VS-NfD Dokumentation & Sicherheitskonzept

Ein VS-NfD Sicherheitskonzept nach dem VS-NfD-Merkblatt (Anlage

4 zum Geheimschutzhandbuch) muss alle technischen und organisatorischen Maßnahmen dokumentieren, die den Schutz von Verschlusssachen des Grades VS-NfD sicherstellen.Das Konzept umfasst drei zentrale Bereiche:1. Räumliche Sicherheit: Zutrittskontrollen, Sicherheitsbereiche, gesicherte Aufbewahrung in Stahlschränken oder Sicherheitsräumen2. Personelle Sicherheit: Sicherheitsüberprüfungen nach dem Sicherheitsüberprüfungsgesetz (SÜG), Verpflichtungserklärungen, Belehrungen zum Geheimschutz3. IT- und Informationssicherheit: Einsatz BSI-zugelassener IT-Systeme, Festplattenverschlüsselung, Zugriffskontrolle, Protokollierung und NetzwerksegmentierungFür vernetzte IT-Systeme (Verbundsysteme) ist zusätzlich ein Informationssicherheitskonzept nach BSI IT-Grundschutz erforderlich, das alle Kommunikationsbeziehungen dokumentiert. ADVISORI erstellt dieses Konzept prüfungssicher und praxistauglich.

Seit dem 1. September

2025 gilt die Pflicht zur Selbstakkreditierung für alle geheimschutzbetreuten Unternehmen, die VS-NfD auf IT-Systemen verarbeiten. Der VS-NfD-Beauftragte im Unternehmen muss alle drei Jahre schriftlich gegenüber der Geschäftsleitung bestätigen, dass alle Anforderungen des VS-NfD-Merkblatts vollständig umgesetzt sind.Die Bestätigung umfasst drei Bereiche:- Umsetzung aller IT-Anforderungen des Merkblatts- Einhaltung der Einsatz- und Betriebsbedingungen für BSI-zugelassene IT-Sicherheitsprodukte- Nachweis eines ISMS durch BSI IT-Grundschutz (mit IT-Grundschutz-Check, Risikoanalyse und Umsetzungsplanung) oder ISO 27001-ZertifizierungDiese Bestätigung muss dem VS-NfD-Auftraggeber oder dem BMWK auf Anfrage vorgelegt werden. ADVISORI begleitet Sie durch den gesamten Akkreditierungsprozess.

Das VS-NfD-Merkblatt unterscheidet zwischen technisch isolierten IT-Systemen und netzwerkgebundenen Verbundsystemen:Isolierte Systeme (Air-Gapped):- Restriktive Benutzerrechte und Rollenkonzept- Verbot drahtloser Schnittstellen (WLAN, Bluetooth)- BSI-zugelassene Festplattenverschlüsselung- Keine privaten Software oder DatenträgerVernetzte Systeme (Verbundsysteme):- Projektbezogene Zugriffskontrollen- Physische Absicherung zentraler Komponenten- Informationssicherheitskonzept nach BSI IT-Grundschutz- Dokumentation aller Kommunikationsbeziehungen- Verschlüsselung mit BSI-zugelassenen ProduktenZusätzlich gelten für alle Systeme Anforderungen an Datensicherung, kontrollierte Datenvernichtung und Protokollierung. ADVISORI dokumentiert diese Anforderungen in Ihrem individuellen Sicherheitskonzept.

BSI IT-Grundschutz und das VS-NfD Sicherheitskonzept ergänzen sich, sind aber nicht identisch:BSI IT-Grundschutz ist ein allgemeines Framework für Informationssicherheit mit Bausteinen, Gefährdungen und Maßnahmen. Es bildet die methodische Grundlage.Das VS-NfD Sicherheitskonzept baut darauf auf, hat aber zusätzliche Anforderungen:- Spezifische Vorgaben der Verschlusssachenanweisung (VSA)- Anforderungen des Geheimschutzhandbuchs (GHB)- Pflicht zur Verwendung BSI-zugelassener Produkte (nicht nur empfohlener)- Personelle Sicherheitsüberprüfungen nach SÜG- Der BSI-Baustein CON.11.1 'Geheimschutz VS-NfD' konkretisiert die AnforderungenFür Verbundsysteme fordert das VS-NfD-Merkblatt mindestens die Basisanforderungen des BSI IT-Grundschutzes. Eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz kann die Selbstakkreditierung erleichtern.

Ein VS-NfD Sicherheitskonzept benötigen alle Organisationen, die mit Verschlusssachen des Grades VS-NfD (Nur für den Dienstgebrauch) arbeiten:- Geheimschutzbetreute Unternehmen: Zulieferer der Bundeswehr und Verteidigungsindustrie, die Zugang zu VS-NfD-Informationen erhalten- Behörden und Dienststellen: Bundesbehörden, Landesbehörden und kommunale Einrichtungen, die VS-NfD erstellen oder verarbeiten- KRITIS-Betreiber: Betreiber kritischer Infrastrukturen mit Zugang zu eingestuften Informationen- IT-Dienstleister: Unternehmen, die IT-Systeme für die Verarbeitung von VS-NfD bereitstellen oder betreibenDie Pflicht ergibt sich aus der Verschlusssachenanweisung (VSA) und dem Geheimschutzhandbuch (GHB). Ohne gültiges Sicherheitskonzept und erfolgreiche Selbstakkreditierung dürfen Unternehmen seit September

2025 keine VS-NfD auf IT-Systemen verarbeiten.

Die Dauer hängt von der Komplexität Ihrer IT-Landschaft und dem Reifegrad Ihrer bestehenden Sicherheitsmaßnahmen ab:- Kleine Unternehmen mit isolierten IT-Systemen: 4–8 Wochen- Mittlere Unternehmen mit Verbundsystemen: 8–16 Wochen- Große Organisationen mit komplexer IT-Infrastruktur: 3–6 MonateDie Hauptfaktoren für die Dauer sind:1. Anzahl und Komplexität der VS-NfD-verarbeitenden IT-Systeme2. Vorhandensein eines ISMS (ISO 27001 oder BSI IT-Grundschutz)3. Stand der räumlichen und personellen Sicherheitsmaßnahmen4. Verfügbarkeit der erforderlichen BSI-zugelassenen ProdukteADVISORI beschleunigt den Prozess durch bewährte Vorlagen und strukturierte Vorgehensweisen. Wenn bereits ein ISMS vorhanden ist, kann das VS-NfD-spezifische Sicherheitskonzept in deutlich kürzerer Zeit erstellt werden.

Der BSI-Baustein CON.11.1 'Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)' ist der zentrale Referenzbaustein für VS-NfD-Sicherheitskonzepte im IT-Grundschutz-Kompendium.Er definiert:- Basisanforderungen: Mindestmaßnahmen für jeden VS-NfD-Arbeitsplatz, darunter Sensibilisierung, Zutrittskontrolle und Dokumentenverwaltung- Standardanforderungen: Erweiterte Maßnahmen wie Protokollierung, Notfallplanung und regelmäßige Überprüfungen- Erhöhte Anforderungen: Zusätzliche Maßnahmen für besonders schutzbedürftige UmgebungenDer Baustein unterstützt Geheimschutzbeauftragte dabei, die Anforderungen der VSA für die elektronische Verarbeitung von VS-NfD systematisch umzusetzen. Er bildet die Brücke zwischen dem allgemeinen IT-Grundschutz und den spezifischen VS-NfD-Anforderungen.ADVISORI nutzt CON.11.1 als Grundlage für die Strukturierung Ihres Sicherheitskonzepts und stellt sicher, dass alle Basis-, Standard- und erhöhten Anforderungen adressiert werden.