umwelt-online: Archivdatei - VSa 2006 - VS-Anweisung (2)

zurück

V. IT-spezifische Maßnahmen

§ 36 Freigabe und Betrieb von IT-Systemen

(1) Bevor IT-Systeme erstmals für VS eingesetzt werden, haben die Geheimschutzbeauftragten eine Überprüfung zu veranlassen, ob die erforderlichen Geheimschutzmaßnahmen getroffen sind. Zur Unterstützung können die Geheimschutzbeauftragten das BSI hinzuziehen, bei komplexen IT-Systemen oder vielfältigen IT-Anwendungen soll das BSI beratend hinzugezogen werden.

(2) Die Verarbeitung von VS ist nur mit solchen IT-Systemen zulässig, die ausschließlich von der Dienststellenleitung freigegebene Hard- und Software verwenden. Die Freigabe ist zu dokumentieren.

(3) Geheimschutzrelevante Änderungen bei freigegebenen IT-Systemen, insbesondere der Einsatz für höher eingestufte VS, bedürfen der vorherigen Zustimmung der zuständigen Geheimschutzbeauftragten, die vor wesentlichen Änderungen nach Absatz 1 und 2 verfahren.

(4) Für den Betrieb der IT-Systeme gelten § 4 Absatz 3 und § 18 Absatz 2 sinngemäß.

§ 37 Produkte mit IT-Sicherheitsfunktionen zur Verwendung für VS

(1) Produkte mit Funktionen zur

1. Herstellung von Schlüsselmitteln,
2. Verschlüsselung (Kryptierung),
3. Löschung oder Vernichtung von VS-Datenträgern,
4. Abstrahlsicherheit oder
5. Sicherung von Übertragungsleitungen,
6. Trennung von Netzen mit unterschiedlichen maximalen Einstufungen der verarbeiteten VS

müssen vom BSI zugelassen sein. Die Zulassung hat auch die erforderlichen Angaben zu den Einsatz- und Betriebsbedingungen zu enthalten. Die Nummern 3 bis 6 gelten nicht für VS-NUR FÜR DEN DIENSTGEBRAUCH eingestufte VS.

(2) Produkte mit Funktionen zur

1. Zugangs-/Zugriffskontrolle zu den Systemen,
2. Erstellung von VS,
3. Protokollierung/Beweissicherung und Protokollauswertung oder
4. Abwehr von Manipulationen an IT-Systemen,
5. Registratur und zum Bestandsnachweis,

die für VS-VERTRAULICH und höher eingestufte VS verwendet werden, sollen vom BSI zugelassen sein. Die Dienststellenleitung kann die Verwendung anderer Produkte freigeben, insbesondere wenn sich Produkte zum Zeitpunkt des Inkrafttretens dieser Vorschrift bereits im Einsatz oder in der Beschaffung befinden oder keine geeigneten zugelassenen Produkte verfügbar sind und eine Bereitstellung nicht oder nicht zeitgerecht veranlasst werden kann. Hierzu zählen insbesondere nach Common Criteria ⁸ mit nationalen Schutzprofilen durch das BSI zertifizierte Produkte. Bis zur Bereitstellung nationaler Schutzprofile können auch andere durch das BSI zertifizierte Produkte verwendet werden. Zur Auswahl der alternativen Produkte ist der Beschaffungsleitfaden des BSI zu verwenden. Eine Beratung durch das BSI ist empfohlen.

(3) Die Zulassungen erfolgen abgestuft nach der Schutzbedürftigkeit von IT-Anwendungen für VS auf der Grundlage allgemein anerkannter Sicherheitskriterien und Verfahren, die bei Bedarf um besondere Prüfungen zum Schutz vor Angriffen zu ergänzen sind. Die näheren Einzelheiten legt das BSI in einem Zulassungskonzept fest, das der Billigung des Bundesministeriums des Innern bedarf.

(4) Produkte mit IT-Sicherheitsfunktionen sind ab dem Zeitpunkt, zu dem feststeht, dass sie für VS-VERTRAULICH oder höher eingestufte VS eingesetzt werden sollen,

1. in Räumen nach § 29 Abs. 1 oder entsprechend geschützten Räumen aufzubewahren,
2. unter ständiger Kontrolle von nach § 10 Abs. 3 und 4 ermächtigtem oder zugelassenem Personal zu transportieren oder so zu verpacken, dass ein Zugriff Unbefugter erkennbar wird,
3. durch nach § 10, Absätze 3 und 4 ermächtigtes oder zugelassenes Personal zu installieren, zu warten und instand zu setzen, soweit nicht durch organisatorische Maßnahmen (z.B. keine Verarbeitung/Übertragung von VS in Anwesenheit der Personen und Beaufsichtigung dieser) ein Zugang zu VS auszuschließen ist, und
4. in einem Bestandsverzeichnis nachzuweisen.

§ 38 Abstrahlsicherheit

(1) IT-Hardware, die VS-VERTRAULICH oder höher eingestufte VS unkryptiert führt, soll unter Beachtung der Hinweise des BSI zur Abstrahlsicherheit installiert sein.

(2) Es ist durch die Geheimschutzbeauftragten unter Beachtung der Hinweise des BSI zu prüfen und durch die Dienststellenleitung zu entscheiden, inwieweit mit einer erheblichen Gefährdung der Geheimhaltung der VS-VERTRAULICH oder höher eingestuften VS durch Nutzung von kompromittierender Abstrahlung durch Unbefugte zu rechnen ist. Ist mit einer erheblichen Gefährdung zu rechnen, so muss die IT-Hardware in vom BSI zugelassenen abstrahlsicheren Räumen betrieben werden, eine Zulassung des BSI für den Betrieb innerhalb einer bestimmten Sicherheitszone (Zonenmodell) aufweisen und innerhalb einer solchen betrieben werden oder vom BSI als abstrahlsicher zugelassen sein.

§ 39 Technische Prüfungen

(1) Geheimschutzbeauftragte haben bei IT-Systemen, die für STRENG GEHEIM oder nicht nur ausnahmsweise für GEHEIM eingestufte VS eingesetzt werden, vor dem erstmaligen Einsatz für VS und danach in angemessenen zeitlichen Abständen folgende technischen Prüfungen durch das BSI zu veranlassen:

1. eine Prüfung des IT-Systems unter den spezifischen Einsatzbedingungen, ob die erforderlichen IT-Sicherheitsfunktionen sachgerecht implementiert sind, keine erkennbaren Manipulationen aufweisen und auch nach Implementierung in das jeweilige IT-System wirksam greifen, nicht über einen Systemweg manipuliert oder umgangen werden können und auch bei einem Verbund mit anderen IT-Systemen diese Sicherheit aufweisen,
2. Abstrahlsicherheits- und Manipulationsprüfungen bei abstrahlsicheren Räumen/Behältern, bei zonenvermessenen Räumen und bei für VS eingesetzter Hardware und
3. eine Überprüfung von Sicherheitszonen auf mögliche Einrichtungen zur Erfassung oder Übertragung kompromittierender Nahbereichsabstrahlung.

(2) Das BSI teilt die Ergebnisse der Prüfungen den Geheimschutzbeauftragten in Form von Prüfberichten mit.

(3) Bei vernetzten IT-Systemen, die für VS eingesetzt werden, ist in den Dienststellen nach § 5 Abs. 3 durch die Geheimschutzbeauftragten ein Penetrationstest ⁹ zu veranlassen.

§ 40 Übertragung von VS über Telekommunikations- oder andere technische Kommunikationsverbindungen

(1) VS sind bei der Übertragung über Telekommunikations- oder andere technische Kommunikationsverbindungen mit einem vom BSI für den betreffenden Geheimhaltungsgrad zugelassenen Kryptosystem zu verschlüsseln oder durch andere zugelassene Maßnahmen zu sichern. Sofern für die Verwendung bei als VS-NUR FÜR DEN DIENST-GEBRAUCH eingestuften VS Programme und Geräte mit BSI-Zulassung nicht verfügbar sind, können auch nach Common Criteria mit nationalen Schutzprofilen durch das BSI zertifizierte Produkte verwendet werden. Bis zur Bereitstellung nationaler Schutzprofile können andere durch das BSI zertifizierte Produkte, Prüftiefe mindestens EAL 3, verwendet werden. Zur Auswahl zertifizierter Produkte ist der Beschaffungsleitfaden des BSI zu verwenden.

(2) Abweichend von Absatz 1 Satz 1 ist in folgenden Fällen eine unkryptierte Übertragung zulässig:

1. wenn die Erledigung der Angelegenheit dringlich ist und die schriftliche oder sonstige sichere Übermittlung einen unvertretbaren Zeitverlust bedeuten würde, kann
   1. bei Telefongesprächen mit VS-VERTRAULICH eingestuftem Inhalt eine für VS-NUR FUR DEN DIENSTGEBRAUCH zugelassene Verbindung nach Absatz 1 Satz 1 und
   2. bei Telefongesprächen mit VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuftem Inhalt eine ungeschützte Verbindung
2. verwendet werden. Die Gespräche sind möglichst so zu führen, dass der Sachverhalt Dritten nicht verständlich wird. Ist der Gesprächspartner nicht mit Sicherheit zu identifizieren, ist ein Kontrollanruf erforderlich. Besondere Vorsicht ist bei Funkfernsprechanschlüssen (z.B. Mobilfunk, DECT ¹⁰, Bluetooth ¹¹ geboten.
3. bei dringlichen E-Mails, Fernkopien und Fernschreiben des Geheimhaltungsgrades VS-NUR FUR DEN DIENSTGEBRAUCH, wenn zwischen Absender und Empfänger für die erforderliche Übertragungsart keine Kryptiermöglichkeit und auch keine andere Schutzmöglichkeit (z.B. mittels Kennwort) besteht. Die absendende Stelle hat durch geeignete Maßnahmen vor Übertragung zu gewährleisten, dass die Nachricht den berechtigten Empfänger erreicht.
4. in außergewöhnlichen Fällen mit Einwilligung der Dienststellenleitung, bei Behörden nach § 5 Absatz 3 Satz 1 der Abteilungs- oder Unterabteilungsleitung, auch über die vorstehenden Ausnahmen hinaus bei der Übertragung von VS-VERTRAULICH oder GEHEIM eingestuften VS (sofern sie keine besondere VS-Behandlungskennzeichen wie z.B. Krypto aufweisen), wenn
   1. zwischen Absender und Empfänger keine Kryptiermöglichkeit besteht und
   2. eine rechtzeitige Beförderung der VS auf anderem Wege nicht möglich ist und eine Verzögerung zu einem Schaden führen würde, der den mit einer Preisgabe der VS verbundenen Schaden deutlich überwiegen würde.

Die Nachrichten sind möglichst so abzufassen, dass sie keinen unmittelbaren Rückschluss auf ihren VS-Charakter zulassen. Sie dürfen keine Kennzeichnungen oder Hinweise aufweisen, die sie von einer offenen Nachricht unterscheiden. Die Nachrichtenempfänger sind auf anderem Wege (z.B. über andere Telekommunikationsverbindungen, durch Post oder Kurier) unverzüglich über die VS-Einstufung der Nachricht zu unterrichten, außer, dies ist im Einzelfall nicht möglich oder nicht zweckmäßig.

(3) Bei der Übertragung von VS kann über die bestehenden Ausnahmen nach Absatz 2 hinaus eine Kryptierung unterbleiben

1. innerhalb eines zutrittsgeschützten IT-Betriebsraumes,
2. wenn die Übertragungseinrichtungen so geschützt sind, dass ein Zugriff Unbefugter unverzüglich erkannt wird (approved circuits) ¹², oder
3. wenn in einem Netz der Dienststelle
   1. VS-NUR FÜR DEN DIENSTGEBRAUCH übertragen werden,
   2. nur VS-VERTRAULICH oder ausnahmsweise GE-HEIM eingestufte VS übertragen werden,
   3. ein Zugriffskontrollsystem nach § 37 Absatz 2 eingesetzt ist und
   4. die Übertragungseinrichtungen sich vollständig in einem Bereich mit zuverlässiger Zutrittskontrolle befinden oder außerhalb gegen unmittelbaren Zugriff Unbefugter geschützt sind;

bei Verbindung mit einem anderen Kommunikationsnetz muss dieses und die Verbindung zu diesem mindestens gemäß Buchstabe c) und d) geschützt sein.

(4) Soweit die für den Betrieb eines Kryptosystems benötigten Kryptodaten (Schlüssel) nicht automatisch bereitgestellt werden, dürfen diese nur vom BSI oder durch vom BSI benannte Stellen hergestellt und verteilt werden. Für die Verwaltung von auf dem Kurier-/Postweg bereitgestellte Kryptodaten sind Kryptoverwalter/Vertreter zu bestellen. Die Kryptoverwalter geben die Kryptodaten in die Kryptosysteme ein oder bei Bedarf an die befugten IT-Nutzer aus. Namen und Behördenanschrift der Kryptoverwalter/Vertreter sowie Änderungen sind dem BSI oder den vom BSI benannten Stellen mitzuteilen.

(5) Sicherheitsvorgaben für Telekommunikationsanlagen, über die Gespräche mit VS-VERTRAULICH oder höher eingestuftem Inhalt unkryptiert geführt werden, bestimmt eine Technische Leitlinie, die das BSI im Einvernehmen mit dem Bundesministerium des Innern herausgibt.

(6) Bei der Kommunikation mit ausländischen oder zwischenstaatlichen Stellen (z.B. NATO) gehen die jeweiligen internationalen Bestimmungen und Abkommen vor, sofern nicht nationale Bestimmungen höhere Geheimschutzmaßnahmen erfordern.

§ 41 Wartung und Instandsetzung von Informationstechnik für VS-VERTRAULICH oder höher eingestufte VS

(1) Vor Wartungs- oder Instandsetzungsarbeiten sollen diese VS aus dem IT-System entfernt werden. Ist dies nicht möglich, ist nach § 10 Abs. 3 und 4 ermächtigtes oder zugelassenes Wartungs- oder Instandsetzungspersonal einzusetzen. Während der Verarbeitung oder Übertragung von VS ist eine Wartung oder Instandsetzung des IT-Systems grundsätzlich nicht zulässig.

(2) Eine Fernwartung ist nur zulässig, wenn

1. sie durch nach § 10 Abs. 3 und 4 ermächtigtes oder zugelassenes Personal erfolgt,
2. für die Übertragungen im Rahmen der Fernwartung Kryptosysteme eingesetzt sind,
3. eine zuverlässige Zugriffskontrolle, Beweissicherung und Überprüfung der Protokolle erfolgt und
4. eine gesonderte Freischaltung und Beendigung jedes Fernwartungsvorganges durch die Dienststelle erfolgt.

Die Fernwartung soll nur zu Zeiten erfolgen, zu denen keine Arbeit mit VS stattfindet und wenn alle im IT-System zugänglichen VS-Daten kryptiert oder gelöscht sind.

(3) Die Geheimschutzbeauftragten können abweichend von Absatz 2 zulassen, dass ein Unternehmen die Fernwartung durchführt, wenn

1. ihm ein Sicherheitsbescheid des Bundesministeriums für Wirtschaft und Technologie über das Unternehmen vorliegt oder eine andere Oberste Bundesbehörde für die erforderlichen Geheimschutzmaßnahmen bei denn Unternehmen gesorgt hat,
2. eine gesonderte Freischaltung und Beendigung jedes Fernwartungsvorganges und Monitoring durch die Dienststelle erfolgt und
3. nach Absatz 2 Satz 1 Nr. 2 bis 3 und Satz 2 verfahren wird,
4. mit der Firma zuvor ein Vertrag oder eine Vertragsergänzung über die erforderlichen Sicherheitsmaßnahmen abgeschlossen wurde.

(4) Sofern VS-Informationstechnik die Dienststelle verlässt (Defekt, Ende eines Leasing-Vertrages o.A.), sind auf internen Datenträgern gespeicherte VS mit vom BSI zugelassenen Geräten oder Programmen zu löschen. Ist dies nicht möglich, sind die Datenträger auszubauen und physikalisch so zu zerstören, dass eine Rekonstruktion der enthaltenen Information nicht möglich ist.

VI. Abschließende Regelungen

§ 42 Kontrollen

(1) In jeder Dienststelle, die VS verwendet, sind stichprobenartig in angemessenen Zeitabständen unangekündigte Kontrollen durchzuführen, ob

1. in der Dienststelle hergestellte VS offensichtlich ungerechtfertigt oder unrichtig eingestuft sind; im Zweifelsfall kann eine schriftliche Begründung der herausgebenden Stelle eingeholt werden,
2. die vorhandenen VS nach der VSa behandelt werden.

Die Kontrollen sind durch die Geheimschutzbeauftragten oder durch besonders beauftragte Mitarbeiter, z.B. Geheimschutzbeamte, durchzuführen.

(2) Alle Bediensteten haben die Durchführung von Kontrollen zu unterstützen und hierfür auf Verlangen Zugang zu allen VS zu gewähren.

(3) Durch die Geheimschutzbeauftragten oder die besonders beauftragten Mitarbeiter sind insbesondere Art und Umfang der Maßnahmen zum Schutz von VS-VERTRAULICH oder höher eingestuften VS zu kontrollieren, ob

1. die Ermächtigungen zum Zugang zu VS und die Zulassungen für eine Tätigkeit nach § 10 Abs. 2 im vorliegenden Umfang erforderlich sind,
2. die zum Zugang zu VS ermächtigten und die für eine Tätigkeit nach § 10 Abs. 2 zugelassenen Personen ausreichend überprüft und über die von ihnen zu beachtenden Geheimschutzbestimmungen unterrichtet sind,
3. die VS vorschriftsgemäß hergestellt, vervielfältigt, gekennzeichnet, nachgewiesen, aufbewahrt und weitergegeben sowie nicht mehr benötigte VS vorschriftsgemäß vernichtet oder an das Geheimarchiv des Bundesarchivs abgegeben werden,
4. der Grundsatz "Kenntnis nur, wenn nötig" in der Praxis ausreichend beachtet wird.

(4) Durch die für IT-Geheimschutzmaßnahmen Verantwortlichen ist insbesondere zu kontrollieren, ob

1. IT-Sicherheitskomponenten sicherheitsgerecht eingesetzt, gewartet und instand gesetzt werden,
2. Zugriffsrechte in der erteilten Form korrekt zugewiesen und erforderlich sind,
3. die Mittel zur Identifizierung/Authentisierung vorschriftsgemäß geschützt sind,
4. die freigegebene Hard- und Software unverändert ist.

(5) Die protokollierten Daten im Rahmen der Beweissicherung sind regelmäßig daraufhin zu überprüfen, ob

1. Zugangs-/Zugriffsversuche abgewiesen wurden und
2. Zugriffe auf VS-Daten offensichtlich ungerechtfertigt erfolgten.

(6) Über die Durchführung der Kontrollen sowie über sicherheitserhebliche Feststellungen ist ein Nachweis zu führen. Dieser ist 5 Jahre aufzubewahren.

§ 43 Benachrichtigung der Geheimschutzbeauftragten bei Verletzung von Geheimschutzvorschriften

Wird bekannt oder besteht der Verdacht, dass

1. Unbefugte von einer VS Kenntnis erhalten haben, zur Dekryptierung von VS benötigte Kryptoschlüssel oder andere Zugangsmittel zu VS Unbefugten zur Kenntnis gelangt oder verloren gegangen sind,
2. eine VS, ein Schlüssel zu einem VS-Verwahrgelass, zu Schließfächern eines VS-Schlüsselbehälters oder zum Ein- und Ausschalten einer Alarmanlage verloren gegangen ist,
3. Geheimschutzvorschriften verletzt sind oder
4. sonst ein unter dem Gesichtspunkt des Geheimschutzes beachtlicher Sachverhalt (z.B. defekte Sicherungseinrichtungen oder außergewöhnliches Interesse bestimmter Personen an VS) vorliegt,

so sind die Geheimschutzbeauftragten unverzüglich zu benachrichtigen.

§ 44 Maßnahmen bei Verletzung von Geheimschutzvorschriften oder Bekannt werden von Sicherheitsschwächen

(1) Die Geheimschutzbeauftragten stellen in Fällen der Verletzung von Geheimschutzvorschriften oder bei Bekannt werden von Sicherheitsschwachstellen den Sachverhalt fest. Sie treffen die erforderlichen Maßnahmen, um Schaden zu verhüten oder zu verringern und um Wiederholungen zu vermeiden. Ist nach den ersten Ermittlungen ein nachrichtendienstlicher Hintergrund oder eine Verratstätigkeit anderer Art nicht auszuschließen, so ist das Bundesamt für Verfassungsschutz, im Geschäftsbereich des Bundesministeriums der Verteidigung das Amt für den Militärischen Abschirmdienst, zu beteiligen.

(2) Ist eine VS-VERTRAULICH oder höher eingestufte VS einem Unbefugten bekannt geworden oder muss mit dieser Möglichkeit gerechnet werden, so ist die herausgebende Stelle unter Hinweis auf diese Bestimmungen zu unterrichten. Die herausgebende .Stelle trifft die ihrerseits notwendigen Maßnahmen, um Schaden zu verhindern oder zu verringern (z.B. durch Änderungen von Plänen oder Vorhaben und Benachrichtigung sonstiger Beteiligter). Soweit nationale VS von wesentlicher Bedeutung oder nichtdeutsche VS betroffen sind, ist unverzüglich das Bundesministerium des Innern als Nationale Sicherheitsbehörde zu unterrichten.

(3) Gehen Zugangsmittel (Kennwörter, Chipkarten u. Ä. ) zu elektronischer Informationstechnik, die für VS verwendet wird, Schlüssel zu einem VS-Verwahrgelass, zu einem Schließfach eines VS-Schlüsselbehälters oder zum Ein- und Ausschalten einer Alarmanlage verloren oder ist aufgrund von Anhaltspunkten nicht auszuschließen, dass Unbefugte durch Manipulation von Sicherheitskomponenten Zugriff auf die VS erhalten haben oder ihn sich verschaffen können, sind die Zugangsmittel oder Schlösser durch neue auszutauschen oder die Verwendung von Informationstechnik ist einzuschränken bzw. zu sperren.

(4) War das Bundesamt für Verfassungsschutz bei einem Vorkommnis nach Absatz 1 beteiligt, so hat es die Leitung der betreffenden Dienststelle unverzüglich über seine Feststellungen zu unterrichten. Die Dienststellenleitung trifft die gegebenenfalls noch erforderlichen Maßnahmen.

(5) Verstöße gegen die VS-Anweisung können, auch wenn sie nicht nach den Bestimmungen des Strafgesetzbuches zu verfolgen sind, disziplinarrechtlich geahndet werden oder arbeitsrechtliche Maßnahmen (einschließlich Kündigung) nach sich ziehen.

§ 45 Besondere Dienststellen

(1) Dienststellen, die nach Feststellung des Bundesministeriums des Innern in besonderem Maße Ziel von Angriffen auf Vertraulichkeit, Integrität und Verfügbarkeit von VS sind, treffen in Zusammenarbeit mit dem BSI weitere Sicherheitsvorkehrungen. Hierzu gehören insbesondere

1. intensive Unterrichtungen der Beschäftigten,
2. die Bestellung des oder der jeweiligen Geheimschutzbeauftragten und deren Schulung durch das BSI zur Verstärkung von Kontrollen,
3. häufigere schwerpunktmäßige Kontrollen; bei Bedarf wirkt das BSI beratend und fachlich unterstützend mit;
4. regelmäßige umfassende Beratungen (mindestens alle vier Jahre) durch das BSI,
5. die Bildung von Sicherheitsbereichen,
6. die Einrichtung von abhörsicheren oder zumindest abhörgeschützten Räumen,
7. Vorkehrungen gegen ein unbefugtes Vervielfältigen von VS-VERTRAULICH oder höher eingestuften VS.

(2) Das Bundesministerium der Verteidigung trifft für seinen Geschäftsbereich die Feststellung der Dienststellen entsprechend Absatz 1 selbst, dort tritt anstelle des BSI in diesem Falle das Amt für den Militärischen Abschirmdienst.

(3) In diesen Dienststellen sind mindestens alle vier Jahre technische Prüfungen nach § 39 durchzuführen und Abhörschutzmaßnahmen nach § 32 zu treffen. Die Raumprüfungen sollen sich auf abhörgeschützte und abhörsichere Räume sowie aus besonderem Anlass (z.B. internationale Konferenz) auch auf andere abhörgefährdete Räume beziehen. Die IT-Systeme und Telekommunikationsanlagen sind insbesondere daraufhin zu überprüfen, ob sie die erforderlichen Sicherheitsvorkehrungen aufweisen und in der jeweiligen Konfiguration keine unzulässigen Funktionen aktiviert sind.

§ 46 Schlussbestimmungen

(1) Sofern im Falle von Katastrophen sowie im Alarm- und Verteidigungsfall die Gefahr besteht, dass Unbefugte sich Zugang zu VS-VERTRAULICH oder höher eingestuften VS verschaffen können, sind die VS sicherzustellen oder zu vernichten.

(2) Das Bundesministerium des Innern kann im Benehmen mit den obersten Bundesbehörden die VS-Anweisung ändern und sie durch Hinweise und Richtlinien ergänzen.

(3) Jede Dienststelle kann über die Vorschriften der VS-Anweisung hinaus verschärfte Sicherheitsvorkehrungen treffen, soweit sie die notwendige einheitliche Behandlung der VS im gesamten VS-Verkehr nicht stören.

(4) Das Bundesministerium des Innern kann in besonderen Ausnahmefällen auch anderen Abweichungen unter der Voraussetzung zustimmen, dass der mit der VS-Anweisung beabsichtigte Schutz durch andere Sicherheitsvorkehrungen erreicht wird.

(5) Soweit Bestimmungen der VS-Anweisung bei Auslandsvertretungen der Bundesrepublik Deutschland nicht angewandt werden können, bestimmt das Auswärtige Amt im Einvernehmen mit dem Bundesministerium des Innern, wie zu verfahren ist.

(6) Der Bundesnachrichtendienst kann mit Zustimmung des Bundeskanzleramtes für seinen Bereich von der VS-Anweisung abweichende Regelungen treffen.

(7) Das Bundesministerium der Verteidigung regelt die Behandlung von VS für seinen Zuständigkeitsbereich durch eine Zentrale Dienstvorschrift in Übereinstimmung mit der VS-Anweisung.

(8) Der Deutsche Bundestag regelt Fragen des Geheimschutzes eigenständig.

§ 47 Inkrafttreten/Außerkrafttreten

Diese Allgemeine Verwaltungsvorschrift und ihre Anlagen treten am 1. Juni 2006 in Kraft. Gleichzeitig treten außer Kraft die Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung - VSA) vom 29. April 1994 (GMBl. 1994 S. 674), zuletzt geändert durch 1. VS-Anweisung ÄndVwV vom 1. Juli 20.071 sowie folgende dazu erlassene Richtlinien:

• Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik (VS-IT-Richtlinien - VSITR) vom 1. September 1998
• Richtlinien zur Beratung und Durchführung von Kontrollen zum Schutz von Verschlusssachen (VS-Kontrollrichtlinien - VSKR) vom 1. September 1998
• Richtlinien für die Abgabe von Verschlusssachen an das Geheimarchiv des Bundesarchivs (VS-Archivrichtlinien - VSArchR) vom 20. März 1991
• Richtlinien zur technischen Sicherung und Bewachung von Verschlusssachen (VS-Sicherungsrichtlinien - VSSR) vom 1. September 1998

.

1 Allgemeines

Tragen Sie durch eineumsichtige und sachgerechte VS-Einstufungdazu bei, dass

• die tatsächlich geheimhaltungsbedürftigen Informationen effektiv geschützt und
• unnötige Sicherheitskosten vermieden werden.

Der Geheimhaltungsgrad einer VS richtet sich nach ihrem Inhalt und nicht nach dem Geheimhaltungsgrad des Vorgangs zu dem sie gehört oder auf den sie sich bezieht. Ein Schriftstück mit VS-Anlagen ist mindestens so hoch einzustufen wie die am höchsten eingestufte Anlage. Ist es wegen seiner Anlagen eingestuft oder höher eingestuft, so ist darauf zu vermerken, dass es ohne Anlagen nicht mehr als VS zu behandeln oder niedriger einzustufen ist.

Innerhalb der Gesamteinstufung einer VS können deutlich feststellbare Teile, z.B. Teilpläne, Abschnitte, Kapitel, Verzeichnisse oder Nummern, niedriger oder nicht eingestuft werden.

Prüfen Sie kritisch, ob eine VS-Einstufung tatsächlich notwendig ist.

Insbesondere ist zu prüfen, ob das Schutzbedürfnis zur VS-Einstufung nur zeitlich begrenzt besteht (siehe § 9 Abs. 2 der VS-Anweisung).

Im Falle einer VS-Einstufung muss schlüssig darzulegen sein, welche Gefährdungen, Schäden oder Nachteile für die Bundesrepublik Deutschland oder eines ihrer Länder konkret entstehen können, wenn Unbefugte von den Informationen Kenntnis erhalten.

Dabei kommt eine VS-Einstufung grundsätzlich nur bei Informationen in Betracht, die die äußere Sicherheit,

• auswärtigen Beziehungen
• innere Sicherheit oder
• durch dieBundesrepublik Deutschlandzu schützende Belange Dritter betreffen.

VS-Einstufungen, die durch die Bundesrepublik zu schützende Belange Dritter betreffen, bedürfen der Billigung durch die zuständige Oberste Bundesbehörde.

Für andere schutzbedürftige Informationen sind die hierfür bestehenden Regelungen (z.B. Pflicht zur Wahrung von Dienst- oder Steuergeheimnissen, Schutz personenbezogener Daten nach dem Bundesdatenschutzgesetz, Bundesarchivgesetz oder interne Geschäftsordnungen) anzuwenden.

Eine Einstufung in VS-VERTRAULICH oder höher hat zur Folge, dass alle mit der eingestuften Information befassten Personen einer aufwendigen, in Persönlichkeitsrechte

eingreifenden Sicherheitsüberprüfung unterzogen und für die VS kostenintensive materielle Schutzmaßnahmen getroffen werden müssen.

2 Beispiele für VS-Einstufungen:

2.1 Eine Einstufung in STRENG GEHEIM kommt z.B. in Betracht für - das Informationsaufkommen des Bundesnachrichtendienstes,

• andere Zusammenstellungen, deren Einzelheiten GEHEIM eingestuft sind, die jedoch in ihrer Gesamtheit STRENG GEHEIM einzustufen sind.

2.2 Eine Einstufung in GEHEIM kommt z.B. in Betracht für

• Informationen zur "Elektronischen Kampfführung" der Bundeswehr,
• Unterlagen, die kritische Infrastrukturen betreffen,
• Staats- und andere bedeutende Verträge der Bundesrepublik Deutschland,
• Kryptodaten, die für die Verschlüsselung von VS-VERTRAULICH und höher eingestuften VS eingesetzt werden,
• Zusammenstellungen, deren Einzelheiten VS-VERTRAULICH eingestuft sind, die jedoch in ihrer Gesamtheit GEHEIEM einzustufen sind.

2.3 Eine Einstufung in VS-VERTRAULICH kommt z.B. in Betracht für

• Ermittlungsberichte in Spionageverdachtsfällen,
• Erkenntnisse über die Arbeitsweise extremistischer/terroristischer Organisationen, deren Preisgabe die weitere Beobachtung/Aufklärung gefährden würde,
• außenpolitische Verhandlungspositionen, deren frühzeitige Bekanntgabe deutschen Interessen schaden würde,
• Unterlagen, die kritische Infrastrukturen betreffen,
• Staats- und andere bedeutende Verträge der Bundesrepublik Deutschland,
• wichtige Erfindungen, Geschäfts- und Betriebsgeheimnisse oder andere Tatsachen, Gegenstände oder Erkenntnisse Dritter, deren Kenntnis durch Unbefugte der Bundesrepublik Deutschland Schaden zufügen kann,
• Pläne der Computernetze und Konfigurationsdaten der eingesetzten Systeme von Dienststellen nach § 5 Abs. 3 der VS-Anweisung,
• Zusammenstellungen, deren Einzelheiten VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft sind, die jedoch in ihrer Gesamtheit VS-VERTRAULICH einzustufen sind.

Dies können z.B. sein:

• Computernetze, in denen verschiedene Bearbeiter gelegentlich VS-NUR FÜR DEN DIENSTGEBRAUCH bearbeiten. Auf den einzelnen Arbeitsplätzen liegen dann zwar auch bei einer größeren Dienststelle nur wenige VS vor, auf den Servern kann die Zusammenstellung aber schon einen solchen Umfang an Informationen annehmen, dass beim Verlust der Vertraulichkeit ein Schaden für die Bundesrepublik oder eines ihrer Länder eintreten kann. Schnittstelle für die Einstufung ist dann das Netz oberhalb der Leitungen der einzelnen Arbeitsplatz-Computer.
• Zusammenstellungen polizeilicher Ermittlungen, die einzeln nicht oder als VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft sind, in ihrer Gesamtheit aber polizeiliche Arbeitsweisen offen legen.

2.4 Eine Einstufung in VS-NUR FÜR DEN DIENSTGEBRAUCH kommt z.B. in Betracht für

• Abschlußberichte über Sicherheitsüberprüfungen von Personen,
• Fahndungsunterlagen aus den Bereichen Terrorismus/Extremismus,
• Zusammenstellungen über Geheimschutzmaßnahmen (Geheimschutzdokumentation), - besondere Dienstanweisungen und Dienstpläne,
• Protokolle von Computernetzen der Dienststellen nach § 5 Abs. 3 der VS-Anweisung,
• Zusammenstellungen polizeilicher Ermittlungen, die einzeln nicht eingestuft sind, in ihrer Gesamtheit aber polizeiliche Arbeitsweisen offen legen.

.

Anmerkung:
Die nachfolgenden Hinweise gelten vorzugsweise für Schriftgut. Bei anderen Darstellungsformen der VS sind vergleichbare Schutzmaßnahmen zu ergreifen.

1 Allgemeines

1.1 Bei STRENG GEHEIM oder GEHEIM eingestuften VS wird der Geheimhaltungsgrad mit dem Zusatz "amtlich geheim gehalten" in roter Farbe durch Stempel oder Druck am oberen und unteren Rand jeder beschriebenen Seite angebracht. Die beschriebenen Seiten sind zu nummerieren; ihre Gesamtzahl ist auf der ersten Seite anzugeben. Die VS sind mit Geschäftszeichen und Datum zu versehen. Das Geschäftszeichen ist am Schluss durch die Abkürzung str.geh. bzw. geh. zu ergänzen; bei STRENG GEHEIM eingestuften VS ist es auf jeder beschriebenen Seite anzubringen.

1.2 Bei VS-VERTRAULICH eingestuften VS wird der Geheimhaltungsgrad mit dem Zusatz "amtlich geheim gehalten" in schwarzer oder blauer Farbe durch Stempel, Druck oder Maschinenschrift am oberen Rand jeder beschriebenen Seite angebracht. Die beschriebenen Seiten sind zu nummerieren. Die VS sind mit Geschäftszeichen und Datum zu versehen. Das Geschäftszeichen ist am Schluss durch die Abkürzung VS-Vertr. zu ergänzen.

1.3 Bei VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften VS wird der Geheimhaltungsgrad in schwarzer oder blauer Farbe durch Stempel, Druck oder Maschinenschrift am oberen Rand jeder beschriebenen Seite angebracht. Die VS sind mit Geschäftszeichen und Datum zu versehen. Das Geschäftszeichen ist am Schluss durch die Abkürzung VS-NfD zu ergänzen. Bei Büchern, Broschüren u.Ä. genügt die Kennzeichnung auf dem Einband und dem Titelblatt.

1.4 Die äußeren Vorder- und Rückseiten sowie ggf. die Rücken von Schriftgutbehältern (Lauf-, Klebe-, Sammelmappen, Ordner, Hefter), in denen STRENG GEHEIM, GEHEIM oder VS-VERTRAULICH eingestufte VS befördert oder verwahrt werden, sind wie folgt zu kennzeichnen:

1. bei STRENG GEHEIM mit einem gelben und einem roten Diagonalstreifen (überkreuzt),
2. bei GEHEIM mit einem roten Diagonalstreifen,
3. bei VS-VERTRAULICH mit einem blauen Diagonalstreifen.

Von dieser äußeren Kennzeichnung sind VS-Transportbehälter ausgenommen.

1.5 VS-Bestandsverzeichnisse sind in derselben Weise zu kennzeichnen.

1.6 Bei Kryptosystemen können als VS eingestufte zum Ver- und Entschlüsseln nötige Kryptodaten (Schlüsselmittel), Beschreibungen, Bauteile und sonstige Dokumentation unabhängig vom Geheimhaltungsgrad mit dem Warnvermerk KRYPTO gekennzeichnet werden, um die Umsetzung des Prinzips "Kenntnis nur wenn nötig" zu erleichtern.

2 Beispiele

Die nachfolgenden Beispiele dienen als Anregung, bei der Umsetzung der Vorschrift zur Anwendung in den Dienststellen sind die Textpassagen maßgebend.
Beispielliste enthält:
Beispiel 1 Entwurf einer Verschlusssache STRENG GEHEIM
Beispiel 1a Ausfertigung einer Verschlusssache STRENG GEHEIM
Beispiel 1b Vorlage eines Serienbriefs STRENG GEHEIM
Beispiel 1c Ausfertigung eines Serienbriefs STRENG GEHEIM nach Beispiel 1b
Beispiel 2 Entwurf einer Verschlusssache GEHEIM Beispiel 2a Ausfertigung einer Verschlusssache GEHEIM
Beispiel 2b Anlage zu einer Verschlusssache GEHEIM
Beispiel 3 Entwurf einer Verschlusssache VS-VERTRAULICH
Beispiel 3a Ausfertigung einer Verschlusssache VS-VERTRAULICH
Beispiel 4 Entwurf einer Verschlusssache VS-NUR FÜR DEN DIENSTGEBRAUCH
Beispiel 5 Verschlusssache mit unterschiedlich eingestuften Teilen
Beispiel 6 Verfügen und Vermerken von Vervielfältigungen (z.B. Kopien)
Beispiel 6a Kopie einer Verschlusssache GEHEIM
Beispiel 6b Kopie einer Kopie einer Verschlusssache GEHEIM
Beispiel 7 Umschläge für VS-Sendungen (hier: GEHEIM)
Beispiel 8 Kennzeichnung für VS-Datenträger (hier: CD-ROM)
Beispiel 9 Kennzeichnung der Hülle für VS-Datenträger (hier: CD-ROM)
Beispiel 10 Kennzeichnung für VS-Datenträger (hier: USB-Stick)

.

Hinweise zum Führen von VS-Bestandsverzeichnissen

Anmerkung: Die nachfolgenden Hinweise gelten vorzugsweise für Schriftgut. Bei anderen Darstellungsformen der VS sind vergleichbare Schutzmaßnahmen zu ergreifen.

Bei der Gestaltung der VS-Bestandsverzeichnisse kann die VS verwaltende Dienststelle von Muster 10 abweichen. Folgendes ist jedoch zu beachten:

1. Auf der ersten Seite ist zu vermerken, welche Geheimhaltungsgrade nachgewiesen werden und von wem das VS-Bestandsverzeichnis geführt wird.
2. Die Seiten gebundener VS-Bestandsverzeichnisse sind zu nummerieren. Bei VS-Bestandsverzeichnissen in Karteiform sind die Karteikarten fortlaufend zu nummerieren und mit Dienstsiegel zu kennzeichnen. Bei VS-Bestandsverzeichnissen in elektronischer und in Loseblattform ist das Bundesamt für Sicherheit in der Informationstechnik beratend hinzuzuziehen.
3. VS-Bestandsverzeichnisse erhalten den Geheimhaltungsgrad der in ihnen nachgewiesenen VS; Ausnahmen in Einzelfällen bedürfen der Zustimmung des Geheimschutzbeauftragten. Bei mobilen Datenträgern und gebundenem Schriftgut erfolgt die Kennzeichnung auf dem Objekt, dem Einband oder dem Titelblatt. Die Kennzeichnung hat bei Karten oder losen Blättern einzeln zu erfolgen.
4. In den VS-Bestandsverzeichnissen sind Eingang, Ausgang, Verbleib, Vervielfältigung, Herabstufung und Vernichtung von STRENG GEHEIM, GEHEIM oder VS-VERTRAULICH eingestuften VS nachzuweisen und besondere Fristen für die Aufhebung oder Reduzierung der VS-Einstufung zu vermerken.
5. STRENG GEHEIM eingestufte VS sind in einem getrennten VS-Bestandsverzeichnis zu führen.
6. Jede VS ist im VS-Bestandsverzeichnis unter einer eigenen fortlaufenden Nummer zu registrieren. Werden weitere Eingänge zu einer nachgewiesenen VS unter derselben Nummer registriert, so ist bei STRENG GEHEIM oder GEHEIM eingestuften VS als Unterscheidungsmerkmal eine weitere Zahl hinzuzusetzen (z.B. Hoch- oder Stückzahl).
7. Die Eintragungen sind mit Tinte oder Kugelschreiber (dokumentenecht nach DIN 16.554) vorzunehmen. Änderungen müssen erkennbar sein, sie sind mit Datum und Unterschrift zu versehen. Bei Streichungen muss der ursprüngliche Text lesbar bleiben. Es ist unzulässig, in VS-Bestandsverzeichnissen zu radieren, Eintragungen unkenntlich zu machen oder Blätter zu entfernen oder einzufügen. Bei nicht dauerhaft benötigten Eintragungen (z.B. Wiedervorlagetermine) können die Geheimschutzbeauftragten nach Beratung durch das BSI Ausnahmen zulassen.
8. Die VS-Verwalter bestätigen den Empfang neuer VS-Bestandsverzeichnisse (VS-Tagebücher oder Karten). Die Empfangsbescheinigungen sowie etwaige VS-Übergabeverhandlungen nehmen die Geheimschutzbeauftragten oder von diesen Beauftragte in Verwahrung.

  Muster für Nachweise

Muster 1
(zu § 11 VSA)

Verpflichtung zur Geheimhaltung von Verschlusssachen

Verpflichtung

Herr/Frau

wurde heute im Hinblick auf die beabsichtigte Mitteilung einer amtlich geheimgehaltenen Angelegenheit (Verschlusssache) auf die Bestimmungen der §§ 93 bis 99 und 353b Abs. 2, 3 des Strafgesetzbuches hingewiesen. Er/Sie wurde über die in Betracht kommenden Vorschriften zum Schutz von Verschlusssachen unterrichtet.

Ihm/Ihr wurde u.a. mitgeteilt:

1. Niederschriften und Aufzeichnungen dürfen nur mit ausdrücklicher Genehmigung des Besprechungspartners/Verhandlungsleiters gefertigt und Unbefugten nicht zugänglich gemacht werden.
2. Er/Sie ist für die sichere Aufbewahrung der übergebenen Versschlusssache(n) sowie dafür verantwortlich, dass ihr Inhalt Unbefugten nicht zugänglich gemacht wird.
3. Vervielfältigungen jeder Art von Verschlusssachen sowie die Herstellung von

Auszügen sind untersagt.

Herr/Frau

ist hiermit zur Verschwiegenheit und zur Geheimhaltung von Verschlusssachen förmlich verpflichtet.

Muster 2
(zu § 11 VSA)

Ermächtigung und Zulassung

(Vorderseite)

Herr / Frau

und über seine/ihre Geheimschutzpflichten und die Anbahnungs- und Werbemethoden fremder Nachrichtendienste sowie über die Möglichkeit straf- und
disziplinarrechtlicher Ahndung oder arbeitsrechtlicher Folgen von Verstößen (einschließlich Kündigung) unterrichtet.

Folgende VS-Vorschriften wurden ausgehändigt:

Zutreffendes ist angekreuzt [x]

(Rückseite)

einschließlich aller persönlichen Vermerke und Aufzeichnungen sowie des VS-Zwischenmaterials an die VS-Registratur bzw. den Nachfolger übergeben zu haben.

Hinweis:
Bei Erweiterung der Ermächtigung/Beauftragung auf einen höheren Geheimhaltungsgrad ist ein neuer Vordruck zu verwenden.

Muster 3
(zu § 11 VSA)

Wiederholung der Unterrichtung

Nachweis über die Wiederholung der Unterrichtung

Herr / Frau

wurde heute erneut über seine/ihre Geheimschutzpflichten und die Anbahnungs- und Werbemethoden fremder Nachrichtendienste sowie über die Möglichkeiten straf- und disziplinarrechtlicher Ahndung oder arbeitsrechtlicher Folgen von Verstößen (einschließlich Kündigung) unterrichtet.

Hinweis:
Der Nachweis über die Wiederholung der Unterrichtung kann auch in Listen erfolgen oder in Muster 2 aufgenommen werden. Die Listen sind mindestens 5 Jahre (ab der letzten Eintragung) aufzubewahren.

Muster 4
(zu 12 VSA)

Aufhebung der Ermächtigung oder Zulassung

Die Herrn / Frau

Er/Sie wurde auf das Fortbestehen seiner/ihrer Geheimschutzpflichten, insbesondere der Verschwiegenheitspflicht über die aus Verschlusssachen gewonnen Erkenntnisse, hingewiesen.

Er/Sie erklärte, alle Verschlusssachen einschließlich persönlicher Vermerke und Aufzeichnungen sowie des Zwischenmaterials an die VS-Registratur bzw. den Nachfolger übergeben zu haben.

Hinweis:
Bei befristeter Ermächtigung/Zulassung kann auf diesen Nachweis verzichtet werden.

Muster 5
(zu § 18 VSA)

VS-Begleitzettel

_________________________________
Begriffsbestimmungen

Verwendete Begriffe werden nur erläutert, wenn sie in einem speziell auf VS bezogenen Sinn verwendet werden oder in der Verwaltungspraxis wenig gebräuchlich sind.

1) Verfügbarkeit einer VS
Der berechtigte Zugriff muss gesichert sein, z. B, durch hinterlegte Zweitschlüssel oder Sicherheitskopien bei elektronischer Darstellung.

2) Integrität einer VS, auch als Unversehrtheit bezeichnet Sicherheit, dass eine VS unverändert und vollständig ist,
z.B. dass nicht eine Anlage der VS entnommen ist. Dies kann durch unzureichende Sicherung (einfaches Schloss) verursacht sein.

3) elektronische Signatur
Bei elektronischen Dateien kann durch kryptographische Methoden eine Kontrolle der Unversehrtheit erfolgen. Weiteres ist im Signaturgesetz und zugehörigen Vorschriften zu finden.

4) Datenträger Speichermedium für Computerdaten und -programme, z.B. Disketten, Festplatten, CD

5) PDa Tragbarer Kleinstcomputer (Abkürzung von Personal Digital Assistent)

6) nichtflüchtige Speicher
Man unterscheidet Speichermedien, die beim Abschalten den gespeicherten Dateninhalt verlieren (zumeist innerhalb von Geräten verwendet) und nichtflüchtige Speicher, bei denen der Inhalt mindestens bis zum nächsten Einschaoten erhalten bleibt (z.B. Disketten, CD, Festplatten).

7) Dongel, auch DorLg
Vorrichtung für Computer, meist in .Form eines Steckers, um Funktionen abzusichern, z.B. Kopierschutz oder Zugang

8) Common Criteria
Verfahren zur Bestätigung (Zertifizierung) der Sicherheit von Computersystemen und von deren Komponenten. Das amtliche Zertifikat bestätigt anhand einer Prüfung durch eine unabhängige Stelle" dass das vorgegebene Schutzziel vom Produkt erreicht wurde.

9) Penetrationstest
Verfahren zur Prüfung des Schutzes eines Computernetzes gegen unbefugtes Eindringen in die angeschlossenen Computer

10) DECT
Standard für Telefone, die drahtlose Handapparate verwenden (Funk), aber nur an einem bestimmten Telefonanschluss im Festnetz arbeiten

11) Bluetooth
Verfahren zur Kopplung elektronischer Geräte untereinander über Funk, z.B. Freisprechanlage mit Mobiltelefon

12) approved circuits
Leitungen, die durch besondere Maßnahmen so geschützt sind, dass ein unberechtigter Zugriff ("Anzapfen") erkennbar ist

*) Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes (Sicherheitsüberprüfungsgesetz - SUG) vom 20. April 1994 (BGBl. I S. 867), zuletzt geändert durch Art. 4 des Gesetzes vom 21. Juni 2005 (BGBl. I S. 1818).

weiter .