München, 23. November 2022 - Wenn Unternehmen den Auftrag einer Bundes- oder Landesbehörde erhalten, gelten oft ganz besondere Sicherheitsvorkehrungen. Wer den strengen gesetzlichen Anforderungen nicht nachkommt, muss harte Strafen befürchten.

Wenn vertrauliche Informationen bearbeitet werden, darf die Sicherheit nicht zu kurz kommen. Behörden müssen daher strenge Vorgaben bezüglich der Verarbeitung von klassifizierten Informationen einhalten. Auch Unternehmen, die Aufträge für die öffentliche Hand umsetzen, haben häufig Zugriff auf als „Verschlusssache – nur für den Dienstgebrauch“ (VS-NfD) oder höher eingestufte Dokumente. Bahnt sich eine solche Zusammenarbeit an, stehen diese Unternehmen oft vor einer neuen Herausforderung: Der Schutz sensibler Informationen unterliegt strengen gesetzlichen Vorschriften, vor allem auch bei der Verarbeitung in IT-Systemen, die auf den ersten Blick nicht leicht zu durchschauen sind.

Rohde Schwarz Cybersecurity TES

(Bildquelle: Rohde & Schwarz Cybersecurity)

Es bedarf spezieller Sicherheitsvorkehrungen, um auch in Zeiten von Digitalisierung und Remote-Arbeit VS-Daten jederzeit von überall sicher und risikofrei bearbeiten zu können. Während VS-Dokumente in Papierform in Aktenschränken eingeschlossen werden können, um sie vor Verlust oder Diebstahl zu schützen, müssen digitale Informationen vor den weitaus bedrohlicheren Gefahren einer Cyberattacke abgesichert werden.

Strenge Sicherheitsvorschriften für VS-Arbeitsplätze

Art und Umfang dieser Schutzmaßnahmen für einen VS-Arbeitsplatz richten sich nach der Verschlusssachenanweisung (VSA), dem Geheimschutzhandbuch (GHB) und dem Sicherheitsüberprüfungsgesetz (SÜG). Hinzu kommen weitere Anlagen, die detaillierte Vorschriften für die IT-Infrastruktur eines Unternehmens festlegen. Konkret geht es dabei unter anderem um das Merkblatt für die Behandlung von Verschlusssachen des Geheimhaltungsgrades VS-NfD, das in Anlage 4 des GHB zu finden ist. Will ein Unternehmen nach VS-NfD eingestufte Daten verarbeiten, muss es dem Auftraggeber vertraglich zusichern, die Regeln dieses Merkblattes einzuhalten. Eine Aufnahme in die Geheimschutzbetreuung des Bundeswirtschaftsministeriums ist hingegen erst ab der Geheimhaltungsstufe VS-Vertraulich verpflichtend.

Rohde Schwarz Cybersecurity Clemens Schulz Director Desktop Security kl

Clemens A. Schulz, Director Endpoint Security Rohde & Schwarz Cybersecurity (Bildquelle: Rohde & Schwarz Cybersecurity)

Internetzugang muss abgesichert werden

Doch welche IT-Sicherheitsvorkehrungen müssen Unternehmen nun treffen? Zunächst gilt es, einen Sicherheitsbeauftragten zu ernennen, der für das Bundeswirtschaftsministerium als Ansprechpartner fungiert und auf die Umsetzung der VS-NfD-Maßnahmen achtet. In seine oder ihre Verantwortung fällt auch, alle mit Verschlusssachen arbeitenden Angestellten über den Umgang mit VS aufzuklären.

Darüber hinaus dürfen PC oder Laptop nicht direkt und ohne den Schutz durch eine Firewall, die sich entweder im Netzwerk oder auf dem Gerät befindet, mit dem Internet verbunden werden. Eine weitere Vorgabe: Das Merkblatt schreibt unter Punkt 1.3 vor, dass nur vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassene Funknetzwerke zum Einsatz kommen dürfen. Das bedeutet, dass Unternehmen ein WLAN-Netz nicht verwenden können, um VS-NfD zu übertragen und zu bearbeiten – außer sie greifen zusätzlich auf eine vom BSI anerkannte Verschlüsselung zurück. Zudem ist es verpflichtend, IT-Geräte wie beispielsweise Notebooks regelmäßig auf Virenbefall zu prüfen sowie Zugriffsberechtigungen zu dokumentieren.

Harte Strafen für Verstöße  

Was die Wenigsten wissen: Die VS-NfD-Vorschriften gelten bereits in der Ausschreibungsphase eines Projekts. Das heißt: Treffen beispielsweise Ausschreibungsunterlagen per E-Mail ein oder befinden sich relevante Dokumente auf einem USB-Stick, können Teile dieser Daten bereits als VS-NfD eingestuft sein. Gehen Unternehmen oder deren Mitarbeitende nachlässig mit den Sicherheitsvorschriften um oder gelangen Verschlusssachen in die falschen Hände, kann das sogar strafrechtliche Konsequenzen nach sich ziehen. Im Strafgesetzbuch sind eine Reihe von Tatbeständen aufgelistet – von „Landesverrat“ und „Offenbaren von Staatsgeheimnissen“ über „Landesverräterische Agententätigkeit“ bis hin zur „Geheimdienstlichen Agententätigkeit“. Die Sanktionen für diese Vergehen reichen von Geldstrafen in minderschweren Fällen bis hin zu Freiheitsstrafen.

Damit es gar nicht erst so weit kommt, müssen Unternehmen sichere VS-Arbeitsplätze zur Verfügung stellen. Und zwar nicht nur im Büro, sondern auch dann, wenn Mitarbeitende auf Dienstreisen oder zuhause mobil arbeiten. Um den Erfordernissen der digitalen, modernen Arbeitswelt gerecht zu werden und Daten VS-NfD-konform zu bearbeiten, braucht es sichere Schnittstellen und verschlüsselte Übertragungswege.

Abfluss von Daten verhindern

Es empfiehlt sich, eine vom BSI zugelassene VPN-Lösung einzusetzen, die unabhängig vom Betriebssystem arbeitet. Mit solch einer Lösung können Unternehmen selbst bei bislang unbekannten Schwachstellen oder Sicherheitslücken im Betriebssystem den Abfluss von Daten verhindern. Dafür wird dem Betriebssystem der Zugriff auf alle Netzwerkschnittstellen der PC-Hardware verwehrt. Kontrolliert werden beispielsweise USB-Anschlüsse und kabelgebundene oder kabellose Netzwerke wie das WLAN. Diese Maßnahmen stellen sicher, dass Windows nur einen einzigen Kommunikationskanal erkennt: den zugelassenen VPN-Client. Nur über diese sichere Verbindung können Daten ausgetauscht werden.

Für zusätzliche Sicherheit sorgt ein sogenannter „Always-On-Modus“: Sobald eine Netzwerkverbindung am Remote-Gerät aufgebaut wird, wird der VPN-Tunnel automatisch aktiviert, ohne VPN-Verbindung bleibt Windows offline. Nur wenn der VPN-Client ein sicheres vordefiniertes Netzwerk erkennt – zum Beispiel im Büro – deaktiviert er sich von selbst. Eine solche „friendly network detection“ ermöglicht es den Anwendern, in verschiedenen Netzwerkumgebungen sicher und VS-konform und trotzdem möglichst bequem arbeiten zu können.

Doch was passiert, wenn ein mobiles Endgerät zur Verarbeitung von klassifizierten Daten unterwegs verloren geht oder gestohlen wird? In diesem Fall verhindert eine vom BSI für Verschlusssachen zugelassene Festplattenverschlüsselung, dass unautorisierte Personen sensible Daten vom Gerät abgreifen können. Neben den Daten können auch das komplette Betriebssystem sowie mobile Datenträger wie USB-Sticks oder externe Festplatten verschlüsselt werden.

Sicherheit „aus einem Guss“

Besonders vorteilhaft für Betreiber und Nutzer sind VS-NfD-Arbeitsplatzlösungen, die alle geforderten Sicherheitsfunktionen „aus einem Guss“ anbieten und zudem noch den Einsatz von preiswerter Großserien-Büro-PC-Hardware erlauben. So können nicht nur Kosten bei der Beschaffung gespart werden, sondern es wird auch eine reibungslose Administrierbarkeit ohne Interoperabilitätsprobleme und „verteilte Verantwortlichkeiten“ mehrerer VS-Sicherheitslösungsanbieter gewährleistet.

Eine solche vom BSI zugelassene VS-Arbeitsplatzlösung ist die R&S Trusted Endpoint Suite des IT-Sicherheitsspezialisten Rohde & Schwarz Cybersecurity. Sie besteht aus einer innovativen Sicherheitsplattform mit den zwei Hauptkomponenten VPN-Client und Festplattenverschlüsselung.  Sie bietet außerdem die weiteren vom BSI empfohlenen Sicherheitsmechanismen wie Schnittstellenkontrolle sowie einen sicheren Webbrowser.

Schnell und flexibel VS-konform arbeiten

Die R&S Trusted Endpoint Suite hat einen wesentlichen Vorteil für alle, die schnell und flexibel VS-konform arbeiten müssen: Sie kann auf zahlreichen Windows-Endgerätetypen ausgerollt werden. Die Anschaffung von neuer Hardware ist daher oft gar nicht notwendig. Das zentrale Managementsystem macht die Administration besonders einfach und effizient, unter anderem, weil für alle Komponenten der Plattform nur eine Smartcard benötigt wird.

Unternehmen, die mit VS-Daten zu tun haben, sollten zusätzlich das Haupteinfallstor für die Erpressungssoftware Ransomware – das Internet – absichern. Am effektivsten ist das mit einem virtuellen Browser möglich. Der R&S Browser in the Box wurde für diese Aufgabe im Auftrag des BSI entwickelt. Er isoliert Schadsoftware, bevor sie überhaupt zur Ausführung kommt, und schützt auf diese Weise vor Angriffen via E-Mail-Anhängen in Phishing-Mails.  

Weitere Informationen: www.rohde-schwarz.com

Autor: Clemens A. Schulz, Director Endpoint Security Rohde & Schwarz Cybersecurity