Identifikation und Meldepflichten
Fangen wir mit einem Punkt an, der viele meiner Mandanten anfangs überrascht: die Identifikation als Betreiber kritischer Informationsinfrastruktur (CII). Das Netzwerksicherheitsgesetz definiert diese nicht abschließend, sondern überlässt die konkrete Bestimmung den zuständigen Branchenregulatoren. Das klingt vage, und das ist es auch. In der Praxis bedeutet das: Unternehmen aus Bereichen wie Energie, Finanzen, Verkehr, Telekommunikation, aber auch Gesundheitswesen, müssen selbst prüfen, ob ihre Systeme als CII eingestuft werden. Die Hürden können niedriger sein, als man denkt. Stellen Sie sich vor, Ihr Unternehmen betreibt ein Rechenzentrum für die Online-Plattform einer großen Bank. Wenn Ihre Infrastruktur ausfällt, könnte das den gesamten Zahlungsverkehr lahmlegen. Das ist schnell als CII klassifiziert. Die Meldepflicht ist dabei der erste „Weckruf“. Sie müssen nicht nur melden, sondern auch detailliert darlegen, warum Ihre Systeme als kritisch gelten. Ich erinnere mich an einen Fall eines Logistikunternehmens, das dachte, es sei nicht betroffen. Bis der Regulator eine Stichprobe machte und feststellte, dass ihre zentrale Steuerungssoftware für die gesamte Lieferkette als CII eingestuft werden musste. Die Bußgelder und Auflagen kamen postwendend. Das ist kein Papierkrieg, meine Damen und Herren, das ist ein strategischer Prozess, der oft eine umfassende interne Bestandsaufnahme erfordert.
Die Meldung selbst ist kein einmaliger Akt. Sie müssen Änderungen an Ihrer Infrastruktur, Ausweitungen oder Verkleinerungen, sofort melden. Ich kenne einen Hersteller von Medizintechnik, der freudig eine neue Produktionslinie für Diagnosegeräte in Betrieb nahm. Nur leider vergaß er, dass die dazugehörige Datenvernetzung als CII galt und die Erweiterung hätte gemeldet werden müssen. Die Folge: Wochenlange Verzögerungen durch Nachmeldungen, technische Überprüfungen und letztlich eine saftige Verwarnung. Das hätte man vermeiden können, wenn man von Anfang an einen festen Ansprechpartner im Unternehmen für dieses Thema gehabt hätte. Der Regulator erwartet hier Professionalität. Die Fristen sind oft kurz, und die Dokumentationsanforderungen detailliert. Ein Tipp aus der Praxis: Führen Sie ein aktives CII-Register, das kontinuierlich aktualisiert wird, und betrauen Sie einen erfahrenen Compliance-Beauftragten damit. Das mag nach Overhead klingen, aber glauben Sie mir, im Ernstfall ist es Gold wert.
Und was passiert, wenn man nicht rechtzeitig meldet? Nun, das Gesetz sieht empfindliche Strafen vor, die bis zur Betriebsuntersagung reichen können. In der Praxis habe ich gesehen, dass die Behörden zunächst Abhilfeverlangen aussprechen. Aber das ist keine Kulanz, sondern eine letzte Warnung. Unternehmen, die die Meldepflicht als lästige Formalität abtun, setzen ihre gesamte China-Präsenz aufs Spiel. Ich empfehle meinen Mandanten daher dringend, einen externen Rechts- und IT-Sicherheitsberater hinzuzuziehen, der die regulatorische Lage einschätzen kann. Dieser Aufwand ist eine Investition in die Sicherheit des gesamten Geschäftsbetriebs. Denken Sie daran: Die Identifikation als CII ist der erste Schritt in eine neue Form der Governance, die Sie nicht ignorieren können.
Organisatorische und personelle Vorgaben
Kommen wir zu einem Punkt, der oft unterschätzt wird: die organisatorischen und personellen Vorgaben. Das Gesetz verlangt von CII-Betreibern nicht nur technische Maßnahmen, sondern auch eine klare Verantwortungsstruktur. Das klingt banal, ist aber in der Praxis eine echte Herausforderung, besonders für international aufgestellte Unternehmen. Sie müssen eine verantwortliche Person für Netzwerksicherheit benennen, die direkt an die Geschäftsführung berichtet. Das ist nicht einfach der IT-Leiter, der ohnehin schon überlastet ist. Nein, diese Person muss fundierte Kenntnisse in Sicherheitsmanagement und idealerweise auch in chinesischen Rechtsnormen haben. Ich habe einen Mandanten, der einen IT-Direktor aus Singapur eingeflogen hat, der hervorragend war, aber kein Wort chinesisch sprach. Bei einer unangemeldeten Inspektion des Cyberspace Administration of China (CAC) scheiterte die Kommunikation dann komplett. Das Ergebnis: eine Rüge und die Auflage, einen lokal ansässigen und chinesisch-sprachigen Sicherheitsbeauftragten einzustellen. Das war ein teurer und zeitaufwendiger Lernprozess.
Die personellen Vorgaben gehen aber noch weiter. Das Gesetz legt nahe, dass die Sicherheitsverantwortlichen über eine entsprechende Qualifikation verfügen müssen. In der Praxis hat sich ein Markt für Zertifizierungen wie CISP (Certified Information Security Professional) etabliert, die von chinesischen Behörden anerkannt werden. Ich rate meinen Mandanten, mindestens einen Mitarbeiter mit einer solchen Zertifizierung im Team zu haben. Das ist nicht nur eine Formalie, sondern auch ein klares Signal an die Behörden, dass man das Thema ernst nimmt. Zudem müssen Sie regelmäßige Schulungen für alle Mitarbeiter durchführen, die mit dem CII in Berührung kommen. Das klingt nach einem riesigen Aufwand, aber ich habe gesehen, dass Unternehmen, die ein integriertes Schulungssystem mit jährlichen Auffrischungen haben, bei Inspektionen deutlich besser abschneiden. Die Mitarbeiter sind dann sensibilisiert, Phishing-Versuche zu melden oder achten auf ungewöhnliche Systemaktivitäten. Das ist eine echte „Human Firewall“.
Ein weiterer Knackpunkt ist die Dokumentation der Organisation. Sie müssen nachweisen können, wie die Sicherheitsverantwortung im Unternehmen verteilt ist, wer welche Zugriffsrechte hat und wie im Ernstfall Entscheidungen getroffen werden. Das erfordert ein detailliertes Organigramm der Sicherheitsprozesse. Ich habe einmal einen Mandanten erlebt, der bei einer Prüfung 20 verschiedene Powerpoint-Folien vorgelegt hat, um seine Struktur zu erklären. Der Prüfer fragte nur: „Und wo ist die Gesamtverantwortung?“ Das war nicht zu finden. Die Folge war eine Nachforderung, die monatelange interne Diskussionen auslöste. Mein Tipp: Errichten Sie ein klares, hierarchisches Modell mit einer Person an der Spitze. Diese Person muss die nötige Autorität und Ressourcen haben. Denn Sicherheit ist kein IT-Thema, es ist ein Management-Thema. Ohne diese strukturelle Verankerung werden alle technischen Maßnahmen zur Makulatur.
Technische Schutzmaßnahmen und Datenspeicherung
Auf zum technischen Kern: die konkreten Schutzmaßnahmen, die das Gesetz vorschreibt. Hier wird es konkret und oft teuer. Neben den allgemeinen Sicherheitsvorkehrungen wie Firewalls und Verschlüsselung, die man erwarten würde, gibt es spezielle Anforderungen an CII-Betreiber. Dazu gehört unter anderem die Pflicht, ein System zur Erkennung von Netzwerkangriffen (IDS/IPS) zu betreiben, regelmäßige Schwachstellenanalysen durchzuführen und eine Notfallwiederherstellung zu gewährleisten. Aber der wahre Clou ist die Datenspeicherung. Personenbezogene Daten und wichtige Geschäftsdaten, die in China erhoben werden, müssen grundsätzlich im Inland gespeichert werden. Das ist für ausländische Unternehmen, die global agieren, eine große Umstellung. Ich erinnere mich an einen Hersteller von intelligenten Maschinen, der seine Daten in Singapur speicherte. Der Aufwand, diese Daten nach China zu migrieren und gleichzeitig die globalen Geschäftsprozesse zu erhalten, war enorm. Das dauerte fast ein Jahr und kostete einen siebenstelligen Betrag.
Die Datenspeicherung ist aber nicht nur ein technisches, sondern auch ein rechtliches Minenfeld. Das Gesetz erlaubt zwar eine Datenübermittlung ins Ausland unter bestimmten Bedingungen, aber nur nach einer strengen Sicherheitsprüfung durch die zuständige Behörde. Diese Prüfung kann Monate dauern und erfordert eine detaillierte Erklärung, warum die Datenübertragung notwendig ist, wie die Daten geschützt werden und welche Maßnahmen zur Einhaltung der chinesischen Gesetze getroffen werden. Ich habe einen Fall erlebt, bei dem ein deutscher Automobilzulieferer seine globalen Logistikdaten mit der Zentrale teilen wollte. Die Daten enthielten aber auch Produktionsdaten, die als geschäftskritisch eingestuft wurden. Der Behörde war das zu heikel – sie genehmigte die Übermittlung nur für einen Teil der Daten und verlangte eine zusätzliche Verschlüsselung. Das hat zu Verzögerungen von einem halben Jahr in der globalen Supply-Chain geführt. Man muss also von Anfang an eine „Data-Governance-Strategie“ für China entwickeln, die diese Hürden einkalkuliert.
Und was ist mit der konkreten Technik? Das Gesetz verlangt, dass CII-Betreiber „zuverlässige“ Produkte und Dienstleistungen einsetzen sollen. Das klingt harmlos, öffnet aber die Tür für die Bevorzugung zertifizierter chinesischer Anbieter. In der Praxis sehen wir immer wieder, dass Unternehmen ausländische Hardware und Software verwenden, aber dann bei der Zertifizierung durch das CAC auf Probleme stoßen. Ein bekannter Fall ist die Nutzung ausländischer Cloud-Dienste, die nicht die alle relevanten chinesischen Sicherheitszertifikate vorweisen können. Ich empfehle meinen Mandanten, sich frühzeitig mit lokalen Anbietern auszutauschen und eine Kombination aus internationalen und lokalen Produkten zu prüfen. Das ist wie ein maßgeschneiderter Anzug: nicht schön, aber passend. Und lassen Sie mich noch einen Tipp einfügen: Achten Sie auf die regelmäßigen Sicherheits-Updates und Patches, die behördlich gefordert werden können. Der Aufwand hierfür wird oft unterschätzt, ist aber bei Prüfungen ein kritischer Punkt.
Risikobewertung und Notfallpläne
Ein weiterer zentraler Punkt, der oft stiefmütterlich behandelt wird, ist die Pflicht zur regelmäßigen Risikobewertung. Das Gesetz schreibt vor, dass CII-Betreiber eine umfassende Sicherheitsrisikobewertung für ihre Netzwerksysteme durchführen müssen. Diese Bewertung muss nicht nur einmalig erfolgen, sondern mindestens jährlich wiederholt werden, und bei wesentlichen Änderungen der Infrastruktur ist eine sofortige Neubewertung fällig. Das klingt nach einer lästigen Pflicht, aber ich sehe darin auch eine Chance. Ein Unternehmen, das systematisch seine Risiken analysiert, identifiziert auch Schwachstellen in IT- und OT-Systemen, die sonst unbemerkt bleiben. Ich hatte einen Mandanten, der ein großes Logistiknetzwerk betrieb. Die externe Prüfung durch ein vom CAC zugelassenes Prüfinstitut deckte auf, dass ein veraltetes Protokoll für die Kommunikation zwischen Lagern und der Zentrale eine große Sicherheitslücke darstellte. Ohne diese Bewertung wäre das nie aufgefallen. Die darauffolgende Behebung verhinderte wahrscheinlich einen größeren Ausfall.
Der Schlüssel zur erfolgreichen Risikobewertung liegt in der Methodik. Die Prüfinstitute erwarten eine standardisierte Vorgehensweise, die sich an den „Cybersecurity Classified Protection (MLPS)“-Standards orientiert. Das ist ein chinesischer Klassifizierungsstandard für Netzwerksicherheit. Für CII-Betreiber ist die höchste Stufe (Level 3 oder 4) oft Pflicht. Die Bewertung umfasst nicht nur technische Schwachstellen, sondern auch organisatorische, physische und managementbezogene Aspekte. Das bedeutet, Sie müssen Ihren gesamten Sicherheitsansatz offenlegen. Ein Tipp aus der Praxis: Beauftragen Sie ein zertifiziertes Prüfinstitut mit der Durchführung. Diese kennen die aktuellen Anforderungen und können Ihre Bewertung so gestalten, dass sie den Behördenstandards entspricht. Eigenes „Malen nach Zahlen“ wird in der Regel nicht akzeptiert.
Und dann sind da noch die Notfallpläne. Das Gesetz verlangt einen detaillierten Notfallplan für Netzwerksicherheitsvorfälle. Dieser Plan muss nicht nur auf dem Papier stehen, sondern auch regelmäßig geübt werden. Eine erfolgreiche Übung kann ich Ihnen nur wärmstens ans Herz legen. Ich habe einen Mandanten, der einen globalen Finanzdienstleister vertritt. Die Führungsetage war der Meinung, ein schriftlicher Plan reicht. Bei einer unangekündigten Übung durch die Behörde dauerte es drei Stunden, bis der Notfallstab zusammengerufen war, und die Kommunikation war chaotisch. Die Behörde war not amused und verhängte Auflagen für monatliche Übungen. Das hat das Unternehmen viel Zeit und Geld gekostet. Mein Rat: Etablieren Sie ein „Table-Top-Exercise“-Programm, in dem alle Abteilungen, inklusive der Geschäftsführung, den Ernstfall durchspielen. Das bringt nicht nur die Prozesse in Ordnung, sondern schweißt das Team zusammen. Denn im Ernstfall zählt jede Minute.
Produkt- und Dienstleistungszertifizierung
Ein Punkt, der viele ausländische Unternehmen überrascht, ist die Pflicht zur Verwendung zertifizierter Produkte und Dienstleistungen. Das Gesetz besagt, dass Betreiber von CII „beim Kauf von Netzwerkprodukten und -dienstleistungen, die die nationale Sicherheit und das öffentliche Interesse beeinflussen können, einer Sicherheitsüberprüfung durch die zuständige Behörde unterziehen müssen.“ Das klingt harmlos, hat aber weitreichende Folgen. In der Praxis müssen viele Produkte, die aus dem Ausland kommen, eine spezielle Überprüfung durchlaufen. Diese Überprüfung kann Monate dauern und ist nicht billig. Ich habe erlebt, dass ein Unternehmen eine neue, hochmoderne Firewall von einem US-Hersteller installieren wollte. Die Zertifizierung durch die Behörde zog sich über neun Monate hin, weil die Prüfer Fragen zur Verschlüsselungsstärke und zur Datenverarbeitung hatten. In der Zwischenzeit musste der alte, weniger effiziente Dienst weiterbetrieben werden.
Die Konsequenz daraus: Viele CII-Betreiber wählen bewusst Produkte von chinesischen Herstellern, die bereits zertifiziert sind. Das ist zwar nicht zwingend vorgeschrieben, aber es vereinfacht den Prozess erheblich. Eine strategische Partnerschaft mit einem chinesischen Technologieanbieter kann also nicht nur die Compliance erleichtern, sondern auch Geschwindigkeit gewinnen. Ein Beispiel: Ein deutscher Automobilzulieferer, der eine neue Produktionsanlage in China aufbaute, entschied sich für die Steuerungssoftware eines chinesischen Anbieters, der bereits die MLPS-Zertifizierung für CII hatte. Das war klug, denn so entfielen die langwierigen behördlichen Prüfungen, und die Inbetriebnahme konnte schneller erfolgen.
Die Sicherheitsüberprüfung ist aber nicht nur auf Hardware beschränkt. Auch Cloud-Dienste, Datenbanken und sogar Beratungsdienstleistungen können unter diese Regel fallen. Ich empfehle meinen Mandanten, frühzeitig eine Liste aller verwendeten Produkte und Dienstleistungen zu erstellen und diese auf den Prüfstand zu stellen. Fragen Sie sich: Benötigt mein System eine Sicherheitsüberprüfung? Wenn ja, reichen Sie diese rechtzeitig ein. In der Praxis habe ich gesehen, dass Unternehmen, die proaktiv mit den Behörden kommunizieren und die Prüfung vor dem Kauf einleiten, deutlich schneller vorankommen. Denn der Behörde geht es nicht darum, zu blockieren, sondern zu kontrollieren, dass keine Hintertüren oder Kompromittierungen vorhanden sind. Wenn Sie zeigen, dass Sie verantwortungsvoll handeln, steigt Ihre Glaubwürdigkeit.
Meldepflicht von Sicherheitsvorfällen
Kommen wir zu einem besonders heiklen Punkt: der Meldepflicht von Sicherheitsvorfällen. Das Netzwerksicherheitsgesetz sieht vor, dass CII-Betreiber einen erkannten Sicherheitsvorfall unverzüglich melden müssen. „Unverzüglich“ heißt in diesem Fall nicht „innerhalb einer Woche“, sondern oft innerhalb von Stunden. Die Meldung muss an das nationale Zentrum zur Reaktion auf Netzwerksicherheitsvorfälle sowie an die zuständige Branchenbehörde erfolgen. Das ist ein absolutes Muss, und ich kann nicht oft genug betonen, wie wichtig eine klare interne Meldekette ist. Ich habe einen Mandanten erlebt, bei dem ein Mitarbeiter einen verdächtigen Zugriff auf das System bemerkte, es aber erst einen Tag später seinem Vorgesetzten meldete. Der Vorgesetzte informierte dann die IT-Abteilung, die wiederum den Vorfall analysierte, und die Meldung nach außen erfolgte erst nach drei Tagen. Das war ein eklatanter Verstoß. Die Strafe: eine hohe Geldbuße und die Auflage, das interne Meldewesen komplett neu aufzusetzen.
Die Meldung selbst muss umfassend sein. Sie müssen den Vorfall detailliert beschreiben, einschließlich der Art des Angriffs, der betroffenen Systeme, der Daten, die möglicherweise abgeflossen sind, und der bereits ergriffenen Maßnahmen. Die Behörden erwarten hier Transparenz. Versuchen Sie nicht, etwas zu verschweigen oder herunterzuspielen, denn das wird als schwerer Vertrauensbruch gewertet. Ich rate meinen Mandanten, ein „Forensik-Team“ zu haben, das sofort mit der Analyse beginnen kann. Die gesetzlichen Fristen sind so kurz, dass Sie keine Zeit für interne Abstimmungen haben. Ein Unternehmen sollte daher eine Vorlage für die Meldung bereithalten, die nur noch mit den konkreten Daten gefüllt werden muss. Das klingt bürokratisch, spart aber im Ernstfall lebenswichtige Zeit.
Und was ist mit der Kommunikation nach innen und außen? Das Gesetz schreibt vor, dass der Vorfall auch den betroffenen Kunden und Nutzern gemeldet werden muss, wenn deren Daten betroffen sind. Das ist eine weitere Hürde. Ich empfehle, einen Kommunikationsplan zu entwickeln, der festlegt, wer was wann sagt. Die Pressestelle muss geschult sein, denn Panikmeldungen können das Unternehmen schwer schädigen. Ein guter Tipp: Führen Sie einen „Dry-Run“ der Meldepflicht durch, mit einem simulierten Vorfall. Das zeigt die Lücken im System auf. Ich habe das mit einigen Mandanten gemacht, und die Ergebnisse waren immer ernüchternd. Es dauerte Stunden, die richtigen Personen zu erreichen, und die Information war oft unvollständig. Aber nach drei bis vier Übungen wurde es besser. Und das Vertrauen der Behörden wuchs. Denn sie sehen, dass das Unternehmen das Thema ernst nimmt.
Zusammenarbeit mit den Behörden
Ein letzter, aber keineswegs unwichtiger Punkt ist die Zusammenarbeit mit den Behörden. Das Gesetz verpflichtet CII-Betreiber, nicht nur zu melden, sondern auch proaktiv mit den Regulierungsbehörden zusammenzuarbeiten. Dazu gehört die Teilnahme an Informationsaustauschforen, die Umsetzung von behördlichen Anweisungen und die Duldung von Inspektionen. Ich habe die Erfahrung gemacht, dass Unternehmen, die diese Zusammenarbeit als lästige Pflicht ansehen, am Ende mehr Probleme haben. Ein Beispiel: Ein ausländisches Handelsunternehmen weigerte sich, einem Inspektionsteam Zugang zu einem Datenserver zu gewähren, weil es den Begriff „nationale Sicherheit“ zu vage fand. Das führte zu einer sofortigen Anordnung des Zugangs und einer Strafe. Der Inspektor sagte später zu mir: „Wir hätten nur eine Bestandsaufnahme machen wollen, aber die Verweigerung hat uns misstrauisch gemacht.“ Das Unternehmen hatte sich keine Freunde gemacht.
Die Zusammenarbeit kann aber auch Vorteile bringen. Die Behörden bieten oft Schulungen und Leitfäden an, um die Einhaltung zu erleichtern. Ich habe Mandanten, die regelmäßig an den Workshops des lokalen Cyberspace Administrations teilnehmen. Das kostet Zeit, aber sie bekommen wichtige Informationen aus erster Hand, die in keinem Gesetzblatt stehen. Zudem zeigt es, dass man ein verantwortungsvoller Akteur ist. Bei späteren Prüfungen sind diese Unternehmen oft im Vorteil, weil die Behörden auf eine Vertrauensbasis zurückgreifen können. Einmal hatte ich einen Mandanten, der während einer Inspektion eine Frage zu einem neuen Sicherheitsprotokoll hatte. Der Inspektor half sogar bei der Lösung, weil er wusste, dass das Unternehmen bemüht war.
Ein weiterer Punkt ist die Teilnahme an der nationalen Notfallreaktion. Im Falle eines landesweiten Cyberangriffs können die Behörden CII-Betreiber auffordern, ihre Ressourcen zur Verfügung zu stellen. Das klingt beeindruckend, ist aber in der Praxis ein Zeichen von Vertrauen. Unternehmen, die sich als kooperativ erweisen, werden als zuverlässige Partner angesehen. Mein Rat: Bauen Sie eine Beziehung zu den zuständigen Stellen auf, bevor der Ernstfall eintritt. Ein Anruf beim lokalen CAC-Büro, um sich vorzustellen und über den Sicherheitsstatus Ihres Unternehmens zu informieren, kann Wunder wirken. Sie sind dann kein unbekannter Buchstabe auf einem Blatt Papier, sondern ein Gesicht, das die Behörde kennt. Vertrauen ist auf diesem Gebiet das größte Kapital.
