IT-Sicherheit in China

Der beeindruckende wirtschaftliche Aufschwung Chinas in den letzten Jahren hat den chinesischen Markt für viele deutsche und globale Unternehmen zu einem attraktiven Ziel gemacht. Außerdem ist der Zugang nach China durch die fortschreitende Digitalisierung schneller und komfortabler als es früher noch der Fall war.

Gleichzeitig stehen deutsche Unternehmen jedoch vor der Herausforderung Betriebsgeheimnisse und vertrauliche Informationen, die den Betrieb des Unternehmens ermöglichen, geheim zu halten. Dazu gehören Patente, technisches Know-How, aber auch sonstige Informationen und Dateien, die für den reibungslosen Ablauf des Tagesgeschäfts notwendig sind und auf die Mitarbeiter regelmäßig zugreifen müssen. 

Im Zusammenhang mit China ist allerdings nicht nur “normale” Cyber-Kriminalität und Industriespionage von Bedeutung, sondern auch eine schwammige Rechtslage, denn Unternehmen in China und vor allem chinesische Unternehmen sind per Gesetz zur Informationsherausgabe an die chinesische Regierung verpflichtet. Es herrscht allerdings keine hundertprozentige Rechtssicherheit darüber wie weit diese Kooperationspflicht reicht und ob unter Umständen auch sensible Daten weitergegeben werden, die Teil des Betriebsgeheimnisses und entscheidend für den Wettbewerbsvorteil eines Unternehmens sind. 

Um die IT-Sicherheit in China zu gewährleisten, sollten Unternehmen diese Faktoren berücksichtigen und ein umfassendes Sicherheitskonzept entwickeln, das einer schlüssigen Strategie folgt und dabei mögliche Schwachstellen effektiv abdeckt. Zu diesen Schwachstellen gehören der menschliche Faktor, also Mitarbeiter, und die Hardware und Software.

Zur Strategie sollte auf jeden Fall das bewusste Speichern von Daten gehören. Daten, die nicht in China gespeichert sind, können auch nicht herausgegeben oder gestohlen werden. Das gilt sowohl für Informationen, die auf etwaigen Cloud Services oder Servern gespeichert sind als auch für Informationen, die Mitarbeiter eines Unternehmens möglicherweise auf Laptops, Smartphones oder sonstigen Datenträgern speichern. 
Generell sollten mit China nur die Informationen in Berührung kommen, die für den reibungslosen Ablauf des Alltagsgeschäfts notwendig sind. 

Um den menschlichen Faktor abzusichern, sollten Mitarbeiter durch Schulungen über IT-Sicherheit aufgeklärt werden, um das Risiko durch simple Maßnahmen zu verringern. Hierbei sollten Mitarbeiter dazu angehalten werden z.B. all ihre Datenträger mit sicheren Passwörtern zu verschlüsseln, Sichtschutzfolien für Laptops zu verwenden und im Fall eines Verlusts eines Datenträgen diesen möglichst schnell zu melden. 

Auch über gängige Tricks und Phishing-Mails sollte aufgeklärt werden. So sollten sich Mitarbeiter beispielsweise bewusst sein, dass öffentliche WLAN-Netze ein gewisses Sicherheitsrisiko darstellen oder dass es nicht ratsam ist USB-Sticks, die man z.B. auf einer Konferenz gratis erhalten hat, einfach in Laptops zu stecken, auf denen sensible Informationen gespeichert sind. 

Nachdem der Faktor Mensch und die Hardware abgedeckt wurden, spielt natürlich auch die Software eine entscheidende Rolle. 
Hier können simple Schritte auch wieder einen großen Beitrag zur IT-Sicherheit leisten. So sollten beispielsweise verwendete Programme und Firewalls immer auf dem neuesten Stand sein. Bei besonders sensiblen Informationen kann über eine zusätzliche Verschlüsselung nachgedacht werden. 

Gerade kleine und mittelständische Unternehmen werden häufig Ziel von Ransomware-Attacken. Durch konsequentes Einhalten der genannten Maßnahmen, kann das Risiko solcher Attacken reduziert werden. 
Um das Risiko weiter zu minimieren, ist außerdem das Verwenden einer Backup-Strategie zu empfehlen. Hierbei sollten Daten regelmäßig unabhängig vom gängigen Netzwerk gespeichert werden. Zu diesem Zweck können z.B. Privat Cloud Systems mit Data History verwendet werden. 
Im Zweifel kann dann auf Backups zurückgegriffen werden, anstatt das Lösegeld zu bezahlen. 

Nun gibt es aber eine große Zahl von Unternehmen, deren Zweigstellen in China regelmäßig mit Firmensitzen im Rest der Welt kommunizieren müssen und Zugang zu Daten brauchen, die nicht lokal gespeichert sind. 
Auch hierbei gilt es die Daten sicher aufzubewahren und zu übertragen. 
Dies kann über die Verwendung von Virtual Private Clouds (VPC) in Verbindung mit einem Corporate Enterprise Network (CEN) gewährleistet werden. Dabei sollte der Zugang zu den VPCs nur über die Verwendung eines Virtual Private Networks (VPN) erfolgen. 
Diese Lösung bietet gleich mehrere Vorteile, nicht nur im Hinblick auf die IT-Sicherheit, sondern auch wenn es um die Stabilität und die Geschwindigkeit der Verbindung geht. 
Sensible Daten sind beim Versenden von Anfang bis Ende verschlüsselt und das Verwenden von Virtual Private Clouds minimiert das Maß zu dem sensible Daten chinesischen Unternehmen ausgesetzt sind. 
Darüber hinaus kann die Bandbreite der Übertragung nach Bedarf eingestellt werden. Falls also eine große Online-Konferenz ansteht oder aus einem anderen Grund eine kurzfristige größere Bandbreite notwendig ist, kann für diese Dauer die Bandbreite erhöht werden, ohne dass dauerhaft für diese Bandbreite bezahlt werden muss. 

IT-Sicherheit in China ist grundsätzlich ein Thema von großer Bedeutung, mit dem sich Unternehmen ausführlich befassen sollten. Solange Unternehmen jedoch einen kühlen Kopf bewahren und konsequent Schutzmaßnahmen umsetzen, steht einem sicheren Geschäftsbetrieb in China nichts im Wege.