(openPR) Berlin, 08.02.2010 - Der IT-Sicherheitsverband TeleTrusT kritisiert die Pläne Chinas, den Marktzugang für ausländische IT-Sicherheitsprodukte zu erschweren. Der Verband fordert ein abgestimmtes Vorgehen der deutschen IT-Sicherheitsindustrie und verweist auf international gültige Normen. Die geplanten Regelungen führten zu einer Wettbewerbsverzerrung zu Ungunsten nicht-chinesischer Anbieter.
Nach Informationen aus EU-Kreisen muss davon ausgegangen werden, dass China beabsichtigt, "Maßnahmen für Informationssicherheit" als Teil einer nationalen Initiative zur "Steigerung der Sicherheit der Bevölkerung und der staatlichen Institutionen auf allen Ebenen" umzusetzen. Dies betrifft insbesondere auch den Bereich IT-Sicherheit, der als integraler Teil der staatlichen Sicherheit angesehen wird. Die IT-sicherheitsbezogenen Maßgaben bestehen aus einem komplexen Bündel veröffentlichter und nicht-öffentlicher Richtlinien, Gesetze und Regularien, darunter auch solche zum Thema "Verschlüsselung". Es können kaum Zweifel an der Absicht bestehen, diese Maßgaben stringent durchzusetzen und IT-Sicherheit verstärkter staatlicher Kontrolle zu unterwerfen. Die Kernelemente für die Implementierung dieser Strategie sind Auditierung und Klassifizierung technischer Systeme, Produkte und Dienstleistungen, gestützt auf Konformitätsanforderungen. Beispiel für ein solches Klassifizierungsschema ist das "Multi-Layer-Protection-Scheme (MLPS)".
Dabei sollte beachtet werden, dass China aus Erfahrungen der Vergangenheit lernt, im Besonderen aus Bemühungen, die nicht in Gänze den politischen angestrebten Erfolg gebracht haben Beispiele dafür sind der chinesische Standard für "Wireless Communication Security" - WAPI – oder die Filter-Software "Green Dam". China hat daraus die Schlussfolgerung gezogen, einen nachhaltigen, umfassenden Sicherheitsansatz zu verfolgen. Dies mündet in strikten Auflagen, aus denen sich Konsequenzen für das Engagement der deutschen IT-Sicherheitsindustrie auf dem chinesischen Markt ergeben können.
Die deutsche IT-Sicherheitsindustrie ist darüber besorgt, dass in den Bereichen, die von China als sensitiv für die nationale Sicherheit angesehen werden, der Marktzugang erschwert bis unmöglich werden könnte, bzw. dass als Zugangsvoraussetzung geistige Eigentumsrechte an China transferiert werden müssten. Die Besorgnis, nicht nur unter deutschen IT-Sicherheitsvertretern, speist sich daraus, dass hierbei Grundprinzipien des internationalen Handels unterminiert werden. Die Branche sieht sich betroffen von den geplanten Regulierungen, wenngleich auch einige der Maßnahmen bislang auf Freiwilligkeit beruhen, wie in Treffen zwischen europäischen und chinesischen Regierungsvertretern klargestellt wurde:
1) Zertifizierung für kryptografische Produkte:
Gemäß den derzeit bekannten Zertifizierungsregeln des chinesischen OSCCA ("Office of State Commercial Cryptography Administration") sind ausländische Unternehmen von der Möglichkeit zum Beispiel der OSCCA-Zertifizierung ausgenommen, was sie von der Marktteilnahme in weiten Bereichen faktisch ausschließt, da diese Zertifizierung für viele Produktkategorien vorgeschrieben ist.
2) Neue Zolltarifklassifizierung für kryptografische Produkte:
Die neuen Zolltarife ermöglichen die Identifizierung kryptografischer Produkte und deren Ausgrenzung, wenn sie die vorgeschriebenen nationalen Zertifizierungen nicht aufweisen.
3) Offenlegung von Software:
Um bestimmte Zertifizierungen zu erlangen, müssen Sicherheitsschlüssel, Software-Design und Teile des Source Codes offengelegt werden, was nach Ansicht der Industrie nicht nur die Sicherheit der Produkte beeinträchtigt, sondern auch ein Know-how-Leck sein kann.
Diese Maßnahmen legen die Vermutung nahe, dass es neben den Überlegungen zur nationalen Sicherheit auch um die Stärkung der chinesischen nationalen IT-Industrie und um eine Abschottung des einheimischen Marktes bzw. um die Erlangung fremden Know-hows geht.
Dr. Holger Mühlbauer, TeleTrusT-Geschäftsführer: "TeleTrusT unterstützt ausdrücklich die Aktivitäten der supranationalen, Standards setzenden Institutionen. Diese sind darauf gerichtet, konsensbasierte internationale Normen zu schaffen, wie beispielsweise die ISO 'Common Criteria' oder den AES-Standard (ISO-Norm). TeleTrusT befürwortet die koordinierenden Bemühungen der Internationalen Normungsorganisationen (ISO/IEC) und des Europäischen Komitees für Normung (CEN bzw. CENELEC). Nationale Abschottung durch Normung und Konformitätsbewertung muss vermieden werden. TeleTrusT fordert ein abgestimmtes Vorgehen der deutschen IT-Sicherheitsindustrie sowie die Unterstützung der Bundesregierung in dieser Frage."
