Data protection

6 wichtige Aspekte für Datensicherheit nach VS-NfD

Die Digitalisierung Ihrer Verwaltung erfordert digitale Sicherheitslösungen. Denn ebenso, wie Sie Ihre Papierakten nicht auf die Straße stellen, sondern in einem sicheren Archiv abschließen, müssen Sie auch digitale Akten sichern – am besten mit Hilfe von kryptografischer Verschlüsselung. Der folgende Artikel arbeitet 6 Aspekte heraus, die Sie bei der Einführung eines VS-NfD Datensicherheitskonzepts beachten sollten.

Was bedeutet Verschlusssache “Nur für den Dienstgebrauch” (VS-NfD)?

Paragraph §4 des Sicherheitsüberprüfungsgesetzes regelt die Grundsätze zum Schutz von Verschlusssachen. Es definiert auch die Mitwirkung des Bundesamtes für Sicherheit in der Informationstechnik.

Verschlusssachen können geheimhaltungsbedürftige Fakten, Gegenstände oder Erkenntnisse zum Wohle des Landes oder Bundes sein. Geheimhaltungsbedürftig im öffentlichen Interesse können auch z.B. Geschäftsgeheimnisse, Steuergeheimnisse oder Erfindungen sein. Die Definition gilt unabhängig von ihrer Darstellungsform. In der modernen digitalisierten Gesellschaft liegen solche Daten zumeist auch in digitaler Form vor. Das heißt bei geschützten digitalen Dokumenten bestehen sie aus der datentragenden Datei sowie des dazugehörenden kryptographischen Schlüssels der deren Entschlüsselung ermöglicht.

Zugang zu den Informationen darf nur den Personen gewährt werden, welche aufgrund ihrer Rolle in Hinblick auf die Erfüllung einer Aufgabe dazu bevollmächtigt sind. Der Zugang zu den Informationen muss stets so beschränkt sein, dass sie zur Aufgabenerfüllung ausreicht, nicht aber zu weitreichenden Informationen Zugang verschafft.

Dieser Artikel hat einen besonderen Fokus auf Verschlusssachen, die nur für den Dienstgebrauch sind. In diesem Falle könnten Kenntnisse durch Unbefugte für die Interessen der Bundesrepublik von Nachteil sein.

Die betroffenen Behörden sind verpflichtet, alle notwendigen Maßnahmen zu implementieren, die den Geheimnisschutz sicherstellen. Dazu gehört auch eine Nachweispflicht. Dies bedeutet, dass die technische Infrastruktur, welche den Geheimnisschutz gewährleistet, diesen auch durch entsprechende Funktionen wie Log-Files hinreichend belegen kann. Dazu gehören Aspekte wie datierter Zugangsnachweis, (digitale) Identität der natürlichen Person, welche Zugang erhielt, aber auch Daten über Fehler oder illegale Zugangsversuche.

6 Leitlinien zur revisionssicheren Behandlung von Verschlusssachen nach VS-NfD

1. Datenverschlüsselung mit Zugriffskonzept

In jeder Behörde wird täglich mit personenbezogenen und teils vertraulichen Daten gearbeitet. Die konforme Behandlung dieser Daten (z.B. gemäß DSGVO, VSA oder SÜG) ist dabei unerlässlich. Mit Verschlüsselungsmethoden werden diese unlesbar für unberechtigte Personen. Dank rollenbasiertem Zugriff-Management können nur berechtigte Personengruppen auf entsprechende, verschlüsselte Dateien zugreifen. Am besten wählt man hierzu eine Software aus, die transparente Verschlüsselung unterstützt. Das bedeutet, dass Ihre Mitarbeiter keine Veränderung im Arbeitsalltag und im Umgang mit Daten bemerken. 

2. Sichere Generierung und Verwahrung kryptographischer Schlüssel

Für die Ver- und Entschlüsselung von Daten werden kryptographische Schlüssel benötigt. Diese sollten sicher hergestellt (d.h. mit den neuesten kryptographischen Algorithmen) und in einer geschützten Umgebung aufbewahrt werden. Hierzu empfehlen wir die Verwendung eines Hardware Sicherheitsmoduls (HSM). Diese gibt es entweder als Teilkomponente eines Rechners (PCI-Karte) oder als eigenständiges Modul zum Einbau in Serverschränken. Je nach Anwendungsfall werden Schlüssel für unterschiedliche Algorithmen erzeugt und danach innerhalb des HSMs sicher verwahrt. Ein Hardware Sicherheitsmodul bildet somit die Grundlage für eine sichere IT-Infrastruktur. Für besonders zukunftssichere Anwendungen unterstützen einige Anbieter bereits heute sogenannte Post-Quanten-Kryptographie.

3. Zentrale Schlüsselverwaltung

Nun, da wir wissen, dass die Schlüssel sicher generiert und verwahrt werden, gilt unser Fokus der sorgfältigen Verwaltung von Schlüsseln und Zertifikaten. Denn zu einer allumfassenden Datensicherheitslösung gehört auch die regelmäßige Erneuerung von Schlüsseln und Zertifikaten. Innerhalb Ihrer Organisation existieren personenbezogene Schlüssel, SSH-Schlüssel, öffentliche und private Schlüssel und mehr. Je nach Schlüsseltyp werden unterschiedliche Nutzungsdauern empfohlen, meist nicht länger als 2 Jahre. Die Überwachung und der Austausch aller Schlüssel kann bei einer großen Behörde wie z.B. einer Landesverwaltung ganz schön kompliziert werden. Mit einer zentralen Key Management Lösung behalten Sie den Überblick über alle genutzten kryptographischen Schlüssel in Ihrer Behörde und deren Lebensdauer (Key Lifecycle Management).

4. Identitätsmanagement und Public Key Infrastruktur (PKI)

Eine effektive rollenbasierte Verschlüsselung ist bereits eine Art der Zugriffsverwaltung (siehe Punkt 1). Dafür werden digitale Zertifikate verwendet, die die Identität der Anfragenden bestätigen. Mit solchen Zertifikaten können zusätzlich die Kommunikation und der Datenaustausch zwischen Nutzern, Geräten und Applikationen abgesichert werden. Das bietet eine Public Key Infrastruktur (PKI): Die PKI erstellt und vergibt digitale Zertifikate. Anhand von diesen Zertifikaten wird die Identität von Personen, Diensten und Geräten sichergestellt, die auf Ihre Daten zugreifen oder untereinander Daten austauschen. Stellen Sie es sich wie eine Kontrolle an einer Grenze vor. Es erhalten nur diejenigen Zutritt, deren Identität zum ausgestellten Zertifikat passt.

5. Signatur von Dokumenten nach eIDAS

Gerade für Beschaffungsprozesse, Verträge und andere behördliche oder hoheitliche Anwendungen sind qualifizierte, elektronische Signaturen, Siegel und Zeitstempel sowie deren Verifikation wichtig. Denn so lässt sich rechtssicher nachweisen, dass ein Dokument vertrauenswürdig ist und nicht mehr verändert wurde. Die Rahmenbedingungen zur Signatur- und Siegelherstellung werden in der eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste geregelt und entsprechend zertifizierte Systeme benötigt.

6. Festplatten-Verschlüsselung für Laptops

Die letzten beiden Jahre haben flexible, neue Arbeitsmodelle verstärkt: Es wird zunehmend von zu Hause, remote, oder auf Reisen gearbeitet. Damit Sie die Sicherheit des Büros auch ins Homeoffice übertragen können, widmet sich dieser Aspekt der Hardware, auf der sensible Daten gespeichert werden. Mit einer vollständigen, software-basierten Verschlüsselung der lokalen Festplatte schützen Sie Daten vor unerlaubtem Zugriff durch Diebstahl oder Verlust des Laptops. So können Sie auch handelsübliche Laptops und PCs zur Verarbeitung von VS-NfD Daten nutzen und Pool-Notebooks sicher verwenden. Speziell in Bereichen, in denen Verschlusssachen behandelt werden, sind solche Maßnahmen verpflichtend.

Utimacos Datenschutzportfolio für bestmöglichen Schutz

Die aufgezählten Aspekte dienen als Orientierungshilfe, was Sie in puncto Datensicherheit beachten sollten. Diese müssen nicht zwingend alle, und in exakt dieser Reihenfolge ausgeführt werden. Eine gute Datenverschlüsselungssoftware bietet bereits einen soliden Basisschutz. Bei der Datensicherheit gilt jedoch tatsächlich: mehr ist mehr. Den bestmöglichen Schutz bietet ein komplettes Datenschutz-Portfolio bestehend aus allen oben genannten Aspekten. So schließen sie alle erdenklichen Risiken für Ihre Daten aus.

UTIMACO bietet Ihnen kundenorientierte Cybersecurity-Lösungen, die speziell für den Einsatz in Behörden zertifiziert sind und sich Ihrer bestehenden Umgebung anpassen. Und ganz besonders wichtig: ähnlich wie ein Buchhaltungsprogramm bieten die Sicherheitslösungen komfortable Auditmöglichkeiten, welche es den Behörden ermöglichen, bei Bedarf revisionssichere und vor dem Gesetzgeber valide Auswertung zu liefern. Utimaco erstellt Ihnen auch die Infrastruktur zur regelkonformen Implementierung der Identifizierungen und elektronischen Signaturen nach der europäischen eIDAS Verordnung unter Einbindung eines dafür notwendigen Qualified Signature Creation Device (QSCD).
 

Related products

Related products

How can we help you?

Talk to one of our specialists and find out how Utimaco can support you today.