VS-NfD-Merkblatt: Warum Unternehmen jetzt handeln müssen
Im VS-NfD-Merkblatt sind klare Anforderungen an den Schutz von Verschlusssachen des Geheimhaltungsgrades VS – Nur für den Dienstgebrauch (VS-NfD) formuliert. Unternehmen müssen diese Anforderungen umsetzen, um die Sicherheit sensibler Daten zu gewährleisten. Zuwiderhandlungen können strafrechtliche Konsequenzen nach sich ziehen, da auch eine Verschlusssache des Geheimhaltungsgrads VS-NfD ein Staatsgeheimnis im Sinne des §93 StGB darstellen kann. Das fällt unter den sogenannten „materiellen Staatsgeheimnisbegriff“.
In diesem Beitrag beleuchten wir, welche Möglichkeiten Unternehmen bei der digitalen Verarbeitung von VS-NfD haben. Wir zeigen die verschiedenen Ausprägungen von VS-IT-Systemen auf, um Verschlusssachen vor Unbefugten zu schützen.
Das VS-NfD-Merkblatt kennt drei Ausprägungen von IT-Systemen zur Verarbeitung von VS-NfD
- Technisch isoliertes IT-System („air-gapped“)
Ein technisch isoliertes IT-System, auch als „air-gapped“ bezeichnet, ist vollständig vom Internet und anderen Netzwerken getrennt. Diese Ausprägung kann als Einzelplatz-PC oder als Verbund eines IT-Systems betrieben werden. Zu den wichtigsten Maßnahmen gehören strikte Zugangs- und Zugriffskontrollen, Festplattenverschlüsselung und die Deaktivierung drahtloser Schnittstellen.
- VS-NfD-Netzwerk verbunden mit anderen Netzwerksegmenten
Diese Ausprägung beschreibt ein VS-NfD-Netzwerk, das mit anderen Netzwerksegmenten verbunden ist, die ein niedrigeres Sicherheitsniveau haben. Hier sind zusätzliche Maßnahmen erforderlich: Segmenttrennung durch Firewalls, regelmäßige Überprüfung der Firewall-Regelwerke und Schutz vor Schadprogrammen.
Weitergabe über technische Kommunikationsverbindungen
Verschlusssachen müssen bei der elektronischen Übertragung grundsätzlich verschlüsselt werden. Ausnahmen bestehen nur bei leitungsgebundener Übertragung innerhalb einer Liegenschaft. Telefonie und Fax-Übertragung sind nach einer Risikobewertung Ende-zu-Ende verschlüsselt gestattet. Mobile IT-Systeme müssen verschlüsselt werden, es sei denn, sie verbleiben innerhalb der Liegenschaft.
Darüber hinaus ist zu prüfen, inwieweit die Vorgaben des IT-Grundschutzes Anwendung finden und ob weitere organisatorische und technische Vorgaben des VS-NfD Auftraggebers umzusetzen sind.
Rechtliche Verpflichtungen und Fristen
Wichtige Frist: 01.09.2025
- Selbstakkreditierung erforderlich: Nachweiserbringung, dass die Anforderungen des VS-NfD-Merkblatts umgesetzt wurden
- Verantwortung der VS-NfD verantwortlichen Person: Dokumentation und Nachweis über technische und organisatorische Maßnahmen
- Compliance und Akkreditierungsfähigkeit sicherstellen, um Auftragssicherheit zu gewährleisten
Mögliche Auswirkungen für das Unternehmen
Die vorschriftsmäßige Behandlung von Verschlusssachen gemäß den Anforderungen des VS-NfD-Merkblatts ist für Unternehmen, die entsprechende Verschlusssachen verarbeiten wollen, von entscheidender Bedeutung. Die Einhaltung der Regularien und Anforderungen aus dem Sicherheitsüberprüfungsgesetz (SÜG), der Verschlusssachenanweisung (VSA) und dem Geheimschutzhandbuch (GHB) ist unerlässlich, um rechtliche Konsequenzen zu vermeiden und die Sicherheit von VS zu gewährleisten. Unternehmen, die diese Vorschriften nicht einhalten, riskieren nicht nur Reputations- und Auftragsverluste, sondern auch schwerwiegende rechtliche und finanzielle Folgen.
Grant Thornton unterstützt Sie bei der Umsetzung
Benötigen Sie Unterstützung bei der Selbstakkreditierung?
Unsere Experten beraten Sie individuell und begleiten Sie Schritt für Schritt bei der erfolgreichen Implementierung.
