Verstehen der Herausforderungen der VS-NFD-Umgebung

Die VS‑NfD‑Umgebung (vormals „Verschlusssachen - nur für den Dienstgebrauch“)  ist zu einem strategischen Thema für Unternehmen geworden, die mit vertraulichen Informationen umgehen. Vor dem Hintergrund raffinierterer Cyberbedrohungen und verschärfter Vorschriften müssen Behörden, OIV (Operators of Vital Importance), OSE (Essential Services Operators) und Hersteller ihre kritischen Informationen schützen. Die Erwähnung „Verschlusssachen - nur für den Dienstgebrauch (VS-NfD)“ wurde entwickelt, um die Handhabung von zu überwachen nicht klassifizierte sensible Daten, die nicht unter das Verteidigungsgeheimnis fallen, aber besondere Vorsichtsmaßnahmen erfordern.

Regulatorische Anforderungen an IT‑Systeme in der VS‑NfD‑Umgebung sind mittlerweile fest etabliert. Es wird verstärkt durch Europäische Richtlinie NIS2, wodurch besondere Verpflichtungen für kritische Unternehmen eingeführt werden, die in strategischen Sektoren tätig sind. Zusammengenommen verpflichten diese Texte CIOs und CISOs, ihre Anstrengungen zu verdoppeln, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen zu gewährleisten und gleichzeitig die Geschäftskontinuität aufrechtzuerhalten.

Was bedeutet VS‑NfD‑Umgebung?

Die Geheimhaltungsstufen der deutschen Bundesbehörden klassifizieren Informationen nach ihren Auswirkungen auf die Bundesrepublik Deutschland oder eines ihrer Bundesländer, falls sie unbefugten Personen bekannt würden:

1. Streng geheim (Kann die Existenz oder lebenswichtige Interessen gefährden).

2. Geheim (Kann die Sicherheit gefährden oder die Interessen der Bundesrepublik Deutschland ernsthaft schädigen).

3. Vertraulich (Kann Interessen schädigen).

4. Nur für den Dienstgebrauch (Kann Interessen schädigen).

Informationen mit der Kennzeichnung „VS-NfD“ dürfen nur von entsprechend Berechtigten eingesehen und verarbeitet werden. Mobile Datenträger (z. B. Laptops), auf denen „VS-NfD“-Informationen gespeichert oder verarbeitet werden, müssen mit zugelassenen Produkten verschlüsselt sein. Die VS-NfD-Zulassung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt.

Die Bezeichnung VS‑NfD‑Umgebung definiert eine Kategorie sensibler Informationen, die nicht klassifiziert im Verteidigungsbereich sind, aber nur innerhalb eines autorisierten Kreises verbreitet werden dürfen. Dazu zählen strategische Forschungsergebnisse, sensible industrielle Daten, behördliche Dokumente, wissenschaftlich schützenswerte Informationen im Rahmen der PPST usw.

Sobald ein Dokument als VS‑NfD gekennzeichnet ist, gilt es als eingeschränkt zugänglich. Betroffene Akteure umfassen staatliche Verwaltungen, lokale Behörden, kritische Sektoren (Energie, Gesundheit, Transport, digital, Verteidigung etc.), Forschungslabore und öffentlicher Handel und Verwaltung.

Ziel der VS‑NfD‑Umgebung ist es, Datenlecks, Kompromittierungen oder böswillige Nutzung sensibler Daten zu verhindern und gleichzeitig ihren zirkulierten Einsatz im eng begrenzten Rahmen zu ermöglichen. Dies erfordert technische Maßnahmen (Verschlüsselung, Netzwerk‑Cloisonierung) und organisatorische Vorkehrungen (Berechtigungsmanagement, Sensibilisierung, Zugriffsprozesse).

‍

‍

Regulatorischer Rahmen: Grundprinzipien

Der Schutz von IT‑Systemen in einer VS‑NfD‑Umgebung basiert auf folgenden Kernprinzipien:

• Netzwerk‑Isolation: Daten der VS‑NfD‑Umgebung müssen in dedizierten Netzwerken verarbeitet werden – entweder vollständig isoliert (Klasse 2) oder stark segmentiert (Klasse 1) mittels sicherer Gateways.
• Systemzulassung: Jedes System, das VS‑NfD‑Daten verarbeitet, muss formell durch ANSSI homologiert werden – inklusive Risikoanalyse und Sicherheitsmaßnahmenplan.
• Datenverschlüsselung: Speicherung oder Austausch von VS‑NfD‑Informationen außerhalb des geschützten Perimeters nur mittels zertifizierter Verschlüsselungsmethoden.
• Zugriffskontrolle & Protokollierung: Zugriffe auf VS‑NfD‑Systeme sind strikt zu kontrollieren, zu loggen und zu überwachen.
• Externe Dienstleister: Jede externe Intervention in VS‑NfD‑Systeme muss vertrauenswürdig und vertraglich geregelt sein.

Die EU‑Richtlinie NIS2 verpflichtet kritische Akteure zu robusten Cybersicherheitsmaßnahmen wie Netzwerksegmentierung, zertifizierten Lösungen und privilegiertem Zugriffsmanagement – IT‑Leiter müssen Sicherheit bereits beim Entwurf ihrer Architektur mitdenken.

Typische Architektur einer VS‑NfD‑Umgebung

Die Architektur eines Informationssystems “VS‑NfD‑Umgebung” beruht auf Isolation und strengster Kontrolle der Datenflüsse. Üblicherweise bestehen drei zentrale Komponenten:

1. Isoliertes oder stark segmentiertes Netzwerk: Idealtypisch vollständig getrennt vom Büro‑LAN und Internet (Klasse 2), kein eingehender oder ausgehender Verkehr außer dedizierter Sicherheitsdioden.
2. Sichere Gateways: Bei notwendiger Interkonnektivität (Klasse 1) werden gefilterte Gateways eingesetzt – mit Deep‑Packet‑Inspection, Protokollbruch und vollständiger Nachverfolgbarkeit.
3. Harte Arbeitsstationen: Befähigte Nutzer greifen über gesicherte, internetlose Arbeitsstationen mit gehärtetem OS, starker Authentifizierung und Nutzungseinschränkungen auf die Systeme zu.

Wie können Benutzer in einer DR-Umgebung effektiv arbeiten (im Internet surfen, kommunizieren, auf bestimmte Dienste zugreifen), ohne die Sicherheit ihres Systems zu gefährden?

VirtualBrowser: Web‑Isolation und gesicherter Zugriff in VS‑NfD‑Umgebungen

In VS‑NfD‑Umgebungen kann der Aufbau der vorgeschriebenen Infrastruktur schnell technisch, personell und finanziell aufwendig werden. Remote Browser Isolation (RBI)-Technologien vereinfachen diese Architektur. Sie reduzieren strukturelle Komplexität, begrenzen physischen Aufwand und erfüllen regulatorische Anforderungen ohne übermäßige Ausrüstung oder Prozesse.

Die Isolation der Internetnutzung mittels Remote Browser Isolation ermöglicht: Der Browser läuft in einer sicheren Umgebung auf einem entfernten Server, getrennt vom Nutzerarbeitsplatz; Nutzern wird nur ein Pixel-Stream angezeigt – vollständiger Protokollbruch mit dem lokalen Gerät.

Dieser Ansatz ermöglicht zwei sehr relevante Anwendungsfälle im DR-Kontext:

Gesicherter Web‑Zugriff aus einer VS‑NfD‑Umgebung

Traditionell sind VS‑NfD‑Stationen von Internetzugang ausgeschlossen, was oft einen zweiten „offenen“ Rechner erforderlich macht – teuer und unpraktisch.

Mit VirtualBrowser können Nutzer von ihren VS‑NfD‑Arbeitsstationen aus sicher auf Internet, Büro‑Netzwerk, SaaS‑Tools oder Videokonferenzdienste zugreifen. Kein Web-Content durchläuft lokal, Isolation bleibt erhalten, und Sicherheitsregeln (Lesezugriff, Filter, Dateiübertragungen etc.) können granular gesteuert werden.

VirtualBrowser schafft somit eine sichere Pufferzone zwischen VS‑NfD‑Umgebung und Internet – kein direkter Zugang, nur kontrollierter externen Zugriff mit Protokollbruch – und ermöglicht intern sichere Webnutzung ohne Kompromisse bei Konformität oder Effizienz.

Vorteile für VS‑NfD‑Umgebungen

Remote‑Isolierung des Web‑Zugriffs für Informationssysteme in einer VS‑NfD‑Umgebung bringt klare Vorteile:

• Maximale Sicherheit : Kein direkter Kontakt zwischen dem Benutzer im SI DR und dem Internet
• Einhaltung gesetzlicher Vorschriften : Einhaltung der Anforderungen der II901-, NIS2- und ANSSI-Leitfäden
• Konservierte Benutzererfahrung : eine einzige Station, reibungslose Navigation, vertraute Tools
• Schneller Einsatz : kein Agent, Zugriff über Browser, zentrale Konfiguration
• Kontrolle der Nutzungen : Feinverwaltung von Rechten, Abläufen und möglichen Interaktionen (Kopieren/Einfügen, Übertragen, Drucken usw.)
• Reduzierung der Kosten : Bessere Produktivität für Benutzer, die nicht mehr zwischen mehreren PCs jonglieren müssen

Die Remote-Isolierung von Web- und Anwendungsflüssen ist heute eine praktikable und effektive Antwort auf strikte regulatorische Anforderungen: Sensible Systeme werden abgeschirmt, ohne Nutzbarkeit zu opfern. VirtualBrowser bietet so eine Zero‑Trust‑nahe Lösung, die Sicherheits- und Nutzerfreundlichkeit vereint.