VS-NfD im Mittelstand: Sensible Behördeninformationen richtig handhaben

Informationssicherheit

VS-NfD im Mittelstand: sensible Behördeninformationen richtig handhaben

Über Lieferketten und Verteidigungsprojekte geraten auch Mittelständler an VS-NfD-Informationen. Was das bedeutet – und wie der Einstieg gelingt.

 

Auch mittelständische Unternehmen können über Lieferketten oder Projektbeteiligungen mit VS-NfD-Informationen in Berührung kommen. Dadurch entstehen verbindliche Anforderungen an Organisation, IT-Systeme, Mitarbeitende und Prozesse. Wer diese Anforderungen nicht frühzeitig einordnet, riskiert Vertragsrisiken und Vertrauensverlust bei Auftraggebern.

Gemeinsam mit Kolleginnen und Kollegen aus dem Netzwerk von Niedersachsen Digital habe ich an einer Handreichung mitgewirkt, die Unternehmen genau hier eine erste Orientierung gibt. Sie ersetzt nicht das verbindliche VS-NfD-Merkblatt des Bundesministeriums für Wirtschaft und Energie (BMWE, ehemals BMWK), sondern hilft, konkrete nächste Schritte abzuleiten. Die vollständige Handreichung stelle ich Ihnen weiter unten zum Download bereit.

 

Besonders relevant für Zulieferer im Rüstungscluster

Wer als Unternehmen in Lieferketten der Verteidigungs- und Rüstungsindustrie eingebunden ist – etwa im Rüstungscluster in Niedersachsen –, kommt an VS-NfD-Anforderungen kaum vorbei. Schon die Teilnahme an Ausschreibungen oder die Mitarbeit an Projekten kann dazu führen, dass eingestufte Informationen verarbeitet werden. Genau für diese Zielgruppe wird die Handreichung über das Netzwerk von Niedersachsen Digital – gemeinsam mit der Handreichung des BMWE – an die Mitglieder des Rüstungsclusters verteilt.

 

Was bedeutet VS-NfD?

In Deutschland werden sensible Informationen je nach Schutzbedarf in vier Geheimhaltungsstufen eingeteilt – von „VS – Nur für den Dienstgebrauch“ (VS-NfD, entspricht EU RESTRICTED) bis „Streng geheim“ (EU TOP SECRET). VS-NfD ist die niedrigste Stufe: Die Anforderungen sind geringer als bei höheren Einstufungen, bleiben aber verbindlich. Für Unternehmen heißt das konkret: keine Sicherheitsüberprüfung nach dem SÜG, keine formale Geheimschutzbetreuung durch das BMWE – aber klare organisatorische und technische Anforderungen gemäß Merkblatt. Typische Beispiele sind technische Projektunterlagen, Lage- oder Infrastrukturinformationen und Ausschreibungsunterlagen im Verteidigungsumfeld.

 

VS-NfD und die vier Geheimhaltungsstufen als Pyramide
Abbildung: Geheimhaltungsstufen in der Bundesrepublik Deutschland – aus der Handreichung „Umgang mit sensiblen Behördeninformationen“ (Niedersachsen Digital / UVN).

 

Welche Risiken entstehen bei Nichteinhaltung?

 

✗  Vertragliche Folgen: Ein Verstoß kann als Pflichtverletzung gewertet werden – bis hin zu Vertragsstrafen oder der Beendigung von Aufträgen.

✗  Meldepflichten: Sicherheitsvorfälle müssen unverzüglich an den Auftraggeber gemeldet werden.

✗  Einschränkungen bei künftigen Projekten: Wer die Anforderungen nicht zuverlässig erfüllt, wird bei künftigen Vergaben in der Regel nicht mehr berücksichtigt.

✗  Vertrauensverlust: Ein unsachgemäßer Umgang mit VS-NfD kann das Vertrauen von Auftraggebern nachhaltig beeinträchtigen.

 

Der Einstieg in vier Schritten

Die zentrale Herausforderung liegt meist nicht im Verständnis der Vorgaben, sondern in der praktischen Umsetzung: Welche Schritte sind nötig, welche Bereiche sind betroffen, und wie lässt sich der Aufwand sinnvoll begrenzen? Ein schrittweises Vorgehen hilft, die Umsetzung am tatsächlichen Bedarf des Unternehmens auszurichten.

 

VS-NfD im Mittelstand: Einstieg in vier Schritten
Abbildung: Mögliche Struktur für den Einstieg in VS-NfD in vier Schritten – aus der Handreichung (Niedersachsen Digital / UVN).

 

01  Anforderungen einordnen — Die relevanten Teile des Merkblatts identifizieren und für Organisation, Mitarbeitende und IT im eigenen Kontext verstehen.

02  Verantwortung festlegen — Eine verantwortliche Person benennen, Rollen und Zuständigkeiten klären, Verpflichtung und Kontrolle organisieren.

03  Rahmenbedingungen schaffen — Das Prinzip „Kenntnis nur, wenn nötig“ umsetzen, Zugriffs- und Ablagestrukturen einrichten, IT-Anforderungen gemäß Merkblatt erfüllen.

04  Umsetzung aufbauen — Maßnahmen in konkreten Projekten umsetzen, Erfahrungen sammeln, das Vorgehen anpassen und Strukturen schrittweise erweitern.

 

Kostenloser Download

Handreichung: Umgang mit sensiblen Behördeninformationen

VS-NfD verständlich einordnen und praktisch umsetzen – eine Orientierung für mittelständische Unternehmen. Herausgegeben von Niedersachsen Digital / UVN.

Handreichung herunterladen (PDF) ↓

 

Herausgeber und Autoren

Die Handreichung „Umgang mit sensiblen Behördeninformationen“ wurde von einer Arbeitsgruppe im Netzwerk von Niedersachsen Digital / Unternehmerverbände Niedersachsen (UVN) erstellt. Als Mitautor habe ich die informationssicherheitliche Perspektive eingebracht – gemeinsam mit Fachleuten aus IT-Sicherheit, IT-Organisation, dem Landeskriminalamt Niedersachsen (Zentrale Ansprechstelle Cybercrime) und der Verbandsarbeit. Sie richtet sich an mittelständische Unternehmen, die im Verteidigungs- und Behördenumfeld tätig sind oder es werden wollen.

 

Sie haben mit sensiblen Behördeninformationen zu tun?

In einem unverbindlichen Erstgespräch ordnen wir Ihre Situation ein, schätzen den Handlungsbedarf ab und besprechen die nächsten Schritte – herstellerunabhängig und praxisnah.

Erstgespräch buchen →