Verstehen der Herausforderungen der VS-NFD-Umgebung

Behörden, KRITIS-Betreiber und Unternehmen in strategischen Sektoren verarbeiten zunehmend Informationen mit dem Geheimhaltungsgrad VS-NfD. Die Bedrohungslage verschärft sich. Gleichzeitig steigen die regulatorischen Anforderungen — insbesondere durch die NIS-2-Richtlinie. Der Schutz dieser Informationen erfordert spezialisierte IT-Architekturen.

Regulatorische Anforderungen an IT‑Systeme in der VS‑NfD‑Umgebung sind mittlerweile fest etabliert. Es wird verstärkt durch NIS-2-Richtlinie, wodurch besondere Verpflichtungen für kritische Unternehmen eingeführt werden, die in strategischen Sektoren tätig sind. Zusammengenommen verpflichten diese Texte CIOs und CISOs, ihre Anstrengungen zu verdoppeln, um die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen zu gewährleisten und gleichzeitig die Geschäftskontinuität aufrechtzuerhalten.

Was bedeutet VS‑NfD‑Umgebung?

Die Geheimhaltungsstufen der deutschen Bundesbehörden klassifizieren Informationen nach ihren Auswirkungen auf die Bundesrepublik Deutschland oder eines ihrer Bundesländer, falls sie unbefugten Personen bekannt würden:

1. Streng geheim (Kann die Existenz oder lebenswichtige Interessen gefährden).

2. Geheim (Kann die Sicherheit gefährden oder die Interessen der Bundesrepublik Deutschland ernsthaft schädigen).

3. Vertraulich (Kann Interessen schädigen).

4. Nur für den Dienstgebrauch (Kann Interessen schädigen).

Informationen mit der Kennzeichnung „VS-NfD“ dürfen nur von entsprechend Berechtigten eingesehen und verarbeitet werden. Mobile Datenträger (z. B. Laptops), auf denen „VS-NfD“-Informationen gespeichert oder verarbeitet werden, müssen mit zugelassenen Produkten verschlüsselt sein. Die VS-NfD-Zulassung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erteilt.

Die Bezeichnung VS‑NfD‑Umgebung definiert eine Kategorie sensibler Informationen, die nicht klassifiziert im Verteidigungsbereich sind, aber nur innerhalb eines autorisierten Kreises verbreitet werden dürfen. Dazu zählen strategische Forschungsergebnisse, sensible industrielle Daten, behördliche Dokumente, wissenschaftlich schützenswerte Erkenntnisse usw.

Sobald ein Dokument als VS‑NfD gekennzeichnet ist, gilt es als eingeschränkt zugänglich. Betroffene Akteure umfassen staatliche Verwaltungen, lokale Behörden, kritische Sektoren (Energie, Gesundheit, Transport, digital, Verteidigung etc.), Forschungslabore und öffentlicher Handel und Verwaltung.

Ziel der VS‑NfD‑Umgebung ist es, Datenlecks, Kompromittierungen oder böswillige Nutzung sensibler Daten zu verhindern und gleichzeitig ihre kontrollierte Weitergabe im eng begrenzten Rahmen zu ermöglichen. Dies erfordert technische Maßnahmen (Verschlüsselung, Netzwerksegmentierung) und organisatorische Vorkehrungen (Berechtigungsmanagement, Sensibilisierung, Zugriffsprozesse).

‍

‍

Regulatorischer Rahmen: Grundprinzipien

Der Schutz von IT‑Systemen in einer VS‑NfD‑Umgebung basiert auf folgenden Kernprinzipien:

• Netzwerk‑Isolation: Daten der VS‑NfD‑Umgebung müssen in dedizierten Netzwerken verarbeitet werden – entweder physisch isoliert oder segmentiert mit sicheren Gateways.
• Systemzulassung: Jedes System, das VS‑NfD‑Daten verarbeitet, muss formell durch das BSI zugelassen werden (gem. §50 VSA) – inklusive Risikoanalyse und Sicherheitsmaßnahmenplan.
• Datenverschlüsselung: Speicherung oder Austausch von VS‑NfD‑Informationen außerhalb des geschützten Perimeters nur mittels zertifizierter Verschlüsselungsmethoden.
• Zugriffskontrolle & Protokollierung: Zugriffe auf VS‑NfD‑Systeme sind strikt zu kontrollieren, zu loggen und zu überwachen.
• Externe Dienstleister: Jede externe Intervention in VS‑NfD‑Systeme muss vertrauenswürdig und vertraglich geregelt sein.

Die NIS-2-Richtlinie verpflichtet kritische Akteure zu robusten Cybersicherheitsmaßnahmen wie Netzwerksegmentierung, zertifizierten Lösungen und privilegiertem Zugriffsmanagement – IT‑Leiter müssen Sicherheit bereits beim Entwurf ihrer Architektur mitdenken.

Typische Architektur einer VS‑NfD‑Umgebung

Die Architektur eines Informationssystems „VS‑NfD‑Umgebung“ beruht auf Isolation und strengster Kontrolle der Datenflusse. Üblicherweise bestehen drei zentrale Komponenten:

1. Isoliertes oder stark segmentiertes Netzwerk: Das VS-NfD-Netz ist physisch vom Büro-LAN und Internet getrennt. Einzige Verbindung: zugelassene Sicherheitsdioden für den kontrollierten Datenfluss.
2. Sichere Gateways: Bei notwendiger Interkonnektivität werden gefilterte Gateways eingesetzt – mit Deep‑Packet‑Inspection, Protokollbruch und vollständiger Nachverfolgbarkeit.
3. Gehärtete Arbeitsplatz-PCs: Befähigte Nutzer greifen über gesicherte, internetlose Arbeitsplatz-PCs mit gehärtetem OS, starker Authentifizierung und Nutzungseinschränkungen auf die Systeme zu.

Wie können Benutzer in einer VS-NfD-Umgebung effektiv arbeiten (im Internet surfen, kommunizieren, auf bestimmte Dienste zugreifen), ohne die Sicherheit ihres Systems zu gefährden?

VirtualBrowser: Web‑Isolation und gesicherter Zugriff in VS‑NfD‑Umgebungen

In VS‑NfD‑Umgebungen kann der Aufbau der vorgeschriebenen Infrastruktur schnell technisch, personell und finanziell aufwendig werden. Remote Browser Isolation (RBI)-Technologien vereinfachen diese Architektur. Sie reduzieren strukturelle Komplexität, begrenzen physischen Aufwand und erfüllen regulatorische Anforderungen ohne übermäßige Ausrüstung oder Prozesse.

Die Isolation der Internetnutzung mittels Remote Browser Isolation ermöglicht: Der Browser läuft in einer sicheren Umgebung auf einem entfernten Server, getrennt vom Nutzerarbeitsplatz; Nutzern wird nur ein Pixel-Stream angezeigt – vollständiger Protokollbruch mit dem lokalen Gerät.

Dieser Ansatz ermöglicht zwei sehr relevante Anwendungsfälle im VS-NfD-Kontext:

Gesicherter Web‑Zugriff aus einer VS‑NfD‑Umgebung

Traditionell sind VS‑NfD‑Stationen von Internetzugang ausgeschlossen, was oft einen zweiten „offenen“ Rechner erforderlich macht – teuer und unpraktisch.

Mit VirtualBrowser können Nutzer von ihren VS‑NfD‑Arbeitsstationen aus sicher auf Internet, Büro‑Netzwerk, SaaS‑Tools oder Videokonferenzdienste zugreifen. Kein Web-Content durchläuft lokal, Isolation bleibt erhalten, und Sicherheitsregeln (Lesezugriff, Filter, Dateiübertragungen etc.) können granular gesteuert werden.

VirtualBrowser schafft somit eine sichere Pufferzone zwischen VS‑NfD‑Umgebung und Internet – kein direkter Zugang, nur kontrollierter externen Zugriff mit Protokollbruch – und ermöglicht intern sichere Webnutzung ohne Kompromisse bei Konformität oder Effizienz.

Vorteile für VS‑NfD‑Umgebungen

Remote‑Isolierung des Web‑Zugriffs für Informationssysteme in einer VS‑NfD‑Umgebung bringt klare Vorteile:

• Maximale Sicherheit : Kein direkter Kontakt zwischen dem Benutzer im SI DR und dem Internet
• Einhaltung gesetzlicher Vorschriften : Einhaltung der Anforderungen der VSA, NIS-2-Richtlinie und des BSI IT-Grundschutzes
• Nutzererfahrung bleibt erhalten: Ein Arbeitsplatz-PC genügt. Die Navigation bleibt flüssig, gewohnte Tools funktionieren wie bisher.
• Schneller Einsatz : kein Agent, Zugriff über Browser, zentrale Konfiguration
• Kontrolle der Nutzungen : Feinverwaltung von Rechten, Abläufen und möglichen Interaktionen (Kopieren/Einfügen, Übertragen, Drucken usw.)
• Reduzierung der Kosten : Bessere Produktivität für Benutzer, die nicht mehr zwischen mehreren PCs jonglieren müssen

Die Remote-Isolierung von Web- und Anwendungsflüssen ist heute eine praktikable und effektive Antwort auf strikte regulatorische Anforderungen: Sensible Systeme werden abgeschirmt, ohne Nutzbarkeit zu opfern. VirtualBrowser bietet so eine Zero‑Trust‑nahe Lösung, die Sicherheits- und Nutzerfreundlichkeit vereint.