Die Digitalisierung Ihrer Verwaltung erfordert digitale Sicherheitslösungen.
Denn ebenso, wie Sie Ihre Papierakten nicht auf die Straße stellen, sondern in einem sicheren Archiv abschließen, müssen Sie auch digitale Akten sichern – am besten mit Hilfe von kryptografischer Verschlüsselung. Der folgende Artikel arbeitet 5 Aspekte heraus, die Sie bei der Einführung eines VS-NfD Datensicherheitskonzepts beachten sollten.
Was bedeutet „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD)?
Paragraph §4 des Sicherheitsüberprüfungsgesetzes regelt die Grundsätze zum Schutz von Verschlusssachen. Es definiert auch die Mitwirkung des Bundesamtes für Sicherheit in der Informationstechnik.
Arten und Definition von Verschlusssachen
Verschlusssachen können geheimhaltungsbedürftige Fakten, Gegenstände oder Erkenntnisse zum Wohle des Landes oder Bundes sein. Geheimhaltungsbedürftig im öffentlichen Interesse können auch z.B. Geschäftsgeheimnisse, Steuergeheimnisse oder Erfindungen sein. Die Definition gilt unabhängig von ihrer Darstellungsform. In der modernen digitalisierten Gesellschaft liegen solche Daten zumeist auch in digitaler Form vor. Das heißt bei geschützten digitalen Dokumenten bestehen sie aus der datentragenden Datei sowie des dazugehörenden kryptographischen Schlüssels der deren Entschlüsselung ermöglicht.
Zugang zu den Informationen darf nur den Personen gewährt werden, welche aufgrund ihrer Rolle in Hinblick auf die Erfüllung einer Aufgabe dazu bevollmächtigt sind. Der Zugang zu den Informationen muss stets so beschränkt sein, dass sie zur Aufgabenerfüllung ausreicht, nicht aber zu weitreichenden Informationen Zugang verschafft.
Dieser Artikel hat einen besonderen Fokus auf Verschlusssachen, die nur für den Dienstgebrauch sind. In diesem Falle könnten Kenntnisse durch Unbefugte für die Interessen der Bundesrepublik von Nachteil sein.
Maßnahmen zum Geheimnisschutz
Die betroffenen Behörden sind verpflichtet, alle notwendigen Maßnahmen zu implementieren, die den Geheimnisschutz sicherstellen. Dazu gehört auch eine Nachweispflicht. Dies bedeutet, dass die technische Infrastruktur, welche den Geheimnisschutz gewährleistet, diesen auch durch entsprechende Funktionen wie Log-Files hinreichend belegen kann. Dazu gehören Aspekte wie datierter Zugangsnachweis, (digitale) Identität der natürlichen Person, welche Zugang erhielt, aber auch Daten über Fehler oder illegale Zugangsversuche.
5 Richtlinien für den revisionssicheren Umgang mit Verschlusssachen gemäß VS-NfD
1. Datenverschlüsselung mit Zugriffskonzept
In jeder Behörde wird täglich mit personenbezogenen und teils vertraulichen Daten gearbeitet. Die konforme Behandlung dieser Daten (z.B. gemäß DSGVO, VSA oder SÜG) ist dabei unerlässlich. Mit Verschlüsselungsmethoden werden diese unlesbar für unberechtigte Personen. Dank rollenbasiertem Zugriff-Management können nur berechtigte Personengruppen auf entsprechende, verschlüsselte Dateien zugreifen. Am besten wählt man hierzu eine Software aus, die transparente Verschlüsselung unterstützt. Das bedeutet, dass Ihre Mitarbeiter keine Veränderung im Arbeitsalltag und im Umgang mit Daten bemerken. Sichere
2. Sichere Generierung und Verwahrung kryptographischer Schlüssel
Für die Ver- und Entschlüsselung von Daten werden kryptographische Schlüssel benötigt. Diese sollten sicher hergestellt (d.h. mit den neuesten kryptographischen Algorithmen) und in einer geschützten Umgebung aufbewahrt werden. Hierzu empfehlen wir die Verwendung eines Hardware Sicherheitsmoduls (HSM). Diese gibt es entweder als Teilkomponente eines Rechners (PCI-Karte) oder als eigenständiges Modul zum Einbau in Serverschränken. Je nach Anwendungsfall werden Schlüssel für unterschiedliche Algorithmen erzeugt und danach innerhalb des HSMs sicher verwahrt. Ein Hardware Sicherheitsmodul bildet somit die Grundlage für eine sichere IT-Infrastruktur. Für langfristig zukunftssichere Anwendungen unterstützen einige Anbieter bereits sogenannte Post-Quanten-Kryptographie.
3. Zentrale Schlüsselverwaltung
Nun, da wir wissen, dass die Schlüssel sicher generiert und verwahrt werden, gilt unser Fokus der sorgfältigen Verwaltung von Schlüsseln und Zertifikaten. Denn zu einer allumfassenden Datensicherheitslösung gehört auch die regelmäßige Erneuerung von Schlüsseln und Zertifikaten. Innerhalb Ihrer Organisation existieren personenbezogene Schlüssel, SSH-Schlüssel, öffentliche und private Schlüssel und mehr. Je nach Schlüsseltyp werden unterschiedliche Nutzungsdauern empfohlen, meist nicht länger als 2 Jahre. Die Überwachung und der Austausch aller Schlüssel kann bei einer großen Behörde wie z.B. einer Landesverwaltung ganz schön kompliziert werden. Mit einer zentralen Key Management Lösung behalten Sie den Überblick über alle genutzten kryptographischen Schlüssel in Ihrer Behörde und deren Lebensdauer (Key Lifecycle Management).
4. Identitätsmanagement und Public Key Infrastruktur (PKI)
Eine effektive rollenbasierte Verschlüsselung ist bereits eine Art der Zugriffsverwaltung (siehe Punkt 1). Dafür werden digitale Zertifikate verwendet, die die Identität der Anfragenden bestätigen. Mit solchen Zertifikaten können zusätzlich die Kommunikation und der Datenaustausch zwischen Nutzern, Geräten und Applikationen abgesichert werden. Das bietet eine Public Key Infrastruktur (PKI): Die PKI erstellt und vergibt digitale Zertifikate. Anhand von diesen Zertifikaten wird die Identität von Personen, Diensten und Geräten sichergestellt, die auf Ihre Daten zugreifen oder untereinander Daten austauschen. Stellen Sie es sich wie eine Kontrolle an einer Grenze vor. Es erhalten nur diejenigen Zutritt, deren Identität zum ausgestellten Zertifikat passt.
5. Festplatten-Verschlüsselung für Laptops
Heutzutage arbeiten Menschen zunehmend von zu Hause aus, remote oder unterwegs. Damit Sie die Sicherheit des Büros auch ins Homeoffice übertragen können, widmet sich dieser Aspekt der Hardware, auf der sensible Daten gespeichert werden. Mit einer vollständigen, software-basierten Verschlüsselung der lokalen Festplatte schützen Sie Daten vor unerlaubtem Zugriff durch Diebstahl oder Verlust des Laptops. So können Sie auch handelsübliche Laptops und PCs zur Verarbeitung von VS-NfD Daten nutzen und Pool-Notebooks sicher verwenden. Speziell in Bereichen, in denen Verschlusssachen behandelt werden, sind solche Maßnahmen verpflichtend.
Utimacos Datenschutzportfolio für den bestmöglichen Schutz
Die aufgezählten Aspekte dienen als Orientierungshilfe, was Sie in puncto Datensicherheit beachten sollten. Diese müssen nicht zwingend alle, und in exakt dieser Reihenfolge ausgeführt werden. Eine gute Datenverschlüsselungssoftware bietet bereits einen soliden Basisschutz. Bei der Datensicherheit gilt jedoch tatsächlich: mehr ist mehr. Den bestmöglichen Schutz bietet ein komplettes Datenschutz-Portfolio bestehend aus allen oben genannten Aspekten. So schließen sie alle erdenklichen Risiken für Ihre Daten aus.
VS-NfD-konformes mobiles Arbeiten und Festplattenverschlüsselung
Die Genua GmbH, eine Tochtergesellschaft der Bundesdruckerei, hat die genusecure Suite eingeführt, ein integriertes Softwarepaket für sicheres, mobiles Arbeiten gemäß VS-NfD (Verschlusssachen). Dieses Paket umfasst den genuconnect VPN-Client, Utimacos Full Disk Encryption für die Festplattenverschlüsselung und Nexus' Personal Desktop Client für die Smartcard-basierte Authentifizierung. Es ermöglicht sicheren Fernzugriff für Behörden und Organisationen, die mit Verschlusssachen umgehen, und bietet hohe Sicherheit, ohne die Leistung und Benutzerfreundlichkeit zu beeinträchtigen. Die Suite ist so konzipiert, dass sie den Anforderungen des BSI entspricht und großflächige Implementierungen unterstützt.
Diese Lösung richtet sich an die anhaltend hohe Nachfrage von Behörden, Regierungsorganisationen und Branchen, die vertrauliche Informationen für flexible und sichere Arbeitsplätze benötigen, die es den Menschen ermöglichen, jederzeit und überall zu arbeiten.
Weitere Details finden Sie im vollständigen Artikel.
