Die jüngsten US-Verbote für chinesische Technologieunternehmen (durch Aufnahme in die Entity List der US-Ausfuhrbehörde) sind nicht neu, sondern eine Fortsetzung der anhaltenden Besorgnis über die Unzulänglichkeiten der chinesischen Regierung. Es handelt sich um dieselbe chinesische Regierung, die von chinesischen Unternehmen verlangt, dass sie "die Arbeit des nationalen Geheimdienstes unterstützen, mit ihm kooperieren und zusammenarbeiten", und die Chinas großen technologischen Sprung nach vorn durch die Aneignung von Geschäftsgeheimnissen und Technologien anderer Unternehmen und Regierungen beschleunigt. Die US-Regierung und US-Unternehmen sind zu Recht besorgt, und das schon seit Jahrzehnten. Mehrere chinesische Unternehmen (in der Regel aus der Luft- und Raumfahrtindustrie) und russische Unternehmen (aus der Nuklearindustrie) stehen auf der Entity List seit ihrer Einführung im Jahr 1997, als viele von uns noch Netscape Navigator auf ihren 28,8Kbps- oder 33,6Kbps-Modems verwendeten und nur an ihren örtlichen Universitäten Zugang zum Breitband-Internet (und zu unserer Lieblingssuchmaschine Lycos) hatten. 1997 war vier Jahre vor Chinas Beitritt zur WTO.
Vor zwei Jahrzehnten war es viel schwieriger, Geheimnisse zu stehlen. Im Jahr 2008 äußerten Experten die Sorge, dass Chinas Cyberangriffe "häufiger, gezielter und raffinierter" werden. Mit dem Breitband-Internet haben Telekommunikationsunternehmen wie Huawei heute die Möglichkeit, Software und Hardware mit Malware an praktisch jedem Internetknoten und in praktisch jedem IOT-Gerät einzubetten. Die USA wollen den technologischen Fortschritt Chinas nicht lahmlegen, "nur weil" die USA ein wirtschaftlicher Tyrann sind, auch wenn die chinesische Regierung dies intern immer wieder behauptet. Die USTR-Beschwerde nach Abschnitt 301 konzentriert sich auf Chinas unfaire Handelspraktiken und offene Maßnahmen, die chinesischen Unternehmen die Grundlage für den Erwerb, die erzwungene Weitergabe oder den Diebstahl von Geschäftsgeheimnissen, einschließlich geistigem Eigentum, persönlichen Daten von Kunden und wertvollen technologischen Daten, bieten. Wie wir in einem früheren Blog-Beitrag über Chinas eigenes Cybersicherheitsgesetz erörtert haben, erkennt China den Wert seiner Daten an und verlangt von allen Betreibern kritischer Informationsinfrastrukturen (CII), dass sie alle persönlichen Informationen und wichtigen Daten, die in China gesammelt und generiert wurden, in China behalten. Es ist ihnen nicht gestattet, solche Daten ohne vorherige Sicherheitsüberprüfung ins Ausland zu übermitteln.
US-Unternehmen, die von Cyberkriminalität betroffen sind, wobei China von Sicherheitsexperten als "der weltweit aktivste und hartnäckigste Wirtschaftsspion" bezeichnet wird, haben nicht viele Möglichkeiten, mit diesen fortschrittlichen, anhaltenden Bedrohungen fertig zu werden. Je nach den Informationen, auf die zugegriffen wurde und die infolge des Systembruchs gestohlen wurden, müssen sich die Unternehmen in der Regel um Folgendes kümmern: (1) Schadensbegrenzung (Beruhigung des wertvollen Kundenstamms, dass keine sensiblen Daten gestohlen wurden oder dass "so etwas nie wieder vorkommt"), (2) Verhinderung eines erneuten Hackerangriffs (Verbesserung der Netzwerk- und Sicherheitsmaßnahmen) und (3) Schadensbegrenzung auf dem Markt, wenn gestohlene Geschäftsgeheimnisse von der aufstrebenden chinesischen Konkurrenz genutzt werden (Erhaltung des Unternehmenswertes in der Zukunft, was für die Aktionäre äußerst wichtig ist). Chinesische Hacker haben es auf hochwertige technologische Informationen abgesehen, was bedeutet, dass alle Informationen, die für das US-Unternehmen wertvoll sind, auch für ein ähnliches chinesisches Unternehmen in derselben Branche wertvoll sein werden.
Die USA sehen nicht tatenlos zu, sondern haben vor kurzem fünf chinesische Supercomputer-Unternehmen ins Visier genommen, indem sie sie in die Entity List aufgenommen haben, die sich zu den vier anderen chinesischen Supercomputer-Unternehmen gesellt, die 2015 auf die Liste gesetzt wurden. Die US-Regierung verstärkt auch ihre offensive Cyber-Kriegsführung gegen den Iran, China und andere Länder, und zumindest die chinesischen Hacker schlagen zurück, und sie sind hartnäckig. Welche Möglichkeiten haben US-Unternehmen angesichts so vieler unerbittlicher Angriffe, die manchmal täglich vorkommen? Sie können das Eindringen und den Diebstahl den Strafverfolgungsbehörden auf Bundes- und Landesebene melden, die möglicherweise nicht die Zeit, die Ressourcen oder die Neigung haben, den Hack zu verfolgen (nur 165 Fälle von Computerbetrug wurden vom DOJ im Jahr 2017 und nur 160 im Jahr 2018 verfolgt). Oder aber sie erhalten einen Kampfauftrag und werden in die Reihen der Deputierten im globalen Cyberkonflikt aufgenommen.
Kürzlich hat der US-Abgeordnete Graves aus Georgia die Gesetzesvorlage H.R. 3270 (Active Cyber Defense Certainty Act) eingebracht, die darauf abzielt, die Strafverfolgung von Betrug und damit zusammenhängenden Aktivitäten zu verhindern, die als Abwehrmaßnahmen gegen unbefugtes Eindringen in die Informationsnetze von Unternehmen durchgeführt werden. Kurz gesagt, würde der Gesetzentwurf defensive Hacker vor Strafverfolgung in den USA schützen, wenn sie bestimmte Richtlinien befolgen. Zunächst müssen sie die Straftat den Strafverfolgungsbehörden, insbesondere der National Cyber Investigative Joint Task Force des FBI, melden und grünes Licht für die Durchführung von Abwehrmaßnahmen erhalten (entweder eine voraussichtliche Genehmigung oder eine Genehmigung für den Einsatz von Abwehrmaßnahmen, nachdem sie gehackt wurden). Das FBI kann zusätzliche Hinweise zur Verbesserung dieser Abwehrmaßnahmen geben. Zweitens sollten sie die Verteidigungsmaßnahmen ihres Systems verbessern, indem sie unter anderem verstärkt geschult werden, sichere Passwörter verwenden und ihre Computersysteme regelmäßig aktualisieren und mit Patches versehen. Drittens werden die Verteidiger ermahnt, nicht gegen die Gesetze eines anderen Landes zu verstoßen, in dem sich der Computer des Angreifers befinden könnte. Dies schränkt die Möglichkeiten eines Verteidigers stark ein, aber das entscheidende Wort in der vorgeschlagenen Gesetzgebung ist "Verteidigung", nicht "Angriff". Viertens sollten Cyberabwehrtechniken nur von qualifizierten Verteidigern eingesetzt werden, die ein hohes Maß an Vertrauen in die Zuordnung haben, und es ist äußerste Vorsicht geboten, um zu vermeiden, dass Zwischencomputer (die die Grundlage aller ausgeklügelten Cyberangriffe sind) betroffen sind, die Cyberaktivität eskaliert oder Kollateralschäden verursacht werden (z. B. Körperverletzung, finanzieller Verlust oder Gefährdung der öffentlichen Gesundheit oder Sicherheit, einschließlich der Beeinträchtigung von Computern der US-Regierung). Maßnahmen, die es dem Verteidiger ermöglichen, offensiv zurückzuschlagen und das gesamte System des Angreifers lahmzulegen, sind jedoch nicht zulässig (der Verteidiger kann jedoch fortgesetzte offensive Hackerangriffe auf seine eigenen Systeme unterbrechen).
Die Verteidiger werden weiterhin zivilrechtliche Ansprüche (Schadensersatz und Unterlassungsansprüche) geltend machen können, wenn sie auf diese Abwehrmaßnahmen zurückgreifen. Aktive Cyberverteidigungsmaßnahmen müssen nicht mehr ausschließlich durch internes Cybersecurity-Fachwissen durchgeführt werden, sondern können "auf Anweisung" eines autorisierten Verteidigers erfolgen. Das bedeutet, dass sich die Reihen der Cybersicherheitsfirmen in Zukunft mit Möchtegern-Hackern zur Verteidigung füllen könnten und dass der Rest von uns in den Bestand vertrauenswürdiger und glaubwürdiger US-Cybersicherheitsfirmen investieren sollte. Diese Bedrohungen aus China, Nordkorea, Iran, Russland und anderen Ländern werden weiter zunehmen, nicht abnehmen.
Vielleicht gibt es auch einen kleinen Silberstreif am Horizont. China stiehlt seit Jahrzehnten Geschäftsgeheimnisse zum Nachteil von US-Unternehmen. Doch trotz all seiner Bemühungen hat China auf der Grundlage dieser gestohlenen Technologien noch nicht viel in der robusten heimischen Industrie entwickelt. Das liegt daran, dass die Pläne in der Hand zu haben, nicht dasselbe ist wie das fundierte Fachwissen, das den Plan hervorgebracht hat(siehe Chinas Nachahmer-Luftwaffe). Wann wird China die Fähigkeit (und den Willen) haben, die Stärke der USA im Bereich Forschung und Entwicklung vollständig zu kopieren?
In der Zwischenzeit ist es nach wie vor wichtig, die Sicherheit Ihres Netzes zu bewerten und zu verbessern und alle Personen, die Zugang zu Ihrem Netz haben, zu schulen (und wieder zu schulen).
