Mobile-Menu

Neue VS-NfD-Vorgaben Behörden müssen die Arbeit im Homeoffice stärker absichern

Von Christian Günther 4 min Lesedauer

Anbieter zum Thema

genua gmbh
cit GmbH
Governikus GmbH & Co. KG

Homeoffice gehört heute auch in Kommunen zum Arbeitsalltag. Papier wird dabei immer weniger und die Arbeit am Laptop zur Regel. Allerdings gibt es speziell im behördlichen Umfeld einige Punkte zu beachten, wenn es um die Sicherheit beim mobilen Arbeiten geht. Seit März gelten hierfür neue VS-NfD-Vorschriften.

Während der Corona-Pandemie mussten auch Beschäftigte der öffentlichen Verwaltung wenn möglich ins Homeoffice. Dabei haben viele von ihnen die neue Arbeitsform zu schätzen gelernt.(Bild: Studio Romantic – stock.adobe.com)
Während der Corona-Pandemie mussten auch Beschäftigte der öffentlichen Verwaltung wenn möglich ins Homeoffice. Dabei haben viele von ihnen die neue Arbeitsform zu schätzen gelernt.
(Bild: Studio Romantic – stock.adobe.com)

Als BKA-Vizepräsidentin Martina Link vor Kurzem das Lagebild Cyber-Kriminalität 2022 vorstellte, wies sie unter anderem auf zwei Punkte hin: Cyberangriffe aus dem Ausland würden zunehmen und Kommunen stünden verstärkt im Fokus von Cyberangriffen.

Dabei ist uns allen klar: Kein Bürger will, dass vertrauliche Daten im Netz landen, ob das nun sensible Gesundheits- oder Finanzdaten sind, offene Gerichtsverfahren oder der Stand von Asylverfahren. Kommunen müssen gut vorsorgen und die Daten der Bürger umfassend schützen – am besten mit einem Zero Trust-Ansatz, zu dem auch moderne, BSI-zertifizierte VPN-Lösungen für eine verschlüsselte Datenübertragung gehören.

Bitkom-Umfrage/ Lagebild Cyber-Kriminalität

63 Prozent der befragten Unternehmen erwarten einen Cyberangriff in den kommenden zwölf Monaten, aber nicht einmal die Hälfte von ihnen (43 Prozent) sieht sich selbst gut genug gerüstet, um Angriffe zu bewältigen.

Arbeiten mit dem Schengener Informationssystem (SIS)

Mitte des Jahres erreichte die Behörden ein Schreiben des Bundesverwaltungsamtes. Sie wurden aufgefordert, beim mobilen Arbeiten mit dem SIS besondere technische und organisatorische Regeln einzuhalten. Zu diesen Regeln gehört auch die Verschlüsselung der Datenübertragung mit beispielsweise VPN.

Was nun, wenn eine Kommune oder eine Ausländerbehörde eine VPN-Lösung einsetzt, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht für NS-VfD zugelassen ist? Dann muss diese Lösung erneuert werden und das soll erstens für die IT und zweitens für Anwender mit so wenig Aufwand wie möglich verbunden sein. Und auch, wenn nur zwei oder drei Mitarbeiter betroffen sind, muss eine Lösung gefunden werden.

SIS und VS-NfD

Für den Hintergrund sollte man das SIS, die Geheimhaltungsgrade und die IT-Architektur grob verstehen.

Das Schengener Informationssystem (SIS) wird von Sicherheitsbehörden genutzt, um nach Personen oder Sachen in der Europäischen Union zu fahnden. Die Daten im SIS sind alle nicht öffentlich. Sie beinhalten unerwünschte, vermisste und zur Fahndung ausgeschriebene Personen, gestohlene Ausweisdokumente, Schusswaffen etc. Wenn berechtigte Personen beispielsweise von Sicherheits- oder Einwanderungsbehörden, Europol, Frontex und weiteren Institutionen auf die digitalen Daten zugreifen, muss jeder Vorgang sehr gut geschützt sein. Und seit dem 8. März dieses Jahres bietet das SIS 3.0 erweiterte Zugriffsmöglichkeiten: In Deutschland dürfen nun auch Ausländerämter, Kfz-Zulassungsstellen, Waffenbehörden, Wasserstraßen- und Schifffahrtsämter sowie Nachrichtendienste des Bundes und der Länder mit SIS-Daten arbeiten.

Die Geheimhaltungsgrade regelt in Deutschland das Sicherheitsüberprüfungsgesetz (SÜG). In aufsteigender Reihenfolge enthält es vier Grade:

  • VS-Nur für den Dienstgebrauch (VS-NfD): Durch Lecks könnten den Interessen der Bundesrepublik Deutschland oder eines ihrer Länder Nachteile entstehen.
  • VS-Vertraulich: Durch Lecks könnten dem Bund oder seinen Ländern Schaden entstehen.
  • Geheim: Durch Lecks könnte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährdet werden und schwerer Schaden entstehen.
  • Streng geheim: Durch Lecks könnten lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährdet werden.

VS-NfD kommt bei Kommunen und der Arbeit mit dem SIS am häufigsten vor. Hier gelten die neuen, erweiterten VS-NfD-Richtlinien. Um das VS-NfD-konforme Arbeiten sicherzustellen, muss die IT-Architektur der jeweiligen Behörden und Verwaltungen bestimmte technische Vorgaben erfüllen. Das Bundesministerium für Wirtschaft und Energie (BMWi) hat die Anforderungen in einem Merkblatt festgehalten.

Maßnahmen, um Vertraulichkeit digital zu schützen

  • PCs mit E-Mail- und Internetanschluss müssen nicht nur mit aktuellen Betriebssystem- und Antivirensoftware-Versionen ausgestattet sein, sondern zusätzlich von einer Firewall und einem zugelassenen Application-Gateway geschützt werden.
  • Dabei muss mit verbindlichen Anwenderregelungen sichergestellt sein, dass nur entsprechend geschulte Mitarbeiter auf Verschlusssachen zugreifen dürfen.
  • Die Übertragung von VS-NfD muss zudem verschlüsselt erfolgen (z.B. über einen sicheren VPN-Tunnel), wobei für die Verschlüsselung nur vom BSI zugelassene Produkte eingesetzt werden dürfen.
  • Behörden und Verwaltungen sind dazu verpflichtet, ihre komplette IT-Infrastruktur und Datenkommunikation nach den Empfehlungen des BSI zu gestalten.

Cybersicherheit planen und umsetzen

Was sich nach einem aufwendigen Unterfangen anhört, lässt sich mit etwas Planung geordnet umsetzen. Es geht darum, Lösungen zu finden, die sich gut in die bestehende Softwarearchitektur einfügen sowie leicht zu managen und für Anwender einfach verständlich sind. Natürlich ist Cybersicherheit immer auch ein Aufwand: Die Authentifizierung, das ständige Updaten der Endgeräte und ihrer Software frisst Zeit. Aber gerade bei Software-Änderungen in Kommunen geht es darum, einfache und zukunftssichere Lösungen zu finden.

Checkliste: Diese Punkte sollte eine SIS-konforme Lösung erfüllen

  • BSI-Zulassung nach VS-NfD für alle eingesetzten Komponenten zwingend notwendig;
  • Application-Gateway, Management-Software und Endgeräte-Client möglichst von einem Hersteller, um reibungslose Prozesse zu garantieren;
  • Produkte „Made in Germany“ bevorzugen, um Backdoors zu vermeiden und digitale Souveränität sicherzustellen;
  • Bei Software-Produkten auf hohe Kompatibilität achten, um vorhandene Hardware weiterverwenden zu können;
  • Zentrale Management-Komponente, über die Administratoren Updates und Firewall-Richtlinien ausspielen sowie Benutzer, Lizenzen und Zertifikate prüfen können;
  • Endpoint Policy Checks, die Endgeräte auf Sicherheitslücken prüfen und gegebenenfalls vom Zugriff ausschließen;
  • Deckt eine Lösung all diese Punkte ab, sind umsetzende Behörden bestens für die neuen VS-NfD-Anforderungen gerüstet und schützen ihre kommunale Verwaltung auch in Zukunft effektiv vor Cyberangriffen.

Christian Günther
ist Account Manager bei NCP.

Bildquelle: NCP

(ID:49681429)

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte