China schiebt von den USA beanstandetes Antiterrorgesetz auf

China hat die Einführung eines von der US-Regierung beanstandeten Antiterrorgesetzes vorläufig ausgesetzt. Darüber informiert das Weiße Haus. Das Gesetz sieht vor, ausländische Technikfirmen und Dienstleister dazu zu verpflichten, kryptografische Schlüssel und Quelltexte auszuhändigen sowie Hintertüren einzufügen, um Behörden eine Überwachung Verdächtiger zu ermöglichen.

Daten chinesischer Nutzer sollten zudem in inländischen Rechenzentren vorgehalten werden. Das Gesetz würde „letztlich alle ausländischen Firmen zwingen, auch solche aus den USA, der chinesischen Regierung Mechanismen einzurichten, die ihnen ermöglichen, zu schnüffeln und alle Nutzer dieser Dienste zu verfolgen“, sagte US-Präsident Barack Obama vor zwei Wochen darüber. Er beschwerte sich aus diesem Anlass beim Präsidenten Xi Jinping.

Jetzt berichtete der Cybersecurity-Beauftragte des Weißen Hauses, Michael Daniel, der Agentur Reuters, die chinesische Regierung habe „entschieden, die dritte Lesung dieses Gesetzes zu verschieben, was es fürs erste quasi aufschiebt. Wir hatten das als etwas gesehen, was nicht nur für US-Firmen, sondern die gesamte Weltwirtschaft schlecht ist, und das klar zu kommunizieren schien uns sehr wichtig.“

Auch China Central Television berichtet, dass eine Lesung des Gesetzes nicht für die erste jährliche Sitzung des Nationalen Volkskongresses geplant ist, die vergangene Woche begonnen hat und morgen zu Ende geht. Reuters erfuhr von Volkskongress-Vertreter Wang Aili, die dritte Lesung und Abstimmung würden „zu gegebener Zeit“ stattfinden.

Der erste Entwurf des Gesetzes war Ende 2014 vorgelegt worden. Eine Lesung des zweiten Entwurfs fand vergangenen Monat statt.

Das diesjährige CeBIT-Partnerland China verfolgt seit den NSA-Veröffentlichungen eine gegen westliche IT-Firmen gerichtete Politik. Eine Abschreckung ausländischer IT-Anbieter durch Forderung nach Hintertüren dürfte beabsichtigt sein, würde ein freiwilliger Rückzug von US-Firmen es doch der Regierung erleichtern, die Bevölkerung und Firmen im Land zur Nutzung chinesischer Produkte und Dienste anzuhalten. Zugleich könnte auch das bekannte Kontrollbedürfnis der Machthaber Motiv für das Gesetz sein: Erst vor einem Monat wurde beispielsweise eine allgemeine Online-Registrierungspflicht eingeführt, um die Verbreitung falscher Informationen und von Gerüchten einzudämmen. Wie weit Peking zu gehen aber tatsächlich bereit ist, bleibt Spekulation.

Was Hintertüren und Überwachung angeht, sind die amerikanisch-chinesischen Beziehungen ohnehin belastet. Gerade erst letzt Woche sagte der frühere Direktor für die Geheimdienste Mike McConnell, die chinesische Regierung habe die Systeme „jeder großen US-Firma“ ausspioniert. „Es gab keinen einzigen Fall, wo wir nicht chinesische Malware vorfanden.“ Damit seien Spione in der Lage gewesen, jederzeit Daten nach Wunsch abzuziehen. Betroffen waren laut McConnell beispielsweise „Planungsunterlagen für fortschrittliche Konzepte, Windkraftanlagen, Autos, Flugzeuge, Raumschiffe, Produktionsdesign und Software.“ Gegen Ende der Ära von George W. Bush, also spätestens 2009, habe die chinesische Regierung rund 100.000 Hacker beschäftigt, um in Computersysteme einzudringen.

Durch die Veröffentlichung der Snowden-Dokumente wurde aber auch bekannt, dass der Einbau von Hintertüren keine chinesische Erfindung ist. Demnach integriert der US-Auslandsgeheimdienst National Security Agency derartige „Lösungen“ angeblich in Router, Server und andere Netzwerkgeräte, die in den USA hergestellt werden. Durch die Snowden-Veröffentlichungen ist das Vertrauen in amerikanische Produkte auch im Cloud-Bereich gesunken. Wohl auch deshalb, planen immer mehr US-Firmen Rechenzentren in Europa. Eine Bitkom-Umfrage belegt, dass diese Strategie richtig ist: 74 Prozent der deutschen Firmen fordern von ihrem Cloud-Anbieter, dass sein für die Cloud-Angebote genutztes Rechenzentrum sich im Rechtsgebiet der EU befindet. Allerdings ist der EU-Standort des Rechenzentrums noch nicht für alle deutsche Unternehmen ausreichend: Für mehr als zwei Drittel von ihnen kommen nur Anbieter von Cloud-Lösungen in Betracht, deren Hauptsitz auch in der EU liegt. Schließlich können US-Unternehmen aufgrund des Patriot Act von ihrer Regierung zur Herausgabe von Daten gezwungen werden, auch wenn sich das Rechenzentrum außerhalb der USA befindet.

[mit Material von Eileen Yu, ZDNet.com]