Einleitung: Warum Cybersicherheitsübungen für ausländische Unternehmen in China so wichtig sind

Meine Damen und Herren, liebe Investoren, ich bin Lehrer Liu, seit über 12 Jahren bei der Jiaxi Steuer- und Finanzberatungsgesellschaft für ausländische Unternehmen tätig, und habe mich 14 Jahre lang mit der Registrierungsabwicklung beschäftigt. In dieser Zeit habe ich unzählige Male erlebt, wie Unternehmen durch die komplexen Netzsicherheitsanforderungen Chinas navigieren – mal mit mehr, mal mit weniger Erfolg. Die Frage, wie oft ausländische Unternehmen in China Cybersicherheitsübungen durchführen müssen, ist nicht nur eine technische, sondern auch eine strategische. Denn der regulatorische Rahmen, der hier im Reich der Mitte gilt, unterscheidet sich grundlegend von dem in vielen westlichen Ländern. Stell dir vor, du betreibst ein Joint Venture in Shanghai oder eine hundertprozentige Tochtergesellschaft in Peking, dann triffst du auf das „Cybersicherheitsgesetz“ (网络安全法) und seine Durchführungsbestimmungen. Diese Gesetze verlangen nicht nur präventive Schutzmaßnahmen, sondern auch regelmäßige Tests und Übungen. Meine Erfahrung zeigt oft: Viele Unternehmen unterschätzen den Aufwand, der dahintersteckt. Heute möchte ich für Euch Investoren, die gewohnt sind, Deutsch zu lesen, einen detaillierten Einblick geben, wie oft solche Übungen wirklich durchgeführt werden müssen – und das aus fünf bis acht verschiedenen Blickwinkeln. Also, lasst uns gemeinsam eintauchen, denn die richtige Frequenz dieser Übungen kann den Unterschied ausmachen zwischen einem reibungslosen Betrieb und bösen Überraschungen bei einer Regierungsinspektion.

Häufigkeit nach allgemeinen Vorschriften – Grundlagen

Wenn wir über die Grundlagen sprechen, dann ist die erste Anlaufstelle immer das „Cybersicherheitsgesetz“ aus dem Jahr 2017. Es legt fest, dass kritische Informationsinfrastrukturen, kurz CII (Critical Information Infrastructure), besonderen Schutz genießen müssen. Aber wie oft müssen Übungen stattfinden? Die gesetzliche Mindestanforderung, die ich immer wieder in den Vorschriften finde, besagt: Unternehmen sollten mindestens einmal im Jahr eine umfassende Cybersicherheitsübung durchführen. Das kann eine Tabletop-Übung sein, bei der Szenarien durchgespielt werden, oder eine praktische Übung mit einem „Red Team“-Angriff. Jetzt denkst du vielleicht: Einmal im Jahr, das klingt überschaubar. Aber lass mich dir aus meiner Praxis erzählen: Ich habe in einem Projekt mit einem deutschen Maschinenbauunternehmen gearbeitet, das glaubte, mit einer jährlichen Übung sei alles abgedeckt. Doch dann kam eine plötzliche Inspektion durch die Cybersicherheitsbehörde, und die Prüfer verlangten detaillierte Nachweise über die Übungsfrequenz der letzten drei Jahre. Es stellte sich heraus, dass das Unternehmen nur eine oberflächliche Schulung im Jahr durchgeführt hatte, die kaum als „Übung“ im Sinne des Gesetzes galt. Der Aufwand, das nachzuholen, war enorm und teuer. Also, mein Tipp: Auch wenn die Grundregel einmal jährlich heißt, solltest du die Frequenz anhand deiner spezifischen Risikobewertung anpassen. Ein ausländischer Hersteller mit sensiblen Daten sollte vielleicht auf zwei Übungen pro Jahr aufstocken – eine im Frühjahr und eine im Herbst. So zeigst du den Behörden, dass du Ernst machst mit der Sicherheit. Übrigens, die Vorschriften sind recht vage formuliert, was vielen Unternehmen Kopfzerbrechen bereitet – aber das ist auch eine Chance, aus eigener Initiative mehr zu tun.

Unterschiede zwischen Branchen – Seht euch die Branche genau an

Nicht alle Branchen sind gleich, das ist in China nicht anders. Die Frequenz der Cybersicherheitsübungen variiert stark je nach Industriezweig. Nehmen wir die Finanzbranche: Banken, Versicherungen und Wertpapierfirmen sind oft als CII eingestuft. Hier reicht eine jährliche Übung meist nicht aus. Die offiziellen Richtlinien der Chinesischen Volksbank“ (PBOC) empfehlen mindestens alle sechs Monate eine vollständige Sicherheitsübung, plus monatliche kleinere Tests. Ich habe mit einer amerikanischen Bank gearbeitet, die in Schanghai eine Niederlassung betreibt. Sie führten ursprünglich nur jährliche Übungen durch, weil sie das in den USA so gewohnt waren. Nach einem Audit wurde ihnen jedoch klar, dass sie die Anforderungen der PBOC nicht erfüllten. Sie mussten ihre Übungsfrequenz auf vierteljährlich erhöhen, was zu Beginn einen großen logistischen Aufwand bedeutete. Andererseits gibt es Branchen wie den Einzelhandel oder die Logistik, die oft als „nicht-kritisch“ eingestuft werden. Hier reichen oft die gesetzlichen Mindestanforderungen von einmal jährlich aus, solange keine sensiblen Kundendaten verarbeitet werden. Aber Achtung: Die Einstufung kann sich ändern. Ich habe einen Fall erlebt, wo ein ausländischer Logistikanbieter plötzlich als CII eingestuft wurde, weil er Daten aus kritischen Häfen verarbeitete. Von heute auf morgen stieg die erforderliche Übungsfrequenz von einmal auf viermal pro Jahr. Das ist eine häufige Herausforderung in der Verwaltungsarbeit: Du musst flexibel bleiben und die Regulierungen ständig im Auge behalten. Meine einfache Lösung? Führe eine interne Risikoanalyse durch und dokumentiere sie, dann leitest du die Frequenz daraus ab – und lass dich nicht nur auf die gesetzlichen Mindestwerte ein.

Wie oft müssen Cybersicherheitsübungen ausländischer Unternehmen in China durchgeführt werden?

Die Rolle des Netzbetreibers – Wer verwaltet deine Daten?

Ein oft übersehener Aspekt ist die Rolle des Netzbetreibers. In China müssen Unternehmen, die Cybersicherheitsdienste anbieten, wie Rechenzentren oder Cloud-Plattformen, selbst strenge Anforderungen erfüllen. Aber dieser Punkt beeinflusst auch die Frequenz deiner eigenen Übungen. Stell dir vor, du nutzt einen chinesischen Cloud-Dienst wie Alibaba Cloud oder Tencent Cloud. Diese Anbieter sind gesetzlich verpflichtet, regelmäßig Übungen und Tests durchzuführen – meist nach einem standardisierten Zeitplan, der oft vierteljährlich umfasst. Aber hier ist der Haken: Du als Mieter bist nicht automatisch von deiner eigenen Übungspflicht befreit. Ich habe ein Unternehmen betreut, das glaubte, die Übungen des Cloud-Anbieters würden für ihre Compliance ausreichen. Falsch gedacht! Die Cybersicherheitsbehörde forderte eigene Übungen, die spezifisch auf ihre Systeme und Daten abzielen. Das führte zu einer unangenehmen Überraschung, weil sie keine eigenen Übungen geplant hatten. Wir müssen also immer die Verantwortungsteilung im Auge behalten: Der Netzbetreiber ist für die Infrastruktur zuständig, du aber für deine Anwendungen und Daten. Eine praktische Empfehlung aus meiner Arbeit: Koordiniere deine Übungen mit den Zeitplänen des Anbieters. Wenn dein Cloud-Anbieter im ersten Quartal eine große Übung durchführt, dann plane deine eigene für das zweite Quartal. So vermeidest du Überschneidungen und kannst realistischere Szenarien testen. Das ist ein bisschen wie Taktieren – aber das ist ja im Geschäft nichts Ungewöhnliches.

Interne vs. externe Übungen – Ein Balanceakt

Ein weiterer wichtiger Punkt ist die Unterscheidung zwischen internen und externen Übungen. Interne Übungen werden von deinem eigenen Team durchgeführt, während externe oft von Drittanbietern oder Behörden organisiert werden. Die Frequenz variiert: Interne Übungen kannst du flexibler gestalten. Ich empfehle, mindestens zweimal im Jahr eine interne Tabletop-Übung zu machen, bei der du Szenarien wie einen Ransomware-Angriff oder einen Datenleckvorfall durchspielst. Externe Übungen hingegen sind oft formeller und werden von der lokalen Cybersicherheitsbehörde (z. B. im Rahmen von „网络应急演练“) angesetzt. Diese finden manchmal nur einmal alle zwei Jahre statt, aber sie sind aufwändig und die Teilnahme ist quasi verpflichtend. Ein häufiger Fehler, den ich sehe: Unternehmen konzentrieren sich ausschließlich auf externe Übungen und vernachlässigen die internen. Ich erinnere mich an einen Fall mit einem französischen Pharmaunternehmen in Shenzhen. Sie hatten hervorragende externe Übungen mit der Behörde durchgeführt, aber ihre internen Prozesse waren so schwach, dass sie bei einem echten Vorfall nicht schnell reagieren konnten. Eine interne Übung hätte das aufdecken können. Meine persönliche Einsicht: Wir müssen eine gesunde Mischung finden. Setze auf vierteljährliche interne Mini-Übungen (z. B. nur für die IT-Abteilung) und einmal jährlich eine große externe oder kombinierte Übung. So bleibst du auf der sicheren Seite und die Kosten bleiben im Rahmen. Übrigens, die behördlichen externen Übungen werden oft kurzfristig angekündigt – das ist auch eine Herausforderung, die du in deiner Planung berücksichtigen solltest. Aber das ist Teil der Arbeit eines Verwalters, nicht wahr?

Übungen für Drittparteien – Wenn andere auf deine Daten zugreifen

Ein enorm wichtiger, aber oft vernachlässigter Aspekt ist die Rolle von Drittparteien – wie Dienstleistern, Lieferanten oder externen Beratern, die Zugang zu deinen Systemen haben. Das Cybersicherheitsgesetz verlangt nicht nur Übungen für dein eigenes Unternehmen, sondern auch eine Überprüfung, ob diese Drittparteien regelmäßig Übungen durchführen. Denn wenn bei einem deiner Dienstleister eine Sicherheitslücke auftritt, kann das auf dein System übergreifen. Ich habe es selbst erlebt: Ein ausländisches Unternehmen in Peking hatte einen Reinigungsdienst, der sein mobiles Zeiterfassungssystem auf denselben Servern hostete wie das Unternehmen. Da der Dienstleister keine regelmäßigen Übungen durchführte, konnte sich ein Angreifer Zugang verschaffen und sensible Daten exfiltrieren. Das Unternehmen wurde von der Behörde zur Verantwortung gezogen, weil es die Sicherheitspraktiken des Dienstleisters nicht überwacht hatte. Seitdem empfehle ich immer: Fordere deine Vertragspartner vertraglich dazu auf, mindestens einmal jährlich eine Cybersicherheitsübung durchzuführen und dir die Ergebnisse vorzulegen. Du kannst sogar gemeinsame Übungen organisieren – zum Beispiel mit deinem IT-Dienstleister, der dein Netzwerk wartet. Das stärkt die Zusammenarbeit und deckt Schwachstellen auf. Mein Tipp aus der Praxis: Erstelle eine Liste aller Drittparteien mit Zugriff auf kritische Daten und stelle sicher, dass sie mindestens dieselbe Übungsfrequenz einhalten wie du selbst – also mindestens einmal jährlich, besser zweimal. Das ist eine einfache Regel, die später viel Ärger erspart.

Gesetzliche Sonderfälle – Neue Vorschriften und Updates

Die Gesetze in China sind leider nicht statisch. Seit 2023 gelten einige neue Durchführungsbestimmungen, die die Frequenz von Cybersicherheitsübungen für bestimmte Unternehmenstypen verschärft haben. Zum Beispiel müssen Unternehmen, die personenbezogene Daten von mehr als 1 Million Nutzern verarbeiten (z. B. große E-Commerce-Plattformen), zusätzlich zu den regulären Übungen auch „Stresstests“ durchführen. Diese müssen oft monatlich oder sogar wöchentlich erfolgen, je nach Datenmenge. Ich kenne einen Fall mit einem japanischen Online-Händler, der plötzlich die Schwelle überschritt. Sie hatten keine Ahnung von der verschärften Anforderung und mussten ihr Übungsprogramm von vierteljährlich auf monatlich umstellen – ein logistischer Albtraum. Die Lösung war, einen spezialisierten Cybersecurity-Dienstleister zu engagieren, der die monatlichen Tests automatisierte. Ein weiterer Sonderfall sind Unternehmen, die im Bereich der kritischen Informationsinfrastruktur tätig sind, etwa Energieversorger oder Telekommunikationsfirmen. Hier gelten spezifische branchenspezifische Vorschriften, die oft Übungen alle drei Monate vorschreiben. Ich rate Euch dringend: Lasst Eure regulatorische Klassifizierung regelmäßig überprüfen. Einmal als CII eingestuft zu sein, kann sich durch die Datenverarbeitung ändern. Ein Kollege von mir bei der Jiaxi Steuer- und Finanzberatungsgesellschaft hat einmal einem Unternehmen geholfen, die Klassifizierung erfolgreich anzufechten, was die Übungsfrequenz von vierteljährlich auf jährlich reduzierte – das sparte Kosten. Aber das ist nicht immer möglich. Also bleibt wachsam und plant Puffer für solche Überraschungen ein.

Dokumentation und Nachweise – Der Schlüssel zur Compliance

Ein Punkt, den ich immer wieder betone, ist die Bedeutung der Dokumentation. Die Behörden verlangen nicht nur, dass du Übungen durchführst, sondern auch, dass du sie nachweisen kannst. Und die Frequenz dieser Nachweise ist fast so wichtig wie die Übungen selbst. Viele Unternehmen machen den Fehler, Übungen durchzuführen, aber keine ordentlichen Protokolle zu führen. Dann kommt eine Inspektion, und du hast keine Beweise. Die Behörden interpretieren das dann oft als Nichteinhaltung. Ich habe ein britisches Unternehmen erlebt, das jährlich Übungen durchführte, aber die Dokumentation war so schlecht, dass sie als „nicht konform“ eingestuft wurden – und mussten alle Übungen in einer Sonderaktion innerhalb von drei Monaten wiederholen. Seit diesem Erlebnis rate ich: Führe ein digitales Logbuch mit Datum, Art der Übung, Teilnehmern und Ergebnissen. Aktualisiere es nach jeder Übung und lass es von der Geschäftsführung abzeichnen. Empfehlung: Die Nachweise sollten mindestens für die letzen drei Jahre verfügbar sein – das ist eine gängige Praxis in Audits. Auch wenn die gesetzliche Frist für die Aufbewahrung von Cybersicherheitsaufzeichnungen in China oft fünf Jahre beträgt, ist eine Drei-Jahres-Übersicht für Übungen meist ausreichend. Aber sicher ist sicher: Ich empfehle, alle Aufzeichnungen fünf Jahre lang aufzubewahren. Ein kleiner Aufwand, der sich im Ernstfall auszahlt. Und ein Tipp aus meiner Erfahrung: Verknüpfe die Dokumentation mit anderen Compliance-Bereichen wie dem Datenschutz oder dem Notfallmanagement. Das zeigt den Behörden ein integriertes Sicherheitskonzept – das wird gerne gesehen.

Praktische Tipps für die Planung – Was ich gelernt habe

Jetzt, wo wir die verschiedenen Aspekte durchgegangen sind, möchte ich noch einige praktische Planungstipps teilen. Die Frequenz der Übungen sollte sich an der realen Bedrohungslage orientieren, nicht nur an den gesetzlichen Mindestanforderungen. Ich persönlich empfehle einen gestaffelten Ansatz: große Übungen (z. B. mit externen Gutachtern) einmal im Jahr, kleinere Tabletop-Übungen (nur intern) alle drei Monate und monatliche „Quick Checks“ (z. B. Phishing-Simulationen für Mitarbeiter). Das klingt nach viel, aber es lässt sich gut integrieren. Ein häufiges Problem, das ich sehe, ist der fehlende oberste Rückhalt. Viele IT-Abteilungen stoßen auf Widerstand, wenn sie häufige Übungen vorschlagen, weil das die Produktivität stört. Meine Lösung: Binde die Geschäftsleitung in die Planung ein und zeige die finanziellen Risiken eines echten Cybervorfalls. Ich habe es einmal bei einem schwedischen Automobilzulieferer in Suzhou geschafft, die Geschäftsführung zu überzeugen, indem ich die Kosten eines Datenlecks von 5 Millionen Yuan den Kosten von vierteljährlichen Übungen von 200.000 Yuan gegenüberstellte. Das Argument zog. Abschließend: Ich rate, die Übungen nicht zu starr zu planen, sondern flexibel auf neue Vorschriften zu reagieren. China ist dynamisch, und die Cybersicherheitsbehörden passen ihre Anforderungen regelmäßig an. Ein bisschen Recherche im Vorfeld – das ist wie bei den Steuerregeln, die ich in den letzten zwölf Jahren gelernt habe: Vorbereitung ist alles. Also, packt es an!

Fazit: Zusammenfassung und Ausblick

Zusammenfassend lässt sich sagen: Die Häufigkeit von Cybersicherheitsübungen für ausländische Unternehmen in China liegt im Kern bei mindestens einmal jährlich, kann aber je nach Branche, Datenmenge und regulatorischer Einstufung auf monatliche oder vierteljährliche Übungen ansteigen. Wir haben gesehen, dass Faktoren wie die Branche, die Rolle von Drittparteien, interne vs. externe Übungen und die Dokumentation eine entscheidende Rolle spielen. Aus meiner Erfahrung bei der Jiaxi Steuer- und Finanzberatungsgesellschaft, wo ich seit zwölf Jahren mit der Registrierungsabwicklung und Verwaltungsarbeit für ausländische Unternehmen betraut bin, rate ich: Seid proaktiv, plant ausreichend Spielraum für Änderungen ein und dokumentiert alles sorgfältig. Die Cybersicherheit in China entwickelt sich rasant, und neue Gesetze wie das „Personenbezogene-Datenschutz-Gesetz“ (法律个人信息保护法) aus 2021 haben die Anforderungen weiter verschärft. Ich schätze, dass in den nächsten Jahren die Tendenz zu noch häufigeren und automatisierteren Übungen gehen wird – vielleicht werden vierteljährliche Übungen zur neuen Normalität. Das bedeutet einen höheren Aufwand, aber auch mehr Sicherheit. Mein Rat an Euch Investoren: Nehmt die Cybersicherheit nicht nur als Compliance-Problem wahr, sondern als strategischen Vorteil. Ein Unternehmen, das regelmäßig übt, ist widerstandsfähiger und kann im Schadensfall schneller reagieren. Das ist wie eine Versicherungspolice für den Betrieb. Also, macht Euch an die Arbeit – und wenn Ihr Hilfe braucht, wisst Ihr, wo Ihr mich findet.

Einblick von Jiaxi Steuer- und Finanzberatung

Die Jiaxi Steuer- und Finanzberatungsgesellschaft hat in den vielen Jahren der Arbeit mit ausländischen Unternehmen in China erkannt, dass die Frage der Cybersicherheitsübungen oft eine finanzielle und verwaltungstechnische Dimension hat. Wir sehen, dass viele Unternehmen die Kosten für häufige Übungen scheuen, aber die langfristigen Risiken unterschätzen. Aus unserer Perspektive ist eine solide Übungsplanung nicht nur eine Compliance-Frage, sondern auch eine Investition in die Betriebssicherheit. Wir empfehlen, die Übungsfrequenz mit anderen Compliance-Prozessen wie der Steuerprüfung zu kombinieren – das spart Zeit und Ressourcen. Darüber hinaus haben wir beobachtet, dass Unternehmen, die ihre Übungsdokumentation gut führen, bei Behördeninspektionen seltener ins Visier geraten. Unser spezifischer Ratschlag: Plant eine jährliche große Übung in Kombination mit einer Risikoüberprüfung und integriert die Ergebnisse in Eure Steuer- und Budgetplanung. Denn am Ende zählt nicht nur die Frequenz, sondern auch die Qualität und Nachvollziehbarkeit. Bei Fragen zu den praktischen Details – ich stehe mit meinem Team gerne zur Verfügung, denn das ist mein tägliches Geschäft für Eure Belange.