umwelt-online: VSa - Verschlusssachenanweisung - Verwaltungsvorschrift der Sächsischen Staatsregierung - über die Behandlung von Verschlusssachen (Sa) (2)

zurück

40. Übertragung von VS über Telekommunikations- oder andere technische Kommunikationsverbindungen

40.1 VS sind bei der Übertragung über Telekommunikations- oder andere technische Kommunikationsverbindungen mit einem vom BSI für den betreffenden Geheimhaltungsgrad zugelassenen Kryptosystem zu verschlüsseln oder durch andere zugelassene Maßnahmen zu sichern. Sofern für die Verwendung bei als VS-NUR FÜR DEN DIENST-GEBRAUCH eingestuften VS Programme und Geräte mit BSI-Zulassung nicht verfügbar sind, können auch nach Common Criteria mit nationalen Schutzprofilen durch das BSI zertifizierte Produkte verwendet werden. Bis zur Bereitstellung nationaler Schutzprofile können andere durch das BSI zertifizierte Produkte, Prüftiefe mindestens EAL 3, verwendet werden. Bei der Auswahl ist das LfV beratend hinzuzuziehen.

40.2 Abweichend von Nummer 40.1 Satz 1 ist in folgenden Fällen eine unkryptierte Übertragung zulässig:

1. wenn die Erledigung der Angelegenheit dringlich ist und die schriftliche oder sonstige sichere Übermittlung einen unvertretbaren Zeitverlust bedeuten würde, kann
   aa) bei Telefongesprächen mit VS-VERTRAULICH eingestuftem Inhalt eine für VS-NUR FÜR DEN DIENSTGEBRAUCH zugelassene Verbindung nach Absatz 1 Satz 1 und
   bb) bei Telefongesprächen mit VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuftem Inhalt eine ungeschützte Verbindung verwendet werden. Die Gespräche sind möglichst so zu führen, dass der Sachverhalt Dritten nicht verständlich wird. Ist der Gesprächspartner nicht mit Sicherheit zu identifizieren, ist ein Kontrollanruf erforderlich. Besondere Vorsicht ist bei Funkfernsprechanschlüssen, wie Mobilfunk, DECT oder Bluetooth, geboten.
2. bei dringlichen E-Mails, Fernkopien und Fernschreiben des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH, wenn zwischen Absender und Empfänger für die erforderliche Übertragungsart keine Kryptiermöglichkeiten und auch keine anderen Schutzmöglichkeiten, wie zum Beispiel ein Kennwort, bestehen. Die absendende Stelle hat durch geeignete Maßnahmen vor Übertragung zu gewährleisten, dass die Nachricht den berechtigten Empfänger erreicht.
3. in außergewöhnlichen Fällen mit Einwilligung der Dienststellenleitung auch über die vorstehenden Ausnahmen hinaus bei der Übertragung von VS-VERTRAULICH oder GEHEIM eingestuften VS (sofern sie keine besonderen VS-Behandlungskennzeichen wie Krypto aufweisen), wenn
   aa) zwischen Absender und Empfänger keine Kryptiermöglichkeit besteht und
   bb) eine rechtzeitige Beförderung der VS auf anderem Wege nicht möglich ist und eine Verzögerung zu einem Schaden führen würde, der den mit einer Preisgabe der VS verbundenen Schaden deutlich überwiegen würde.

Die Nachrichten sind möglichst so abzufassen, dass sie keinen unmittelbaren Rückschluss auf ihren VS-Charakter zulassen. Sie dürfen keine Kennzeichnungen oder Hinweis aufweisen, die sie von einer offenen Nachricht unterscheiden. Die Nachrichtenempfänger sind auf anderem Wege, beispielsweise über andere Telekommunikationsverbindungen, durch Post oder Kurier, unverzüglich über die VS-Einstufung der Nachricht zu unterrichten, außer wenn dies im Einzelfall nicht möglich oder zweckmäßig ist.

40.3 Bei der Übertragung von VS kann über die bestehenden Ausnahmen nach Nummer 40.2 hinaus eine Kryptierung unterbleiben

1. innerhalb eines zutrittsgeschützten IT-Betriebsraumes,
2. wenn die Übertragungseinrichtungen so geschützt sind, dass ein Zugriff Unbefugter unverzüglich erkannt wird (approved circuits), oder
3. wenn in einem Netz der Dienststelle
   aa) VS-NUR FÜR DEN DIENSTGEBRAUCH übertragen werden,
   bb) nur VS-VERTRAULICH oder ausnahmsweise GEHEIM eingestufte VS übertragen werden,
   cc) ein Zugriffskontrollsystem nach Nummer 37.2 eingesetzt ist und
   dd) die Übertragungseinrichtungen sich vollständig in einem Bereich mit zuverlässiger Zutrittskontrolle befinden oder außerhalb gegen unmittelbaren Zugriff Unbefugter geschützt sind;

bei Verbindung mit einem anderen Kommunikationsnetz muss dieses und die Verbindung zu diesem mindestens gemäß Doppelbuchstaben cc und dd geschützt sein.

40.4 Soweit die für den Betrieb eines Kryptosystems benötigten Kryptodaten (Schlüssel) nicht automatisch bereitgestellt werden, dürfen diese nur vom BSI oder durch vom BSI benannte Stellen hergestellt und verteilt werden. Für die Verwaltung von auf dem Kurier-/Postweg bereitgestellter Kryptodaten sind Kryptoverwalter und -vertreter zu bestellen. Die Kryptoverwalter geben die Kryptodaten in die Kryptosysteme ein oder bei Bedarf an die befugten IT-Nutzer aus. Namen und Behördenanschrift der Kryptoverwalter/Vertreter sowie Änderungen sind dem BSI oder den vom BSI benannten Stellen mitzuteilen.

40.5 Sicherheitsvorgaben für Telekommunikationsanlagen, über die Gespräche mit VS-VERTRAULICH oder höher eingestuftem Inhalt unkryptiert geführt werden, bestimmt eine Technische Leitlinie des BSI. Das LfV ist bei Bedarf beratend hinzuzuziehen.

40.6 Bei der Kommunikation mit ausländischen oder zwischenstaatlichen Stellen, wie die NATO, gehen die jeweiligen internationalen Bestimmungen und Abkommen vor, sofern nicht nationale Bestimmungen höhere Geheimschutzmaßnahmen erfordern.

41. Wartung und Instandsetzung von Informationstechnik für VS-VERTRAULICH oder höher eingestufte VS

41.1 Vor Wartungs- oder Instandsetzungsarbeiten sollen diese VS aus dem IT-System entfernt werden, beispielsweise durch Entfernen des Datenträgers. Ist dies nicht möglich, ist nach den Nummern 10.3 und 10.4 ermächtigtes oder zugelassenes Wartungs- oder Instandsetzungspersonal einzusetzen. Während der Verarbeitung oder Übertragung von VS ist eine Wartung oder Instandsetzung des IT-Systems nicht zulässig.