. Laut aktuellen Auslegungen der neuen gesetzlichen Vorgaben, sollen alle als sensibel bzw. personenbezogen definierte Daten im Land gehostet werden und China in Zukunft auch nicht mehr verlassen dürfen (außer mit spezieller Erlaubnis der Regierung).

Aufgrund der langsamen Ladezeiten, verursacht durch die große Entfernung nach China sowie die automatische Überprüfung von Inhalten durch die sogenannte "Great Firewall", stellen viele Unternehmen ihre Inhalte bereits über einen Server oder Knotenpunkt in China zur Verfügung. Das kann sehr häufig über einen Hoster, Cloud-Dienstleister oder Content Delivery Network-Anbieter (CDN) geschehen. Auch hier ergeben sich die entsprechenden Konsequenzen (s.u.).

Welche Unternehmen sind von dem neuen Gesetz seit dem 1. Juni 2017 betroffen?
Betroffen sind alle Unternehmen, die im elektronischen Geschäftsverkehr in China tätig sind. Dazu gehören natürlich Betreiber von Netzwerk- oder sogenannten Critical Information-Infrastrukturen, aber auch jedes andere Unternehmen und jede Organisation, die Web-Inhalte (Websites, Apps, etc.) in China "ausliefert" beziehungsweise dazu einen Betreiber von Netzwerk- oder sogenannten Critical Information-Infrastrukturen für das Hosting oder die Auslieferung nutzt.

Beispiel: Hatte ein eCommerce-Anbieter datenverarbeitende Systeme, wie Bestell-, Rechnungs- oder Warenbestandsysteme bisher außerhalb von China, hat diese aber über einen Dienstleister – wie z.B. ein CDN – China ausgeliefert, muss dieses nun gespiegelt werden, damit die Daten innerhalb von China verarbeitet werden. Auch bei Daten von Apps – vom Fitnessarmband bis zu Anwendungen, die Stromzähler- oder Boiler-Daten übermitteln – ist dies der Fall.

Es sind also Unternehmen aller Branchen betroffen, von Handel, über IT-Service-Anbieter bis hin zu Unternehmen aus den Bereichen Industrie, Tourismus, Medien, Online-Werbung, Gaming, u.v.m.

Nicht betroffen sind Unternehmen die ihre Inhalte von außerhalb Chinas anbieten, wozu auch Hongkong zählt. Da Hongkong zwar zu China gehört, aber außerhalb der "Great Firewall liegt" müssen diese Organisationen jedoch nach wie vor mit Ladezeiten rechnen, die die Geduld der potenziellen Nutzer übersteigt**, daher ist dies nicht wirklich eine Alternative.

Was sind die Konsequenzen?
Tausende Zertifizierungsbeamte sowie intelligente Algorithmen prüfen zurzeit, ob ausländische Organisationen, die entsprechende Inhalte von China aus für den chinesischen Markt anbieten, alle Bedingungen der neuen Gesetzgebung erfüllen. Wenn sie bereits mit einem Hosting-Dienstleister oder CDN-Anbieter zusammenarbeiten, wird außerdem geprüft, ob dieser die dafür benötigten Lizenzen besitzt. Ist dies nicht der Fall, kann die in China notwendige Bei’an-Lizenz entzogen und die Website oder Web-Inhalte gesperrt werden.

Bereits jetzt erhalten Unternehmen Anrufe der Regierungsbeauftragten und werden aufgefordert in kürzester Zeit die benötigten Änderungen einzuleiten.

"Auch wir – genau wie andere Hosting, Cloud- und CDN-Anbieter – dürfen die Websites unserer Kunden nur noch dann beschleunigen, wenn der Ursprungsserver auch in China ist. Ansonsten wird die Bei’an-Lizenz entzogen und wir müssen den Service abstellen", erläutert Alex Nam.

Was sind die wichtigsten Schritte für Unternehmen, die in China tätig sind?
>> Unternehmen müssen prüfen, wo ihre Daten vorgehalten und verarbeitet werden.

>> Es empfiehlt sich unbedingt, die Domain für China, in China registrieren zu lassen.

>> Wird eine eigenen Infrastruktur verwendet, muss diese auf Konformität hin geprüft werden oder sie sollten einen Anbieter finden, der konform mit der neuen Regulierung ist und sie dabei unterstützen kann, alle notwendigen Schritte umzusetzen.

>> Arbeiten Unternehmen bereits mit einem Hosting-, Cloud- oder CDN-Anbieter für den chinesischen Markt zusammen, sollten sie prüfen, ob er die Bedingungen erfüllt und ob notwendige Änderungen gemeinsam vorgenommen werden können. Dazu gehören neben Hosting und der Datenauslieferung in China ggf. auch Unterstützung bei der Spiegelung von Systemen sowie der sichere Datentransport.

>> Welche Voraussetzungen sollte ein Partner für die Datenauslieferung in China erfüllen?

Die Möglichkeit Hosting in China anzubieten.
Achtung:
Viele Anbieter haben bisher von anderen Standorten aus oder CDN für den chinesischen Markt angeboten. Das war in der Vergangenheit sehr praktisch, ist aber mit der neuen Gesetzgebung nicht mehr möglich, da die Inhalte in China gehostet werden müssen.

Kenntnisse über den chinesischen Markt – besonders über die benötigten Lizenzen, im Idealfall mit einer Akkreditierung für die Ausstellung der Bei’an-Lizenz
>> Eine bestehende CDN-Infrastruktur mit möglichst vielen Knotenpunkten zur Beschleunigung der Inhalte in China.
>> Eine Lösung, die Unternehmen bei der für viele notwendigen Spiegelung der Systeme in China unterstützt – inklusive der sicheren verschlüsselten Übertragung von Datenpaketen. Denn wenn Systeme gespiegelt werden müssen, sollten sensible Daten natürlich nur gesichert übertragen werden.

* Es gibt keine offizielle Version des Gesetzes in einer europäischen Sprache, hier eine der inoffiziellen Übersetzungen:http://www.chinalawtranslate.com/cybersecuritylaw/?lang=en
** Laut aktueller Studien riskieren 85 Prozent der europäischen Unternehmen ihr Zielpublikum in China nicht zu erreichen, da die Ladezeiten so langsam sind, dass sie Nutzer abspringen, bevor die Seite geladen hat.
(CDNetworks: ra)

eingetragen: 17.06.17
Home & Newsletterlauf: 29.06.17


CDNetworks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Zehn praktische Tipps für mehr IT-Sicherheit

    F5 Networks hat aus weltweiten Analysen aktueller Cybergefahren zehn praktische Tipps für Unternehmen entwickelt. Damit können sie ihren IT-Sicherheitsansatz verbessern. Die Vorschläge wurden gemeinsam mit aktuellen Erkenntnissen im Whitepaper "Entmystifizierung der Bedrohungslandschaft" veröffentlicht. Beim Thema Sicherheit gibt es nach wie vor viele Mythen. Doch Unternehmen sollten ihre Entscheidungen nur auf Basis harter Fakten treffen. Zum Beispiel zielen heute 72 Prozent der Angriffe auf Benutzeridentitäten und Anwendungen. Trotzdem werden nur 10 Prozent des IT-Sicherheitsbudgets für deren Schutz ausgegeben. Ebenfalls unterschätzt wird weiterhin die Gefahr durch interne Mitarbeiter. Laut Fortune würde jeder fünfte Arbeitnehmer seine persönlichen Firmenpasswörter verkaufen, davon fast die Hälfte für weniger als 1.000 Dollar.

  • Sicherheitskriterium auf einer gefälschten Seite

    Phishing mit internationalen Domain-Namen nimmt trotz verbesserter Sicherheitskonzepte und ausgerollter Updates gegen Homograph-Angriffe der Browserhersteller nicht ab. Christian Heutger macht auf ein weiteres Problem aufmerksam: "Für ihre modernen Phishing-Kampagnen registrieren Angreifer gültige SSL-Zertifikate für ihre gefälschten Webseiten. Nutzer, die auf einer gefälschten Website landen, gehen somit von einer legitimen Seite aus", warnt der IT-Sicherheitsexperte und Geschäftsführer der PSW Group. Internationalisierte Domain-Namen enthalten Umlaute, diakritische Zeichen oder Buchstaben aus anderen Alphabeten als dem lateinischen. Somit können in Domains auch kyrillische, chinesische oder arabische Zeichen verwendet werden. Diese als Unicode-Methode bezeichnete Praxis liefert Cyberkriminellen die Basis für ihre Phishing-Kampagnen: Bestimmte Buchstaben sehen in verschiedenen Zeichensätzen ähnlich aus wie Unicode. Für die meisten User hierzulande unterscheiden sich diese Zeichen auf den ersten Blick nicht von den richtigen. Diesen Umstand nutzen Angreifer aus: Um ihre Opfer auf gefälschte Webseiten zu locken, registrieren Cyberkriminelle Domains mit identisch erscheinenden Zeichen. Die vorgetäuschte Website sieht der legitimen verdächtig ähnlich, die registrierte Domain jedoch ist eine andere.

  • Perspektive eines tatsächlichen Angreifers

    Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Blue Frost Security zeigt, was einen echten Penetrationstest ausmacht und was das so genannte "Redteam-Testing" bedeutet. Je nach Anwendungsfall sind entweder Teile oder der gesamte Umfang des Testszenarios erforderlich. Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifizierung von Schwachstellen bzw. Sicherheitslücken und die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Blue Frost Security hat die fünf Stufen eines professionellen Penetrationstests zusammengefasst.

  • Verwendung von Webcams & internetfähigen Geräte

    Die mit dem Internet verbundene Kamera einer Niederländerin fing plötzlich an, mit ihr zu sprechen. Geschockt nahm sie den Dialog mit dem Hacker auf und veröffentlichte ihn. Damit sich dieser Schreckmoment nicht wiederholt, gibt Sophos drei bewährte IoT-Tipps. "Bonjour Madame!" - geschockt beschreibt die Gefühlslage von Rilana H. vielleicht am besten, als ihre WiFi-fähige Kamera sie aus dem Nichts heraus beim Hausputz begrüßt. Ein Hacker hatte die Kontrolle über das IoT-Gerät übernommen, das die Niederländerin vor ein paar Monaten bei einer lokalen Discounterkette günstig erstanden hatte. Sie packte die Kamera in die Box zurück, erzählte ihrer Freundin am Abend davon und wollte den Spieß umdrehen: Sie stellte die Kamera wieder auf, mit Blick auf die Wand gerichtet, und filmte mit ihrem Handy, wie der Hacker erneut Kontakt aufnahm. Den Dialog veröffentlichte sie vor kurzem auf Facebook.

  • Mehrarbeit für Domaininhaber in Grenzen

    Seit 8. September ist die Sicherheit von SSL/TLS-Zertifikaten durch das Verfahren Certification Authority Authorization (CAA) weiter erhöht worden. Da der Anwender nun selbst im DNS eine oder mehrere Zertifizierungsstellen (CA) definiert, die SSL /TLS-Zertifikate für die eigenen Domains ausstellen darf. "Das SSL-/TLS-Zertifikat wird nun nicht nur an einen festgelegten Host, sondern auch an eine festgelegte Zertifizierungsstelle gebunden. Dem Zertifikatsmissbrauch wird damit ein weiterer Riegel vorgeschoben. Und dank diverser Tools hält sich auch das Mehr an Arbeit für Domaininhaber in Grenzen", begrüßt Christian Heutger, Geschäftsführer der PSW Group diesen Schritt.