Chinas neue Cybersicherheitsmaßnahmen ermöglichen der Staatspolizei den Fernzugriff auf Unternehmenssysteme
Die Insikt Group von Recorded Future analysierte die neuen Bestimmungen des chinesischen Ministeriums für öffentliche Sicherheit zur Cybersicherheit. Dieser Bericht ist für jedes Unternehmen von größtem Interesse, das in China Geschäfte macht.
Executive Summary
Im August 2017 analysierte Recorded Future die Sicherheits- und Risikoauswirkungen des chinesischen Cybersicherheitsgesetzes für internationale Unternehmen und kam zu dem Schluss, dass das Gesetz dem chinesischen Ministerium für Staatssicherheit (MSS) weitreichende neue Befugnisse einräumt. Das Cybersicherheitsgesetz sieht insbesondere vor, dass mehrere Sektoren einer „nationalen Sicherheitsüberprüfung“ unterzogen werden. Dies könnte es dem MSS ermöglichen, Schwachstellen in ausländischen Technologien zu identifizieren, die China anschließend für Spionageoperationen ausnutzen könnte.
Am 1. November 2018 erließ China neue Bestimmungen zum Gesetz mit dem Titel „Vorschriften zur Überwachung und Inspektion der Internetsicherheit durch Organe der öffentlichen Sicherheit“ (公安机关互联网安全监督检查规定). Die Vorschriften wurden wahrscheinlich erarbeitet, um Teile des chinesischen Cybersicherheitsgesetzes von 2017 zu präzisieren. Sie verleihen dem Ministerium für öffentliche Sicherheit (MPS) weitreichende Befugnisse über die Computernetzwerke chinesischer Unternehmen. Hierzu gehört angeblich die Vollmacht, bei praktisch jedem in China tätigen Unternehmen Penetrationstests aus der Ferne durchzuführen und sämtliche bei der Überprüfung gefundenen Informationen zu Benutzerdaten oder Sicherheitsmaßnahmen zu kopieren.
Diese neuen Bestimmungen legen keine Beschränkungen für den Umfang von Schwachstellen- oder Sicherheitsüberprüfungen fest und verlangen nur ein äußerst minimales Berichtspflicht gegenüber dem Unternehmen. Darüber hinaus verwenden die Vorschriften nach wie vor eine vage Terminologie und beschränken den Umfang persönlicher oder Remote-Inspektionen zur Prüfung der Netzwerksicherheit nicht. Wir gehen davon aus, dass die Kombination bestehender MSS-Vorschriften mit diesen neuen Bestimmungen des Cybersicherheitsgesetzes für das MPS die Versuche der chinesischen Regierung unterstützen wird, ausländische Unternehmen zu zensieren und zu überwachen.
Wichtige Urteile
- Neue Vorschriften ermächtigen das Ministerium für öffentliche Sicherheit (MPS), bei jedem Unternehmen mit fünf oder mehr mit dem Internet verbundenen Computern Vor-Ort- und Ferninspektionen durchzuführen. Diese weit gefasste Definition trifft auf fast jedes ausländische Unternehmen in China zu.
- Seit November 2018 ist es der MPS gestattet, bei Vor-Ort-Inspektionen Benutzerinformationen zu kopieren, Sicherheitsreaktionspläne zu protokollieren und auf Schwachstellen zu prüfen. Diese Informationen könnten von staatlichen Überwachungs- oder Sicherheitsorganen genutzt werden, um die internen Abläufe eines Unternehmens sowie dessen Kunden zu überwachen.
- Die People's Armed Police (PAP) wird bei den Inspektionen vor Ort anwesend sein, um sicherzustellen, dass die Unternehmen die Vorschriften einhalten.
- Darüber hinaus kann die MPS Ferninspektionen von Unternehmen durchführen, um diese auf Schwachstellen zu prüfen. Diese neuen Vorschriften machen die Durchführung von Ferninspektionen einfacher als die Durchführung von physischen Inspektionen und sind weder an eine bestimmte Zeit gebunden noch in ihrem Umfang begrenzt. Für Ferninspektionen kann das MPS externe „Cybersicherheitsdienstleister“ einbeziehen, wodurch sich das Risiko sowohl der Entdeckung von Schwachstellen als auch von Datenlecks erhöht.
- Diese Vorschriften ermächtigen MPS außerdem, die chinesischen Gesetze gegen verbotene Inhalte durchzusetzen und die Netzwerksicherheit als Rechtfertigung für die Überwachung der Einhaltung der Zensurgesetze zu nutzen.
Hintergrund
Das Ministerium für öffentliche Sicherheit (MPS) ist Chinas wichtigste Polizei- und Sicherheitsbehörde. Die Organisation ist für eine Vielzahl interner Sicherheitsaufgaben zuständig, etwa für den Grenzschutz und die Verwaltung nationaler Ausweise. Darüber hinaus ist sie aufgrund verschiedener nationaler Cybersicherheitsvorschriften auch mit der Verarbeitung und Erfassung großer Datenmengen beauftragt.
Unter anderem ist das MPS für das chinesische Golden Shield Project (金盾工程) verantwortlich, eine umfangreiche Reihe rechtlicher und technologischer Initiativen – darunter Chinas Große Firewall –, die die Geheimdienstanalysen und Überwachungsmöglichkeiten der nationalen Polizei verbessern sollen. Teil dieser Initiative ist die Ausweitung der Gesichtserkennungssoftware in Verbindung mit einem landesweiten System von Überwachungskameras, um Andersdenkende besser aufspüren und gegen sie vorgehen zu können.
Seit 2017 ist das chinesische Nationale Cybersicherheitsgesetz (CSL) das MPS eine der für den „Schutz, die Aufsicht und das Management der Cybersicherheit“ zuständigen Organisationen im Rahmen seines umfassenderen Aufgabenbereichs, nämlich der Untersuchung von Angelegenheiten der öffentlichen und inneren Sicherheit. Dem MPS obliegt insbesondere die Bestrafung von Akteuren, die gegen das CSL verstoßen.
Die neuen Bestimmungen des CSL, „Vorschriften zur Überwachung und Inspektion der Internetsicherheit durch öffentliche Sicherheitsorgane“, die vom MPS erstellt wurden, legen fest, welche Maßnahmen seine Zweigstellen auf Kreisebene und darüber umsetzen müssen, um die Cybersicherheit im Rahmen des CSL besser zu schützen, zu überwachen und zu verwalten. Dabei handelt es sich um eine zusätzliche Befugnis im Rahmen des Cybersicherheitsgesetzes, das dem chinesischen Ministerium für Staatssicherheit bereits die Befugnis erteilt hat, nationale Sicherheitsüberprüfungen ausländischer Technologien durchzuführen. Allerdings enthalten die neuen Bestimmungen einige Artikel mit umfassenden Maßnahmen, die jedes Unternehmen, das derzeit in China tätig ist, alarmieren sollten.
Analyse
Im Jahr 2017 analysierte Recorded Future die Bestimmungen des CSL zur Überprüfung der nationalen Sicherheit und enthüllte die umfassenden Befugnisse, die chinesischen staatlichen Sicherheitsorganisationen im Hinblick auf ausländische Technologien eingeräumt wurden. Dies galt insbesondere für Unternehmen, die „kritische Informationsinfrastrukturen“ betrieben. Die neuen CSL-Vorschriften befassen sich zwar nicht mit kritischen Informationsinfrastrukturen, konzentrieren sich jedoch auf Unternehmen im Allgemeinen.
Diese Aktualisierungen vom November 2018 ermächtigen die öffentlichen Sicherheitsorgane im Rahmen des MPS, Sicherheitsaufsicht und -inspektion bei Internetdienstanbietern (ISPs) und vernetzten Einheiten durchzuführen, um sicherzustellen, dass diese „die in Gesetzen und Verwaltungsvorschriften festgelegten Verpflichtungen zur Netzwerksicherheit erfüllen“, heißt es in Artikel 2 der neuen Vorschriften. Diese Regulierungsbemühungen sind so konzipiert, dass sie den Cybersicherheitsgesetzen anderer Industrieländer ähneln. Der entscheidende Unterschied besteht darin, dass das übergeordnete Ziel eine erweiterte staatliche Kontrolle und nicht der Datenschutz ist.
Laut dem Yunnan Network Security Corps, einer Unterabteilung des MPS, lautet die Definition einer vernetzten Einheit „eine Einheit mit einer festen IP-Adresse oder mit fünf oder mehr Computern, die mit dem Internet verbunden sind, um Internet- oder internetbezogene Aktivitäten durchzuführen.“ Der gleichen Website des Yunnan MPS zufolge werden vernetzte Einheiten normalerweise über das MPS registriert, um Hosting-Rechte auf chinesischen Servern zu erhalten. Die Registrierung erfolgt jedoch auch über andere mit der Internetsicherheit verbundene Organisationen auf Gemeinde- und Kreisebene.
Screenshot der Beschreibung einer vernetzten Einheit des Yunnan Network Security Corps.
Das Gesetz legt fest, dass die öffentlichen Sicherheitsabteilungen auf Kreisebene und darüber Inspektionen bei vernetzten Einheiten und ISPs durchführen können, die Folgendes bereitstellen: Internetzugang, Datenzentren, Inhaltsverteilung, Domänennamendienste, Internetinformationsdienste, öffentliche Internetdienste oder sonstige Internetdienste. Diese umfassende Befugnis erstreckt sich auf nahezu jedes Unternehmen, das internetbezogene Dienste jeglicher Art anbietet, vom SaaS-Unternehmen bis hin zu einem Unternehmen, das seinen Mitarbeitern interne Internetdienste bereitstellt, solange das Unternehmen über mindestens fünf Computer verfügt, die für ihre Internetverbindung einen Router verwenden.
Persönliche Inspektionen
Gemäß Artikel 15 sind MPS-Niederlassungen bei persönlichen Kontrollen berechtigt, nahezu alle Unternehmensbereiche mit Bezug zu vernetzten Einheiten (联网使用单位) zu betreten, um die Computersysteme auf die Einhaltung der Netzwerksicherheit zu überprüfen. Beim Betreten von Geschäftsräumen, Computerräumen und Arbeitsplätzen können MPS-Beamte sämtliche mit der Inspektion in Zusammenhang stehenden Informationen einsehen oder kopieren. Hierzu gehören unter anderem sämtliche Benutzerinformationen, technische Maßnahmen für das Netzwerk und den Schutz der Informationssicherheit, Hosting- oder Domänennameninformationen sowie die Verbreitung von Inhalten, die die Organisation möglicherweise durchführt.
Diese Prüfung erstreckt sich auch auf andere Bestimmungen des umfassenderen CSL, einschließlich der Prüfung, ob die Veröffentlichung verbotener Informationen verhindert oder zensiert wird. Gemäß den Artikeln 10, 11 und 21 können Unternehmen, die Inhalte hosten, die die chinesische Regierung bei einer Inspektion als „verbotene Informationen“ einstuft, nach dem Cybersicherheitsgesetz strafrechtlich verfolgt werden. Wir gehen davon aus, dass die MPS diese Bestimmung nutzen wird, um sicherzustellen, dass Unternehmen die Gesetze zu verbotenen Inhalten und Zensur einhalten. Da der Umfang der durch die Verordnung vorgegebenen Kontrollen so weit gefasst ist, ist nicht klar, ob auch außerhalb des chinesischsprachigen Internets veröffentlichte Inhalte darunter fallen. Allerdings kann die Verweigerung der Zusammenarbeit nicht nur strafbar sein, die Bestimmungen schreiben außerdem vor, dass bei allen Inspektionen mindestens zwei Mitglieder der bewaffneten Volkspolizei (People's Armed Police, PAP) assistieren und diese unterzeichnen müssen.
Artikel 16 besagt, dass MPS-Zweigstellen Ferninspektionen von vernetzten Einheiten und ISPs auf Schwachstellen in der Netzwerksicherheit durchführen können. Es ist nicht sofort klar, welchen Umfang eine Remote-Inspektion hat; er könnte alles von einem herkömmlichen Penetrationstest bis hin zur Installation von Hintertüren im System umfassen. Darüber hinaus enthält Artikel 18 eine Formulierung, die die Durchführung von Ferninspektionen einfacher macht als die Durchführung von Vor-Ort-Inspektionen, da für Ferninspektionen keine Genehmigung des Unternehmens erforderlich ist. Tatsächlich verlangt Artikel 16 lediglich, dass die MPS das inspizierte Unternehmen über Datum und Umfang der Inspektion informiert. Auch Umfang und Zeitrahmen einer Prüfung werden durch die Vorschriften nicht eingeschränkt. Schließlich ermächtigt Artikel 17 die MPS, in diese Inspektionen externe „Cybersicherheitsdienstleister“ einzubeziehen, eine Bestimmung, die das Risiko der Entdeckung von Schwachstellen und von Datenlecks erheblich erhöht.
Darüber hinaus schreibt Artikel 6 vor, dass das MPS Berichte über die Inspektionen verfasst und sie den zuständigen Regierungsbehörden zur Verfügung stellt, während Artikel 19 vorschreibt, dass die Zweigstellen des MPS die Organisationen beaufsichtigen und anleiten müssen, um etwaige versteckte Netzwerksicherheitsrisiken, die bei der Inspektion festgestellt werden, zu minimieren. Da in den Bestimmungen nicht angegeben ist, welche Ministerien in der chinesischen Regierung „relevant“ sind, könnten die erlangten Informationen theoretisch von chinesischen oder ausländischen Überwachungsbehörden genutzt werden, um Unternehmens- und Kundendaten zu überwachen.
Besonders alarmierend ist, dass die Vorschriften keine Verpflichtung für die MPS enthalten, den Unternehmen selbst die vollständigen Ergebnisse der Fern- oder Vor-Ort-Inspektionen offenzulegen. Artikel 18 legt fest, dass ein Vorgesetzter innerhalb der inspizierten Organisation einen vom MPS während einer Vor-Ort-Inspektion erstellten Inspektionsbericht unterzeichnen muss; es besteht für das MPS jedoch keine Verpflichtung, der Organisation während einer Ferninspektion einen Bericht vorzulegen. Die einzige erforderliche Kommunikation zwischen der MPS-Niederlassung und der Organisation vor einer Ferninspektion ist eine Ankündigung des Inspektionszeitpunkts, des Umfangs und „sonstiger Angelegenheiten“. Daher wissen Unternehmen, die einer Ferninspektion unterliegen, möglicherweise nicht genau, wo in ihrem Netzwerk MPS-Mitarbeiter Inspektionen durchführen, und kennen die Inspektionsergebnisse möglicherweise überhaupt nicht.
Da der Umfang der Inspektionen in diesen neuen Vorschriften nicht eingeschränkt wird, kann Artikel 16 MPS-Beamten auch das Recht einräumen, auf Teile des Unternehmens zuzugreifen, die nicht einmal mit China in Verbindung stehen oder sich dort befinden. Die Folgen unbegrenzter Ferninspektionen der Netzwerke internationaler Konzerne könnten weitreichend sein und erhebliche Risiken für Kunden und internationale Betriebe bedeuten.
Auswirkungen für in China tätige Unternehmen
Der Umfang der Inspektionsbefugnisse, die dem MPS durch diese neuen Vorschriften eingeräumt werden, könnte Auswirkungen auf nahezu alle ausländischen Unternehmen haben, die in China tätig sind. Die äußerst weit gefassten Kriterien und der Mangel an Konkretisierungen in dieser Verordnung bedeuten, dass die meisten in China tätigen Unternehmen jederzeit aus irgendeinem Grund einer MPS-Inspektion unterzogen werden könnten. Da der Umfang der Vor-Ort- und Ferninspektionen so undefiniert ist, gehen wir außerdem davon aus, dass die internationalen Niederlassungen und Kunden der inspizierten Unternehmen ebenfalls der Gefahr einer Offenlegung durch die chinesische Regierung und die Sicherheitsbehörden ausgesetzt sein könnten. Somit drohen bei fast allen ausländischen Unternehmen Durchsuchungen vor Ort, das Kopieren von Firmenbenutzerdaten, invasive Kontrollen auf „illegal veröffentlichte Materialien“ und Ferninspektionen der Firmennetzwerke.
Wie in der früheren Analyse des chinesischen Cybersicherheitsgesetzes von Recorded Future empfohlen, müssen Unternehmen drei mögliche Risikoszenarien bewerten:
- Gefährdung der eigenen Maschinen oder Netzwerke
- Risiko für Produkte, Dienstleistungen und geistiges Eigentum eines Unternehmens
- Derivaterisiko für Kunden, Klienten oder Benutzer auf der ganzen Welt
Diese neuen Bestimmungen setzen die Netzwerkinfrastruktur, Daten und geschützten Informationen von Unternehmen einem höheren Risiko von Angriffen und Überwachungsmaßnahmen durch MPS aus. Unternehmensnetzwerke und -produkte können umfangreichen Überprüfungen auf „illegales Material“ unterzogen werden und Unternehmen können strafrechtlich verfolgt werden, wenn solches Material gefunden wird. Bei Kunden, Daten und Systemen auf dem chinesischen Territorium besteht nicht nur das Risiko, dass ihre Daten in die Hände der chinesischen Regierung geraten, sondern auch ein erhöhtes Risiko von Datenschutzverletzungen durch Dritte und Überwachung durch die chinesische Regierung.
Die in der vorherigen Analyse von Recorded Future dargelegten Risiken für Unternehmen werden durch diese neuen CSL-Bestimmungen noch verschärft. Da die meisten in China verkauften Produkte und Dienstleistungen von Unternehmen ihren internationalen Pendants nicht unähnlich sind, können die vom MPS gefundenen Schwachstellen ausgenutzt werden, um sowohl inländische als auch internationale Benutzer auszunutzen. Entscheiden sich Unternehmen jedoch dazu, die neuen Bestimmungen nicht einzuhalten, müssen sie unter Umständen ein viertes mögliches Risikoszenario bewerten: die Gefährdung der Sicherheit der Mitarbeiter. Jeder Widerstand gegen die Inspektionen konnte von den anwesenden Beamten der Bewaffneten Volkspolizei zur Kenntnis genommen und darauf reagiert werden.
Recorded Future empfiehlt allen in China tätigen internationalen Unternehmen, Maßnahmen zur Bewertung ihres technologischen Fußabdrucks im Land, ihrer Evakuierungs- und Regierungsbeziehungsrichtlinien sowie ihrer Systemarchitektur zu ergreifen, um die Auswirkungen des Gesetzes zu minimieren und dem schlimmsten Fall einer MPS-Inspektion wirksam zu begegnen. Eine Änderung der Systemarchitektur eines Unternehmens, um die Verbindungen zwischen chinesischen und internationalen Betrieben so segmentiert wie möglich zu halten, ist wichtig, um zu verhindern, dass Inspektionen auf Unternehmensnetzwerke oder -datenbanken übergreifen, die keinen Bezug zum chinesischen Territorium haben. Darüber hinaus sollte die Sicherheit der Mitarbeiter und deren Information über die Inspektionen für im Land tätige Unternehmen weiterhin oberste Priorität haben.
Grundsätzlich sollten Unternehmen ihre Systeme sorgfältig auf bekannte Schwachstellen überprüfen. Um das Risiko für den weltweiten Betrieb zu quantifizieren, sollten in China tätige Niederlassungen ermitteln, welche Teile ihrer Infrastruktur bereits als vernetzte Einheiten (联网使用单位) registriert sind und diesen Einheiten bei der Aktualisierung und Segmentierung ihrer Systeme Priorität einräumen. Diese neuen Bestimmungen verleihen MPS-Beamten nun die rechtliche Befugnis, Unternehmenssysteme zu untersuchen. Durch das Patchen bekannter Schwachstellen wird jedoch verhindert, dass Inspektoren sich leicht ungewollten Zugriff verschaffen oder ihre Privilegien erweitern können. In China tätige Organisationen oder Unternehmen müssen zudem feststellen, ob ihre Produkte oder Dienstleistungen Material enthalten, dessen Veröffentlichung die chinesische Regierung als illegal erachtet. Außerdem müssen sie entscheiden, wo und wie diese Daten gehostet werden, um die Auswirkungen des Gesetzes so gering wie möglich zu halten.
Anmerkung des Herausgebers: Dies soll keine Rechtsberatung oder Rechtsvertretung ersetzen. Bitte wenden Sie sich bei Bedenken und/oder für Ratschläge zu Vorschriften und Gesetzen, die Ihr Unternehmen betreffen könnten, unbedingt an einen Rechtsberater vor Ort.
Verwandt