Ende letzten Jahres hat die chinesische Regierung ein neues Cybersicherheitsgesetz eingefĂŒhrt, das sogenannte Multi-Level Cybersecurity Scheme (). Das im Dezember in Kraft getretene Gesetz bedeutet faktisch, dass die Regierung uneingeschrĂ€nkten Zugriff auf alle Daten im Land hat, unabhĂ€ngig davon, ob diese auf chinesischen Servern gespeichert oder ĂŒber chinesische Netzwerke ĂŒbertragen werden.
Das bedeutet, dass es keine anonymen VPNs geben wird (und viele beliebte VPNs gehören chinesischen Unternehmen). Keine privaten oder verschlĂŒsselten Nachrichten. Keine anonymen Online-Konten oder sensible Daten. Alle Daten werden fĂŒr die chinesische Regierung zugĂ€nglich und offen sein, einschlieĂlich Daten auslĂ€ndischer Unternehmen auf chinesischen Servern oder auf dem Weg durch China. Anwaltskanzlei Reed Smith. In gewisser Weise können MLPS 2.0 und die dazugehörigen Gesetze mit dem russischen âYarovaya Law Packageâ verglichen werden.
Alles ist genauso schlimm, wie es scheint, und es wird immer schlimmer. MLPS 2.0 wird durch zwei zusĂ€tzliche Gesetze unterstĂŒtzt, die beide alle SchutzmaĂnahmen, Sicherheitsvorkehrungen oder LĂŒcken beseitigen, die frĂŒher möglicherweise zur Wahrung der IntegritĂ€t von Unternehmensdaten genutzt wurden. Beide traten Anfang dieses Monats in Kraft. CSOnline.
Das erste ist das neue Auslandsinvestitionsgesetz, das auslÀndische Investoren genauso behandelt wie chinesische Investoren. WÀhrend dies als eine Möglichkeit zur Vereinfachung des Investitionsprozesses angepriesen wurde, beraubt es in der Praxis auslÀndische Investoren vieler ihrer Rechte, die sie zuvor genossen.
Der zweite legt eine Reihe neuer Richtlinien zur VerschlĂŒsselung fest. Auch hier scheinen sie auf den ersten Blick mit Blick auf das Gemeinwohl vorgeschlagen worden zu sein. Die Gesetze wurden vom Ministerium fĂŒr öffentliche Sicherheit offiziell verabschiedet, um die Netzwerkinfrastruktur vor âSchĂ€denâ und externen Bedrohungen zu schĂŒtzen. Erst bei nĂ€herer Betrachtung zeigen sich Nebenwirkungen.
Nach dem aktuellen MLPS, das seit 2008 in Kraft ist, sind Netzwerkbetreiber (ein sehr weit gefasster Begriff, der alle angeschlossenen Computer oder Systeme umfasst, die Daten senden oder verarbeiten) verpflichtet, ihre Netzwerke und Informationssysteme in verschiedene Schichten zu klassifizieren und entsprechende SicherheitsmaĂnahmen anzuwenden. Das Schema ordnet Systeme der Informations- und Kommunikationstechnologie (IKT) auf einer SensibilitĂ€tsskala ein: 1 â am wenigsten empfindlich, 5 â am empfindlichsten. Je höher die Bewertung, desto strenger unterliegt das System der Kontrolle durch das Ministerium fĂŒr öffentliche Sicherheit (MPS). Die dritte Ebene ist der Punkt, an dem die Selbstzertifizierung in eine staatliche ĂberprĂŒfung ĂŒbergeht. Dieses Niveau wird erreicht, wenn SchĂ€den am Netzwerk zu âbesonders schwerwiegenden SchĂ€den an den legitimen Rechten und Interessen chinesischer BĂŒrger, juristischer Personen und anderer interessierter Organisationen oder zu schwerwiegenden SchĂ€den an der öffentlichen Ordnung und öffentlichen Interessen oder zu einer BeeintrĂ€chtigung der nationalen Sicherheitâ fĂŒhren.
Analyseunternehmen NewAmerica dass MLPS 2.0 eine âVerschiebung hin zu mehr Verifizierungâ darstellt. Mit MLPS 2.0 werden die prĂŒfpflichtigen Netze auf grundsĂ€tzlich alle IT-Systeme ausgeweitet.
Anforderungen an die Datenlokalisierung
Nach dem neuen Kryptographiegesetz dĂŒrfen die Entwicklung, der Verkauf und die Nutzung kryptografischer Systeme âder nationalen Sicherheit und öffentlichen Interessen nicht schadenâ. DarĂŒber hinaus sind auch kryptografische Systeme verboten, die nicht âverifiziert und authentifiziertâ wurden. Wenn Ihr Unternehmen versucht, Informationen vor der Regierung zu verbergen, können und werden Sie im Allgemeinen bestraft.
Wenn Ihr Rechenzentrum auĂerdem beispielsweise einen chinesischen Softwaredienst nutzt, können alle von diesem Dienst gespeicherten und verwalteten Daten beschlagnahmt werden. Dazu gehören GeschĂ€ftsgeheimnisse, Finanzinformationen und mehr. Wenn Sie Vermögenswerte im Inland halten, haben Sie ebenfalls keine vollstĂ€ndige Kontrolle darĂŒber; Sie können von der Regierung jederzeit und mit minimalem Grund eingezogen werden.
Auch die in der neuen Gesetzgebung enthaltenen Datenlokalisierungsanforderungen beeintrÀchtigen die Cloud-Sicherheit erheblich. Experten erklÀren, dass der Ort, an dem Daten gespeichert werden, weniger wichtig ist als der Ort, an dem sie gespeichert werden. als sie werden gespeichert. Daher trÀgt die Lokalisierung nur sehr wenig zum Schutz sensibler Informationen bei und schafft gleichzeitig leicht anvisierte Datenspeicherorte, die leicht gehackt werden können.
China hat sich nie davor gescheut, PrivatsphĂ€re und Datensicherheit zu vernachlĂ€ssigen. Diese neuen Regeln sind lediglich eine Formalisierung dessen, was im Land seit langem die Norm ist. Doch das macht es fĂŒr Unternehmen nicht einfacher.
Probleme fĂŒr auslĂ€ndische Unternehmen
Die amerikanische Denkfabrik Center for Strategic and International Studies (CSIS) behauptet, China habe freigelassen neue nationale Standards im Zusammenhang mit der Cybersicherheit. Eine der neuesten Ănderungen ist das MLPS-Update.
Besonders problematisch sind die neuen Gesetze fĂŒr Rechenzentren, die auslĂ€ndischen Unternehmen gehören.
TatsÀchlich bleiben ihnen zwei Möglichkeiten.
Die erste besteht darin, einfach keine GeschĂ€fte mehr in China zu machen, auch durch Partnerschaften. Wenn genĂŒgend Unternehmen diesem Weg folgen, könnte dies theoretisch Druck auf die chinesische Regierung ausĂŒben, das Gesetz aufzuheben.
Die zweite besteht darin, eine eingeschrĂ€nkte PrivatsphĂ€re und Sicherheit als Kosten fĂŒr GeschĂ€fte in China hinzunehmen.
Wir können sagen, dass auslÀndische Unternehmen in Russland immer noch die gleichen zwei Optionen haben.
Ich wĂŒrde gerne glauben, dass sie durch gemeinsame Anstrengungen den ersten Weg beschreiten werden. Leider wird in der RealitĂ€t eher die zweite Option gewĂ€hlt. Denn fĂŒr viele ist dieser GeschĂ€ftspreis akzeptabel.
Source: habr.com
