Schlagwort-Archiv: Netzsicherheit

Bildquelle: Www.cj.sina.com.cn

Sicherheit und Kontrolle im Netz – Pflichtenkatalog und Haftung (IV)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Anforderungen und Haftung wie folgt.

Netzwerkbetreiber, die als solche unter die Definition des Gesetzes fallen (s. Teil 2), sollten sich im nächsten Jahr auf einige Veränderungen vorbereiten. Gefordert werden im Einzelnen:

  • Die Einrichtung eines mehrstufigen Sicherheitssystems nach Artikel 21, also von der Bestimmung Verantwortlicher bis zu technischen Maßnahmen zur Überwachung, Back-ups, etc.;
  • die Errichtung umfassend stabiler Netzwerke und geschützter Netze (Art. 22, 40);
  • die Implementierung eines Systems zur Identifizierung der Nutzer (Art. 24);
  • die Implementierung von Notfallplänen (Art. 25);
  • die zusätzlichen Pflichten beim Betrieb kritischer Infrastrukturen umfassen
    • die Errichtung spezieller Sicherheits-Verwaltungsmechanismen und die Benennung von entsprechend Verantwortlichen (samt Sicherheitsüberprüfung);
    • regelmäßige Schulungen und Prüfungen für Sicherheitsverantwortliche;
    • die regelmäßige Erstellung von Backups für wichtige Systeme und Datensammlungen;
    • regelmäßige Notfallübungen;
    • weitere gesetzliche auferlegte Pflichten;
    • den Abschluss von Geheimhaltungsvereinbarungen beim Erwerb von Netzwerkprodukten und –Diensten (Art. 36);
    • jährliche Untersuchungen und Evaluierungen sowie Berichte darüber (Art. 38).
  • Netzwerkbetreiber haben Regeln zur Sammlung und Verwendung von persönlichen Daten aufzustellen und die Zustimmung der Betroffenen einzuholen (Art. 41);
  • Netzwerkbetreiber müssen mithilfe technologischer Maßnahmen den Missbrauch persönlicher Daten zu verhindern suchen und ein Berichtssystem für den Fall von Datenlecks einrichten (Art. 42);
  • Netzwerkbetreiber müssen Maßnahmen zur Löschung und Korrektur von persönlichen Daten vorsehen (Art. 43);
  • Netzwerkbetreiber müssen die rechtswidrige Verbreitung von Nutzerdaten überwachen Art. 47);
  • Netzwerkbetreiber haben ein System für Beschwerden und Berichte zu installieren, dieses zu veröffentlichen und zeitnah auf solche zu reagieren.

Die Verantwortlichkeit der Beteiligten ist detailliert in Kapitel 6 geregelt. Neben den im Gesetz selbst vorgesehenen Verwaltungsstrafen sind eine zivilrechtliche und eine strafrechtliche Haftung vorgesehen (Art. 74). Die Behörden können Korrekturen fordern und Warnungen aussprechen, ansonsten Geldstrafen verhängen (vgl. Art. 59-62). Darüber hinaus können rechtwidrige Einkünfte konfisziert sowie Haftstrafen und Berufsverbote ausgesprochen werden (vgl. Art. 63). Außerdem können die kurzfristige oder dauerhafte Einstellung von Betrieben durchgesetzt und verantwortliche Manager persönlich herangezogen werden (vgl. Art. 64-69). Unter Umständen können Rechtsverletzungen auch öffentlich gemacht werden (vgl. Art. 71). Sofern sich die Behörden selbst schuldig machen sind auch für sie Sanktionen vorgesehen (Art. 73).

Bildquelle: Www.finance.sina.com.cn

Sicherheit und Kontrolle im Netz – Verantwortliche (II)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Artikel 21 verpflichtet Netzwerkbetreiber dazu, ein mehrstufiges Sicherheitssystem einzurichten. Dabei geht es vor allem um technologische Maßnahmen zur Überwachung und Speicherung von Vorgängen und Daten, um Cyberangriffe zu verhindern. Daneben ist in Nr. 5 die Einhaltung weiterer gesetzlicher Vorgaben genannt. Dies erscheint reichlich vage, wie auch einige weitere Vorgaben nicht näher konkretisiert oder definiert sind. Auch mag man sich fragen, in welcher Rangfolge das Gesetz im Verhältnis zu den bereits bestehenden zahlreichen Regelungen steht. Hier mag es zur Beruhigung beitragen, dass sich durch das neue Gesetz keine erkennbaren Regelungswidersprüche ergeben. Es entspricht außerdem der nationalen Gesetzgebungstechnik, nach und nach bestehende Regelungen anzupassen und konkretisierende Begleitbestimmungen zu erlassen. Auf Netzwerkbetreiber und insbesondere die Betreiber kritischer Infrastrukturen kommen dennoch erhebliche Verpflichtungen zu.

Der Begriff des Netzwerkbetreibers (网络运营者) ist vergleichsweise weit gefasst. Artikel 76 Abs. 3 definiert solche als Eigentümer von Netzwerken, Manager von Netzwerken und Netzwerkdienstleister. Es handelt sich also nicht nur um klassische Telekommunikationsunternehmen, sondern es genügt bereits die Nutzung von nur zwei PCs. Sofern nämlich das Internet zur Sammlung, Speicherung und Verarbeitung von Daten benutzt wird, würden darunter auch zahlreiche weitere Branchen fallen, die dies im Zuge ihrer Dienstleistungserbringung üblicherweise tun. Neben IT-affinen Unternehmen denke man dabei etwa an so breit aufgestellte Bereiche wie die gesamte Finanzbranche. Und möglicherweise betreiben diese dann sogar sog. kritische Infrastrukturen.

Der Begriff der kritischen Infrastruktur findet sich auch im deutschen BSIG, dort definiert in Paragraph 2 Absatz 10. Im chinesischen Internetsicherheitsgesetz ist der Betriebssicherheit kritischer Infrastrukturen Abschnitt 2 gewidmet. Artikel 31 enthält eine vorläufige Definition, die vom Staatsrat genauer zu fassen sein wird. Grundsätzlich geht es um die nationale Versorgung, also etwa Wasserwerke, Energiebetreiber, Verkehr etc. Genauere Anhaltspunkte mag aber der bereits im Juni 2016 erlassene Leitfaden zur Untersuchung der Netzsicherheit (国家网络安全检查操作指南) bieten. Neben den klassischen Feldern wie der öffentlichen Versorgung sind darin zunächst alle Gefahren umfasst, die (negativen) Einfluss auf die Wirtschaft, Gesellschaft, Kultur, Umwelt etc. haben könnten. Genannt sind insbesondere Arten von Webseiten wie etwa Unternehmenswebseiten und Nachrichtenwebseiten, Arten von Plattformen wie etwa für Kurznachrichten und Shopping sowie bestimmte Industriesparten wie etwa bestimmte Bürosysteme oder Fernsehübertragungssysteme. Hier ist bereits zu erahnen, dass die Definition kritischer Infrastrukturen sehr weit gefasst sein wird und unter Umständen auch nur peripher betroffene Brachen betreffen wird.

Die Pflichten der Betreiber solch kritischer Infrastrukturnetzwerke gehen folgerichtig über die der einfachen Netzwerkbetreiber hinaus. Bemerkenswert ist, dass persönliche Daten und andere – nicht näher definierte – wichtige Informationen ausschließlich im Inland zu speichern sind (Art. 37 S.1). Nur sofern es für bestimmte Geschäftsvorgänge erforderlich sein sollte und eine entsprechende Sicherheitsüberprüfung – nach derzeit unbekannten Kriterien – nicht zu einem anderen Ergebnis gelangt, kann hiervon eine Ausnahme gemacht werden, (Art. 37 S.2).

Die nationale Abschottung von Daten ist zwar bereits verschiedentlich festgelegt (mehr dazu in Teil 3). In seiner Grundsätzlichkeit allerdings und bezogen auf den gesamten Datentransfer hat das Gesetz weitreichende Konsequenzen. Zumal Zuwiderhandlungen mit einer erheblichen Haftung belegt werden (Kapitel 6). In China tätige Unternehmen sollten daher die kommenden Begleitbestimmungen zu dem neuen Gesetz verfolgen und entsprechend reagieren. Denn die auferlegten Pflichten für Betreiber könnten durchaus dazu führen, dass etwa IP-geschützte Softwarecodes, verschlüsselte Algorithmen, Geschäftsgeheimnisse und anderes mehr gegenüber den Behörden offen zu legen sind. Missbrauch mit solch sensiblen Daten und seine Verhinderung sind Gegenstand vom nächsten Teil 3. Insbesondere Datenschutz, internationaler Datentransfer und Nutzeridentifizierung.