SHIELD

Reisen

Reisen nach China: ein ehrliches Bedrohungsmodell

Was das chinesische Recht vorschreibt, was in der Praxis passiert, und die materielle Mindestvorbereitung für eine Geschäftsreise.

Veröffentlicht am 16 Min. Lesezeit Kritisch

Zuletzt überprüft:

Skyline von Schanghai bei Nacht

Pudong, Terminal 2, die Schlange der Einreisekontrolle. Der Geschäftsführer eines mittelständischen Industrieunternehmens, den ich begleitete, zückt sein iPhone, um seinen lokalen Kontakt zu informieren, dass er gelandet ist. WhatsApp dreht ins Leere. Er wechselt zu Gmail: nichts. LinkedIn: nichts. Sein Firmen-VPN zeigt „Verbindung wird hergestellt” an und gibt dann auf. Vierzig Minuten später, im Taxi, ruft er mich über den einzigen noch funktionierenden Kanal an — das Roaming seiner deutschen Leitung, zum Höchstpreis abgerechnet — und sagt: „Niemand hat mir gesagt, dass ich beim Verlassen des Flugzeugs taub und stumm sein würde.” Niemand, in der Tat. Sein Reisebüro hatte das Visum geregelt. Den Rest nicht.

Angle de lecture

Die übliche Falle

„China ist das Ausland mit gesperrten Seiten. Ich nehme ein VPNVerschlüsselter Tunnel zwischen Ihrem Gerät und einem Server, der Ihre IP und Ihren Datenverkehr vor Ihrem ISP verbirgt., und damit ist die Sache erledigt.” Das ist der Satz, den ich in der Vorbereitungsbesprechung in neun von zehn Fällen höre. Er enthält zwei Fehler, die kombiniert eine banale Reise in einen Vorfall verwandeln.

Erster Fehler: zu glauben, dass Ihr VPN funktionieren wird. Die kommerziellen Endkunden-VPNs — ExpressVPN, NordVPN, Mullvad, Proton — und so gut wie alle gängigen Unternehmens-Gateways werden aktiv gefiltert. Die Great Firewall begnügt sich nicht damit, Adressen zu sperren: Sie betreibt DPIAngriff, bei dem ein Akteur sich in eine Kommunikation zwischen zwei Parteien einschaltet, die sich für direkt verbunden halten. (Deep Packet Inspection) und erkennt die Signatur der klassischen verschlüsselten Tunnel (IKEv2, OpenVPN, L2TP/IPsec), um sie in wenigen Sekunden zu kappen. Sie kommen mit einer Lösung an, die Sie nie aus China heraus getestet haben, und sie geht nicht durch.

Zweiter Fehler, schwerwiegender: China auf ein Zugangsproblem zu reduzieren. Das wahre Thema ist nicht das, was gesperrt ist, sondern das, was gesammelt wird. Sie betreten eine Umgebung, in der der Netzwerkverkehr über staatlich kontrollierte Geräte läuft, in der die App, deren Installation jeder von Ihnen verlangt, den Inhalt Ihrer Nachrichten analysiert, und in der der rechtliche Rahmen — das im November 2021 in Kraft getretene PIPLEuropäische Verordnung 2016/679 zum Schutz personenbezogener Daten, seit Mai 2018 anwendbar. — den Behörden weitreichende Rechte über die auf dem Staatsgebiet verarbeiteten Daten einräumt. Der unvorbereitete Reisende findet sich gleichzeitig von seinen Werkzeugen abgeschnitten und einem Erfassungsniveau ausgesetzt, dem er anderswo nie begegnet ist. Das VPN ist in dieser Geschichte das Detail. Das Thema ist Ihr BedrohungsmodellKartierung der Akteure, Motivationen, Fähigkeiten und potenziellen Auswirkungen gegen ein Ziel..

Es gibt eine dritte, heimtückischere Schicht, und es ist die, die technische Profile in die Falle lockt. Viele Führungskräfte reisen mit der Vorstellung ab, „alles verschlüsseln” reiche aus. Die Verschlüsselung schützt den Inhalt unterwegs und im Ruhezustand, das stimmt. Aber sie schützt weder die Metadaten, noch die Tatsache selbst, dass Sie kommunizieren, noch das Gerät selbst, sobald es physisch in anderen Händen ist. Schlimmer: In einer Umgebung der GrenzkontrolleDurchsuchung elektronischer Geräte an Grenzen durch Zoll oder Polizei. oder Durchsuchung zieht der massive Gebrauch verschlüsselter Kanäle, die Sie zu öffnen verweigern, eher Aufmerksamkeit auf sich, als sie zu vermeiden. Sicherheit in China gewinnt man nicht durch maximale Opazität. Man gewinnt sie durch die Reduktion der Angriffsfläche: Je weniger Sie mitführen, desto weniger kann man Ihnen nehmen.

Und dann gibt es die geopolitische Realitätsverweigerung. „Ich verkaufe Werkzeugmaschinen, ich interessiere niemanden.” Möglich. Aber Ihre Patente, Ihre Abtretungspreise, Ihre Kundenliste, Ihre Strategie zur Durchdringung des asiatischen Marktes — die interessieren jemanden. Wirtschaftsspionage zielt nicht nur auf die Namen, die man in der Presse liest. Sie zielt auf das mittelständische Unternehmen, das ein Nischen-Know-how besitzt, gerade weil es sich nicht für ein Ziel hält und daher nichts vorbereitet hat. Die Größe Ihres Unternehmens ist kein Schutzschild. Sie ist oft das, was die Erfassung leicht macht.

Was das Recht vorschreibt, was in der Praxis passiert

Unterscheiden wir zwei Ebenen, weil man sie ständig verwechselt: das geschriebene Recht und die operative Realität.

Auf der rechtlichen Ebene verpflichten das PIPL und das Cybersicherheitsgesetz von 2017 die chinesischen Betreiber, bestimmte Daten auf dem Staatsgebiet zu speichern und mit den Forderungen der Behörden zu kooperieren. Das Nationale Geheimdienstgesetz von 2017 geht weiter: Sein Artikel 7 verpflichtet „jede Organisation und jeden Bürger”, die Geheimdienstarbeit des Staates zu unterstützen und mit ihr zu kooperieren. Konkrete Übersetzung: Ein Telekomanbieter, ein Hotelier, ein App-Anbieter hat nicht das Recht, eine Forderung der Dienste abzulehnen. Das ist keine Verschwörungstheorie, das ist der Gesetzestext. Wenn Sie eine lokale SIM kaufen, wird Ihr Pass gescannt und die Karte mit Ihrer Identität verknüpft — das ist eine gesetzliche Pflicht, kein Übereifer des Ladenbesitzers.

Man muss genau verstehen, was das PIPL ändert, denn es wird oft fälschlicherweise als „die chinesische DSGVO” präsentiert. Der Form nach ähnelt es ihr: Einwilligung, Zweckbindung, Betroffenenrechte. Dem Inhalt nach unterscheidet es sich radikal in einem Punkt, den Unternehmensjuristen vernachlässigen: die Ausnahmen zugunsten des Staates. Während die DSGVO den Zugang der Behörden einrahmt, erleichtert ihn das PIPL. Die auf chinesischem Boden verarbeiteten Daten sind für die Behörden in einem Rahmen zugänglich, den Sie nicht kontrollieren und den Sie vom Ausland aus nicht anfechten können. Und das Gesetz sieht Beschränkungen für ausgehende Transfers von Daten vor: Den Export lokal erhobener Daten aus China hinaus kann eine Sicherheitsbewertung erfordern. Für ein vor Ort tätiges Unternehmen ist das ein eigenständiges Compliance-Thema. Für den Reisenden ist die Konsequenz einfacher: Was nach China hineinkommt, kommt in eine Rechtsordnung, in der Ihre gewohnten Garantien nicht mehr gelten.

Auf der Grenzebene ist die Befugnis der Beamten weit und nach Ermessen. Die Durchsuchung elektronischer Geräte bei der Einreise ist dokumentiert — besonders für Reisende, die aus bestimmten Regionen ankommen oder bestimmte Profile aufweisen. Die erzwungene Installation von Kontroll-Apps wurde an Landübergängen berichtet, namentlich in Xinjiang. Die erzwungene OffenlegungGesetzliche Pflicht, unter Androhung von Sanktionen Passwörter zu liefern oder Geräte zu entschlüsseln. der Passwörter ist nicht so eingerahmt, wie sie es in einer Demokratie sein kann: Es gibt keinen robusten Schutz vor Selbstbelastung, den man einem Sicherheitsbeamten des Staates entgegenhalten könnte. Sich zu weigern bedeutet, die Beschlagnahme, das verlängerte Verhör, ja die Einreiseverweigerung zu riskieren. Genau deshalb ist die Doktrin des sauberen Geräts kein paranoider Luxus, sondern die rationale Antwort: Man verhandelt kein Passwort unter Zwang, wenn das Gerät nichts enthält.

Auf der praktischen Ebene passiert Folgendes wirklich. Die Great Firewall sperrt dauerhaft das gesamte Google-Portfolio (Search, Gmail, Maps, Drive, Meet, YouTube, Play Store), WhatsApp, SignalOpen-Source-Messenger mit standardmäßiger E2EE, betrieben von der Signal Foundation., Telegram, Facebook, Instagram, X, LinkedIn, Dropbox, OneDrive und die meisten ausländischen Pressewebsites. Slack geht zeitweise durch. Umgekehrt wird WeChat unverzichtbar: Es ist das Telefon, der Messenger, die Bezahlung, der QR-Code für den Eintritt ins Restaurant. Nun haben die Untersuchungen des Citizen LabDisziplin, die nach einem Vorfall digitale Spuren analysiert, um zu rekonstruieren, was passiert ist. wiederholt dokumentiert, dass WeChat den Inhalt der Nachrichten analysiert — auch von ausländischen Konten —, um sensible Begriffe zu erkennen, und dass diese Überwachung die serverseitige Filterung speist. Sie sind nicht in einem privaten Messenger. Sie sind in einem konstruktionsbedingt beobachteten Kanal.

Die MetadatenDaten über Daten: wer hat was geschrieben, wann, wo, an wen. werden ohne Ausnahme kontinuierlich gesammelt: wen Sie anrufen, wann, von welcher Funkzelle aus, wie lange. Für einen ausländischen Staatsangehörigen auf Reisen ist dieses Niveau passiver Erfassung der Grundzustand, kein hypothetisches Risiko. Und für exponierte Profile — Journalist, Anwalt in einem Dossier mit chinesischen Vermögenswerten, Führungskraft mit erheblichen wirtschaftlichen Interessen, Forscher zu einem sensiblen Thema — wechselt man von der passiven Erfassung zum aktiven Targeting: Eindringversuche auf die Geräte, gefälschte WLAN-Zugangspunkte, modifizierte legitime Apps, physische Überwachung.

Schlüsseln wir die Vektoren auf, denn „Überwachung” bleibt ein vages Wort, solange man es nicht zerlegt. Der erste Vektor ist das Netz: Alles, was im Klartext über das WLAN eines Hotels, eines Cafés oder eines Konferenzzentrums läuft, muss als gelesen betrachtet werden. Hotels sind gesetzlich verpflichtet, ihre ausländischen Gäste bei der Polizei zu registrieren und mit Sicherheitsforderungen zu kooperieren; anzunehmen, ihr Netz sei neutral, ergibt keinen Sinn. Der zweite Vektor ist die App: Die lokalen Apps verlangen sehr weitreichende Berechtigungen — Kontakte, genauer Standort, Mikrofon, Kamera, Dateien — nicht aus Entwicklungsnachlässigkeit, sondern weil das die erwartete Architektur ist. WeChat ist kein Messenger mit einem Datenschutzproblem; es ist eine Überwachungsinfrastruktur, die auch Messenger-Dienste leistet. Der dritte Vektor ist der physische Zugriff: Ein unbeaufsichtigtes Gerät, selbst für wenige Minuten, in einem Hotelsafe, auf einem Besprechungstisch, in einem Auto, ist ein Gerät, das dem Klonen oder der Implantation ausgesetzt ist. Der vierte, den exponiertesten Profilen vorbehalten, ist das gezielte Software-Targeting: Das Citizen Lab hat Fälle von Journalisten und Aktivisten dokumentiert, deren Geräte durch über legitime lokale Kanäle verteilte Malware kompromittiert wurden. Für diese Profile ist ein sauberes Gerät keine Empfehlung, sondern eine Voraussetzung.

Was all das für eine deutschsprachige Führungskraft schwer zu verinnerlichen macht, ist das Fehlen eines Signals. In Deutschland hinterlässt ein Eindringen Spuren, löst Alarme aus, eröffnet ein Rechtsmittel. In China ist die Erfassung lautlos, legal und ohne zugängliche Gegenmacht. Sie werden nicht erfahren, dass man Sie gelesen hat. Sie werden es nie erfahren. Genau deshalb muss die Vorbereitung a priori erfolgen: Es gibt keine a posteriori mögliche Behebung, wenn man nicht einmal weiß, dass etwas geschehen ist.

Das richtige Design: sauber einreisen

Der mentale Umschwung lässt sich in einem Satz fassen: Man sichert kein mit Daten beladenes Gerät in China, man reist mit einem Gerät ein, das nichts zu schützen hat. Das ist einfacher, robuster, und es hängt nicht davon ab, ob dieses oder jenes VPN diesen Monat durchkommt.

Konkret die Grundregel für jede Geschäftsreise: mit einem Gerät einreisen, das keinerlei Zugang zu Ihren Produktivdaten hat. Ein Reisetelefon mit einer im Voraus gekauften internationalen eSIMIntegrierte und umprogrammierbare SIM-Karte, die mehrere Anbieterprofile unterstützt. — keine lokale, an Ihren Pass gebundene SIM — und ein dedizierter Reise-Laptop, für die Mission bereitgestellt, leer von allem, was vor Ort nicht strikt notwendig ist. Wenn das Gerät nichts Sensibles enthält, können weder die Grenze, noch der Hotelsafe, noch die forensische Analyse bei der Rückkehr etwas daraus extrahieren. Das ist dieselbe Logik wie bei den GrenzdurchsuchungenDurchsuchung elektronischer Geräte an Grenzen durch Zoll oder Polizei.: Der beste Schutz gegen die Beschlagnahme eines Geheimnisses ist, das Geheimnis nicht mitzuführen.

„Sauberes Gerät” heißt nicht „altes Telefon, das in einer Schublade herumliegt”. Ein sauberes Gerät wird bereitgestellt: System neu installiert, dedizierte Reisekonten, die nicht an Ihre Hauptidentitäten gekoppelt sind, striktes Minimum an Apps, und Zugang zu Missionsdokumenten über die Cloud nach dem Grenzübertritt statt im lokalen Speicher. Für eine Führungskraft ist der umgekehrte Reflex — „ich nehme meinen gewohnten Laptop und lösche zwei, drei Ordner” — der klassische Fehler: Gelöschte Daten sind wiederherstellbar, die App-Caches strotzen vor Informationen, und ein synchronisierter Passwortbund gewährt Zugang zum ganzen Rest. Sie erleichtern kein Produktivgerät, Sie setzen ein anderes auf. Für die exponiertesten Reisen treiben manche es bis zum Wegwerf-Telefon (Burner PhoneWegwerftelefon mit Prepaid-Karte für einen einmaligen Zweck, danach entsorgt.), das bei der Rückkehr neu konfiguriert oder zerstört wird, und bis zur vollständigen IsolationPhysische Isolation: keine Netzwerkverbindung zwischen einem System und dem Rest der Infrastruktur. der sensibelsten Dokumente, die die Grenze schlicht nie überqueren.

Das VPN bleibt nützlich, aber als Komfort- und Konnektivitätswerkzeug, nicht als Schutzschild. Und es wird vor der Abreise getestet, aus China heraus oder über einen Server vor Ort, nie aus Berlin. Die obfuskierten Protokolle (Shadowsocks, V2Ray, Trojan) widerstehen der Filterung besser als die Standard-VPNs — das nutzen die vor Ort ansässigen Tochtergesellschaften ausländischer Unternehmen. Ihr rechtlicher Status für einen durchreisenden Ausländer ist eine Grauzone (nicht autorisierte VPNs sind technisch illegal), aber Verfolgungen gegen einen Geschäftsreisenden sind selten. Entscheidender Punkt: Das VPN muss vor dem Grenzübertritt scharfgeschaltet sein. Einmal auf dem Staatsgebiet, wird das Herunterladen oder Konfigurieren einer Umgehungslösung deutlich schwieriger, da der Zugang zu ausländischen Stores selbst gesperrt ist.

Schließlich zählt das Verhalten vor Ort genauso viel wie das Material. Besprechen Sie niemals vertrauliche Geschäfte über WeChat, auch nicht mit einem vertrauenswürdigen Partner. Sensible Treffen finden draußen statt, an einem offenen und lärmenden Ort, nicht in einem Hotel-Konferenzraum oder in Büros, die Sie nicht kontrollieren — das ist seit Jahrzehnten der Standard von Diplomaten und Auslandskorrespondenten. Und das Gerät verlässt während eines Meetings nie Ihre Tasche: nicht auf dem Tisch abgelegt, während Sie einen Kaffee holen.

Bezahlung und Kommunikation: der doppelte Zwang

Die Bezahlung ist die logistische Falle Nummer eins. Westliche Bankkarten werden in den großen Hotels und einigen internationalen Restaurants akzeptiert, aber in der überwältigenden Mehrheit der Geschäfte, der lokalen Restaurants und im Nahverkehr abgelehnt. Die Norm ist der QR-Code: WeChat Pay oder Alipay. Seit 2023 akzeptieren beide Dienste die Registrierung ausländischer Karten (Visa, Mastercard), was dem Reisenden das Leben sehr erleichtert hat — aber das bedeutet auch, eine Karte mit einem Konto zu verknüpfen, das auf einer dem PIPL unterliegenden Infrastruktur gehostet wird. Die gute Praxis: ein der Reise gewidmetes Konto, nur für die Dauer des Aufenthalts aufgeladen, nie Ihr persönliches Hauptkonto, das an Ihr gesamtes digitales Leben gekoppelt ist. So begrenzen Sie das Exponierte auf die Dauer und den Perimeter der Reise.

Die Kommunikation folgt derselben Logik der Kompartimentierung. Um Ihre lokalen Partner zu erreichen, ist WeChat unumgänglich — also dediziertes Konto, belangloser Inhalt. Für Ihren sensiblen Austausch mit Ihrem Team in Deutschland gehen Sie über SignalOpen-Source-Messenger mit standardmäßiger E2EE, betrieben von der Signal Foundation. oder einen Ende-zu-Ende-verschlüsseltenEnde-zu-Ende-Verschlüsselung: Nur Sender und Empfänger können den Inhalt lesen. Kanal über Ihr obfuskiertes VPN, im Wissen, dass diese Apps selbst ohne Tunnel gesperrt sind. Und für das wirklich Vertrauliche — eine laufende Verhandlung, einen Abtretungspreis — nichts Geschriebenes, nichts lokal Gespeichertes: ein verschlüsselter Sprachanruf, oder besser, es wartet bis zu Ihrer Rückkehr. Die Regel, die alles zusammenfasst: Auf dem Staatsgebiet behandeln Sie jeden Kanal, als wäre er öffentlich, und Sie organisieren Ihre Geheimnisse so, dass kein Kanal sie trägt.

Was das konkret bedeutet

Für Sie als Privatperson

  1. Reisetelefon mit eSIM, nicht Ihr Alltagsgerät — Kaufen Sie vor der Abreise eine internationale eSIMIntegrierte und umprogrammierbare SIM-Karte, die mehrere Anbieterprofile unterstützt. (Airalo, Holafly, rund dreißig Euro für zwei Wochen). Sie routet den Verkehr oft außerhalb der Great Firewall, und vor allem ist sie nicht wie eine lokale SIM an Ihren Pass gebunden. Idealerweise ein zweites günstiges Telefon statt Ihres mit Konten vollgepackten Hauptgeräts.
  2. Dediziertes WeChat-Konto für China — Legen Sie ein separates WeChat-Konto an, nicht an Ihre vollständige Identität noch an Ihre dauerhaften beruflichen Kontakte gekoppelt. Genauso für Alipay: ein Reisekonto, nur für die Dauer des Aufenthalts aufgeladen. Sie installieren diese Apps sowie lokale Apps wie DiDi (Taxi) oder Meituan (Gastronomie) ausschließlich auf dem Reisetelefon — niemals auf Ihrem Hauptgerät.
  3. Obfuskiertes VPN vor dem Einsteigen installiert und getestet — Richten Sie eine obfuskierte Lösung ein (Outline, das schlüsselfertiges Shadowsocks ist, oder einen V2Ray-Server) und prüfen Sie, dass sie sich aus China heraus verbindet, indem Sie einen Kontakt vor Ort denselben Zugang testen lassen. Kosten: ein kleiner VPS für ein paar Euro pro Monat. Einmal auf dem Staatsgebiet, ist es zu spät zum Basteln.

Für Sie als CISO / IT-Leitung / Geschäftsführung

1. Das PIPL macht China zu einer Sonder-Rechtsordnung in Ihrer Reiserichtlinie. Das Datenschutzgesetz von 2021, gekoppelt mit dem Geheimdienstgesetz von 2017, räumt den Behörden weitreichende Rechte über alles ein, was auf dem Staatsgebiet verarbeitet wird — und verpflichtet die lokalen Akteure zur Kooperation. Direkte Folge: Sie können auf China nicht dieselbe Kompartimentierungs-RichtlinieIdentitäten nach Verwendungszweck trennen (privat, beruflich öffentlich, beruflich sensibel, operativ), um Leak-Ausbreitung zu begrenzen. anwenden wie auf eine Reise innerhalb der EU. Es braucht eine dedizierte, schriftliche Klausel, die ausdrücklich definiert, was das Staatsgebiet nicht betreten darf.

2. Das zurückkehrende Gerät ist ein verdächtiges Gerät bis zum Beweis des Gegenteils. Jedes Material, das durch China (oder Russland) gelaufen ist, muss als potenziell kompromittiert behandelt werden. Direkte Folge: Verbot, das Gerät direkt wieder ans Unternehmensnetz anzuschließen, systematisches Neuaufsetzen des Reise-Laptops und ein dokumentiertes Verfahren der MissionsnachbereitungStrukturierter Prozess zur Handhabung eines Sicherheitsvorfalls: Erkennung, Eindämmung, Beseitigung, Wiederherstellung. — kein „passt schon, ich hatte es immer bei mir”.

3. Das Briefing ist für exponierte Profile nicht optional. Ein Verhandler in einem chinesisch-europäischen Dossier, eine Führungskraft mit erheblichen Vermögenswerten, ein sensibler Forscher: Diese Profile wechseln vom diffusen Risiko zum aktiven Targeting. Direkte Folge: Sicherheits-Briefing mit einem den chinesischen Kontext kennenden Experten vor der Abreise, sauber bereitgestelltes Gerät und kein lokaler Speicher sensibler Daten während des Aufenthalts — der Zugang erfolgt über die Cloud nach der Grenze, über eine beherrschte Verbindung.

Für Sie als Geschäftsführer

Die IT-Leitung wird Ihnen ein Gerät vorbereiten, ein VPN konfigurieren, Ihnen ein Merkblatt übergeben. Das ist ihr Job, lassen Sie sie machen. Aber drei Entscheidungen sind nicht ihre. Sie sind Ihre, weil sie ein Risiko eingehen, das nur Sie akzeptieren können.

Was nehme ich mit. Nicht Ihre gewohnten Geräte. Nicht Ihr mit zehn Jahren Verlauf vollgepacktes Telefon, nicht den Laptop, auf dem Ihr gesamtes Berufsleben lebt. Ein dediziertes Material, jungfräulich für diese Reise vorbereitet, das nur enthält, was Sie vor Ort brauchen. Die Regel ist einfach: Was die Grenze nicht überquert, kann Ihnen nicht genommen werden.

Was lasse ich da. Alles, was Wert hat. Und mehr als die Dokumente, Ihre Kommunikationsverläufe. Ihre Diskussionsstränge mit Ihrer Geschäftsleitung, Ihr Austausch zum laufenden Dossier, Ihre Nachrichten mit Ihren Anwälten. Dort liegt die strategische Information, nicht in einer PowerPoint-Präsentation. Ein Messenger-Verlauf sagt mehr über Ihre Strategie aus als ein Ordner voller Verträge.

Was bin ich bereit zu verlieren. Stellen Sie sich diese Frage vor der Abreise, nicht im Flugzeug. Wenn man Ihnen an der Grenze Ihre Geräte abnimmt oder verlangt, sie zu entsperren, was passiert dann? Wenn die Antwort „nichts Schlimmes, das Gerät ist leer” lautet, haben Sie gut vorbereitet. Wenn die Antwort Ihnen den Magen zusammenzieht, haben Sie das Falsche mitgenommen.

Die IT-Leitung bereitet das Material vor. Der Geschäftsführer entscheidet über das Risiko. Delegieren Sie diese drei Abwägungen nicht: Sie sind nicht technisch, sie gehören Ihnen.

Fehler, die man ständig sieht

  • Sein VPN aus Berlin testen. Es funktioniert in Berlin tadellos. Genau deshalb beweist der Test nichts. Der einzige gültige Test ist aus China heraus.
  • Mit gewohntem Telefon und Laptop abreisen, „weil es nur eine Woche ist”. Die Dauer des Aufenthalts ändert nichts an der Erfassung. Zehn Minuten physischer Zugriff auf den Safe genügen.
  • Aus Bequemlichkeit eine lokale SIM kaufen. Pass gescannt, Leitung an Ihre Identität gebunden, und Verkehr im Perimeter der Great Firewall. Die im Voraus gekaufte eSIM vermeidet alle drei.
  • Ein sensibles Dossier über WeChat besprechen, „weil der Gesprächspartner vertrauenswürdig ist”. Das Vertrauen des Gesprächspartners hat damit nichts zu tun: Beobachtet wird der Kanal, nicht die Person.
  • Das zurückkehrende Gerät schon am Flughafen wieder ans Firmen-VPN hängen, um „die Mails aufzuholen”. Das ist genau der Moment, in dem ein kompromittiertes Gerät das Netz infiziert.
  • Glauben, die DSGVOEuropäische Verordnung 2016/679 zum Schutz personenbezogener Daten, seit Mai 2018 anwendbar. schütze Sie dort. Sie gilt nicht. Das PIPL regiert das Staatsgebiet, und es spielt in die andere Richtung.

Umsetzbare Checkliste

  • N1 Vor der Abreise kartieren, was gesperrt ist (Great Firewall)
  • N1 Im Voraus gekaufte internationale eSIM — niemals eine lokale SIM mit Pass-Scan
  • N1 Zahlungsplan validiert: Alipay/WeChat Pay auf dediziertem Konto, oder vor Ort nutzbare Karte
  • N2 Obfuskiertes VPN (Outline/V2Ray) installiert UND vor dem Einsteigen aus China getestet
  • N2 WeChat- und Alipay-Konten der Reise gewidmet, nicht an die Hauptidentität gekoppelt
  • N2 Lokale Apps (WeChat, DiDi, Meituan) ausschließlich auf dem Reisetelefon
  • N2 Keine vertrauliche Geschäftsbesprechung über WeChat
  • N2 Sensible Treffen draußen abgehalten, nie im Zimmer noch im Konferenzraum
  • N3 Dedizierter Reise-Laptop, sauber bereitgestellt, ohne Produktivdaten
  • N3 Sensible Daten in der Cloud nach der Grenze, nie im lokalen Speicher vor Ort
  • N3 Spezifisches China-Sicherheits-Briefing für jedes exponierte Profil vor der Abreise
  • N3 Systematisches Neuaufsetzen bei der Rückkehr, keine direkte Wiederverbindung zum Unternehmensnetz

Zum Weiterlesen

Das Citizen Lab dokumentiert seit Jahren die Überwachung von WeChat und das Targeting von Journalisten und Aktivisten — das ist die Referenzquelle, um die konkreten Vektoren jenseits der Allgemeinplätze zu verstehen. Der von DigiChina (Stanford) übersetzte PIPL-Text erlaubt es, das Recht zu lesen statt es zu vermuten. GreatFire verfolgt in Echtzeit den Zustand der Filterung, nützlich, um vor der Abreise zu prüfen, was durchgeht. Schließlich rahmt das BSI mit seinen Cyber-Sicherheitsempfehlungen für Reisende die Doktrin des „sauberen Geräts” ein, die diesem ganzen Artikel zugrunde liegt. Für den materiellen Teil und die Rückkehr siehe auch unsere Artikel zum Reise-Laptop, zur eSIM und zum Grenzübertritt.

Quellen und weiterführende Literatur

Verwandte Artikel