Verstehen der Herausforderungen der VS-NFD-Umgebung

Die VS‑NfD‑Umgebung (vormals „Diffusion Restreinte“)  ist zu einem strategischen Thema für Unternehmen geworden, die mit vertraulichen Informationen umgehen. Vor dem Hintergrund raffinierterer Cyberbedrohungen und verschärfter Vorschriften müssen Behörden, OIV (Operators of Vital Importance), OSE (Essential Services Operators) und Hersteller ihre kritischen Informationen schützen. Die Erwähnung „Eingeschränkter Vertrieb“ (DR) wurde entwickelt, um die Handhabung von zu überwachen nicht klassifizierte sensible Daten, die nicht unter das Verteidigungsgeheimnis fallen, aber besondere Vorsichtsmaßnahmen erfordern.

Regulatorische Anforderungen an IT‑Systeme in der VS‑NfD‑Umgebung sind mittlerweile fest etabliert. Die Interministerieller Unterricht 901 (II901) ist jetzt die regulatorische Referenzbasis. Es wird verstärkt durch Europäische Richtlinie NIS2, wodurch besondere Verpflichtungen für kritische Unternehmen eingeführt werden, die in strategischen Sektoren tätig sind. Zusammengenommen verpflichten diese Texte CIOs und CISOs, ihre Anstrengungen zu verdoppeln, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen zu gewährleisten und gleichzeitig die Geschäftskontinuität aufrechtzuerhalten.

Was bedeutet VS‑NfD‑Umgebung?

Die Bezeichnung VS‑NfD‑Umgebung definiert eine Kategorie sensibler Informationen, die nicht klassifiziert im Verteidigungsbereich sind, aber nur innerhalb eines autorisierten Kreises verbreitet werden dürfen. Dazu zählen strategische Forschungsergebnisse, sensible industrielle Daten, behördliche Dokumente, wissenschaftlich schützenswerte Informationen im Rahmen der PPST usw.

Sobald ein Dokument als VS‑NfD gekennzeichnet ist, gilt es als eingeschränkt zugänglich. Betroffene Akteure umfassen staatliche Verwaltungen, lokale Behörden, kritische Sektoren (Energie, Gesundheit, Transport, digital, Verteidigung etc.), Forschungslabore und öffentlicher Handel und Verwaltung.

Ziel der VS‑NfD‑Umgebung ist es, Datenlecks, Kompromittierungen oder böswillige Nutzung sensibler Daten zu verhindern und gleichzeitig ihren zirkulierten Einsatz im eng begrenzten Rahmen zu ermöglichen. Dies erfordert technische Maßnahmen (Verschlüsselung, Netzwerk‑Cloisonierung) und organisatorische Vorkehrungen (Berechtigungsmanagement, Sensibilisierung, Zugriffsprozesse).

Regulatorischer Rahmen: Grundprinzipien

Der Schutz von SI‑Systemen in einer VS‑NfD‑Umgebung basiert auf der interministeriellen Anweisung II901 und den ANSSI‑Empfehlungen. Kernprinzipien:

• Netzwerk‑Isolation: Daten der VS‑NfD‑Umgebung müssen in dedizierten Netzwerken verarbeitet werden – entweder vollständig isoliert (Klasse 2) oder stark segmentiert (Klasse 1) mittels sicherer Gateways.
• Systemzulassung: Jedes System, das VS‑NfD‑Daten verarbeitet, muss formell durch ANSSI homologiert werden – inklusive Risikoanalyse und Sicherheitsmaßnahmenplan.
• Datenverschlüsselung: Speicherung oder Austausch von VS‑NfD‑Informationen außerhalb des geschützten Perimeters nur mittels ANSSI‑zertifizierter Verschlüsselungsmethoden.
• Zugriffskontrolle & Protokollierung: Zugriffe auf VS‑NfD‑Systeme sind strikt zu kontrollieren, zu loggen und zu überwachen.
• Externe Dienstleister: Jede externe Intervention in VS‑NfD‑Systeme muss vertrauenswürdig und vertraglich geregelt sein.

Die EU‑Richtlinie NIS2 verpflichtet kritische Akteure zu robusten Cybersicherheitsmaßnahmen wie Netzwerksegmentierung, zertifizierten Lösungen und privilegiertem Zugriffsmanagement – IT‑Leiter müssen Sicherheit bereits beim Entwurf ihrer Architektur mitdenken.

Typische Architektur einer VS‑NfD‑Umgebung

Die Architektur eines Informationssystems “VS‑NfD‑Umgebung” beruht auf Isolation und strengster Kontrolle der Datenflüsse. Üblicherweise bestehen drei zentrale Komponenten:

1. Isoliertes oder stark segmentiertes Netzwerk: Idealtypisch vollständig getrennt vom Büro‑LAN und Internet (Klasse 2), kein eingehender oder ausgehender Verkehr außer dedizierter Sicherheitsdioden.
2. Sichere Gateways: Bei notwendiger Interkonnektivität (Klasse 1) werden gefilterte Gateways eingesetzt – mit Deep‑Packet‑Inspection, Protokollbruch und vollständiger Nachverfolgbarkeit.
3. Harte Arbeitsstationen: Befähigte Nutzer greifen über gesicherte, internetlose Arbeitsstationen mit gehärtetem OS, starker Authentifizierung und Nutzungseinschränkungen auf die Systeme zu.

Diese Architektur entspricht der "Defense in Depth"-Strategie: eine digitale Insel, geschützt vor den Risiken des Internets, bei der jede Verbindung nach außen hoch gesichert und kontrolliert wird.

Wie können Benutzer in einer DR-Umgebung effektiv arbeiten (im Internet surfen, kommunizieren, auf bestimmte Dienste zugreifen), ohne die Sicherheit ihres Systems zu gefährden?

VirtualBrowser: Web‑Isolation und gesicherter Zugriff in VS‑NfD‑Umgebungen

In VS‑NfD‑Umgebungen kann der Aufbau der vorgeschriebenen Infrastruktur schnell technisch, personell und finanziell aufwendig werden. Remote Browser Isolation (RBI)-Technologien vereinfachen diese Architektur. Sie reduzieren strukturelle Komplexität, begrenzen physischen Aufwand und erfüllen regulatorische Anforderungen ohne übermäßige Ausrüstung oder Prozesse.

Die Isolation der Internetnutzung mittels Remote Browser Isolation ermöglicht: Der Browser läuft in einer sicheren Umgebung auf einem entfernten Server, getrennt vom Nutzerarbeitsplatz; Nutzern wird nur ein Pixel-Stream angezeigt – vollständiger Protokollbruch mit dem lokalen Gerät.

Dieser Ansatz ermöglicht zwei sehr relevante Anwendungsfälle im DR-Kontext:

Gesicherter Web‑Zugriff aus einer VS‑NfD‑Umgebung

Traditionell sind VS‑NfD‑Stationen von Internetzugang ausgeschlossen, was oft einen zweiten „offenen“ Rechner erforderlich macht – teuer und unpraktisch.

Mit VirtualBrowser können Nutzer von ihren VS‑NfD‑Arbeitsstationen aus sicher auf Internet, Büro‑Netzwerk, SaaS‑Tools oder Videokonferenzdienste zugreifen. Kein Web-Content durchläuft lokal, Isolation bleibt erhalten, und Sicherheitsregeln (Lesezugriff, Filter, Dateiübertragungen etc.) können granular gesteuert werden.

VirtualBrowser schafft somit eine sichere Pufferzone zwischen VS‑NfD‑Umgebung und Internet – kein direkter Zugang, nur kontrollierter externen Zugriff mit Protokollbruch – und ermöglicht intern sichere Webnutzung ohne Kompromisse bei Konformität oder Effizienz.

Vorteile für VS‑NfD‑Umgebungen

Remote‑Isolierung des Web‑Zugriffs für Informationssysteme in einer VS‑NfD‑Umgebung bringt klare Vorteile:

• Maximale Sicherheit : Protokollbruch, kein lokal ausgeführter Code, kein Netzwerkkontakt zwischen dem Benutzer und dem geschützten IS.
• Einhaltung gesetzlicher Vorschriften : Einhaltung der Anforderungen der II901-, NIS2- und ANSSI-Leitfäden.
• Konservierte Benutzererfahrung : eine einzige Station, reibungslose Navigation, vertraute Tools.
• Schneller Einsatz : kein Agent, Zugriff über Browser, zentrale Konfiguration.
• Kontrolle der Nutzungen : Feinverwaltung von Rechten, Abläufen und möglichen Interaktionen (Kopieren/Einfügen, Übertragen, Drucken usw.).
• Reduzierung der Kosten : Bessere Produktivität für Benutzer, die nicht mehr zwischen mehreren PCs jonglieren müssen.

Die Remote-Isolierung von Web- und Anwendungsflüssen ist heute eine praktikable und effektive Antwort auf strikte regulatorische Anforderungen: Sensible Systeme werden abgeschirmt, ohne Nutzbarkeit zu opfern. VirtualBrowser bietet so eine Zero‑Trust‑nahe Lösung, die Sicherheits- und Nutzerfreundlichkeit vereint.

Anlagen:

• Interministerielle Instruktion Nr. 901 (II901)
• ANSSI-Leitfaden „Architekturempfehlungen für sensible Informationssysteme oder DRs“ (v1.2)
• NIS2-Direktive und ANSSI-Simulator
• VirtualBrowser-Anwendungsfallleitfaden