VS-NfD, Zulassung und Zertifizierung

Die Zuordnung der Geheimhaltungsgrade bestimmt sich nach den Folgen, die eine unbefugte Kenntnisnahme einer Verschlusssache haben könnte. Außerdem betreffen Geheimhaltungsgrade nicht nur Verschlusssachen deutscher Behörden, sondern gegebenenfalls auch Verschlusssachen über- oder zwischenstaatlicher Organisationen wie die der Europäischen Union oder des NATO-Verteidigungsbündnisses.

Geheimhaltungsstufen über- und zwischenstaatlicher Organisationen werden den deutschen Geheimhaltungsgraden wie folgt zugeordnet:
 

Beispiele sind Abschlussberichte zu Sicherheitsüberprüfungen, Fahndungsunterlagen in den Bereichen Terrorismus oder Extremismus, Geheimschutz-dokumentationen sowie besondere Dienstanweisungen und Dienstpläne.

Materielle Träger sind Schriftstücke, Zeichnungen, Karten, Fotokopien, Bildmaterial, elektronische Dateien und deren Datenträger, elektrische Signale und Geräte sowie das gesprochene Wort.

Die Begriffe Zulassung und Zertifizierung werden oft synonym verwendet, obwohl es sich um zwei unterschiedliche Prozesse handelt.

Bei Zertifizierungen handelt es sich um Konformitätsprüfungen von IT-Produkten, Systemen oder Komponenten gem. der Technischen Richtlinien (TR) und/oder der allgemeinen Sicherheitskriterien (z.B. Common Criteria oder Information Technology Security Evaluation Criteria) des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).

Zertifizierungen können für alle IT-Produkte mit Sicherheitsfunktionalität von anerkannten externen Prüfstellen oder Auditoren durchgeführt bzw. begleitet werden. Sie werden in der Regel vom Hersteller selbst initiiert.

Die Zertifizierung hat also keinen direkten Bezug zu Verschlusssachen oder Geheimhaltungsgraden, sondern bestätigt, dass ein IT-Produkt die vom BSI empfohlenen oder geforderten Sicherheitsstandards erfüllt.

Eine Zulassung hingegen ist eine Betriebszulassung für ein IT-Sicherheitsprodukt, das spezifisch für die Verarbeitung, Übertragung und Speicherung amtlicher Verschlusssachen mit dem Geheimhaltungsgrad "Verschlusssache – Nur für den Dienstgebrauch" in Bundes- und Landesbehörden oder Unternehmen im Rahmen von staatlichen Aufträgen eingesetzt werden soll.

Für eine Zulassung ist zunächst die Anforderung durch eine Behörde nötig, die einen Antrag auf Einsatz einer Hard- oder Software  beim BSI stellt. Das BSI hat sog. VS-Anforderungsprofile erstellt. Diese beschreiben allgemein die Anforderungen an ein Produkt bestimmter Kategorien als Grundlage für eine Zulassung. Auf Basis des Anforderungsprofils wird ein detailliertes Sicherheitskonzept erstellt, das beschreibt, welche Sicherheitszusagen das Produkt macht. Die Umsetzung der Sicherheitszusagen wird in diversen weiteren Dokumenten beschrieben. Dazu gehören auch eine Dokumentation durchgeführter Tests sowie eine umfassende Restrisikoanalyse. Für jedes Produkt gibt es außerdem ausführliche Einsatz- und Betriebsbedingungen (Security Operating Procedures, kurz SecOPs), die beschreiben, wie in der Praxis mit dem Produkt verfahren werden muss, damit die Anforderungen eingehalten werden.

Ein Zulassungsverfahren kann zwar von akkreditierten Prüfstellen begleitet werden, die Zulassung wird jedoch ausschließlich vom BSI als nationale Sicherheitsbehörde erteilt und ist an die jeweils geprüfte Produktversion gebunden.

Aus der Einstufung von Informationen als "Verschlusssache-Nur für den Dienstgebrauch" ergeben sich strikte Erfordernisse an die materielle Sicherheit von IT-Systemen, denn Integrität, Vertraulichkeit und Verfügbarkeit der Verschlusssachen müssen zu jeder Zeit gewährleistet sein. Dazu gehören z.B. technische und organisatorische Maßnahmen zur Zugangs- und Zugriffskontrolle, zur Datensicherung sowie zur Löschung und Vernichtung von Daten.

Für IT-Systeme sind außerdem weitere Auflagen zu beachten: Es müssen z.B. konkrete Anforderungen an das Netzwerk sowie an bestimmte Hard- und Software eingehalten werden. Hersteller werden bei der Entwicklung geeigneter Lösungen durch VS-Anforderungsprofile unterstützt. Hinzu kommen Richtlinien in Bezug auf den Datenschutz und die DSGVO.

Zusätzlich veröffentlicht das BSI eine Liste von Produkten, die für die Nutzung im VS-NfD-Umfeld zugelassen sind.

Ob Zertifizierung oder Zulassung, beide Verfahren stellen wichtige Vertrauensanker für die Qualität und Sicherheit von IT-Produkten dar – die Zertifizierung hinsichtlich allgemeiner Sicherheitsstandards, die Zulassung bezüglich der Stärke eines IT-Sicherheitsprodukts im Umgang mit eingestuften Verschlusssachen.

Der Hersteller belegt gegenüber dem BSI und/oder einer akkreditierten Prüfstelle, wie sein IT-Produkt Bedrohungen begegnet und ein hohes Sicherheitsniveau gewährleistet, das auch von versierten Angreifern nicht ausgehebelt werden kann.

Behörden oder Unternehmen, die Verschlusssachen nach SÜG verarbeiten, übertragen oder speichern sind gesetzlich dazu verpflichtet, vom BSI zugelassene IT-Sicherheitsprodukte einzusetzen.

Auch abseits öffentlicher Aufträge können Unternehmen und Nichtregierungsorganisationen ihren Informationen Schutzgrade zuweisen, um Geschäftsgeheimnisse zu bewahren oder aufgrund von Gesetzen und Vorschriften, die sie zu Datenschutz verpflichten. Sowohl zertifizierte als auch BSI-zugelassene Lösungen bieten hierbei geprüfte Sicherheitsleistungen für die Absicherung vertraulicher Datenverarbeitung.