China verschiebt Umsetzung des VPN-Verbots

PrintMailRate-it

veröffentlicht am 16. Juli 2018
  

Ein Hauptaugenmerk bei den zunehmenden Anstrengungen Chinas, den Zugang zum Internet stärker zu reglementieren, liegt auf den sogenannten Virtual Private Networks (VPN). Eigentlich wurde erwartet, dass VPN-Verbindungen, die über keine Genehmigung des chinesischen Minis­teriums für Industrie und Informations­technologie (MIIT) verfügen, ab März dieses Jahres gesperrt werden. Von dem Verbot wären nicht nur VPN-Tunnel kommerzieller VPN-Anbieter betroffen, sondern auch unternehmenseigene VPN-Tunnel zwischen chinesischen Tochter­gesellschaften und ausländischer Muttergesellschaft. Offensichtlich scheinen die technischen Anforderungen und erforderlichen Maßnahmen für die Umsetzung des Verbots jedoch komplexer und umfangreicher zu sein, als erwartet. Daher hat das MIIT die eigentlich zum März 2018 geplante Abschaltung regelwidriger VPN bis März 2019 verlängert.

    
    

  

Neuere Entwicklungen in der Internetkontrolle

Die Versuche der chinesischen Regierung, den Zugang zum Internet zu kontrollieren, stellen sich insbesondere durch die rasante Entwicklung der entsprechenden Technologien oftmals als ein Katz-und-Maus-Spiel dar. Zwischenzeitlich hat das MIIT die ihm untergeordnete China Academy of Information and Communications Technology (CAICT) in einer „Notice on Further Advancing the Clean-up of the Internet-access Market in China” beauftragt, durch entsprechende Analysen die geplanten Beschränkungen zu begleiten und zu untersuchen. Hierzu soll zudem eine mit den führenden chinesischen Telekommunikations­anbietern gegründete Allianz dienen, deren Ziel die Selbstregulierung und Kontrolle durch die Industrie ist.
 

Mögliche Konsequenzen der Weiternutzung von VPN

Neben weiteren Gesetzen und Bestimmungen hat sich China insbesondere mit dem Cyber Security Law und dessen entsprechenden Umsetzungsregeln nunmehr einen rechtlichen Rahmen geschaffen, der die (Weiter-)Nutzung von VPN erheblich beeinflussen wird.  
 

Nahezu jedes ausländische Tochterunternehmen dürfte über ein Computernetzwerk verfügen und über das Internet mit der Muttergesellschaft, Kunden und sonstigen Dritten kommunizieren. Damit fallen die Unternehmen jedoch unter das Cyber Security Law und den ergänzenden Vorschriften zum grenz­überschreitenden Datenverkehr.
 

Für den grenzüberschreitenden Datenverkehr wird in China künftig eine Sicherheitsprüfung (Security Assessment) obligatorisch. Nach derzeitigem Stand dürften die meisten ausländischen Unternehmen in China aufgrund ihrer Größe und der Natur der zu übertragenden Daten vermutlich diese Sicherheitsüber­prüfung selbst durchführen. Hierbei sind jedoch genaue Angaben über die Art und Weise der grenzüber­schreitenden Datenübertragung zu machen, das heißt, sollte ein VPN-Tunnel genutzt werden, ist das anzugeben. Überprüft die Behörde den entsprechenden Bericht der Sicherheitsüberprüfung oder ordnet eine solche selbst an, würde die gesetzeswidrige Nutzung des VPN offensichtlich.
 

Das Cyber Security Law wie auch weitere Nebenbestimmungen sehen teilweise erhebliche Sanktionen für Verstöße vor. Diese können von Geldstrafen bis hin zu Gewahrsam für die verantwortlichen Personen als auch zur Geschäftseinstellung oder gar Entzug der Geschäftslizenz für das Unternehmen reichen.
 

Handlungsalternativen

Die weitere Nutzung von VPN, die über das öffentliche Internet ins Ausland laufen, dürfte künftig sehr erschwert, wenn nicht gar unmöglich werden. Sofern solche VPN noch innerhalb Chinas funktionieren sollten, darf angenommen werden, dass sie überwacht werden.
 

Fraglich ist, ob firmeninterne VPN weiterhin toleriert werden. Dem Wortlaut der entsprechenden Vor­schriften nach erfolgt keine Unterscheidung zwischen VPN-Tunneln kommerzieller Anbieter, wie z.B. dem in China sehr beliebten Anbieter Astrill, und dem firmeneigenen VPN-Tunnel, selbst wenn es sich um ein geschlossenes Firmennetzwerk handelt. Andererseits dürfte China bewusst sein, dass VPN für die Unter­nehmen, und damit auch für Chinas Wirtschaft und weitere Entwicklung, sehr wichtig sind. Vorstellbar ist auch, dass firmeneigene VPN nach einer Prüfung durch Chinas Behörden weitergenutzt werden könnten, wobei jedoch zu befürchten ist, dass anschließend Daten abgegriffen werden könnten. Es bleibt abzuwarten, ob zu der Thematik weitere Vorschriften erlassen werden.
 

Als nach derzeitigem Stand gesetzeskonforme Möglichkeit könnten Dienste verbleiben, welche eine unter­nehmensinterne Datenübertragung ohne Zugang oder Nutzung des öffentlichen Internets ermöglichen, wie beispielsweise Multi Protocol Label Switching (MPLS).
 

Weiterhin könnte der Datenfluss daraufhin geprüft werden, ob die Übermittlung sämtlicher Daten erforder­lich ist oder sie zumindest teilweise auf eigenen Servern lokal gespeichert werden können. Das könnte beispielsweise die persönlichen Daten, die ohnehin besonders strengen Vorschriften unterliegen, der lokalen Angestellten und Mitarbeiter betreffen.
 

Fazit

Zusammenfassend bleibt zu konstatieren, dass die Datenübertragung zwischen der Muttergesellschaft und der chinesischen Tochter in Zukunft auf weitere Hindernisse stoßen und schwieriger wird. Das dürfte insbesondere für kleinere Unternehmen gelten, für die beispielsweise eine MPLS-Lösung aufgrund der Kosten weniger in Betracht kommt.
 

Deutschland Weltweit Search Menu