Schlagwort-Archiv: Netzüberwachung

Bildquelle: Www.cj.sina.com.cn

Sicherheit und Kontrolle im Netz – Pflichtenkatalog und Haftung (IV)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Anforderungen und Haftung wie folgt.

Netzwerkbetreiber, die als solche unter die Definition des Gesetzes fallen (s. Teil 2), sollten sich im nächsten Jahr auf einige Veränderungen vorbereiten. Gefordert werden im Einzelnen:

  • Die Einrichtung eines mehrstufigen Sicherheitssystems nach Artikel 21, also von der Bestimmung Verantwortlicher bis zu technischen Maßnahmen zur Überwachung, Back-ups, etc.;
  • die Errichtung umfassend stabiler Netzwerke und geschützter Netze (Art. 22, 40);
  • die Implementierung eines Systems zur Identifizierung der Nutzer (Art. 24);
  • die Implementierung von Notfallplänen (Art. 25);
  • die zusätzlichen Pflichten beim Betrieb kritischer Infrastrukturen umfassen
    • die Errichtung spezieller Sicherheits-Verwaltungsmechanismen und die Benennung von entsprechend Verantwortlichen (samt Sicherheitsüberprüfung);
    • regelmäßige Schulungen und Prüfungen für Sicherheitsverantwortliche;
    • die regelmäßige Erstellung von Backups für wichtige Systeme und Datensammlungen;
    • regelmäßige Notfallübungen;
    • weitere gesetzliche auferlegte Pflichten;
    • den Abschluss von Geheimhaltungsvereinbarungen beim Erwerb von Netzwerkprodukten und –Diensten (Art. 36);
    • jährliche Untersuchungen und Evaluierungen sowie Berichte darüber (Art. 38).
  • Netzwerkbetreiber haben Regeln zur Sammlung und Verwendung von persönlichen Daten aufzustellen und die Zustimmung der Betroffenen einzuholen (Art. 41);
  • Netzwerkbetreiber müssen mithilfe technologischer Maßnahmen den Missbrauch persönlicher Daten zu verhindern suchen und ein Berichtssystem für den Fall von Datenlecks einrichten (Art. 42);
  • Netzwerkbetreiber müssen Maßnahmen zur Löschung und Korrektur von persönlichen Daten vorsehen (Art. 43);
  • Netzwerkbetreiber müssen die rechtswidrige Verbreitung von Nutzerdaten überwachen Art. 47);
  • Netzwerkbetreiber haben ein System für Beschwerden und Berichte zu installieren, dieses zu veröffentlichen und zeitnah auf solche zu reagieren.

Die Verantwortlichkeit der Beteiligten ist detailliert in Kapitel 6 geregelt. Neben den im Gesetz selbst vorgesehenen Verwaltungsstrafen sind eine zivilrechtliche und eine strafrechtliche Haftung vorgesehen (Art. 74). Die Behörden können Korrekturen fordern und Warnungen aussprechen, ansonsten Geldstrafen verhängen (vgl. Art. 59-62). Darüber hinaus können rechtwidrige Einkünfte konfisziert sowie Haftstrafen und Berufsverbote ausgesprochen werden (vgl. Art. 63). Außerdem können die kurzfristige oder dauerhafte Einstellung von Betrieben durchgesetzt und verantwortliche Manager persönlich herangezogen werden (vgl. Art. 64-69). Unter Umständen können Rechtsverletzungen auch öffentlich gemacht werden (vgl. Art. 71). Sofern sich die Behörden selbst schuldig machen sind auch für sie Sanktionen vorgesehen (Art. 73).

Bildquelle: Www.finance.sina.com.cn

Sicherheit und Kontrolle im Netz – Verantwortliche (II)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Artikel 21 verpflichtet Netzwerkbetreiber dazu, ein mehrstufiges Sicherheitssystem einzurichten. Dabei geht es vor allem um technologische Maßnahmen zur Überwachung und Speicherung von Vorgängen und Daten, um Cyberangriffe zu verhindern. Daneben ist in Nr. 5 die Einhaltung weiterer gesetzlicher Vorgaben genannt. Dies erscheint reichlich vage, wie auch einige weitere Vorgaben nicht näher konkretisiert oder definiert sind. Auch mag man sich fragen, in welcher Rangfolge das Gesetz im Verhältnis zu den bereits bestehenden zahlreichen Regelungen steht. Hier mag es zur Beruhigung beitragen, dass sich durch das neue Gesetz keine erkennbaren Regelungswidersprüche ergeben. Es entspricht außerdem der nationalen Gesetzgebungstechnik, nach und nach bestehende Regelungen anzupassen und konkretisierende Begleitbestimmungen zu erlassen. Auf Netzwerkbetreiber und insbesondere die Betreiber kritischer Infrastrukturen kommen dennoch erhebliche Verpflichtungen zu.

Der Begriff des Netzwerkbetreibers (网络运营者) ist vergleichsweise weit gefasst. Artikel 76 Abs. 3 definiert solche als Eigentümer von Netzwerken, Manager von Netzwerken und Netzwerkdienstleister. Es handelt sich also nicht nur um klassische Telekommunikationsunternehmen, sondern es genügt bereits die Nutzung von nur zwei PCs. Sofern nämlich das Internet zur Sammlung, Speicherung und Verarbeitung von Daten benutzt wird, würden darunter auch zahlreiche weitere Branchen fallen, die dies im Zuge ihrer Dienstleistungserbringung üblicherweise tun. Neben IT-affinen Unternehmen denke man dabei etwa an so breit aufgestellte Bereiche wie die gesamte Finanzbranche. Und möglicherweise betreiben diese dann sogar sog. kritische Infrastrukturen.

Der Begriff der kritischen Infrastruktur findet sich auch im deutschen BSIG, dort definiert in Paragraph 2 Absatz 10. Im chinesischen Internetsicherheitsgesetz ist der Betriebssicherheit kritischer Infrastrukturen Abschnitt 2 gewidmet. Artikel 31 enthält eine vorläufige Definition, die vom Staatsrat genauer zu fassen sein wird. Grundsätzlich geht es um die nationale Versorgung, also etwa Wasserwerke, Energiebetreiber, Verkehr etc. Genauere Anhaltspunkte mag aber der bereits im Juni 2016 erlassene Leitfaden zur Untersuchung der Netzsicherheit (国家网络安全检查操作指南) bieten. Neben den klassischen Feldern wie der öffentlichen Versorgung sind darin zunächst alle Gefahren umfasst, die (negativen) Einfluss auf die Wirtschaft, Gesellschaft, Kultur, Umwelt etc. haben könnten. Genannt sind insbesondere Arten von Webseiten wie etwa Unternehmenswebseiten und Nachrichtenwebseiten, Arten von Plattformen wie etwa für Kurznachrichten und Shopping sowie bestimmte Industriesparten wie etwa bestimmte Bürosysteme oder Fernsehübertragungssysteme. Hier ist bereits zu erahnen, dass die Definition kritischer Infrastrukturen sehr weit gefasst sein wird und unter Umständen auch nur peripher betroffene Brachen betreffen wird.

Die Pflichten der Betreiber solch kritischer Infrastrukturnetzwerke gehen folgerichtig über die der einfachen Netzwerkbetreiber hinaus. Bemerkenswert ist, dass persönliche Daten und andere – nicht näher definierte – wichtige Informationen ausschließlich im Inland zu speichern sind (Art. 37 S.1). Nur sofern es für bestimmte Geschäftsvorgänge erforderlich sein sollte und eine entsprechende Sicherheitsüberprüfung – nach derzeit unbekannten Kriterien – nicht zu einem anderen Ergebnis gelangt, kann hiervon eine Ausnahme gemacht werden, (Art. 37 S.2).

Die nationale Abschottung von Daten ist zwar bereits verschiedentlich festgelegt (mehr dazu in Teil 3). In seiner Grundsätzlichkeit allerdings und bezogen auf den gesamten Datentransfer hat das Gesetz weitreichende Konsequenzen. Zumal Zuwiderhandlungen mit einer erheblichen Haftung belegt werden (Kapitel 6). In China tätige Unternehmen sollten daher die kommenden Begleitbestimmungen zu dem neuen Gesetz verfolgen und entsprechend reagieren. Denn die auferlegten Pflichten für Betreiber könnten durchaus dazu führen, dass etwa IP-geschützte Softwarecodes, verschlüsselte Algorithmen, Geschäftsgeheimnisse und anderes mehr gegenüber den Behörden offen zu legen sind. Missbrauch mit solch sensiblen Daten und seine Verhinderung sind Gegenstand vom nächsten Teil 3. Insbesondere Datenschutz, internationaler Datentransfer und Nutzeridentifizierung.

Bildquelle: www.ftchinese.com

Sicherheit und Kontrolle im Netz – Hintergrund (I)

Anfang November wurde ein neues Internetsicherheitsgesetz verabschiedet, das ab Juni 2017 gelten soll. Für Unternehmen vor Ort gibt es dadurch einiges zu beachten. Inhaltlich neu ist davon allerdings das wenigste.

Während in der EU noch das Für und Wider einer Vorratsdatenspeicherung diskutiert wird, hat die VR China in den letzten Jahren eine Reihe von Sicherheitsgesetzen erlassen, die sich nicht an solchen vermeintlichen Kleinigkeiten aufhalten. Wer in China ankommt, wird zunächst einmal fotografiert, das Foto mit Datum etc. einer Datenbank zugeführt. Das nächste Foto gibt es dann beim Erwerb einer SIM-Karte, natürlich auch mit sämtlichen Daten, denn der Ausweis ist ebenfalls zu abzufotografieren. Für die Buchung eines jeden Transportmittels, also etwa auch für eine kurze Zugfahrt, sind für Inländer Automaten vorgesehen, die zwingend das einscannen des Ausweises verlangen. Ausländer haben hier das Nachsehen, sie müssen sich mühsam anstellen. Die dann folgenden Sicherheitskontrollen unterscheiden sich nicht wesentlich von denen an einem Flughafen – was in Zeiten des Terrorismus durchaus nicht abwegig erscheint.

Neben der logistischen Bewältigung der gewaltigen Menschenmassen geht es bei den genannten Beispielen natürlich auch um staatliche Kontrolle. Und genau dies ruft im Ausland zunehmend Unbehagen hervor. Denn es betrifft natürlich auch ausländische Unternehmen und Individuen, die sich vor Ort aufhalten. Das jüngste Internetsicherheitsgesetz (网络安全法) ist dabei keine Ausnahme. Anlass genug für eine kurze Bestandsaufnahme.

Die meisten Industriestaaten verfügen bereits seit längerem über ähnliche Regelwerke, in Deutschland beispielsweise ist seit 2009 das BSI-Gesetz einschlägig. Auch in China ist das Gesetz nicht das erste und einzige seiner Art. Bereits 1994 gab es Regelungen zur Sicherheit von Computersystemen (中华人民共和国计算机信息系统安全保护条例), es folgten zahlreiche weitere Normen bis hin zu diesbezüglichen Änderungen des Strafgesetzbuches. Im gegenwärtigen System der sicherheitsrelevanten Gesetze und Normen sind vor allem zu nennen das Landessicherheitsgesetz (国家安全法), das Antiterrorgesetz (反恐怖主义法), das Strafgesetzbuch (刑法), das Geheimhaltungsgesetz (保密法), das Gesetz über Strafen für Vergehen gegen die öffentliche Sicherheit und Ordnung (治安管理处罚法), die Entscheidung zur Stärkung des Schutzes von Internetinformationen (关于加强网络信息保护的决定), die Entscheidung zum Schutz der Internetsicherheit (关于维护互联网安全的决定), die Regeln zum Schutz der Sicherheit von Computersystemen (计算机信息系统安全保护条例) sowie der Erlass über die Verwaltung von Internetdienstleistungen (互联网信息服务管理办法).

Eine Menge Regeln, wobei auch erwähnenswert ist, dass bereits zur Frühzeit des Internets eine beachtliche Anzahl von „Internetpolizisten“ zur Netzüberwachung eingesetzt worden sind. Die persönliche Überwachung ist nun seltener nötig, nachdem die IT-Systeme weltweit und besonders in China sehr viel fortgeschrittener und verfeinerter geworden sind. So ist es neben den USA vor allem China, das im Bereich der künstlichen Intelligenz (AI) führend ist. Jedoch auch ohne AI lassen sich bestimmte Inhalte automatisch aussondern und blockieren, ohne dass ein persönliches Eingreifen erforderlich wäre.

Wer bestimmte ausländische Websites oder etwa die Dienste von Google und facebook in Anspruch nehmen möchte, ist auf dem Festland auf ein virtuelles privates Netzwerk (VPN) mit Servern im Ausland angewiesen. Ansonsten ist China auch in dieser Hinsicht eine Welt für sich, in der sämtliche Konzepte der modernen Kommunikation bis hin zu sozialen Netzwerken leicht abgewandelt kopiert wurden und natürlich der Kontrolle des Staates unterstehen. Baidu (百度) ersetzt Google, Weibo (微博) ersetzt Facebook, Wechat (微信) ersetzt Whatsapp etc. Ausnahmen gelten etwa für die Suchmaschine Bing oder für das Berufsnetzwerk LinkedIn, beide dem Microsoft-Konzern zugehörig. Diese sind jedoch nur deshalb in China zugelassen, weil sie sich dort ebenfalls der vorgenannten Filter bedienen und daher ungewollte Inhalte von vorneherein aussondern.

Fairerweise muss man übrigens auch sagen, dass sich manche der chinesischen Anwendungen mittlerweile durch eigenständige Innovationen auszeichnen, hinter denen die westlichen Originale zurückbleiben. Zu denken ist dabei etwa an die Möglichkeit, überall mit Wechat zu bezahlen, oder der dort schon lange übliche Videochat. Zuletzt auch interessant ist eine andere inoffizielle Schätzung, nämlich hinsichtlich der jährlichen Ausgaben für die innere Sicherheit: 6 Prozent des BIP sollen dafür aufgewendet werden.

Nun zum Gesetz selbst: Es gilt für die Errichtung, den Betrieb, die Wartung und die Nutzung von Netzwerken innerhalb des Territoriums der VR China sowie für die Gefahrenabwehr von außerhalb. Es hat 79 Artikel unterteilt in 7 Abschnitte. Der nächste Beitrag beschäftigt sich mit dem vorgesehenen Sicherheitssystem und den dafür Verantwortlichen. Der dritte Teil behandelt dann die Betroffenen, also die Nutzer und ihre Daten.