Suche

12.02.2018

Russland verschärft Anforderungen an IT-Sicherheit

Jarowaja-Gesetz tritt 2018 in Kraft / Nutzung von VPN-Netzwerken eingeschränkt / Von Hans-Jürgen Wittmann

Moskau (GTAI) - Russland will seine kritische IT-Infrastruktur und sensible Daten besser vor Hackerangriffen aus dem Internet schützen. Ein neues Gesetz dient zur Abwehr von Terrorangriffen und Cyberattacken und zur Vorratsdatenspeicherung. Auch das Verbot des Zugriffs auf gesperrte Internetressourcen mithilfe von VPN-Diensten, Proxy-Servern und Anonymizern soll zu mehr IT-Sicherheit beitragen. Diese Vorschriften betreffen auch ausländische Unternehmen in Russland, die ihre Infrastruktur nachrüsten müssen.

Die russische Regierung plant, mit dem Programm "Digitale Wirtschaft" bis Ende 2024 alle Bereiche des öffentlichen Lebens in Russland zu digitalisieren. Ein Teilprogramm ist der Informationssicherheit gewidmet. Für den Aufbau föderaler und regionaler Cyberabwehrzentren und die Substitution ausländischer durch russische Software stehen etwa 500 Millionen Euro bereit. Bereits jetzt sind Daten in Russland relativ sicher: Im Rating des Globalen Cybersecurity Index der International Telecommunication Union (ITU) belegt Russland Platz 10, weit vor Deutschland auf Platz 24.

Informationssicherheit wird groß geschrieben

Am 1. Februar 2018 trat das Gesetz Nr. 187 "Über kritische Infrastruktur" in Russland in Kraft. Ziel ist die Verhinderung eines unrechtmäßigen Zugangs zu sicherheitsrelevanten Daten. Behörden und Unternehmen, die sensible Infrastruktur oder Daten nutzen, müssen bis Ende des 1. Halbjahres 2018 Zentren zur Abwehr von Cyberattacken (GosSOPKA) einrichten. Im Falle von Hackerangriffen müssen sie mit dem Nationalen Koordinationszentrum für Computer-Incidents (NKZKI) zusammenarbeiten.

Die Firmen Solar Security und Positive Technologies haben bereits damit begonnen, solche Cyberabwehrzentren aufzubauen. Deutsche Unternehmen, deren Anlagen in Russland einen potenziellen Angriffspunkt bieten, wie in der chemischen Industrie und der Energiewirtschaft, sollten sich verstärkt um die Sicherheit ihrer Systeme kümmern.

Für die Sicherheit des Internet der Dinge (Internet of Things - IoT) wird in Russland ein eigenes Betriebssystem entwickelt. Bis 2018 sollen erste Pläne vorliegen, wie die Sicherheit automatischer Managementsysteme in Produktionsprozessen gewährleistet werden kann. Bis Ende 2021 soll das System einsatzbereit sein. Die Kosten betragen etwa 21,5 Millionen Euro.

Außerdem will die russische Regierung bis September 2019 ein Gesetz ausarbeiten, aufgrund dessen IoT-Geräte verpflichtend registriert werden müssen. So sollen Hackerangriffe verhindert werden. Das Programm "Digitale Wirtschaft" sieht für 2018 ferner vor, ein einheitliches System für die Autorisierung des Zugangs zu WiFi-Netzen für staatliche Organe zu schaffen.

Die Furcht vor Hackerangriffen ist berechtigt. Etwa jedes fünfte russische Unternehmen wurde 2017 zum Opfer. Die Verluste beliefen sich auf etwa 1,7 Milliarden Euro. Der durchschnittliche Schaden einer Cyberattacke betrug etwa 4.300 Euro.

Jarowaja-Gesetz tritt später in Kraft

Das neue Gesetzespaket zur Abwehr von Terrorangriffen und Cyberattacken sowie zur Vorratsdatenspeicherung, das von der Duma-Abgeordneten Irina Jarowaja eingebracht und nach ihr benannt wurde, sollte ursprünglich Anfang Juli 2018 in Kraft treten. Es verpflichtet alle Mobilfunk- und Internetanbieter dazu, alle Metadaten und alle Verbindungsinhalte für bis zu sechs Monate zu speichern.

Für 1 Gigabit pro Sekunde der Netzkapazität sollten 0,35 Petabyte Speichervolumen vorhanden sein. Dies überfordert jedoch die technischen Möglichkeiten der Provider. Für die Nachrüstung ihrer Speicherkapazitäten müssten sie etwa 250 Milliarden Euro ausgeben, schätzt der Russische Verband der Unternehmer und Industriellen (RSPP). Das würde zu steigenden Telekommunikationskosten für die Endverbraucher führen.

Lobbyverbände intervenierten erfolgreich bei der Regierung und erreichten einige Anpassungen des Gesetzes. Es wurde eine andere Berechnungsformel für die vorzuhaltende Speicherkapazität ermittelt, die nicht von der Netzwerkkapazität ausgeht, sondern von der faktischen Datenmenge. Inhalte müssen nunmehr nur noch 30 Tage gespeichert werden und der zu speichernde Umfang wird verringert. Damit sinken die Mehrkosten für die Provider auf ein annehmbares Maß. Die russische Regierung muss diese Abmilderung allerdings erst noch bestätigen. Da noch keine Durchführungsnormen verabschiedet wurden und die Netzbetreiber noch technische Lösungen erproben wollen, könnte das Gesetz erst Anfang Oktober 2018 in Kraft treten.

VPN-Verbindungen nur eingeschränkt nutzbar

Zu einer höheren Informationssicherheit soll auch das Verbot des Zugriffs auf gesperrte Internetressourcen mit Hilfe von VPN-Netzwerken, Proxy-Servern und Anonymizern beitragen. Es ist am 1. November 2017 mit dem föderalem Gesetz Nr. 276-FZ vom 29. Juli 2017 in Kraft getreten. Das Gesetz verbietet, spezielle Software oder Servicedienstleistungen zu benutzen, um Zugang zu in Russland blockierten Internetressourcen zu erlangen. Die Liste der verbotenen Internetseiten ist öffentlich einsehbar unter: https://reestr.rublacklist.net und https://276-fz.rkn.gov.ru

Dabei werden VPN-Technologien nicht grundsätzlich verbannt. Es ist lediglich verboten, diese für den Zugang zu in Russland blockierten Internetseiten zu nutzen. Unter VPN-Technologien werden verstanden:

- virtuelle Privatnetze (Virtual Private Network - VPN),

- anonyme Proxy-Server,

- einige Arten von Routern,

- Software und Hardware, die vergleichbare Funktionen ausübt.

Das Gesetz richtet sich dabei nicht an die Nutzer, sondern an die Inhaber von VPN-Technologien. Die Einhaltung der Vorschriften wird von der russischen Aufsichtsbehörde für Telekommunikation, Internet und Massenmedien Roskomnadzor überwacht. Diese hat die Aufgabe, alle Inhaber von VPN-Technologien zu identifizieren. Dabei arbeitet Roskomnadzor direkt mit den Hosting-Providern und der Polizeibehörde zusammen.

Sobald die Inhaber von VPN-Technologien festgestellt sind, sendet Roskomnadzor ihnen Benachrichtigungen in russischer und englischer Sprache über die Notwendigkeit, sich im sogenannten speziellen Informationssystem einzuloggen und den Zugang zu den in Russland blockierten Internetressourcen zu sperren. Sollte ein Inhaber von VPN-Technologien die Anforderungen des Gesetzes nicht umsetzen, so kann seine entsprechende Internetressource für Russland gesperrt werden.

Von der Regelung betroffen sind auch Kommunikation. Finanztransaktionen und das Intranet von Unternehmen. Dennoch können Unternehmen etwas aufatmen: Im Voraus bestimmte Mitarbeiter dürfen VPN-Technologien für "technologische Zwecke zur Gewährleistung ihrer Tätigkeit" (also für ihre berufliche Tätigkeit) weiterhin nutzen.

Erste Erfahrungsberichte zeigen, dass deutsche Unternehmen gelernt haben, mit dem VPN-Verbot zu leben: "Bei der Einführung des Gesetzes war die Aufregung in der deutschen Unternehmerschaft in Russland groß. Doch hat die Regelung für deutsche Firmen kaum Veränderungen mit sich gebracht. VPN-Netzwerke dürfen zu dienstlichen Zwecken weiterhin benutzt werden, weil hier die im Gesetz verankerte Ausnahmeregelung greift", erklärt Dmitrij Kononenko, Bereichsleiter Digitalisierung und Zukunftstechnologien bei der Deutsch-Russischen Auslandshandelskammer (AHK).

Allerdings führt die verstärkte Überwachung der VPN-Technologien dazu, dass Firmen, deren Produkt hochspezialisierte Softwarelösungen sind und die auf unbedingte Datensicherheit angewiesen sind, sich der Gefahr aussetzen, ausgespäht zu werden.

Messenger-Dienste werden reguliert

Am 1. Januar 2018 trat das föderale Gesetz Nr. 241-FZ zur Regulierung der Aktivitäten von Messenger-Diensten in Kraft. Ziel ist die Identifizierung der Nutzer und das Verhindern des Verbreitens verbotener Inhalte. Ein Vorschlag für eine weitere Verordnung sieht vor, Nutzer ohne ihre Zustimmung zu identifizieren.

Relevant ist das Gesetz für Unternehmen, die in Russland Messenger-Dienste anbieten oder diese für die öffentliche Unternehmenskommunikation (Pressemeldungen, Werbung) nutzen. Der Messenger-Dienst Telegram hatte sich geweigert, mit den russischen Behörden zusammenzuarbeiten, um die Privatsphäre seiner Nutzer zu schützen. Deswegen stand der Dienst kurz vor einer Sperrung, gab letztlich aber doch dem Druck der Aufsichtsbehörde Roskomnadzor nach.

Tipp

Informationsbroschüre "IT-Recht in Russland"

Beiten Burkhardt Moskau

Ansprechpartner: Taras Derkatsch, Associate

Turchaninov pereulok 6/2

119034 Moskau, Russische Föderation

T +7 495 23 29 635

F +7 495 23 29 633

Taras.Derkatsch@bblaw.com

(HJW)

Weitere Informationen zu Wirtschaftslage, Branchen, Geschäftspraxis, Recht, Zoll und Ausschreibungen in Russland können Sie unter http://www.gtai.de/russland abrufen.

Dieser Artikel ist relevant für:

Russland EDV-, Telekommunikationsdienstleistungen, allgemein, Datenschutzrecht, Datensicherheit

Kontakt

Boris Alex

‎+49 30 200 099 605

Suche / Mann mit Lupe | © GettyImages/BernardaSv

Suche

Recherchieren Sie aktuelle Marktanalysen, Wirtschaftsdaten, Zoll- und Rechtsinformationen, Projekte und Ausschreibungen aus über 120 Ländern.

Zur Suche