China hat die Regeln für Cybervorfälle neu geschrieben. „Wir prüfen den Vorfall" gilt nicht mehr als Antwort, wenn Behörden anklopfen. Reaktionen werden jetzt in Minuten statt Tagen gemessen. Chinas novelliertes Cybersicherheitsgesetz verlangt belastbare Prozesse unter Zeitdruck, auch von deutschen Unternehmen.
China hat die Regeln für Cybervorfälle neu geschrieben und verlangt jetzt Reaktionen in Minuten statt Tagen. Deutsche Unternehmen brauchen belastbare Prozesse die auch unter Zeitdruck noch funktionieren.
Am 1. Januar 2026 trat die erste grundlegende Novelle des chinesischen Cybersicherheitsgesetzes von 2017 in Kraft. Die materiellen Pflichten – Sicherheitsmaßnahmen etablieren, Zuständigkeiten definieren, Vorfälle dokumentieren und melden – sind deutschen Unternehmen vertraut. Neu ist jedoch der Ton.
Der Gesetzgeber zieht die Daumenschrauben an: höhere Bußgelder (bis zu 1,2 Millionen Euro), sehr enge Zeitfenster für die Erstmeldung (bei schwerwiegenden Vorfällen nur wenige Stunden) und eine unmissverständliche Adressierung persönlicher Verantwortung (individuelle Strafen von bis zu 120.000 Euro). Die Botschaft aus Peking ist klar: Compliance auf dem Papier reicht nicht mehr. Es zählt nur noch, ob Prozesse im Ernstfall auch unter extremem Zeitdruck funktionieren.
Die zugespitzte Frage, die sich daraus ergibt, ist unangenehm, aber strategisch hilfreich: Könnte Ihr Unternehmen bei einem schwerwiegenden Cybervorfall in China die Behörden innerhalb von wenigen Stunden qualifiziert informieren, während intern noch ermittelt wird, was eigentlich genau passiert ist?
Warum das Thema jetzt auf den Tisch der Geschäftsführung gehört
Das novellierte chinesische Cybersicherheitsgesetz ist kein Regelwerk, das sich „an die IT“ delegieren lässt. Es berührt Organisation, Entscheidungswege und Verantwortlichkeit und damit genau die Fragen, für die am Ende die Geschäftsführung geradestehen muss – das ist etwas, was auch in Deutschland eigentlich schon heute von vielen IT-Sicherheitsexperten gefordert wird. Das gilt erst recht, wenn die chinesische Tochter (oder einzelne Systeme) in Bereichen wie Energie, Verkehr, Finanzen, öffentlicher Kommunikation/IT oder öffentlichen Diensten als kritische Informationsinfrastruktur eingestuft wird – dort sind Pflichten und Sanktionsrisiken spürbar verschärft. Hinzu kommt: Der Adressatenkreis ist weit gefasst – als „Netzwerkbetreiber“ gilt regelmäßig, wer Unternehmensnetzwerke betreibt oder verwaltet (vom Intranet bis zu internen Kollaborations‑/Office‑Systemen und Webpräsenzen).
Für deutsche Unternehmen mit China-Geschäft lässt sich das aktualisierte Cybersicherheitsgesetz auf drei Management-Themen herunterbrechen. Erstens: Verantwortung. Wer ist in China namentlich zuständig für Prävention, für Incident Response und für den Behördenkontakt? Rollen auf dem Papier reichen nicht, wenn im Ernstfall niemand entscheiden darf oder niemand erreichbar ist. Zweitens: Entscheidungsfähigkeit unter Zeitdruck. Kann die Organisation innerhalb von Minuten reagieren, ohne dass Zeitzonen, Übersetzungsrunden oder Freigabeschleifen den Takt bestimmen? Drittens: Kommunikations- und Nachweisfähigkeit. Was wird wann gesagt – intern, extern und gegenüber Behörden – und wie wird dokumentiert, dass Pflichten erfüllt, Maßnahmen ergriffen und Entscheidungen begründet wurden?
Damit wird Cybersecurity in China zu einem Governance-Thema. Die persönliche Dimension tritt sichtbarer hervor: Nicht, weil Führungskräfte für jeden Angriff „automatisch haften“, sondern weil im Nachgang gefragt wird, ob Pflichten angemessen organisiert, vorbereitet und im Ereignisfall umgesetzt wurden. Wer diese Steuerungsfragen früh klärt, reduziert nicht nur Risiken, sondern gewinnt im Ernstfall Zeit, Handlungsspielraum und Glaubwürdigkeit. Bezeichnend ist auch, dass der Gesetzgeber KI ausdrücklich im Gesetz adressiert – als Governance‑Signal im Kontext von Ethik und Risikomonitoring, sowie als Technologie, die auch für das Sicherheitsmanagement genutzt werden soll.
Die gute Nachricht: Der chinesische Gesetzgeber honoriert umfassende Krisenprävention. Die Novelle bietet einen wichtigen strategischen Anreiz, da sie ausdrücklich auf mildernde Umstände verweist. Maßnahmen wie rechtzeitige Abhilfe, unverzügliche Korrektur und der Nachweis fehlenden subjektiven Verschuldens – etwa durch klare Dokumentation getroffener Schutzmaßnahmen – können Sanktionen erheblich reduzieren oder sogar zum Erlass solcher führen. Das zeigt: Präventionsarbeit ist nicht nur Risikominimierung, sondern im Ernstfall gut investiertes Geld. Wer nachweislich vorbereitet ist, steht im Behördenkontakt anders da als jemand, der improvisiert.
Ergänzend zum novellierten Gesetz prägen seit Ende 2025 konkretisierte Vorgaben zur Meldung von Cybersicherheitsvorfällen die Erwartung an Unternehmen: Schwerwiegende Vorfälle müssen – je nach Betreiberstatus – teils innerhalb von 1 bis 4 Stunden initial gemeldet werden; die konkreten Schwellen und Kaskaden sind deutlich operationalisiert. Für viele internationale Unternehmen ist das kulturell ungewohnt. Etablierte Playbooks folgen oft dem Muster: Erst stabilisieren, dann forensisch verifizieren, dann informieren. In China kann diese Reihenfolge im Ernstfall zu langsam sein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das bedeutet nicht, dass Unternehmen spekulieren sollen. Erstmeldungen müssen jedoch auch dann beherrscht werden, wenn noch nicht alle Fakten feststehen. Wer im Krisenmodus lediglich sagt, dass man etwas prüfen werde, verliert möglicherweise Zeit, Vertrauen und Gestaltungsspielraum. Die Frage „Können wir innerhalb von zwei Stunden qualifiziert melden?" ist deshalb ein praktischer Stresstest für die eigene Entscheidungs- und Kommunikationsfähigkeit.
Viele Firmen sind da nicht China-tauglich. Die typischen Bruchstellen sind selten hochtechnisch, sondern organisatorischer Natur. Die erste Schwachstelle sind unklare Entscheidungsrechte. Wer darf in China Systeme isolieren, externe Forensik aktivieren, Dienstleister verpflichten und den Behördenkontakt auslösen? Wenn diese Fragen erst im Ernstfall geklärt werden, ist es zu spät.
Die zweite Schwachstelle ist die Schnittstelle zwischen Zentrale und lokaler Einheit. Globale Security-Strukturen sind betriebswirtschaftlich sinnvoll, müssen aber in China so aufgestellt sein, dass Zuständigkeiten, Eskalationswege und Nachweisführung lokal funktionieren. Was in der Firmenzentrale als „lokaler Vorfall" erscheint, kann in China schnell als meldewürdiges Ereignis bewertet werden – und dann zählt die lokale Reaktionsfähigkeit.
Die dritte Schwachstelle ist Kommunikation. In vielen Unternehmen wird Kommunikation immer noch als nachgelagerte Disziplin verstanden. Aber auch in China sollte sie Teil der Krisensteuerung sein – gegenüber Mitarbeitenden, Partnern, Kunden und Behörden. Unkoordinierte Aussagen, oder widersprüchliche interne Mails können die Lage verschärfen. Gleichzeitig kann Schweigen als Kontrollverlust wirken. Dieser Balanceakt muss daher regelmäßig in Krisensimulationen geübt werden – nicht nur, weil es sinnvoll ist, sondern weil Trainings/Übungen im Rahmen der chinesischen Compliance‑Erwartungen rechtlich und aufsichtspraktisch zum Pflichtprogramm gehören.
Interdisziplinär vorbereiten: Der unterschätzte Sicherheitshebel
Der größte Hebel liegt nicht in der Technik, sondern in der Orchestrierung über Abteilungen und Landesgrenzen hinweg. Wer in China handlungsfähig sein will, braucht eine interdisziplinäre Vorbereitung zwischen Management, IT-Sicherheit, Rechtsabteilung und Unternehmenskommunikation, die nicht aus Parallelplänen besteht, sondern aus einem gemeinsamen Ablauf: Wer entscheidet was, in welcher Reihenfolge, mit welchen Mindestinformationen, und wie wird dokumentiert, dass Pflichten erfüllt wurden?
Prävention heißt in diesem Kontext nicht primär mehr Tools, sondern weniger Reibung im Ernstfall. Klare Verantwortlichkeiten, Stellvertretungsregelungen, 24/7-Erreichbarkeit, abgestimmte Melde- und Freigabelogik sowie eine Kommunikationslinie, die Transparenz ermöglicht, ohne Spekulationen zu befeuern. Besonders wirksam sind dabei realistische Krisensimulationen, an denen nicht nur das Security-Team teilnimmt, sondern die gesamte Entscheidungskette unter Zeitdruck getestet wird. Wer einmal erlebt hat, wie schnell zwei Stunden vergehen, bewertet den Stand der eigenen Vorbereitung vermutlich anders.
Die Novelle des Cybersicherheitsgesetzes ist kein Grund für Alarmismus. Aber sie ist ein Grund, die eigene Reaktionsfähigkeit in China (und darüber hinaus) ehrlich zu testen. Wer vorbereitet ist, gewinnt im Ernstfall Zeit, Optionen und Glaubwürdigkeit – sowohl intern als auch gegenüber Behörden. Und genau darum geht es letztendlich: nicht um Perfektion, sondern um Handlungsfähigkeit unter Druck.
Über die Autoren: Paul Yang und Till Valentin Staschik sind Kommunikationsexperten im Hongkonger Büro von FGS Global, einer globalen Kommunikations- und Public-Affairs-Beratung. In den vergangenen Jahren haben sie zahlreiche asiatische und europäische Unternehmen – vom Scale-up bis zum multinationalen Konzern – bei der Prävention sowie der akuten Bewältigung von Cybervorfällen unterstützt. Dabei arbeiten sie regelmäßig über Ländergrenzen hinweg und navigieren komplexe Stakeholder- und Regulierungslandschaften.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/6f/166f2092164f9bb95999f1d8c2614445/0129477879v1.jpeg "China hat die Regeln für Cybervorfälle neu geschrieben und verlangt jetzt Reaktionen in Minuten statt Tagen. Deutsche Unternehmen brauchen belastbare Prozesse die auch unter Zeitdruck noch funktionieren. (Bild: © AH TAR STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/c6/e7c6e41949801faccd560e1f61887ef6/0128967846v1.jpeg "Evasion-Angriffe zielen darauf ab, das vorher eingesetzte Sicherheits- oder Verhaltensprofil eines LLM zu umgehen, indem Eingaben so manipuliert werden, dass das Modell Sicherheitsregeln ignoriert oder sein Verhalten ändert. (Bild: © OKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/c3/22c36f0b47643c75b3fc2cfbaaafc029/0121183489v2.jpeg "Die Auswirkungen der kritischen Sicherheitslücke im Microsoft Configuration Manager können bei einem erfolgreichen Angriff fatal sein. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/f4/daf4ae15cb0048c9f6fc9f6a73e57ae6/0129257890v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/df/bc/dfbcc513eacc7711f228d27580aceed5/0129149468v2.jpeg "Ghost Pairing ist eine Phishing-Masche, bei der Cyberkriminelle gefälschte Links nutzen, um an die Telefonnummer des Nutzers zu gelangen und mit dieser unbefugt ein Gerät an dessen WhatsApp-Konto zu koppeln. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/a8/d3a8e5d0c386e216cb80a9f86adf71c1/0129257881v2.jpeg "Für die Umsetzung der NIS2-Richtlinie brauchen Unternehmen ein klares Bild ihrer Sicherheitsorganisation. Ein Selbst-Audit kann dabei helfen. (Bild: nis2-conform.eu)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b5/30/b530489d0d7e478320d3a335766195d4/0112150345v3.jpeg "Strenger als die DSGVO? In dieser Folge des Security-Insider Podcast vergleichen wir die europäische Regulierung mit chinesischen Vorgaben. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d9/a2/d9a2e8259432f5c1e375670f58f34294/0126917862v2.jpeg "70 Prozent der Verluste für die deutsche Wirtschaft sind auf Cyberangriffe zurückzuführen. Davon machen wiederum Ransomware-Attacken 34 Prozent aus. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/10/b910d719fe856fa9d9328ed695d3684a/97181742.jpeg "Die Gesetzgebung zur Cybersicherheit und zum Datenschutz hat in China an Bedeutung gewonnen, 2019 und 2020 wurden viele neue Vorschriften und Standards eingeführt. (©BirgitKorber - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/31/fc31a6b03fc269e18c9c7ac47364b22c/0126586207v2.jpeg "Krisenkommunikation entscheidet im Ernstfall: Bei Cyberangriffen kommt es auf schnelle, klare und vertrauensbildende Botschaften an. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/03/3e0383143680175e71a12288505aa636/0115780924.jpeg "Ein Incident-Response-Plan ist auf eine Vielzahl von Cyber-Vorfällen anwendbar, während ein Incident-Response-Playbook Maßnahmen definiert, die Unternehmen im Falle eines bestimmten Vorfalls ergreifen sollten. (Bild: ilkercelik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a72262ba39fe4a5012b61c8869f4c0/0126746159v2.jpeg "Audits und Zertifizierungen sind für den Mittelstand keine Hürde, sondern eine Chance für bessere Prozesse und mehr Vertrauen. (Bild: © EDA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/7d/337d437bd76fdf5815e0594017f6a2ed/0124427422v2.jpeg "Neben den technischen Herausforderungen ist der Ernstfall eines Cyberangriffs auch immer eine kommunikative Zerreißprobe für Unternehmen. (Bild: Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/c5/fec5a56fb71c5d8ad4650b121f8a8f85/0126456490v1.jpeg "Forensik und Incident Response halten Unternehmen im Ernstfall handlungsfähig und liefern Erkenntnisse für nachhaltige Sicherheitsstrategien. (Bild: © knowhowfootage - stock.adobe.com)")