Arbeiten mit VS-NfD: Anforderungen, Umsetzung und Sicherheit im Unternehmen

Der Schutz vertraulicher Informationen ist für viele Unternehmen unverzichtbar – insbesondere, wenn sie im Umfeld staatlicher Stellen oder sicherheitskritischer Infrastrukturen tätig sind. Der Geheimhaltungsgrad „VS-Nur für den Dienstgebrauch“ (VS-NfD) stellt dabei hohe Anforderungen an Informationssicherheit, Organisation und Technik. Dieser Artikel gibt einen Überblick über die gesetzlichen Grundlagen, notwendigen Maßnahmen und Umsetzungshilfen zur sicheren Verarbeitung von VS-NfD.

Was bedeutet VS-NfD und warum betrifft es Unternehmen?

VS-NfD bezeichnet eine Kategorie von Verschlusssachen (VS), die nicht öffentlich zugänglich sein dürfen. Unternehmen, die mit solchen Daten arbeiten, müssen strikte Sicherheitsmaßnahmen einhalten – von der Selbstakkreditierung bis hin zur technischen Absicherung ihrer IT-Systeme. Grundlage sind das Merkblatt des BMWK, die Verschlusssachenanweisung (VSA) und der IT-Grundschutz des BSI.

Informationssicherheitskonzept & Risikoanalyse

Ein zentrales Element ist das Informationssicherheitskonzept. Es definiert organisatorische und technische Maßnahmen zur Gewährleistung der IT-Sicherheit. Ergänzend dazu ist eine Risikoanalyse verpflichtend – ein strukturierter Prozess zur Identifikation und Bewertung potenzieller Bedrohungen und Schwachstellen. Ziel ist es, geeignete Schutzmaßnahmen zu entwickeln und regelmäßig zu aktualisieren.

Typische Schritte der Risikoanalyse:

• Identifikation technischer und organisatorischer Risiken
• Bewertung hinsichtlich Eintrittswahrscheinlichkeit und Schaden
• Entwicklung technischer und organisatorischer Schutzmaßnahmen

IT-Grundschutz: Die Basis für ein sicheres IT-Umfeld

Der IT-Grundschutz des BSI liefert ein umfassendes Regelwerk zur strukturierten Absicherung von IT-Systemen. Er gliedert sich in:

• Bausteine: spezifische Sicherheitsmaßnahmen (z.B. für Server, Netzwerke, Cloud-Dienste)
• Grundschutz-Profile: typische Szenarien für IT-Systeme
• Maßnahmenkataloge: konkrete Umsetzungsanforderungen

Die Wahl geeigneter Bausteine richtet sich nach der Risikobewertung des Unternehmens. Für VS-NfD-relevante Daten ist insbesondere der Baustein CON.11.1 Geheimschutz VS-NfD relevant.

Baustein CON.11.1: Schutz für Verschlusssachen

Dieser Baustein konkretisiert Maßnahmen zur Verarbeitung von VS-NfD:

• Zugriffskontrollen & Protokollierung
• Sichere Speicherung & Übertragung
• Schulung & Sensibilisierung der Mitarbeitenden
• Integration in ein ISMS (z.B. nach ISO/IEC 27001)

Selbstakkreditierung & Merkblatt des BMWK

Seit dem 1. September 2023 gelten verbindliche Anforderungen des BMWK für Unternehmen mit VS-NfD-Bezug. Herzstück ist die Selbstakkreditierung:

• Umsetzung der IT-Anforderungen aus Teil 3 des Merkblatts
• Nachweis eines ISMS auf Basis IT-Grundschutz oder vergleichbarer Methodik mit Differenzanalyse
• Bestätigung der Maßnahmen alle drei Jahre durch eine verantwortliche Person

Die Selbstakkreditierung kann jederzeit vom BMWK oder dem VS-NfD-Auftraggeber angefordert werden.

Verschlusssachenanweisung (VSA): Praktische Regelungen im Alltag

Die VSA ergänzt das BMWK-Merkblatt um praxisnahe Vorgaben zur Handhabung von Verschlusssachen, z.B.:

• Zutritts- und Zugriffsregelungen
• Aufbewahrung, Kennzeichnung, Vernichtung
• Umgang mit mobilen Datenträgern und Transport

Tool-Empfehlung: Strukturierte Umsetzung mit SAVe

Die Umsetzung der zahlreichen Anforderungen kann komplex werden. Das Tool SAVe von infodas bietet eine strukturierte Lösung zur Erstellung von Informationssicherheitskonzepten, inklusive:

• Integration der IT-Grundschutzbausteine
• Übersicht über Schutzbedarfe und Maßnahmen
• Dokumentation der Selbstakkreditierung

Fachliche Expertise: Warum externe Unterstützung sinnvoll ist

Gerade für mittelständische Unternehmen kann die Umsetzung von VS-NfD-Vorgaben eine Herausforderung darstellen. Externe Spezialisten unterstützen bei:

• Erstellung und Pflege des ISMS
• Durchführung von Risikoanalysen
• Einhaltung aller VSA- und BMWK-Anforderungen

Eine Prüfung bestehender Systeme bis spätestens zum 01.09.2025 wird dringend empfohlen.

Fazit: VS-NfD als Chance für mehr Sicherheit

Die Anforderungen an Unternehmen, die mit VS-NfD arbeiten, sind hoch – aber notwendig. Die Kombination aus IT-Grundschutz, VSA und BMWK-Merkblatt bildet ein solides Fundament für ein sicheres Arbeiten mit vertraulichen Daten. Mit einem starken Informationssicherheitskonzept und kompetenter Unterstützung lässt sich nicht nur Compliance erreichen, sondern auch das Vertrauen von Auftraggebern nachhaltig stärken.

Nächster Schritt: Kostenlose Erstberatung

Sie möchten IT-Sicherheit strategisch in Ihrem Unternehmen verankern? Unsere Experten beraten Sie gerne — unverbindlich und praxisnah. Jetzt Erstberatung vereinbaren →