VS-NfD und E-Mail-Sicherheit: Was IT-Administratoren wissen müssen
Im Zusammenhang mit dem sicheren Umgang mit sensiblen Informationen in Behörden und Unternehmen wird häufig der Begriff VS-NfD verwendet. In unserem Blogartikel erfahren Sie, was VS-NfD ist, warum das Wissen darum von essenzieller Bedeutung für Ihre IT-Sicherheit sein kann und wie NoSpamProxy auch Ihre Organisation sicher schützt.
Was ist VS-NfD?
Die Abkürzung steht für “Verschlusssache – Nur für den Dienstgebrauch” und markiert die niedrigste der vier offiziellen Geheimhaltungsstufen in Deutschland. Sie kommt zum Einsatz, wenn die unbefugte Kenntnisnahme zwar nicht lebensbedrohlich, aber dennoch schädlich für Bundesinteressen sein könnte.
Ein Beispiel ist die Kommunikation interner technischer Dokumentationen durch eine Behörde oder die Bekanntgabe vertraulicher Vertragsdetails durch ein Unternehmen im Rahmen eines öffentlichen Auftrags – beides fällt typischerweise unter die Kategorie VS-NfD.
Neben VS-NfD existieren noch drei weitere Geheimhaltungsstufen:
Mit jeder Stufe steigen die Anforderungen an Organisation, Technik und Umgang mit den Daten. Doch auch VS-NfD ist keineswegs eine „lockere“ Einstufung.
VS-NfD bringt gerade im Hinblick auf die E-Mail-Kommunikation klare Sicherheitsvorgaben mit sich – denn Informationen, beispielsweise zu internen Abläufen bei Behörden oder der Polizei, könnten Angreifern helfen. Weil es aber keine geheimen Staatsgeheimnisse sind (sondern „nur“ schutzwürdige organisatorische Details), werden diese Informationen nicht hochgestuft.
| VS-NfD | VS-Vertraulich | Geheim | Streng geheim |
|---|---|---|---|
| Nur für den Dienstgebrauch | Wenn Bekanntwerden den Interessen der Bundesrepublik schaden könnte | Wenn Bekanntwerden die Sicherheit der Bundesrepublik ernstlich gefährden könnte | Wenn Bekanntwerden die Existenz oder lebenswichtige Interessen der Bundesrepublik gefährden könnte |
| VS-NfD | VS-Vertraulich | Geheim | Streng geheim |
|---|---|---|---|
| Nur für den Dienstgebrauch | Wenn Bekanntwerden den Interessen der Bundesrepublik schaden könnte | Wenn Bekanntwerden die Sicherheit der Bundesrepublik ernstlich gefährden könnte | Wenn Bekanntwerden die Existenz oder lebenswichtige Interessen der Bundesrepublik gefährden könnte |
Welche VS-NfD-Anforderungen gibt es?
Die Anforderungen an den E-Mail-Verkehr unter VS-NfD lassen sich in drei Kernpunkten zusammenfassen:
Die Vertraulichkeit der Kommunikation soll durch eine starke Verschlüsselung gewährleistet werden, typischerweise per OpenPGP oder S/MIME, umgesetzt mit Algorithmen wie AES-256 oder RSA-4096.
Die Integrität und Authentizität der Nachrichten sollen durch digitale Signaturen abgesichert werden, sodass der Empfänger sofort erkennen kann, ob eine E-Mail tatsächlich vom angegebenen Absender stammt und unverändert ist.
Ein zentrales Thema ist auch die Malware-Erkennung. Hierbei müssen verschlüsselte E-Mails in einer geschützten Umgebung entschlüsselt und überprüft werden, ohne die Sicherheit der Verschlusssache zu gefährden.
Secure Email Gateways und VS-NfD
Um eine VS-NfD-konforme Arbeitsweise zu gewährleisten, ist ein Gateway dazu angehalten, über die reine Transportverschlüsselung hinausgehende Funktionen zu bieten. Das Tool sollte eine zentrale Verschlüsselung und Signatur unterstützen, möglichst automatisiert arbeiten und das Zertifikatsmanagement vereinfachen.
Des Weiteren ist ein On-Premises-Betrieb in der Regel erforderlich, um die volle Kontrolle über Schlüsselmaterial und sensible Daten zu gewährleisten. Darüber hinaus sind Mechanismen zur Malware-Erkennung auch bei verschlüsselten Inhalten erforderlich.
Es ist wichtig zu erwähnen, dass das BSI für VS-NfD aktuell nur Client-basierte Verschlüsselungslösungen betrachtet und freigibt – Gateways sind hier bewusst ausgeschlossen. Nicht, weil sie als unsicher gelten, sondern weil es das entsprechende Profil erheblich komplexer machen würde.
Aus diesem Grund soll es zukünftig ein eigenes Profil für Gateway-basierte Verschlüsselung geben.
Welche Lösungen empfiehlt das BSI?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Jahren verschiedene Lösungen offiziell für VS-NfD zugelassen. Allerdings sind auf der Liste der zugelassenen Produkte aktuell keine Secure Email Gateways genannt (siehe oben). Trotzdem setzen viele öffentliche Einrichtungen und Behörden NoSpamProxy ein, denn die Lösung erfüllt viele zentrale Anforderungen von VS-NfD:
Fazit
VS-NfD mag die niedrigste Geheimhaltungsstufe sein – doch die Anforderungen an IT-Sicherheit sind hoch. Für Administratoren bedeutet das: Verschlüsselung, Signatur, Malware-Schutz und sichere Konfiguration sind Pflicht, wenn vertrauliche Daten per E-Mail übertragen werden.
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen E-Mails. Fordern Sie jetzt Ihre kostenlose Testversion an!
