Stand: 28.06.2018 – Status Quo in China

VPN-Verbindungen ins Reich der Mitte

| Autor / Redakteur: Thomas Brosch, Daniel Onnebrink / Andreas Donner

Einst schützte die Chinesische Mauer das Land vor realen Feinden – heute soll die so genannte „Great Firewall of China“ das Reich der Mitte gegen "virtuelle Feinde" absichern.
Einst schützte die Chinesische Mauer das Land vor realen Feinden – heute soll die so genannte „Great Firewall of China“ das Reich der Mitte gegen "virtuelle Feinde" absichern. (Bild: © powerstock - stock.adobe.com)

Die so genannte „Great Firewall of China“ verhindert nicht nur eine Erreichbarkeit von Diensten wie Google, Facebook, Twitter & Co. in China, sondern erschwert auch die Kommunikation von Unternehmen mit ihren dortigen Außenstellen. Ob von der Zensur auch Unternehmens-VPNs betroffen sind und was diesbezüglich unternommen werden kann, zeigen unsere Bestandsaufnahme Lösungsvorschläge.

Mit der permanenten Anbindung von China an das Internet im Jahr 1994 haben auch früh die regulatorischen Anordnungen Einzug gehalten. In der ersten Anordnung aus dem Jahr 1994 (“Regulations of the People’s Republic of China for Safety Protection of Computer Information Systems”) wird bereits auf die Nutzung des Internets im Einklang mit staatlichen Interessen hingewiesen [Vgl. Chen & Yang, 2018, S. 50].

Ebenfalls in den späten 90er Jahren wurden die technischen Weichen für eine weitreichende Zensur der Internetzugänge in China gestellt. Die so genannte „Great Firewall of China“ (GFW oder GFC) wird seitdem vom “National Computer Network Emergency Response Technical Team Coordination Center of China” (CNCERT/CC) unter dem Dach des “Ministry of Industry and Information Technology (MIIT)“ betrieben.

Die Vorgaben, welche Webseiten und Schlüsselwörter geblockt / gefiltert werden sollen, kommen direkt von der chinesischen Regierung. Es wird propagiert, dass der Staat bzw. die chinesischen Bürger anhand der GFW vor negativen, äußeren Einflüssen geschützt werden. In der Praxis zeigt sich jedoch, dass die geblockten Webseiten (z.B. Youtube, Twitter, Facebook, Google und diverse internationale Foren) insbesondere eine freie Meinungsbildung unterstützen würden, was offenbar verhindert werden soll.

Zensur durch die chinesische Regierung

In einer unzensierten Welt werden Websites wie Twitter geladen, wenn der Computer an den Server eine Anfrage sendet. Zusammen mit den angefragten Daten wird die eigene IP-Adresse des Servers zurückgesendet. Die Seite ist erreichbar.

Die „Great Firewall China“ filtert und blockiert „verbotene“ Inhalte, die zwischen den lokalen Servern (China Mainland) und Übersee-Servern fließen. Antworten von IP-Adressen einiger Server werden nicht zugelassen und erreichen damit den lokalen Computer nicht. Mittlerweile gibt es im Internet einige Seiten, mit denen man für bestimmte URLs testen kann, ob die Website derzeit geblockt wird. Zudem gibt es eine Liste, die den aktuellen Status von hoch gerankten Seiten anzeigt.

Ergänzendes zum Thema
 
Kontakt zur nicos AG

Die Chinesen haben in der Vergangenheit jedoch immer wieder Mittel und Wege gefunden, auf „verbotene“ Inhalte zuzugreifen, indem Sie VPN-Dienste genutzt haben, mit denen sie die GFW umgehen konnten. Hierzu wird eine VPN-Software auf einem lokalen Computer und einem entfernten Server installiert und baut zwischen diesen einen verschlüsselten Tunnel auf. Für den Verbindungsaufbau zu Twitter werden die Daten vom lokalen Computer durch den verschlüsselten VPN-Tunnel zu dem entfernten Server außerhalb Chinas gesendet. Dieser stellt eine Verbindung zu Twitter her. Die zurückgesandten verschlüsselten Daten werden nicht von der Firewall als solche erkannt und daher nicht blockiert.

Mit der Regulierung von Internetzugangsdiensten, welche am 22.01.2017 veröffentlicht worden ist, hat der Staat einen erneuten Versuch unternommen, diese Lücke zu schließen. Inoffizielles Ziel der Regulierung war es, alle VPN Dienste abzustellen, die Individuen den Weg in das „freie Internet“ ermöglichen. Die Regulierungsmaßnahmen sollten bis zum 31.03.2018 abgeschlossen werden.

Da deutsche Unternehmen mit ihren Niederlassungen in China i.d.R. über verschlüsselte (VPN) Verbindungen in Kontakt stehen, kam schnell die Befürchtung auf, dass auch diese Verbindungen bis zum 31.03.2018 „reguliert“ bzw. abgestellt werden. Die unsichere Informationslage führte zu entsprechenden Spekulationen in der Presse.

Am 10. Juli 2017 prophezeite Bloomberg über ihre Internetseite „China Tells Carriers to Block Access to Personal VPNs by February“. Das Handelsblatt betitelte einen Artikel vom 18. Januar 2018 mit „China dreht das freie Internet ab“ und stellte insbesondere die Auswirkungen für Unternehmen dar („Noch zwei Wochen, dann verlieren sämtliche Unternehmen in China den Zugang zum freien Internet.“. Und am 19.01.2018 veröffentlicht die Frankfurter Allgemeine Zeitung (FAZ) auf ihrer Internetseite einen Artikel mit der Überschrift „China geht gegen abhörsichere Internetkanäle vor“.

Der Asien-Pazifik-Ausschuss zeigt sich auf der Internetseite des Bundesverbandes der deutschen Industrie (BDI) ebenfalls besorgt über die Entwicklungen. „Die Abschaltung von Virtual-Private-Netzwerk-Tunneln droht den Freiraum für unternehmerisches Handeln zu verengen. […]“, so Hubert Lienhard, Vorsitzender des Asien-Pazifik-Ausschusses der Deutschen Wirtschaft (APA).

Zusammenfassend bringt es die FAZ auf den Punkt: „Niemand außerhalb von Regierung und Partei weiß jedoch bisher sicher, ob, wann und wie das Verbot kommt – zum Beispiel ob über Nacht oder Schritt für Schritt“.

Ein möglicher Effekt der zweiten Mauer, die mit den Regulierungsmaßnahmen der Regierung einhergeht, ist, dass die bisher genutzte VPN-Software keine Verbindung herstellen kann, um den verschlüsselten Tunnel aufzubauen und der Service unterbrochen wird. Weitere Auswirkungen wie beispielsweise die Kontrolle über Smartphones sind nicht auszuschließen. Die Frist ist vom MIIT mittlerweile auf den 31.03.2019 verlängert worden.

Erfahrungen der nicos AG

Als Managed Service Dienstleister in den Bereichen WAN/LAN und Security sowie als Spezialist für providerunabhängige sichere, globale Datenkommunikation, verfügt die nicos AG über 18 Jahre Erfahrung in weltweiter Standortvernetzung mittelständischer, global agierender Unternehmen.

„Performance-Probleme und das Blockieren von Verbindungen von und nach China gehören nach unserer Erfahrung seit vielen Jahren zur Normalität. Wenn eine Verbindung geblockt wird, ist das nicht steuer- oder regelbar, sodass wir in diesen Fällen individuelle Alternativlösungen für unsere Kunden erarbeiten, um die Verbindung der Standorte schnellst möglich wiederherzustellen. Nach unseren bisherigen Erkenntnissen haben sich mit dem Abschluss der Regulierungsmaßnahmen bzw. seit dem 01.04.2018 keine Änderungen in Bezug auf Blocking-Aktivitäten ergeben. Dies stützt unsere Vermutung, dass sich die Regulierungsmaßnahmen in erster Linie auf VPN-Dienste beziehen, die von Individuen genutzt werden und Business-Netzwerke für die grenzüberschreitende Unternehmenskommunikation nicht im Fokus stehen.“

„Auf Basis unserer Erfahrungswerte, lässt sich das Risiko eines Verbindungsausfalls durch den Einsatz von MPLS-Leitungen minimieren. Da es sich hierbei jedoch, im Vergleich zu Internet-VPN-Verbindungen, um eine hochpreisige Lösung handelt, empfiehlt es sich, die Technologie vorrangig für (zeit-)kritische Datenkommunikationen einzusetzen.“

Handlungsempfehlungen

Bevor konkrete Maßnahmen zur Reduzierung von Ausfallrisiken geplant und umgesetzt werden, sollte anhand einer Business Impact Analyse eruiert werden, welche Kommunikationskanäle für die Unternehmen hinsichtlich Verfügbarkeit und Qualität von besonderer Bedeutung sind. Auf Basis der Analyse und einer Bewertung des vorhandenen Ausfallrisikos können entsprechende Maßnahmen zur Reduktion des Ausfallrisikos abgeleitet werden.

Grundsätzlich wird Unternehmen in China empfohlen, dass der Zugriff auf „verbotene Inhalte“ für die Mitarbeiter der lokalen Gesellschaften unterbunden werden sollte – „[…] It is when users are "going" to these "unapproved" sites, that the Chinese government blocks all the traffic” [Nathalie Elizeon (Globalinternet; Partner der nicos AG), per E-Mail am 20.03.2018]. Neben einer Sensibilisierung der Mitarbeiter für “verbotene” Internetadressen und -dienste kann die Internetnutzung über eine zusätzliche, separate Leitung angedacht werden, die von Haus aus der chinesischen Zensur unterliegt.

Eine weitere Reduktion des Ausfallrisikos für eine Verbindung nach Deutschland kann durch die Implementierung von Redundanzen sowohl für Leitungen als auch deren Anbieter erzielt werden.

Was die Erfordernisse von etwaigen, behördlichen Genehmigungen für den gesetzeskonformen Einsatz und die Nutzung von Kryptografie-Produkten in China betrifft, empfehlen wir, mit Rechtsanwälten vor Ort in Kontakt zu treten, um Rechtssicherheit zu erhalten.

Rechtlicher Hinweis

Die Sachlage zum Thema Cyber Security ist in China alles andere als stabil und es bestehen erhebliche Unsicherheiten, auch bei ausgewiesenen Fachleuten. Unserer Erkenntnisse und Empfehlungen wurden auf Basis von nichtamtlichen Übersetzungen aktuell verfügbarer Gesetzesentwürfe formuliert und dienen ausschließlich der Information. Keinesfalls lässt sich ein Anspruch auf Vollständigkeit und Richtigkeit ableiten.

Über die Autoren

Thomas Brosch ist Gründer und Vorstand der nicos AG, Daniel Onnebrink arbeitet als Dipl.-Wirtschaftsinformatiker, CISA, CISM und CSP im Bereich Compliance & Security bei der nicos AG

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45397699 / Management)