Eine Einführung in die Regelungen und Prozesse für den Aufbau einer sicheren IT-Infrastruktur mit Geheimschutz
Zuerst erschienen in der public Ausgabe 02/2022
von Carola Bischoff und Michael Kinateder
Behörden, Ämter und deren erweitertes Umfeld müssen zwangsläufig mit hochsensiblen Informationen umgehen. Angesichts steigender Bedrohung durch Cyberkriminalität und gleichzeitig wachsendem Digitalisierungsbedarf haben sich Geheimschutz und IT-Sicherheit zu Kernthemen für den Aufbau und Betrieb von modernen IT-Architekturen entwickelt.1 Trotzdem gibt es in den Behörden viele Bereiche, die bisher noch nicht mit den Anforderungen an einen aktuellen Geheimschutz und eine leistungsfähige, sichere IT-Infrastruktur in Berührung gekommen sind. Für diese Zielgruppe soll der nachfolgende Artikel eine verständliche Einführung in die Thematik des Geheimschutzes, seiner Wechselwirkungen mit der IT-Sicherheit und den zugrundeliegenden, zu berücksichtigenden Regelungen bieten. „Verschlusssachen“ (VS) sind im Kontext der öffentlichen Verwaltung Tatsachen, Informationen, Gegenstände und Ähnliches, welche im Sinne des öffentlichen Interesses oder des Staates geheim gehalten werden müssen. Zum Schutz vor unbefugtem Zugriff und Manipulation benötigen Organisationen des öffentlichen Sektors ausgereifte organisatorische und technische Maßnahmen.2
IT-Standardisierung bringt eine Reihe von Vorteilen mit sich. IT-Entscheider erhoffen sich dadurch etwa Kosteneinsparungen oder gesteigerte IT-Sicherheit. Client-Arbeitsplätze sind IT-Ressourcen, die sich hervorragend standardisieren lassen, weshalb sie uns als Anschauungsbeispiel dienen sollen. Hierbei meinen wir mit dem Begriff „Client-Infrastruktur“ nicht nur Endgeräte (z.B. Laptops) und Clientsoftware, sondern auch die Backendinfrastruktur (z.B. Hard- und Software im Rechenzentrum). In diesem Artikel werden die rechtlichen Grundlagen sowie Kernbegriffe im Umfeld des Geheimhaltungsgrads „VS-NfD“ erläutert und anschließend Anforderungen und verbundene Herausforderungen aufgezeigt, welche während des Freigabeprozesses von Soft- und Hardwarelösungen durch das Bundesamt für Informationssicherheit (BSI) zu erwarten sind.
Tabelle 1: Geheimhaltungsgrade in Deutschland3
Rechtliche Grundlagen und der BSI-Zulassungsprozess
Mitunter müssen Landes- und Bundesbehörden Daten verarbeiten, teilen, speichern und löschen, welche nicht für die Allgemeinheit gedacht sind. In Deutschland werden Verschlusssachen gemäß der VSA (Verschlusssachenanweisung) in vier Geheimhaltungsgrade aufgegliedert (siehe Tabelle 1), welche je nach Grad des Sicherheitsbedarfes unterschiedlich stringente Regelungen und Anforderungen an technische, organisatorische und personelle Regularien stellen.
Aus der Perspektive von IT-Entscheidern ist die „VS-IT“, ein Teilabschnitt der VSA, von besonderer Relevanz. Hierbei handelt es sich um Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik. Die Richtlinien sind in der „Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz“ verankert. Diese beinhalten unter anderem Themen wie Zugangs- und Zugriffskontrolle, Speicherung und Übertragung von Daten und Netzanbindungen. Auf § 13 VSA (Einsatz von VS-IT) und § 50 VSA (Freigabe des Betriebs von VS-IT)4 liegt hierbei ein besonderes Augenmerk. Für das IT-System müssen VSA-konforme Informationssicherheitskonzepte (ISK) erstellt werden, wobei das BSI als Berater zur Seite steht und auch die Rolle des „wachenden Auges“ einnimmt. Diese und weitere Verantwortlichkeiten sind im sogenannten BSI-Gesetz (BSIG) manifestiert.5 Besonderer Fokus liegt auf der Bewertung von IT-Sicherheitsfunktionen. Gemäß § 13 VSA und § 50 VSA kann der BSI-Zertifizierungsprozess in zwei wesentliche Schritte eingeteilt werden:
1) Prüfung der Sicherheitskonzepte
§ 13 VSA beinhaltet Richtlinien und Anforderungen rund um Sicherheitskonzepte. Es werden ISKs für Teilkomponenten sowie für das Gesamtsystem erstellt beziehungsweise angepasst. Darauf folgen ein Votum und gegebenenfalls eine oder mehrere Feedback- und Anpassungsschleifen.
2) Wirksamkeitsprüfung
Nach Aufbau der Umgebung wird diese gemäß § 50 VSA getestet. Die Tests bestehen aus einem Penetrationstest und vielen verschiedenen kleinen Tests der Services oder Netzverbindungen, welche allerdings bis zum eigentlichen Test nicht bekannt sind. Die Wirksamkeitsprüfung soll die sogenannte Lagenfähigkeit des Systems dokumentieren. Das Wort „lagenfähig“ ist in keinem Wörterbuch zu finden, und die Vermutung liegt nahe, dass das BSI dieses Wort kreiert hat. Wenn eine Behörde lagenfähig ist, so bedeutet dies, dass die Behörde bei allen möglichen „Gefahrenlagen“ wie Elementarschäden (z.B. Überschwemmungen) oder ähnlichen Katastrophen in der Lage ist, differenziert zu reagieren, weiterhin ihre Tätigkeiten auszuüben und kommunikationsfähig zu bleiben. In der Konsequenz sind gegebenenfalls bauliche Maßnahmen (z.B. Bunker, gehärtete Baumaterialien) und die Standortlage (z.B. Aufbau abseits von Küsten) für den Aufbau neuer Rechenzentren zu berücksichtigen. Die Abbildung 1 veranschaulicht den Freigabeprozess, der durchlaufen werden muss.
Themenbereiche des Geheimschutzes
Auch wenn VS-NfD die niedrigste Geheimschutzstufe darstellt, werden seitens VSA/VS-IT bereits stringente Anforderungen an Geheimschutz und IT-Sicherheit gestellt. Ohne Detailverständnis der Vorgaben und sorgfältige Planung stehen unangenehme Überraschungen auf der Tagesordnung. Grob lassen sich vier zu behandelnde Themenbereiche (siehe Abbildung 2) identifizieren, welche durch gutes Projekt- und Kommunikationsmanagement sowie Architekturplanung aktiv gesteuert werden können.
Hard- und Softwarebeschaffung
Verschlusssachen enthalten sensible Informationen, mit denen verantwortungsbewusst umgegangen werden muss, gleichzeitig sind für einen modernen IT-Arbeitsplatz Funktionalitäten notwendig, bei denen Daten über potenziell unsichere Netze ausgetauscht werden (z.B. mobiles Arbeiten, E-Mail, VoIP). Ergo benötigen IT-Systeme resiliente Sicherheitsfunktionen (z.B. VPN, Festplattenverschlüsselung). Das BSI listet auf seiner Webseite zugelassene IT-Sicherheitsprodukte, anhand derer man sich bei der Lösungskonzeption orientieren sollte.7 Sicherheitsanforderungen an IT-Komponenten sind seitens BSI sowohl in den technischen Richtlinien8 als auch in den VS-Anforderungsprofilen9 dokumentiert. Sollte für ein Anwendungsszenario kein Produkt zugelassen sein, so sieht die Rechtslage eine Beratungsanfrage an das BSI vor. Die IT-Sicherheitsbehörde gibt daraufhin eine Empfehlung ab.
Weiterhin sind VS-Daten von Nicht-VS-Daten streng zu trennen. Insbesondere bei Backendkomponenten sollte sichergestellt werden, dass diese dediziert genutzt werden. Es empfiehlt sich die Beschaffung von separater, dedizierter Hardware zum Aufbau der Infrastruktur, um eine physikalische Trennung gegen andere Umgebungen zu gewährleisten.
Abbildung 1: BSI-Freigabeprozess6
Netzwerkmanagement
Selbige Anforderung wirkt sich auch auf das LAN-Management aus. VS-Daten müssen separiert geroutet und von Zugriffen aus Netzen mit geringerem Geheimhaltungsgrad geschützt werden. Firewall-Freischaltungen, Switch-Port-Konfigurationen oder physische Verbindungswege und Knotenpunkte sind beispielsweise Aspekte, welche zu evaluieren sind. Daten dürfen gemäß VSA nur innerhalb eines auf einen Standort limitierten LANs unverschlüsselt ausgetauscht werden. Sobald standort- übergreifend oder über das Internet kommuniziert wird, sind weitere umfangreiche Sicherheitsmaßnahmen am Netzwerkübergang zu implementieren. Beim E-Mailverkehr sind Netzwerkübergänge mit Firewall- und NAT-Lösungen auszustatten, die Übertragung muss zwingend verschlüsselt geschehen. Sobald eine Anbindung an das Internet erfolgt, ist ein sicherer Netzwerkübergang in Form eines Application- Layer-Gateways (ALG) sowie einer PAP-Struktur in einer DMZ aufzubauen. Die Sicherheitsmaßnahmen von Kommunikationswegen, welche im Netzwerk und auch beim Mailing zu implementieren sind, werden in Abbildung 3 in vereinfachter Form dargestellt.
Abbildung 2: Themenbereiche des Geheimschutzes
NdB – „Netze des Bundes“
Mit den „Netzen des Bundes“ stellt die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) eine Weitverkehrsnetzinfrastruktur für Bundesbehörden, Landesbehörden und kommunale Verwaltungen zur Verfügung, welche die Regierungskommunikation fördern und einen ganzheitlichen „Informationsverbund für die öffentliche Verwaltung (IVÖV)“10 schaffen sollen. Dazu stehen den Nutzern verschiedene Portale vom NdB zur Verfügung.11 Allerdings sind ressortübergreifende Weitverkehrsnetze sicherheitskritische Datenübertragungswege, welche Absicherungsmechanismen erfordern. Deshalb fordert das BSI die Einhaltung der sogenannten „NdB-Nutzerpflichten“12. Die Dokumente erfordern unter anderem den Aufbau eines „NdBServices- Anschlusses“ in den Rechenzentren des Dienstleisters sowie einen NdB-Nutzeranschluss an den Standorten der Behörde.13 In der Konsequenz fallen monetäre Aufwände an allen Standorten zur Errichtung der geforderten Netzanbindungen an, während aus organisatorischer Sicht Service-Level-Agreements (SLAs) zwischen Nutzer und BDBOS ausgearbeitet werden müssen. Dies kann dazu führen, dass bestehende Prozesse oder Konzepte abzuändern sind. Folglich sind hohe Aufwände in Form von Abstimmungs- und Kommunikationskosten zu erwarten. Die Herstellung der NdB-Fähigkeit sollte daher ausführlich geplant und im regelmäßigen Austausch mit dem BDBOS abgesprochen werden.
Abbildung 3: Sicherheitsmaßnahmen für Kommunikationswege
Administration & Konzepte
Notwendige Änderungen aufgrund von gehärteten Sicherheitsanforderungen wirken sich neben der in § 13 VSA geregelten Prüfung und Freigabe von Sicherheitskonzepten selbstverständlich auch auf etablierte Administrations- und Betriebsmodelle aus. Kommunikationsverbindungen, Rechte und Rollenkonzepte, Zugriffsmodelle, Patch- und Updateverfahren müssen minutiös unter die Lupe genommen und gegebenenfalls nachgeschärft werden. Änderungen im bestehenden „modus operandi“ werden nicht immer mit Wohlgefallen begrüßt. Politischer Widerstand ist mit einzukalkulieren, weshalb geeignete Managementinstrumente vorhanden sein sollten. Vor allem kommunikatives Fingerspitzengefühl und Kompromissbereitschaft sind Basiskompetenzen, um einen gemeinsamen Weg zur Umsetzung der Anforderungen zu finden. Bereits in frühen Planungsphasen empfiehlt es sich, mit allen beteiligten Stakeholdern ein Zielbild zu entwickeln.
Projekt- und Kommunikationsmanagement als Erfolgsgrundlage
Zusammengefasst lässt sich sagen, dass IT-Projekte unter der Rahmenbedingung VS-NfD wesentlich komplexer und aufwändiger als gewöhnliche Vorhaben sind. Dies manifestiert sich in der Vielzahl an Vorgaben und Richtlinien wie VS-IT und NdB-Nutzerpflichten sowie in schwer umsetzbaren Detailanforderungen. Ohne entsprechende Erfahrung bewegt man sich in unbekannten Fahrwassern, woraus schnell unangenehme Überraschungen resultieren können. Entsprechendes Know-how muss konsequent aufgebaut und in Lösungsmodelle überführt werden, weshalb ausreichende Planung, Konzeption und Abstimmung mit den wesentlichen Stakeholdern stattfinden müssen. Frühzeitige und regelmäßige Kommunikation kann maßgeblich dabei helfen, den „Nebel der unklaren Anforderungen“ zu lichten und daraus resultierende ungeplante Folgeaufwände und -kosten zu vermeiden. Monetäre Ressourcen sollten mit ausreichendem Puffer kalkuliert werden. Es kann immer wieder vorkommen, dass Hardware-Bedarfe nachzumelden sind oder aufgrund von ungeplanten Änderungen Personalaufstockungen notwendig werden. Dediziertes Personal und die entsprechende Unterstützung des Vorhabens auf höherer Leitungsebene („Management Attention“) sind entscheidende Erfolgsfaktoren für einen angemessenen Geheimschutz und die damit verbundene IT-Sicherheit. Dadurch können Ressourcenkonflikte vermieden und folglich kann schneller auf unerwartete Änderungen oder „Showstopper“ reagiert werden. Der Aufbau einer IT-Infrastruktur mit Geheimhaltungsgrad ist ein komplexes Projekt, welches viel Kommunikation und noch viel mehr an Budget bedarf. Denn: Beim Geheimschutz zählt nur das Ergebnis und nicht der Weg.
Quellen
1 https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/bsi-lagebericht-cybersicherheit-2021.pdf (abgerufen am 20.07.2022).
2 https://www.gesetze-im-internet.de/s_g/ (abgerufen am 20.07.2022).
3 http://www.verwaltungsvorschriften-im-internet.de/BMI-OESII5-20180810-SF-A003.htm (abgerufen am 20.07.2022).
4 https://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_10082018_SII554001196.htm (abgerufen am 20.07.2022).
5 https://www.gesetze-im-internet.de/bsig_2009/BJNR282110009.html (abgerufen am 20.07.2022).
6 angelehnt an: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zulassung/VS-Produktkatalog_BSI.pdf (abgerufen am 20.07.2022).
7 https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/Liste-zugelassener-Produkte/liste-zugelassener-produkte_node.html (abgerufen am 20.07.2022).
8 https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/technische-richtlinien_node.html (abgerufen am 20.07.2022).
9 https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/VS-Anforderungsprofile/vs-anforderungsprofile_node.html (abgerufen am 20.07.2022).
10 https://www.bdbos.bund.de/DE/NdB/Ziele/ziele_node.html (abgerufen am 20.07.2022).
11 https://www.bdbos.bund.de/DE/NdB/Nutzerinfoportale/nutzerinformationsportale_node.html (abgerufen am 20.07.2022).
12 https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Mindeststandards/NdB/NdB_node.html (abgerufen am 20.07.2022).
13 https://www.cio.bund.de/SharedDocs/topthemen/Webs/CIO/DE/netzstrategie-2030.html (abgerufen am 31.07.2022).
