VS-NfD und ISO 27001: Freund oder Feind?

Im Bereich der Verteidigungsindustrie und bei der Bundeswehr bzw. NATO sind Informationen oft geheim und werden dann mit der Kennzeichnung „VS-NfD“ weitergegeben. Auch der Adressat muss diesen Standard unterstützen und die Anforderungen umsetzen.

Viele Unternehmen versuchen derzeit, den Kundenkreis der Verteidigung zu erschließen und müssen sich anpassen, z. B. ist auch ihr Qualitätsmanagement ist auf AQAP zu erweitern.

Sie hatten bisher ggf. nichts mit der Branche und dem VS-NfD zu tun. Oder sie haben derzeit auch noch kein etabliertes und belastbares Informationssicherheitsmanagementsystem.

Die praxisrelevante Frage ist: Wie kann eine Organisation als in der Branche "neuer" Auftragnehmer an die Umsetzung der Anforderungen der Geheimhaltungsstufe herangehen?

Vorab: VS-NfD und ISO 27001 hängen eng zusammen, sind aber nicht dasselbe. Eine Zertifizierung nach ISO 27001 ist nicht automatisch erforderlich für VS-NfD.

Was bedeutet „VS-NfD“

Das bedeutet "Verschlusssachen, nur für den Dienstgebrauch" und ist die niedrigste Geheimhaltungsstufe in Deutschland und das heißt:

• Informationen dürfen nicht öffentlich werden

• Zugriff ist nur für berechtigte Personen erlaubt

• Schutzmaßnahmen sind verpflichtend

Typisch ist das bei Projekten mit der Bundeswehr, mit der Verteidigungsindustrie oder in sicherheitsrelevanten Lieferketten.

Mit einem Geheimhaltungsgrad werden Objekte (Informationen, Dokumente etc.) entsprechend ihrer Schutzbedürftigkeit eingestuft. Dabei wird jedes Objekt gemäß einem Schutzgrad zugeordnet. Jedem Subjekt (Benutzer) wird nun, gemäß dem ihm entgegengebrachten Vertrauen, ebenfalls ein Schutzgrad zugewiesen. Ein Subjekt darf nur dann auf ein Objekt zugreifen, wenn die Schutzgrade des Subjektes (die Clearance einer Person) mindestens so hoch sind wie der Schutzgrad des Objektes, also der Geheimhaltungsgrad eines Dokumentes. Das ist eine Form der Umsetzung des "need to know"-Prinzips der Informationssicherheit. Die Einstufung ist auf die Gültigkeit für 30 Jahre angelegt!

Was fordert VS-NfD konkret?

Unternehmen müssen ein angemessenes Sicherheitsniveau nachweisen, u. a.:

• Zugriffskontrolle

• sichere IT-Systeme

• Netztrennung / sichere Kommunikation

• physische Sicherheit

• organisatorische Regelungen (z. B. Berechtigungen, Schulungen)

Diese Anforderungen werden konkretisiert durch Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Zusammenhang mit ISO 27001

Die ISO/IEC 27001 ist die etablierte internationale Norm für informationssicherheitsmanagement, sie ist universell in jeder Branche verwendbar und kein Pflichtstandard für VS-NfD – aber der de-facto Referenzrahmen. Die Inhalte überschneiden sich stark, so fordern z. B. beide ein Risikomanagement und Zugriffsschutz. Im Ergebnis deckt ein umfassendes ISMS nach ISO-27001 auch große Teile der VS-NfD-Anforderungen ab, aber eben nicht alle und geht nicht überall in die Details oder Tiefe.

Wichtiger Punkt ist, daß VS-NfD  zusätzliche, spezifische Anforderungen hat, z. B.:

• Vorgaben zur Kryptografie (BSI-zugelassen)

• spezielle Netzarchitekturen

• Geheimschutzorganisation

• ggf. Sicherheitsüberprüfungen von Personal

Hier geht sie über die ISO 27001 hinaus!

Muss man ISO 27001 zertifiziert sein?

Nein – nicht zwingend, denn für VS-NfD gilt, daß keine generelle Pflicht zur ISO-27001-Zertifizierung vorliegt, die ISO 27001 wird aber oft indirekt gefordert (z. B. in Ausschreibungen), zudem ist sie teilweise de-facto Standard in der Branche

Was wird stattdessen verlangt?

Entscheidend ist nicht das Zertifikat, sondern der Nachweis eines funktionierenden Sicherheitskonzepts. Der Nachweis der Erfüllung erfolgt auf Basis einer Selbstakkreditierung, die alle 3 Jahre zu erbringen ist und auf konkreten Anforderungen im Rahmen der ISO 27001 bzw. des BSI-Grundschutzes basiert. Verstöße gegen die Vorgaben des VS-NfD, die in einem Merkblatt festgehalten sind, können mit Freiheitsstrafen geahndet werden, Personen kann die Klassifikation entzogen werden.

Umsetzungsoptionen

Es ist möglich, mit VS-NfD zu starten und erst danach auf die Norm zu gehen. Das spart etwas Aufwand, da er weniger Anforderungen hat als die Norm. Es hat aber auch Nachteile. Denn einerseits kann ich den Standard außerhalb der Verteidigungsbranche nicht als Ersatz der Norm verwenden, er ist international auch nicht nutzbar und ich habe keine formelle Prüfung durch Dritte.

Zudem hat man ggf. auch Doppelarbeit, wenn man später doch auf die Norm etabliert, da ein Informationssicherheitskonzept vorhanden sein muss, das ich mit einem umfassenden ISMS dann ergänzen muss, wenn es nicht den Strukturen eines ISMS entspricht. Auch gibt es ein großes Softwareangebot zur Umsetzung eines ISMS auf Basis der ISO 27001, das man anwenden kann und Zeit sowie Kosten spart. Und man kann bei VS-NfD die Inhalte - anders als bei der ISO 27001 - auch nur teilweise für die Umsetzung der NIS2 verwenden und muss das ohnehin erweitern.

Als Strategie halten wir es daher für empfehlenswert, zuerst die ISO 27001 zu implementieren, dessen Anforderungen aber vor der Gap-Analyse auf VS-NfD abgestimmt sind. Typische Maßnahmen wie Zugriffskontrollen (User, Rollen, MFA), Netzsegmentierung / sichere Kommunikationswege und sichere Endgeräte (Hardening) werden den jeweiligen Norm-Anforderungen zugeordnet. Danach macht man die Gap-Analyse auf Basis dieses gemeinsamen Kataloges und dann geht es um die Umsetzung auf Basis der definierten Maßnahmen. Ein internes Audit auf beide Standards sichert die Erreichung ab und dient als Basis für die Selbstakkreditierung. Als nächster Schritt erfolgt die Zertifizierung durch etablierte Prüforganisationen, falls gewünscht.

Fazit

Die beiden Standards sind eher Freund als Feind und ergänzen sich:

• VS-NfD definiert das notwendige Schutzniveau für die Branche

• ISO/IEC 27001 liefert die Methodik zur Umsetzung und deckt bereits viele inhaltliche Teile ab

Eine Zertifizierung ist nicht zwingend vorgeschrieben, aber in der Praxis oft entscheidend, denn ohne ISO 27001 wird es zunehmend schwer, im Defence-Umfeld oder auch in anderen Branchen mitzuspielen. Und die ISO 27001 kann auch als gute Basis für den VDA-ISA-Standard der Informationssicherheit im Bereich der Automobilbranche dienen. Denn er baut auf der Norm auf.

Und als Nebeneffekt der ISO 27001 können Sie den Vorteil mitnehmen, dass die ISO 27001 über 95% der Anforderungen des NIS2 abdeckt, der Weg ist nicht mehr weit!

Die Mitarbeiter müssen sich nicht mehr umgewöhnen, wenn sie von Anfang an in der Norm-Struktur arbeiten, man spart den doppelten Aufwand beim Aufbau und hat nach der Umsetzung auch gleich die Möglichkeit, eine Zertifizierung nach ISO 27001 zu erreichen, die international anerkannt ist.

Die ISO 27001 hat also eine Menge Vorteile, sie kann helfen, den Marktzugang zu sichern und kann maßgeblich dabei helfen, einen höheren Standard an Sicherheit zu etablieren!

Sprechen Sie uns an, wir unterstützen bei der Umsetzung und bieten auch die nötige Software!