So klappt VS-NfD in Remote-Work-Umgebungen

Langanhaltende und hoch frequentierte Cyberangriffe erfordern bei der IT-Sicherheit im kommunalen Bereich ein Umdenken. Gleichzeitig müssen neue Anforderungen auch mit modernen Arbeitsweisen wie Remote Work vereinbar sein. Doch wie sieht eine zukunftssichere Lösung für die neuen Cybergefahren aus? Und mit welchen relevanten Sicherheitsstufen und Richtlinien müssen diese in Deutschland kompatibel sein?

Im Oktober 2023 ging in vielen Kommunalverwaltungen in NRW plötzlich gar nichts mehr. Hacker hatten sich Zugang zu den regionalen IT-Systemen verschafft und im großen Stil Daten verschlüsselt. In der Folge waren 72 Kommunen teilweise komplett offline – manche sind selbst heute noch nicht wieder voll arbeitsfähig. Abseits dieses IT-Super-GAUs zählt die Statistik jeden Tag IT-Security-Vorfälle in Behörden. Viele davon können abgewehrt werden. Doch wenn die Angreifer einmal erfolgreich sind, bedeutet dies enorme Ausfälle und Kosten.

Von „Öffentlich“ bis „Streng vertraulich“ – Klassifizierungen für den KRITIS-Bereich

Dass die IT-Sicherheit im kommunalen Umfeld weiter erhöht werden muss, ist klar. Was man allerdings nicht vergessen darf: Mitarbeiter dürfen dabei nicht in ihren täglichen Arbeitsweisen eingeschränkt werden. Um dies zu erreichen, muss man sich zunächst damit befassen, wie Behörden, Ämter und auch geheimschutz­betreute Unternehmen ihre Daten klassifizieren. Dies hat direkte Auswirkungen auf die jeweils erforderliche Geheimhaltungsstufe. Folgende vier Geheimhaltungsgrade kommen häufig zum Einsatz:

• Öffentlich: Frei zugängliche Informationen, deren Veröffentlichung kein Risiko darstellt, sondern in den meisten Fällen sogar ausdrücklich erwünscht ist

• Intern: Innerhalb der Behörde frei zugängliche Informationen, die aber nicht nach außen dringen sollten (z.B. Handbücher für Mitarbeiter oder die innerbehördliche Kommunikation)

• Vertraulich: Sensible Informationen, die auch innerhalb der Behörde nur mit einer begrenzten Anzahl von Personen geteilt werden dürfen (z.B. Bürgerdaten, Personalinformationen und andere Arten von Geheimnissen)

• Streng vertraulich: Daten von höchster Wichtigkeit, die maximalen Schutz benötigen (z.B. hochsensible personenbezogene Daten, kritische Geschäftsdaten oder vertrauliche Regierungsinformationen). Der Zugang zu solchen Informationen ist stark eingeschränkt und muss protokolliert werden.

Erst die Einstufung von Daten ermöglicht es, angemessene Sicherheitsmaßnahmen zu ergreifen. So wird sichergestellt, dass sensible Informationen nur diejenigen Personen einsehen können, die dazu berechtigt sind und diese Informationen zur Erfüllung ihrer Aufgaben auch benötigen.

Welche offiziellen Geheimhaltungsgrade in Deutschland existieren

In Deutschland enthält das Sicherheitsüberprüfungsgesetz (SÜG) in Paragraf 4 einige „Allgemeine Grundsätze zum Schutz von Verschlusssachen“, die für den Bund, seine nachgeordneten Behörden und auch geheimschutzbetreute Unternehmen gelten. Sie geben in Absatz 2 vier Geheimhaltungsgrade vor. Diese lauten in aufsteigender Reihenfolge:

• VS-Nur für den Dienstgebrauch (VS-NfD), wenn die Kenntnisnahme durch Unbefugte den Interessen der Bundesrepublik Deutschland oder eines ihrer Länder Nachteile bereiten kann.

• VS-Vertraulich, wenn die Kenntnisnahme durch Unbefugte für die Interessen des Bundes oder seiner Länder schädlich sein kann.

• Geheim, wenn die Kenntnisnahme durch Unbefugte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen kann.

• Streng geheim, wenn ihre Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden kann.

VS-NfD ist dabei der Geheimhaltungsgrad, der auf kommunaler Ebene am häufigsten zum Tragen kommt. Hier arbeiten Mitarbeiter in der öffentlichen Verwaltung mit vertraulichen Bürgerinformationen, die zu jedem Zeitpunkt sicher übermittelt werden müssen. Dies gilt nicht nur in der Behörde, sondern auch dann, wenn der entsprechende Sachbearbeiter aus dem Homeoffice heraus tätig ist.

Neue VS-NfD-Bestimmungen für Remote Work

Gerade das Thema „Remote Work“ ist schließlich längst kein Grenzfall mehr. Auch in Behörden und dem KRITIS-Sektor allgemein steht flexibles Arbeiten mittlerweile an der Tagesordnung. Die nötige Sicherheit darf darunter jedoch keinesfalls leiden. Wie wichtig entsprechende Schutzmechanismen sind, zeigen auch die Beschlüsse des Bundes zum Schengener Informationssystem (SIS) aus dem letzten Jahr. Seit März 2023 müssen betroffene Behörden für Remote-Work-Tätigkeiten im Umgang mit VS-NfD die entsprechenden technischen Anforderungen umsetzen und eine BSI-zugelassene Lösung einsetzen. Für viele Landratsämter und andere Behörden, die mit diesem System zur Personen- und Sachfahndung im Schengenraum arbeiten, begann damit eine Umstellung ihrer Remote-Work- und IT-Prozesse an die neuen Anforderungen.

In Kapitel II wird beispielsweise erläutert, welche Maßnahmen zum Schutz der Vertraulichkeit von elektronisch gespeicherten Verschlusssachen getroffen werden müssen:

• PCs mit E-Mail- und Internetanschluss müssen nicht nur mit aktuellen Betriebssystem- und Antivirensoftware-Versionen ausgestattet sein, sondern zusätzlich von einer Firewall und einem zugelassenen Application-Gateway geschützt werden.

• Dabei muss mit verbindlichen Anwenderregelungen sichergestellt sein, dass nur entsprechend geschulte Mitarbeiter auf Verschlusssachen zugreifen können.

• Die Übertragung von VS-NfD muss zudem verschlüsselt erfolgen (z.B. über einen sicheren VPN-Tunnel), wobei für die Verschlüsselung nur vom BSI zugelassene Produkte eingesetzt werden dürfen.

Behörden und Verwaltungen sind also dazu verpflichtet, ihre komplette IT-Infrastruktur und Datenkommunikation nach den Empfehlungen des BSI lückenlos mit entsprechend zertifizierten Lösungen abzusichern.

Die richtige Lösung finden

Was sich nach einem aufwendigen Unterfangen anhört, lässt sich mit etwas Planung jedoch geordnet umsetzen. Wichtig dabei ist vor allem die Wahl der richtigen IT-Security-Lösung, die alle Anforderungen des Gesetzgebers erfüllt und gleichzeitig einfach zu bedienen und zu managen ist.

Im Folgenden haben wir eine Checkliste zusammengestellt, welche Punkte erfüllt sein sollten:

• BSI-Zulassung nach VS-NfD für alle eingesetzten Komponenten zwingend notwendig

• Application-Gateway, Management-Software und Endgeräte-Client möglichst von einem Hersteller, um reibungslose Prozesse zu garantieren

• Produkte „Made in Germany“ bevorzugen, um Backdoors zu vermeiden und digitale Souveränität sicherzustellen

• Bei Software-Produkten auf hohe Kompatibilität achten, um vorhandene Hardware weiterverwenden zu können

• Zentrale Management-Komponente, über die Administratoren Updates und Firewall-Richtlinien ausspielen sowie Benutzer, Lizenzen und Zertifikate prüfen können

• Endpoint Policy Checks, die Endgeräte auf Sicherheitslücken prüfen und gegebenenfalls vom Zugriff ausschließen

Deckt eine Lösung all diese Punkte ab, sind umsetzende Organisationen bestens für die VS-NfD-Anforderungen gerüstet und schützen ihre kommunale Verwaltung auch in Zukunft effektiv vor Cyberangriffen. Einen Anhaltspunkt für die Auswahl liefert die „Liste der zugelassenen IT-Sicherheitsprodukte und -systeme“ des BSI.

Allerdings sollten sich auch Kommunen, die nicht zu VS-NfD verpflichtet sind, bereits heute mit verlässlichen Enterprise-Lösungen absichern. Auf diese Weise profitieren Behörden von umfassenden Security-Features: Zugänge werden durch Multifaktor-Authentifizierung abgesichert, Endpoint Policy Checks überprüfen verbundene Endgeräte auf Sicherheit und Zugangsbeschränkungen nach dem Zero-Trust-Prinzip sorgen dafür, dass nur autorisierte Mitarbeiter auf entsprechende Daten zugreifen können – auch im Homeoffice.