Suchen

China und die Cloud Welche Sicherheitsvorgaben bestehen in Fernost?

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Florian Karlstetter

Wer cloudbasierte Dienste für Behörden und kritische Infrastrukturen in China anbieten oder Daten mit chinesischen Standorten austauschen will, muss spezielle Security-Vorgaben aus China beachten. Dabei reicht es nicht, sich auf eine Einhaltung der Datenschutz-Grundverordnung (DSGVO / GDPR) der EU zu verlassen. GDPR-Compliance reicht für China nicht aus, es gibt andere Vorgaben und ein eigenes Cloud Security Assessment.

Firmen zum Thema

China und die Cloud – worauf man in puncto Sicherheit achten sollte.
China und die Cloud – worauf man in puncto Sicherheit achten sollte.
(Bild: © BirgitKorber - stock.adobe.com)

Der riesige Cloud-Markt in China lockt, viele Cloud-Anbieter aus Europa würden gerne daran teilhaben. Aber auch andere Unternehmen drängen auf den China-Markt und möchten dort Niederlassungen gründen. Kommt es aber zum Datenaustausch über die Grenzen von China oder sollen cloudbasierte Dienste für Behörden und Infrastrukturbetreiber in China angeboten werden, müssen spezielle Sicherheitsvorgaben eingehalten werden.

Aktuell befinden sich zum Beispiel Vorgaben wie „Measures on Security Assessment of Cross-Border Transfer of Personal Information“ oder „Measures for the Publication of Cybersecurity Threat Information“ in China in Vorbereitung, also beispielsweise Meldepflichten zu sicherheitsrelevanten Vorfällen und Pflichten zur Absicherung des grenzüberschreitenden, personenbezogenen Datenverkehrs.

„Die digitale Wirtschaft hat nicht nur Chancen, sondern auch potenzielle Risiken mit sich gebracht“, sagte Zhang Wang, stellvertretender Direktor der Cyberspace Administration of China. „In den letzten Jahren sind häufig eine Reihe von Problemen aufgetreten, darunter Sicherheitslücken, Datenlecks und Cyber-Angriffe, die den Schutz von Einzelpersonen, Unternehmen und der Nation vor große Herausforderungen stellen“, so Zhang.

Angesichts der wachsenden Cyberbedrohungen müsse China nach Ansicht von Zhong Zhong, stellvertretender Direktor des Büros für Cybersicherheit des chinesischen Ministeriums für öffentliche Sicherheit, Regeln und Vorschriften festlegen, die wirksam umgesetzt werden.

„Als Nächstes sollten wir die Verpflichtungen des Internetdienstanbieters und die relevanten Technologiestandards näher erläutern, um die Umsetzung der Gesetze und Vorschriften zur Cybersicherheit zu unterstützen“, fügte Zhong hinzu.

Tatsächlich gibt es bereits eine Reihe von Security-Vorschriften in China, die auch Cloud-Dienste betreffen.

Security Assessments für spezielle Cloud-Dienste

Die Cyberspace Administration of China (CAC), die Nationale Entwicklungs- und Reformkommission, das Ministerium für Industrie und Informationstechnologie und das Finanzministerium haben zum Beispiel in den letzten Monaten die „Sicherheitsbewertungsmaßnahmen für Cloud Computing-Dienste“ veröffentlicht. Sie betreffen speziell Cloud-Dienste, die sich an Behörden oder Betreiber kritischer Infrastrukturen richten.

Durch diese Maßnahmen wird innerhalb des CAC ein neues Büro zur Verwaltung von Sicherheitsbewertungen eingerichtet, die von externen technischen Organisationen durchgeführt werden.

Die Cloud-Service-Sicherheitszertifizierung (Cyberspace Administration of China (CAC)) ist somit eine Sicherheitsüberprüfung durch Dritte. Die Cloud-Service-Plattform von Huawei Cloud für elektronische Behördendienste zum Beispiel hat diese Sicherheitsüberprüfung (Enhanced Level) bereits bestanden. Dies zeige, dass die Cloud-Plattform von Huawei für elektronische Behördendienste von Chinas führender Organisation für Cybersicherheitsmanagement in Bezug auf Sicherheit und Kontrollierbarkeit anerkannt wurde, so der Anbieter.

Zu den Vorgaben aus dem Cloud Security Assessment zählt insbesondere die Bereitstellung von Informationen über

  • Grundlegende Umstände wie das Guthaben und der Betriebsstatus des Betreibers, der die Cloud-Plattform verwaltet (im Folgenden als „Cloud-Dienstanbieter“ bezeichnet)
  • Hintergrund des Personals von Cloud-Dienstanbietern, insbesondere derjenigen, die auf Kundendaten zugreifen und relevante Metadaten sammeln können
  • Sicherheit der Technologie-, Produkt- und Service-Lieferkette der Cloud-Plattform
  • Sicherheitsverwaltungsfunktionen von Cloud-Dienstanbietern und den Sicherheitsschutz von Cloud-Plattformen
  • Durchführbarkeit der Kundendatenübertragbarkeit
  • Geschäftskontinuität des Cloud Service Providers
  • andere Faktoren, die sich auf die Sicherheit von Cloud-Diensten auswirken können.

Cloud-Diensteanbieter, die eine Sicherheitsbewertung beantragen wollen, müssen insbesondere die folgenden Unterlagen übermitteln:

  • Sicherheitsplan für Cloud-Computing-Service-Systeme
  • Berichte zur Geschäftskontinuität und Sicherheit der Lieferkette
  • Analyse der Portabilität von Kundendaten
  • weitere für die Sicherheitsbewertung erforderliche Materialien

Nun ist es an den Anbietern aus anderen Ländern, sich entsprechend zertifizieren zu lassen, wenn solche Cloud-Dienste in China angeboten werden sollen. Oder man sucht sich Cloud-Partner, die bereits in Fernost etabliert und zertifiziert sind.

(ID:46363489)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research