MERICS China Mapping header

 

„Ohne Cybersicherheit gibt es keine nationale Sicherheit”, erklärte Chinas Staats- und Parteichef Xi Jinping auf dem Gründungstreffen der Zentralen Führungsgruppe für Cyber-Sicherheit und Informatisierung im Februar 2014. Damit gab er den Startschuss für einen regelrechten Regulierungsmarathon des chinesischen Cyberspace. Seither hat Beijing von Sozialen Medien und Online-Publikationen bis hin zu IT-Geschäftsmodellen und Cloud-Rechenzentren die Kontrolle über alles Digitale verschärft.

Ob es um die Zensur des Internets oder die Bekämpfung von Cyberkriminalität geht - China geht immer offensiver vor und wirbt zugleich im Ausland um Akzeptanz des chinesischen Prinzips der Cyber-Souveränität (网络主权). Demnach soll jedes Land das Recht haben, das Internet innerhalb der nationalen Grenzen nach eigenem Gutdünken zu regulieren.

Beijings verschärfte Kontrolle des Cyberspace hat Auswirkungen auf eine Vielzahl von Akteuren. Darunter sind Internetnutzer ebenso wie Unternehmen und staatliche Behörden.

Besonders bei ausländischen Unternehmen wächst die Sorge. Der Grund: Unternehmen können ihre Daten in China nicht mehr wie bisher speichern, verschlüsseln und austauschen und müssen mitunter empfindliche und teure technische Anpassungen vornehmen, um die staatlichen Vorgaben zu erfüllen.

Mit Blick auf die bislang veröffentlichten Regulierungen lassen sich vier konkrete Herausforderungen für ausländische Unternehmen in China ausmachen. Erstens müssen laut dem Cybersicherheitsgesetz von 2016 IT-Produkte für Betreiber der sogenannten Kritischen Infrastrukturen (关键信息基础设施) eine staatliche Sicherheitsprüfung bestehen. Wie weit die Prüfung gehen wird, ist derzeit unklar. Ausländische Unternehmen könnten gezwungen sein, ihre Quellcodes offenzulegen.

Das neue Gesetz klassifiziert folgende Infrastrukturbereiche als kritisch: Kommunikationswesen, Energie, Transport, Wasserversorgung, Finanzwesen sowie E-Government-Dienstleistungen. Darüber hinaus werden nicht genauer definierte Bereiche genannt, die Auswirkungen auf die „nationale Sicherheit“, „das Wohlergehen der Bürger“ oder das „öffentliche Interesse“ haben. Diese vagen Formulierungen erlauben es den Behörden, weitere Bereiche als "kritisch" einzustufen.

Die Sicherheitsanforderungen gelten für alle Produkte, die mit digitalen Daten zu tun haben. Darunter fallen Programme zur Textverarbeitung, ebenso wie Router und Autos mit eingebetteten Systemen. Ausländische Technologien werden besonders kritisch betrachtet. Insbesondere seitdem die Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden die Praktiken staatlich sanktionierten Hackings offenlegten, ist auf chinesischer Seite das Misstrauen gegenüber ausländischen IT-Technologien gewachsen.

Zweitens müssen Unternehmen bestimmte Daten in Zukunft lokal speichern. (Nutzer-)Daten, die von Betreibern Kritischer Infrastrukturen gesammelt werden, müssen nach dem Cybersicherheitsgesetz innerhalb Chinas gespeichert werden. Ausländische Unternehmen befürchten dadurch mehr Industriespionage und den Diebstahl geistigen Eigentums. Hinzu kommen die Kosten für das Verlagern von Rechenzentren nach China. Zwar erlaubt das Gesetz in bestimmten Fällen Ausnahmen von der lokalen Datenspeicherungspflicht. Was das konkret heißt, ist aber noch unklar.

Drittens verpflichtet das Antiterrorismusgesetz von 2015 Unternehmen, staatlichen Behörden Zugriff auf die Daten von Terrorverdächtigen zu gestatten. Das könnte sich als äußerst problematisch erweisen, etwa für Unternehmen, die eine Ende-zu-Ende-Verschlüsselung einsetzen. Sie verfügen nicht über die technischen Möglichkeiten, die Daten ihrer Kunden einzusehen und könnten einer entsprechenden Aufforderung nicht nachkommen. Das Gesetz lässt hier keine Ausnahmen zu.

Viertens schreibt die „Verordnung über den kommerziellen Einsatz von Verschlüsselung“ (1999) vor, dass Unternehmen ihre Daten nur mit staatlich genehmigten Technologien verschlüsseln dürfen. Der Import von Sicherheitsroutern, Firewalls und Verschlüsselungssoftware muss vom „Office of State Commercial Cryptography Administration (OSCCA) genehmigt werden. Diese Regelung schränkt den Import und Verkauf von ausländischen Verschlüsselungsprodukten in China stark ein. Die verschärfte Kontrolle des Cyberspace lässt erwarten, dass die chinesischen Behörden bei der Durchsetzung dieser Regelung künftig strenger vorgehen werden.

Es ist nicht zu erwarten, dass Chinas Regulierungseifer im Cyberspace in absehbarer Zeit nachlässt. Ausländische Unternehmen können auch von künftigen Wechseln an der Führungsspitze keine grundsätzlichen Veränderungen erhoffen. 

Xi Jinpings Definition von Cybersicherheit als Teil der nationalen Sicherheit spiegelt eine in China weit verbreitete Sichtweise wider. Der Kurs der chinesischen Führung ist klar: aus chinesischer Sicht nicht vertrauenswürdige ausländische Technologien streng regulieren und die Entwicklung heimischer Anbieter fördern.