Merkblatt für die Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)



Ähnliche Dokumente
Anlage 7 zur VSA. Merkblatt zur Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt)

Rheinlandtreffen. 07. November Fraunhofer INT, Euskirchen Grundlagen des amtlichen Geheimschutzes

Merkblatt für die Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NID)

Verpflichtungserklärung

Merkblatt zur Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt)

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Nutzung dieser Internetseite

ALLGEMEINE BEDINGUNGEN LIZENZBEDINGUNGEN

Praktikantenvertrag für die praxisintegrierte Ausbildung zum staatlich anerkannten Heilerziehungspfleger

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Vernichtung von Datenträgern mit personenbezogenen Daten

Allgemeine Geschäftsbedingungen. Onlineshop. Datenblatt. Stand 2015

c:\temp\temporary internet files\olk42\pct änderungen.doc

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Mitteilung. Vom 6. April 1995 (ABl S. A 68)

Einwilligungserklärung

I Serverkalender in Thunderbird einrichten

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

D i e n s t v e r e i n b a r u n g über die Durchführung von Mitarbeiter/innen- Gesprächen

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

Maklerauftrag für Vermieter

Internet- und -Überwachung in Unternehmen und Organisationen

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

1 D -Dienste. 2 Zuständige Behörde

Allgemeine Geschäftsbedingungen für den Online-Kauf unserer Handbücher

DE 1 DE EUROPÄISCHER VERHALTENSKODEX FÜR MEDIATOREN

Satzung der Begutachtungsstelle zur Beurteilung zahnärztlicher Behandlungsfehler bei der Zahnärztekammer Nordrhein 1

Das neue Widerrufsrecht

Widerrufsbelehrung. Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Zur Wahrung der Widerrufsfrist reicht es aus, dass Sie die Mitteilung über die Ausübung des Widerrufsrechts vor Ablauf der Widerrufsfrist absenden.

Beschwerdeverfahren 2.1.2

Datenschutz im Alters- und Pflegeheim

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Kurzanleitung fu r Clubbeauftragte zur Pflege der Mitgliederdaten im Mitgliederbereich

Datenschutz und Schule

1. Vertragsgegenstand

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Fallen bei Erfüllung, der durch den Dienstvertrag festgelegten Leistungen, Reisen- und Übernachtungskosten an, werden diese entsprechend des Anfalls

Ausbildungsvertrag im Rahmen der Ausbildung zur staatlich geprüften Fachkraft für Kindertageseinrichtungen

Datenübernahme und Datensicherheit

Elektronischer Kontoauszug

Verlosung Klassenfahrten DJH Die Teilnahmebedingungen im Detail:

Vergabegrundlage für Umweltzeichen. Umweltfreundliche Rohrreiniger RAL-UZ 24

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Gesetz über die Pflegezeit (Pflegezeitgesetz - PflegeZG)

Volksbank Oelde-Ennigerloh-Neubeckum eg

Elektronischer Kontoauszug

Datenschutzhinweise zum VAPIANO PEOPLE Programm

Anlage 1 B zur Spezifikation Anbieterwechsel Teil 1, Abläufe bei der Vorabstimmung

Teilnahmebedingungen für Guidefinder Gewinnspiele und Rabattaktionen

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Beschlußempfehlung des Rechtsausschusses der Volkskammer vom 20. Juni zum. Antrag des Ministerrates vom 6. Juni 1990 (Drucksache Nr.

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

A U S B I L D U N G S V E R T R A G

Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165)

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Befragung zum Migrationshintergrund

Organhaftpflichtversicherung

VEREINBARUNG ZUR DURCHFÜHRUNG DES PRAKTISCHEN STUDIENSEMESTERS

vom Bürgen vom Mieter

DELFI. Benutzeranleitung Dateiversand für unsere Kunden. Grontmij GmbH. Postfach Bremen. Friedrich-Mißler-Straße Bremen

Wir, gewählter Oberster Souverän von Gottes Gnaden, Treuhänder des

GPA-Mitteilung Bau 5/2002

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Dialyse Benchmark - Online so funktioniert s

Bundesanstalt für Straßenwesen V4z - lf (ANERK)

zwischen der Staatlich anerkannten Berufsfachschule für Fremdsprachenberufe der Volkshochschule Landshut e.v. nachfolgend Schulleitung genannt und

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Fernzugriff auf das TiHo-Netz über das Portal

Verlagerung der Buchführung ins Ausland. 146 Abs. 2a AO

Langfristige Genehmigungen

Lehrer: Einschreibemethoden

Liste der Änderungen der UPS Grundsätze zum Datenschutz mit Wirkung vom 28. April 2005

BSI Technische Richtlinie

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeindeverwaltung

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Zwischen. ... vertreten durch... (Ausbildender) Frau/Herrn... Anschrift:... (Auszubildende/r) geboren am:...

Erster Schritt: Antrag um Passwort (s. Rubrik -> techn. Richtlinien/Antrag für Zugangsberechtigung)

Widerrufsbelehrung der redcoon GmbH

VORAUSSETZUNGEN FÜR DIE NUTZUNG DER ANWENDUNG E-CURIA FASSUNG FÜR DIE VERTRETER DER PARTEIEN

FRAGE 39. Gründe, aus denen die Rechte von Patentinhabern beschränkt werden können

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Nutzung von GiS BasePac 8 im Netzwerk

STRATO Mail Einrichtung Mozilla Thunderbird

l Auftrag mit Einzugsermächtigung

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Muster für Ausbildungsverträge mit Auszubildenden nach dem Tarifvertrag für Auszubildende des öffentlichen Dienstes (TVAöD) - Besonderer Teil BBiG -

Transkript:

Merkblatt für die Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) Das VS-NfD-Merkblatt legt die Behandlung von nationalen Verschlusssachen (VS) des Geheimhaltungsgrades VS - NUR FÜR DEN DIENSTGEBRAUCH sowie von ausländischen VS und VS zwischenstaatlicher Organisationen (z.b. NATO, EU, OCCAR) von vergleichbarem Geheimhaltungsgrad nachfolgend VS-NfD - im Bereich der Wirtschaft fest. Weitergehende oder von nationalen Vorschriften abweichende Regelungen zum Schutz von VS internationaler Organisationen (z.b. NATO, EU, OCCAR) sind zusätzlich zu beachten. Eine Liste vergleichbarer Geheimhaltungsgrade sowie weitere Informationen über VS-NfD Regelungen können bei dem/der Sicherheitsbevollmächtigten (SiBe) oder soweit diese/r nicht bestellt ist beim VS-Auftraggeber angefordert werden. Spezielle Fragen können an das Bundesministerium für Wirtschaft und Energie ( Referat Z B 3 ) unter folgender E-Mail-Adresse gerichtet werden: buero-zb3@bmwi.bund.de. I. Allgemeines 1. Zugangsberechtigung und Weitergabe 1.1. VS des Geheimhaltungsgrades VS-NfD dürfen nur Personen zugänglich gemacht werden, die im Zusammenhang mit der Auftragsdurchführung oder bei der Auftragsanbahnung Kenntnis erhalten müssen (Grundsatz Kenntnis nur, wenn nötig ). Den zugangsberechtigten Personen ist dieses Merkblatt vor dem Zugang zu solchen VS nachweislich bekannt zu geben; sie werden auf ihre besondere Verantwortung für den Schutz der VS gemäß diesem Merkblatt sowie eventuelle strafrechtliche oder vertragsrechtliche Konsequenzen bei Zuwiderhandlung hingewiesen. Weitergehende Maßnahmen wie ein Geheimschutzverfahren des BMWi, Sicherheitsüberprüfungen oder formale Besuchsanmeldungen sind nicht erforderlich. 1.2. Über den Inhalt der VS ist Verschwiegenheit gegenüber Nichtbeteiligten zu wahren. Mitarbeiter, die sich zum Umgang mit solchen VS als ungeeignet erwiesen oder gegen die Verpflichtung zur Geheimhaltung verstoßen haben, sind von der Bearbeitung solcher VS auszuschließen. 1.3. Die Weitergabe von als VS-NfD eingestuften VS darf nur an Regierungsstellen, zwischenstaatliche Organisationen oder Auftragnehmer erfolgen, die an einem Programm/Projekt/Auftrag beteiligt sind und die Zugang zu den Informationen im Zusammenhang mit der Bearbeitung des Programms/Projekts/Auftrags haben müssen. Vor der Weitergabe von VS-NfD eingestuften VS an nicht beteiligte zwischenstaatliche Organisationen oder Auftragnehmer aus nicht beteiligten Ländern ist die schriftliche Einwilligung des amtlichen VS-Auftraggebers der VS einzuholen. Grundsätzlich bedarf es hierbei eines Geheimschutzabkommens mit der zwischenstaatlichen Organisation bzw. dem Land, in dem der Auftragnehmer seinen Sitz hat. Ist der amtliche VS-Auftraggeber nicht mehr zu ermitteln, so kann die Einwilligung auch beim BMWi eingeholt werden. Stand: 29.04.2014 Seite 1 von 7

1.4. In Deutschland kann sich das BMWi beim VS-Auftragnehmer über die Einhaltung der Bestimmungen dieses Merkblattes vergewissern. 1.5. Die VS-Einstufung ist dreißig Jahre nach dem 1. Januar des auf die Einstufung folgenden Jahres aufgehoben, sofern keine andere Frist bestimmt ist. Bei internationalen Aufträgen ist BMWi zu konsultieren, sofern keine Programm- oder Projektvereinbarungen bestehen. 2. Bearbeitungsmaßnahmen 2.1. Kennzeichnung und Handhabung bzw. Verwahrung Dokumente und Material des Geheimhaltungsgrades VS-NfD sind wie folgt zu kennzeichnen, zu behandeln und zu verwahren: 2.1.1. Dokumente sind durch schwarzen oder blauen Stempelaufdruck, Druck VS NUR FÜR DEN DIENSTGEBRAUCH am oberen Rand jeder beschriebenen Seite sowie aller entsprechend eingestuften Anlagen zu kennzeichnen bzw. im Falle internationaler oder ausländischer VS mit dem deutschen Geheimhaltungsgrad zu kennzeichnen. Bei Büchern, Broschüren u.ä. genügt die Kennzeichnung auf dem Einband und dem Titelblatt. Trägt jede beschriebene Seite eines ausländischen Buches oder einer ausländischen Broschüre den ausländischen Geheimhaltungsgrad, genügt die Kennzeichnung mit dem deutschen Geheimhaltungsgrad auf dem Einband oder dem Titelblatt. 2.1.2. VS-NfD eingestuftes Material (z.b. Gerät, Ausrüstung) oder Datenträger (z.b. Disketten, CD`s, Mikrochips, Mikrofiche) sind ebenfalls entweder deutlich sichtbar am Material selbst oder falls dies nicht möglich ist an den Aufbewahrungsbehältnissen des Materials zu kennzeichnen. 2.1.3. Bei allen Arbeitsschritten im Unternehmen ist der Grundsatz Kenntnis nur, wenn nötig durchgängig zu berücksichtigen. Dies gilt insbesondere auch für die notwendige Vervielfältigung, wenn in den Geräten zur Vervielfältigung Speichermedien verwendet werden. 2.1.4. Die VS sind in verschlossenen Räumen oder Behältern (Schränken, Schreibtischen usw.) zu verwahren. Außerhalb von solchen Räumen oder Behältnissen sind sie stets so aufzubewahren bzw. zu behandeln, dass Unbefugte keinen Zugang zu oder Einblick in die VS haben. 2.1.5. Die Bearbeitung von VS in privaten Räumlichkeiten (Telearbeit) stellt eine Ausnahme dar. Sie ist für VS-NfD, die nach dem (Datum Inkrafttreten der neuen VSA des BMI) eingestuft wurden, nur zulässig, wenn eine schriftliche Zustimmung des amtlichen VS-Auftraggebers vorliegt. Die Zustimmung gilt als erteilt, wenn die Einhaltung des VS- NfD-Merkblattes zwischen VS-Auftraggeber und VS-Auftragnehmer vertraglich vereinbart wurde und der VS-Auftraggeber nicht ausdrücklich widersprochen hat. Für VS-NfD, die bereits vor dem (Datum Inkrafttreten der neuen VSA des BMI) als solche eingestuft waren, kann der VS-Auftraggeber im Einzelfall die Telearbeit vertraglich untersagen. Der/die SiBe (oder die im Unternehmen beauftragte Person) hat jeden Einzelfall zu prüfen. Stand: 29.04.2014 Seite 2 von 7

Die betreffenden Mitarbeiter/Innen sind von dem/der SiBe über die spezifischen Vorschriften (siehe Anlage) nachweisbar zu belehren. Vor Aufnahme der Tätigkeit hat sich der / die SiBe zu vergewissern, dass bei den Beschäftigten die Voraussetzungen für die Aufbewahrung und Bearbeitung von Verschlusssachen nach diesem Merkblatt gegeben sind. Der Beschäftigte hat dem/der SiBe und dem BMWi (vgl. Ziffer 1.4.) die Kontrolle in den privaten Räumen zu gestatten. 2.1.6. VS-Zwischenmaterial (z.b. Vorentwürfe, Stenogramme, Tonträger, Folien) ist gegen Einsichtnahme Unbefugter in derselben Weise zu schützen wie das Bezugsdokument. VS- Zwischenmaterial, das nicht an Dritte weitergegeben und unverzüglich vernichtet wird, muss nicht als VS gekennzeichnet werden. 2.2. Weitergabe 2.2.1. Die Weitergabe in Deutschland erfolgt durch Boten oder Versand durch Zustelldienste in einfachem verschlossenen Umschlag bzw. Behältnis. Der Umschlag bzw. das Behältnis erhalten keine VS-Kennzeichnung. 2.2.2. VS können durch private Zustelldienste als gewöhnlicher Brief bzw. Paket oder auch als Luft- oder Seefracht in das Ausland versendet werden, es sei denn, der VS-Auftraggeber hat dieser Versendungsart ausdrücklich widersprochen oder andere Modalitäten für den Auslandsversand festgelegt. Dabei sind vom VS-Auftraggeber zwischenstaatliche Vereinbarungen bzw. besondere Programm- oder Projektvereinbarungen zu berücksichtigen. 2.3. Vernichtung/Rückgabe 2.3.1. Um größere Bestände von VS zu vermeiden, sind nicht mehr benötigte VS zu vernichten oder an den VS-Auftraggeber zurückzugeben. 2.3.2. VS, auch VS-Zwischenmaterial, sind so zu vernichten, dass der Inhalt nicht mehr erkennbar ist und nicht mehr erkennbar gemacht werden kann. 2.4 Verlust, unbefugte Weitergabe, Auffinden von VS oder Nichtbeachtung des Merkblatts Der Verlust, die unbefugte Weitergabe sowie das Auffinden von VS oder die Nichtbeachtung dieses Merkblattes ist unverzüglich über den/die SiBe soweit bestellt dem deutschen VS- Auftraggeber und BMWi (Referat Z B 3) mitzuteilen, um einen eventuell entstandenen Schaden zu begrenzen und den Vorfall aufzuklären. 2.5. Besuche Besuche in das oder aus dem Ausland mit Zugang zu VS-NfD oder vergleichbarem Geheimhaltungsgrad werden in der Regel unmittelbar zwischen der entsendenden und der zu besuchenden Einrichtung vereinbart. Es gibt keine besonderen Formvorschriften. 2.6. Aufträge 2.6.1. Alle VS-Auftragnehmer/-Unterauftragnehmer sind vom VS-Auftraggeber vertraglich zu verpflichten, die Regelungen dieses Merkblattes zu beachten. Dabei ist darauf hinzuweisen, Stand: 29.04.2014 Seite 3 von 7

dass eine Nichtbeachtung die Auflösung des Vertrages bzw. von Teilen des Vertrages zur Folge haben kann. 2.6.2. Bei Angeboten bzw. der Aufforderung zur Abgabe von Angeboten und nach Auftragsdurchführung sind VS bis zur Aufhebung der Einstufung vorschriftsmäßig zu verwahren, baldmöglichst zu vernichten oder zurück zu geben. 2.6.3. VS-Auftragnehmer/-Unterauftragnehmer im Ausland sind vertraglich zu verpflichten, die Vorschriften ihrer zuständigen Sicherheitsbehörde für die Behandlung von VS vergleichbaren Geheimhaltungsgrades zu beachten. Gibt es keinen vergleichbaren Geheimhaltungsgrad in dem Land eines VS-Auftragnehmers/Unterauftragnehmers, ist BMWi (Referat Z B 3) einzuschalten, das Regelungen für den Schutz mit der zuständigen ausländischen Sicherheitsbehörde vereinbart. Die Weitergabe darf dann erst nach Zustimmung des BMWi erfolgen. Stand: 29.04.2014 Seite 4 von 7

II. Nutzung von Informationstechnik (IT) 1. Bearbeitung 1.1. Wird IT für die Bearbeitung von VS-NfD eingestuften VS genutzt, sind zum Schutz der VS (entsprechend Teil I 1.1 und 1.2) geeignete informationstechnische Maßnahmen und / oder materielle und organisatorische Maßnahmen zu treffen. 1.2. Vor der Bearbeitung oder Speicherung von VS-NfD eingestuften VS ist sicherzustellen, dass das Gerät oder das interne Netzwerk nicht unmittelbar (z.b. ohne Schutz durch eine Firewall) mit dem Internet verbunden ist, sofern nicht weitergehende Maßnahmen entsprechend 3.3 aufgeführt, ergriffen worden sind. 1.3. Bei der Bearbeitung von VS-NfD eingestuften VS kommen insbesondere folgende Maßnahmen in Betracht: Übersicht über die Zugriffsberechtigungen, Nutzung von Identifizierungs- und Authentisierungsmechanismen (z.b. Login, Passwort), geeignete IT-Sicherheitsanweisung (einzelplatz- oder.unternehmensbezogen) Funktastaturen und Funk-Netzwerke dürfen nur eingesetzt werden, wenn sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen sind. 1.4 Werden für die Bearbeitung oder Speicherung von VS-NfD eingestuften Daten tragbare IT- Systeme (z.b. Notebooks oder Handhelds) eingesetzt, sind die verwendeten Speichermedien durch vom BSI zugelassene Produkte zu verschlüsseln. 1.5 Transportable Datenträger (z.b. Disketten, CD's, Wechselplatten), die VS-NfD eingestufte Daten unkryptiert 1 enthalten, sind gemäß Teil I 2.1.2 zu kennzeichnen und gemäß Teil I 2.1.3 aufzubewahren. 1.6 Das Löschen von Datenträgern hat mit Hilfe von Softwareprodukten zu erfolgen, die mindestens ein zweifaches Überschreiben vorsehen. Hierbei soll auf vom BSI empfohlene Produkte zurückgegriffen werden. 1.7 Informationstechnik und Datenträger sind auf Virenbefall (insbesondere Trojanische Pferde oder Würmer) zu überprüfen bevor VS-NfD damit bearbeitet werden. Diese Prüfung ist in regelmäßigen Zeitabständen zu wiederholen. 1.8 Private Informationstechnik (z.b. Laptops), Software oder Datenträger dürfen nicht für die Bearbeitung eingesetzt werden. In für VS-NfD genutzten Informationssystemen dürfen keine private Software oder private Datenträger verwendet werden. 1.9 Auf fest installierten Datenträgern, die VS-NfD eingestufte Daten unkryptiert enthalten, sind die Verschlusssachen gemäß 1.6 zu löschen, bevor die Datenträger im Rahmen von Wartungs- oder Reparaturarbeiten an IT-Systemkomponenten den Bereich der zugriffsbe- 1 Kryptieren = verschlüsseln oder codieren. Um auf materielle Sicherheitsmaßnahmen (VS-Kennzeichnung, sichere Aufbewahrung usw.) verzichten zu können, muß das für die Kryptierung genutzte Kryptosystem vom Bundesamt für Sicherheit in der Informationstechnik zugelassen oder vom BMI freigegeben sein oder vom BMWi im Einzelfall freigegeben werden. Stand: 29.04.2014 Seite 5 von 7

rechtigten Personen verlassen. Ist eine Löschung nicht möglich, sind die Datenträger auszubauen und zurückzubehalten bzw. ist die Wartungs-/Reparaturfirma vertraglich auf die Einhaltung der Regeln dieses Merkblattes zu verpflichten.. 2. Übertragung 2.1. Bei der elektronischen Übermittlung auf Telekommunikations- oder anderen technischen Kommunikationsverbindungen (einschließlich Onlinedienste wie WWW, FTP, TELNET, email etc.) in Deutschland sind die VS mit einem vom BSI zugelassenen oder vom BMI oder im Einzelfall vom BMWi freigegebenen Kryptosystem zu kryptieren. Abweichend davon ist ausnahmsweise eine unkryptierte Übertragung zulässig: a) innerhalb von Festnetzen bei Telefongesprächen, bei Videokonferenzen und bei Fernkopien und Fernschreiben, wenn zwischen Absender und Empfänger für die erforderliche Übertragungsart keine Kryptiermöglichkeit besteht und der VS-Auftraggeber bei der Auftragsvergabe nicht ausdrücklich eine Kryptierung verlangt. Die absendende Stelle hat sich vor der Übertragung zu vergewissern, dass sie mit dem richtigen Empfänger verbunden ist. b) innerhalb eines geschlossenen Netzes (LAN), wenn es ausschließlich auf einem örtlich zusammenhängenden firmeneigenen Gelände betrieben wird und die Übertragungseinrichtungen gegen unmittelbaren Zugriff Unbefugter geschützt sind. 2.2. Bei grenzüberschreitenden elektronischen Übermittlungen müssen die Verschlüsselungsverfahren zwischen den nationalen Sicherheitsbehörden der beteiligten Staaten abgestimmt werden. Sofern in einem Programm/Projekt besondere Sicherheitsanweisungen für die Übermittlung vereinbart wurden, sind diese zu beachten. Bei Bedarf erteilt BMWi (Referat Z B 3) weitere Auskünfte. 3. Maßnahmen zum Schutz der Vertraulichkeit von VS mit der Einstufung VS-NfD bei der Nutzung von (IT) Die im Folgenden empfohlenen Maßnahmen sollen die Vertraulichkeit der elektronisch gespeicherten VS sicherstellen. Sie dienen nicht in erster Linie dazu, die Integrität und die Verfügbarkeit der Daten zu gewährleisten. Drei unterschiedliche Ausgangsituationen sind zu unterscheiden: 3.1. Einzelplatz PC oder Netzwerke mit geschlossenen Nutzergruppen, die nicht mit anderen Netzen verbunden sind - Das Betriebssystem muss ein differenziertes Benutzerprofil und Zugriffschutz bis auf Dateiebene gewährleisten, damit der Grundsatz Kenntnis nur, wenn nötig sichergestellt wird (z. B. Unix/Linux; Win NT; Win 2000, Win XP). - Es muss ein Login und ein Passwort vorhanden sein. Das Passwort muss mindestens 6 Stellen, alphanumerisch (Sonderzeichen); Groß- und Kleinbuchstaben enthalten. - Das BIOS muss ebenfalls Passwort geschützt sein. - Ein Booten des IT-Systems darf grundsätzlich nur von der Festplatte aus möglich sein. - Es sollte falls möglich eine RAM-Disk für die Temp-Dateien enthalten (Nutzungshilfe). - Eine aktuelle Antivirensoftware muss eingesetzt sein. - Bei Netzwerken sollte eine eigene Partition zum Speichern der VS-Daten auf dem Server installiert werden. Stand: 29.04.2014 Seite 6 von 7

3.2. Geschlossene Netze mit E-Mail-Anschluss nach außen Zusätzlich zu den unter Nr. 3.1 festgelegten Punkten müssen - ein Serverbasiertes Netz vorhanden sein, bei dem der Server im zugangsgeschützten Bereich steht, - eine Firewall vorhanden sein, entweder auf dem Server oder als eigenes IT-System (und ggfs. zusätzlich E-Mailserver) auch im zugangsgeschützten Bereich, - ein Paketfilter eingesetzt werden; ein Applikations-Gateway ist möglich, - jede weitere IP-Adresse, außer der Server-IP, nach außen verborgen werden (DNS-Server), - die Übertragung von VS-NfD verschlüsselt erfolgen, wobei für die Verschlüsselung nur vom BMWi zugelassene Produkte eingesetzt werden dürfen; Schlüssel sind grundsätzlich nicht auf der Festplatte abzulegen. Es müssen verbindliche Anwenderregelungen innerhalb des Unternehmens festgelegt und geschult werden. Die neuesten Sicherheits-Updates der genutzten Software sind nach Verfügbarkeit insbesondere auch an der Firewall einzubinden. 3.3. Stand-alone-PC oder Geschlossene Netze mit E-Mail- und Internetanschluss Zusätzlich zu den unter Nr. 3.1 und Nr. 3.2 festgelegten Punkten müssen - eine Firewall und Applikation-Gateway vorhanden sein, - die Regelungen des IT-Grundschutzkatalogs des BSI für Passwörter angewendet werden, - VS-NfD-Daten auf dem Server in einer eigenen Partition bzw. in einem speziell geschützten Datenbereich gehalten werden; die dadurch gegebenen Schutzmechanismen sind entsprechend anzuwenden. Je nach Umfang ist die Einrichtung eines eigenen VPN z.b. für eine Nutzergruppe oder ein Projekt erforderlich. Stand: 29.04.2014 Seite 7 von 7

Anlage zum VS-NfD-Merkblatt zur Behandlung von Verschlusssachen (VS) des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) Vertragsbestandteil zwischen Auftraggeber und Auftragnehmer bei Verträgen mit Unternehmen bzw. sämtlichen Nachunternehmen 1. Der Auftragnehmer verpflichtet sich, das VS-NfD-Merkblatt (Anlage 4 zum GHB) einzuhalten. Auf die strafrechtlichen und vertraglichen Konsequenzen bei Zuwiderhandlung wird ausdrücklich hingewiesen. 2. Der Auftragnehmer benennt eine für die Einhaltung und Durchführung der erforderlichen Maßnahmen zum Schutz der VS-NfD verantwortliche Person sowie ggf. eine Vertreterin oder einen Vertreter. Bei geheimschutzbetreuten Unternehmen sind dies der Sicherheitsbevollmächtigte und sein Vertreter. Verantwortliche Person Name: Vorname: Postalische Anschrift: Erreichbarkeit: 3. Die Person ist insbesondere für folgende Maßnahmen verantwortlich: - Nachweisliche Bekanntgabe des VS-NfD-Merkblatts an Mitarbeiterinnen und Mitarbeiter des Unternehmens - Besondere Maßnahmen bei der Nutzung von Informationstechnik, z. B. Einsatz von Kryptier-Software, Firewall, Applikations-Gateway und Anti-Viren-Software - Einholung der Genehmigung des amtlichen Auftraggebers zur Weitergabe von VS-NfD, z. B. bei Unteraufträgen - Kontrolle der Einhaltung der erforderlichen Maßnahmen zum Schutz von VS-NfD im Unternehmen. Stand: 23.04.2013

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback