Analyse der aktuellen Compliance-Lage
Identifikation von Compliance-Lücken
Entwicklung eines Umsetzungsplans
Kontinuierliche Überwachung
In der Praxis stellen sich beim Umgang mit Verschlusssachen (VS-NfD) immer wieder dieselben Fragen. Wir beantworten die häufigsten Themen rund um moderne Arbeitsweisen und Cloud-Technologien.
Microsoft 365 hat sich in vielen Unternehmen und Behörden als Standard für Kollaboration, E-Mail und Dokumentenmanagement etabliert. Die Cloud-Suite bietet erhebliche Vorteile in Bezug auf Produktivität, Verfügbarkeit und Skalierbarkeit. Sobald jedoch Verschlusssachen des Geheimhaltungsgrades VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) verarbeitet werden sollen, entsteht ein grundlegender Konflikt: Die Standard-Cloud-Dienste von Microsoft 365 sind nicht für die Verarbeitung von Verschlusssachen zugelassen. Daten werden in Rechenzentren verarbeitet, deren Standort, Betrieb und Zugriffsmöglichkeiten nicht vollständig der Kontrolle der verantwortlichen Stelle unterliegen. Für VS-NfD-Einstufungen gelten die Vorgaben des BSI und der Verschlusssachenanweisung (VSA), die einen klar definierten Schutzrahmen verlangen.
Der sichere Umgang mit VS-NfD in einer Microsoft-365-Umgebung beginnt mit klaren organisatorischen Regelungen. Es muss eindeutig festgelegt werden, welche Informationen als VS-NfD eingestuft sind und welche Werkzeuge für deren Verarbeitung zugelassen sind. Dazu gehören dokumentierte Richtlinien zur Klassifizierung, verbindliche Arbeitsanweisungen sowie regelmäßige Sensibilisierung und Schulung der Mitarbeitenden. Verantwortlichkeiten – etwa die Rolle des Geheimschutzbeauftragten – sind zu benennen, und es ist sicherzustellen, dass VS-NfD-Inhalte ausschließlich in dafür freigegebenen, vom Microsoft-365-Standard getrennten Systemen verarbeitet werden.
Technisch ist eine konsequente Trennung von VS-NfD-Daten und der allgemeinen Microsoft-365-Umgebung erforderlich. In der Praxis bedeutet dies häufig den Einsatz separater, vom BSI zugelassener Systeme oder einer dedizierten, gehärteten Infrastruktur für Verschlusssachen. Maßnahmen wie zugelassene Verschlüsselungslösungen, eine strikte Zugriffskontrolle nach dem Need-to-know-Prinzip, Protokollierung sowie die Verhinderung eines unkontrollierten Datenabflusses (z. B. über Data Loss Prevention) sind zentral. Entscheidend ist, dass die VS-NfD-Verarbeitung nicht in der öffentlichen Microsoft-Cloud, sondern in einer dafür akkreditierten Umgebung stattfindet.
Mobiles Arbeiten und Homeoffice sind fester Bestandteil moderner Arbeitswelten geworden. Was für allgemeine Bürotätigkeiten unkompliziert umsetzbar ist, stellt im VS-NfD-Umfeld eine besondere Herausforderung dar. Verschlusssachen unterliegen klaren Vorgaben zum Schutz vor Kenntnisnahme durch Unbefugte – Anforderungen, die in der häuslichen Umgebung nicht selbstverständlich erfüllt sind. Während im Dienstgebäude organisatorische und bauliche Schutzmaßnahmen greifen, muss im Homeoffice ein vergleichbares Schutzniveau erst geschaffen werden. Die VSA und die Vorgaben des BSI bilden hier den verbindlichen Rahmen, der bestimmt, unter welchen Bedingungen VS-NfD außerhalb der Dienststelle bearbeitet werden darf.
Die Bearbeitung von VS-NfD im Homeoffice setzt eine ausdrückliche Genehmigung und klare Regelungen voraus. Es muss festgelegt sein, welche Tätigkeiten außerhalb der Dienststelle zulässig sind und welche Schutzvorkehrungen die Mitarbeitenden eigenverantwortlich einzuhalten haben. Dazu zählen die Verpflichtung zur Bearbeitung in einem nicht einsehbaren, abschließbaren Raum, der Verschluss von Dokumenten und Datenträgern bei Abwesenheit sowie das Verbot, VS-Inhalte gegenüber Dritten zugänglich zu machen. Schulungen, dokumentierte Belehrungen und die Einbindung des Geheimschutzbeauftragten stellen sicher, dass die Vorgaben verstanden und konsequent umgesetzt werden.
Technisch ist ausschließlich dienstlich bereitgestellte und zugelassene Hardware zu verwenden. Notebooks müssen mit einer zugelassenen Festplattenverschlüsselung versehen sein, der Zugriff erfolgt über eine gesicherte, verschlüsselte VPN-Verbindung zur Dienststelle. Sichtschutzfolien, automatische Bildschirmsperren und eine strenge Zugriffskontrolle reduzieren das Risiko der unbefugten Kenntnisnahme. Private Geräte, Drucker und Speichermedien sind grundsätzlich ausgeschlossen. In vielen Fällen wird VS-NfD im Homeoffice nur in einer kontrollierten Remote-Umgebung verarbeitet, sodass keine Daten lokal gespeichert werden und ein einheitliches Schutzniveau gewährleistet bleibt.
