Zum Hauptinhalt springen

VS-NfD, Zulassung und Zertifizierung

Bedeutung, Unterschiede und Gemeinsamkeiten

24.08.2023

Was bedeutet VS-NfD?

VS-NfD ist die Abkürzung für "Verschlusssache – Nur für den Dienstgebrauch" und stellt die niedrigste von insgesamt vier Geheimhaltungsstufen deutscher Behörden dar. Ihre Schutzfrist beträgt 30 Jahre.

Verschlusssachen (kurz: VS) sind Informationen, die von einer staatlichen Stelle als sensibel und schutzwürdig eingestuft werden. Dabei wird jeder Verschlusssache entsprechend ihrer Schutzwürdigkeit und Gefährdung eine Geheimhaltungsstufe zugeordnet. Der Zugang zu diesen Informationen wird auf Personen oder Personengruppen beschränkt, die über eine entsprechende Sicherheitsfreigabe verfügen.

Gesetzliche Grundlagen

Die gesetzlichen Grundlagen für Verschlusssachen und staatlichen Geheimschutz ergeben sich aus dem Sicherheitsüberprüfungsgesetz, der Verschlusssachenanweisung des Bundes sowie aus Gesetzen und Vorschriften der einzelnen Bundesländer.

Sicherheitsüberprüfungsgesetz (SÜG)

Das Sicherheitsüberprüfungsgesetz , kurz SÜG, legt fest, welche Informationen als Verschlusssachen einzustufen sind und definiert die verschiedenen Geheimhaltungsstufen entsprechend ihres Gefährdungspotentials. Darüber hinaus bestimmt das SÜG, welche Personengruppen sich für die Ausübung sicherheitsempfindlicher Tätigkeiten einer Sicherheitsüberprüfung unterziehen müssen.

Verschlusssachenanweisung

Die Verschlusssachenanweisung  des Bundes, kurz VSA, richtet sich an Bundesbehörden, mit ihnen verbundene Institutionen oder Einrichtungen und die dort tätigen Personen. Die VSA enthält neben den Vorschriften für die Verwahrung und den Zugang zu Verschlusssachen aller Geheimhaltungsgrade auch Bestimmungen über die Organisation des staatlichen Geheimschutzes.

VS-NfD-Merkblatt

Während die VSA Regelungen zur Einstufung, Handhabung, Kennzeichnung und Weitergabe von Verschlusssachen aller Geheimhaltungsgrade enthält, legt das VS-NfD-Merkblatt spezifisch die Behandlung von Verschlusssachen fest, die als VS–NfD eingestuft wurden.

Die Vorschriften des VS-NfD-Merkblatts  gelten auch für ausländische Verschlusssachen sowie für Verschlusssachen über- oder zwischenstaatlicher Organisation, die einen vergleichbaren Geheimhaltungsgrad besitzen. In diesem Zusammenhang spricht man auch von einer Einstufung als "VS-NfD, EU/NATO RESTRICTED".

Wer darf Informationen als VS-NfD einstufen?

Die Einstufung einer Information als VS-NfD wird von der Dienststelle vorgenommen, die diese Information erstellt oder ihre Erstellung veranlasst hat. Diese Dienststelle ist die Herausgeberin der Verschlusssache und somit für ihre Aktualität bis zum Ablauf der Geheimhaltungsfrist verantwortlich.

Welche Geheimhaltungsstufen gibt es?

Die Zuordnung der Geheimhaltungsgrade bestimmt sich nach den Folgen, die eine unbefugte Kenntnisnahme einer Verschlusssache haben könnte. Außerdem betreffen Geheimhaltungsgrade nicht nur Verschlusssachen deutscher Behörden, sondern gegebenenfalls auch Verschlusssachen über- oder zwischenstaatlicher Organisationen wie die der Europäischen Union oder des NATO-Verteidigungsbündnisses.

Geheimhaltungsstufen deutscher Verschlusssachen

GeheimhaltungsstufeGefahreneinschätzung
VS–NUR FÜR DEN DIENSTGEBRAUCH
(VS-NfD)
Die unbefugte Kenntnisnahme kann für die Interessen oder das Ansehen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.
VS–VERTRAULICH
(VS-Vertr.)
Die unbefugte Kenntnisnahme kann für die Interessen oder das Ansehen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.
GEHEIM
(geh.)
Die unbefugte Kenntnisnahme kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden, ihren Interessen oder ihrem Ansehen schweren Schaden zufügen.
STRENG GEHEIM
(str. geh.)
Die unbefugte Kenntnisnahme kann den Bestand der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

Geheimhaltungsstufen für Verschlusssachen überstaatlicher Organisationen

Geheimhaltungsstufen über- und zwischenstaatlicher Organisationen werden den deutschen Geheimhaltungsgraden wie folgt zugeordnet:

DeutschlandEuropäische UnionNATO-Verteidigungsbündnis
VS–NUR FÜR DEN DIENSTGEBRAUCHEU RESTRICTEDNATO RESTRICTED
VS–VERTRAULICHEU CONFIDENTIALNATO CONFIDENTIAL
GEHEIMEU SECRETNATO SECRET
STRENG GEHEIMEU TOP SECRETCOSMIC TOP SECRET

Was fällt unter VS-NfD?

VS-NfD-Beispiele für eingestufte Informationen sind Abschlussberichte zu Sicherheitsüberprüfungen, Fahndungsunterlagen in den Bereichen Terrorismus oder Extremismus, Geheimschutz-dokumentationen sowie besondere Dienstanweisungen und Dienstpläne.

Materielle Träger für VS-NfD sind Schriftstücke, Zeichnungen, Karten, Fotokopien, Bildmaterial, elektronische Dateien und deren Datenträger, elektrische Signale und Geräte sowie das gesprochene Wort.

VS-NfD – Zertifizierung oder Zulassung?

In Bezug auf VS-NfD-konforme IT-Systeme werden die Begriffe Zulassung und Zertifizierung oft synonym verwendet, obwohl es sich um zwei unterschiedliche Prozesse handelt.

Zertifizierung

Bei Zertifizierungen handelt es sich um Konformitätsprüfungen von IT-Produkten, Systemen oder Komponenten gem. der Technischen Richtlinien  (TR) und/oder der allgemeinen Sicherheitskriterien (z.B. Common Criteria oder Information Technology Security Evaluation Criteria ) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).

Zertifizierungen können für alle IT-Produkte mit Sicherheitsfunktionalität von anerkannten externen Prüfstellen oder Auditoren durchgeführt bzw. begleitet werden. Sie werden in der Regel vom Hersteller selbst initiiert.

Die Zertifizierung hat also keinen direkten Bezug zu Verschlusssachen oder Geheimhaltungsgraden wie VS-NfD, sondern bestätigt, dass ein IT-Produkt die vom BSI empfohlenen oder geforderten Sicherheitsstandards erfüllt.

VS-NfD-Zulassung

Eine VS-NfD-Zulassung hingegen ist eine Betriebszulassung für ein IT-Sicherheitsprodukt, das spezifisch für die Verarbeitung, Übertragung und Speicherung amtlicher Verschlusssachen mit dem Geheimhaltungsgrad VS-NfD in Bundes- und Landesbehörden oder Unternehmen im Rahmen von staatlichen Aufträgen eingesetzt werden soll.

Für eine Zulassung ist zunächst die Anforderung durch eine Behörde nötig, die einen Antrag auf Einsatz einer Hard- oder Software für VS-NfD beim BSI stellt. Das BSI hat sog. VS-Anforderungsprofile  erstellt. Diese beschreiben allgemein die Anforderungen an ein Produkt bestimmter Kategorien als Grundlage für eine VS-NfD-Zulassung. Auf Basis des Anforderungsprofils wird ein detailliertes Sicherheitskonzept erstellt, das beschreibt, welche Sicherheitszusagen das Produkt macht. Die Umsetzung der Sicherheitszusagen wird in diversen weiteren Dokumenten beschrieben. Dazu gehören auch eine Dokumentation durchgeführter Tests sowie eine umfassende Restrisikoanalyse. Für jedes Produkt gibt es außerdem ausführliche Einsatz- und Betriebsbedingungen (Security Operating Procedures, kurz SecOPs), die beschreiben, wie in der Praxis mit dem Produkt verfahren werden muss, damit die Anforderungen für VS-NfD eingehalten werden.

Ein Zulassungsverfahren kann zwar von akkreditierten Prüfstellen begleitet werden, die VS-NfD-Zulassung wird jedoch ausschließlich vom BSI als nationale Sicherheitsbehörde erteilt und ist an die jeweils geprüfte Produktversion gebunden.

VS-NfD und IT-Systeme

Aus der Einstufung von Informationen als "Verschlusssache-Nur für den Dienstgebrauch" ergeben sich strikte Erfordernisse an die materielle Sicherheit von VS-NfD-IT-Systemen, denn Integrität, Vertraulichkeit und Verfügbarkeit der Verschlusssachen müssen zu jeder Zeit gewährleistet sein. Dazu gehören z.B. technische und organisatorische Maßnahmen zur Zugangs- und Zugriffskontrolle, zur Datensicherung sowie zur Löschung und Vernichtung von Daten.

Für VS-NfD-IT-Systeme sind außerdem weitere Auflagen zu beachten: Es müssen z.B. konkrete Anforderungen an das Netzwerk sowie an bestimmte Hard- und Software eingehalten werden. Hersteller werden bei der Entwicklung geeigneter Lösungen durch VS-Anforderungsprofile unterstützt. Hinzu kommen Richtlinien in Bezug auf den Datenschutz und die DSGVO.

Zusätzlich veröffentlicht das BSI eine Liste von Produkten, die für die Nutzung im VS-NfD-Umfeld zugelassen sind.

Schlussfolgerungen für Datenverarbeitung mit und ohne Geheimhaltungsgrad

Ob Zertifizierung oder Zulassung, beide Verfahren stellen wichtige Vertrauensanker für die Qualität und Sicherheit von IT-Produkten dar – die Zertifizierung hinsichtlich allgemeiner Sicherheitsstandards, die Zulassung bezüglich der Stärke eines IT-Sicherheitsprodukts im Umgang mit VS-NfD-eingestuften Verschlusssachen.

Der Hersteller belegt gegenüber dem BSI und/oder einer akkreditierten Prüfstelle, wie sein IT-Produkt Bedrohungen begegnet und ein hohes Sicherheitsniveau gewährleistet, das auch von versierten Angreifern nicht ausgehebelt werden kann.

Behörden oder Unternehmen, die Verschlusssachen nach SÜG verarbeiten, übertragen oder speichern sind gesetzlich dazu verpflichtet, vom BSI zugelassene IT-Sicherheitsprodukte einzusetzen.

Auch abseits öffentlicher Aufträge können Unternehmen und Nichtregierungsorganisationen ihren Informationen Schutzgrade zuweisen, um Geschäftsgeheimnisse zu bewahren oder aufgrund von Gesetzen und Vorschriften, die sie zu Datenschutz verpflichten. Sowohl zertifizierte als auch BSI-zugelassene Lösungen bieten hierbei geprüfte Sicherheitsleistungen für die Absicherung vertraulicher Datenverarbeitung.

Quellenangaben

Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen (Sicherheitsüberprüfungsgesetz – SÜG), Stand: 08/2023.

Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung – VSA), Stand: 08/2023.

Merkblatt für die Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) in der Wirtschaft, Stand: 08/2023.

Vogt, Marten; Wahlen, Dirk (23. Juli 2015). Infobrief Geheimschutzrecht: Voraussetzungen und Folgen der Einstufung von Informationen als Verschlusssachen, Wissenschaftliche Dienste des Deutschen Bundestags, Stand: 08/2023.

Bundesamt für Sicherheit in der Informationstechnik. Technische Richtlinien [TR], Stand: 08/2023.

Bundesamt für Sicherheit in der Informationstechnik. Geltungsbereich Common Criteria (CC) und Information Technology Security Evaluation Criteria (ITSEC), Stand: 08/2023.

Bundesamt für Sicherheit in der Informationstechnik. Abgeschlossene und in Bearbeitung befindliche VS-Anforderungsprofile (VS-AP), Stand: 08/2023.

Bundesamt für Sicherheit in der Informationstechnologie. Liste der zugelassenen IT-Sicherheitsprodukte und Systeme, Stand 08/2023.

ECOS Newsletter

Abonnieren Sie unseren Newsletter für mehr Informationen zur IT-Sicherheit!

Haben Sie spezifische Fragen oder benötigen Sie eine maßgeschneiderte Beratung? Wir freuen uns auf Ihre Anfrage!

Kontakt