Warum wollen Organisationen in die Geheimschutzbetreuung aufgenommen werden und wie wird man aufgenommen?
Im Rahmen von manchen Aufträgen der öffentlichen Hand werden Unternehmen geheimhaltungsbedürftige Informationen übermittelt. Diese sogenannten Verschlusssachen (VS) müssen natürlich geschützt werden. Die Rahmenbedingungen hierzu werden maßgeblich durch die Geheimschutzbetreuung des Bundesministerium für Wirtschaft und Energie (BMWi) festgelegt und überwacht.
Um in die Geheimschutzbetreuung aufgenommen zu werden, müssen Unternehmen von einem VS-Auftraggeber – also einer Behörde – vorgeschlagen werden.
An Subunternehmen kann diese Anforderung ebenfalls gestellt werden. Nehmen wir an Rüstungsunternehmen will ein anderes Unternehmen mit der Fertigung eines Bauteils für einen Panzer beauftragen. In diesem Zusammenhang müssen VS verarbeitet und/oder ausgetauscht werden. Der Unterauftragnehmer kann in diesem Fall durch das Rüstungsunternehmen, nach vorheriger Einwilligung eines amtlichen VS-Auftraggebers (z. B. dem Bundesministerium der Verteidigung) zur Aufnahme in die Geheimschutzbetreuung durch das BMWi vorgeschlagen werden.
Im weiteren Prozess müssen muss ein Unternehmen ein Konzept einreichen, in dem er ganz genau darlegt, welche Schutzmechanismen eingerichtet werden, um die zur Auftragsabwicklung notwendigen VS angemessen zu schützen. Außerdem wird ein Vertrag zwischen dem BMWi und dem Unternehmen geschlossen, in dem alle geltenden Regelungen und Gesetze zum Geheimschutz rechtsverbindlich anerkannt werden.
Was ist das Ziel des Geheimschutzes?
Das oberste Ziel ist der Schutz von Verschlusssachen. Das sind bestimmte Informationen oder Vorgänge, bei deren Veröffentlichung bzw. Bekanntwerden, die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährdet oder ihre Interessen stark beeinträchtigt werden könnten.
Können Organisationen auch „aus der Geheimschutzbetreuung „fliegen“?
Das ist auf jeden Fall möglich oder sie können gar nicht erst zugelassen bzw. in die Geheimschutzbetreuung aufgenommen werden.
Der/Die VS-HerausgeberIn bzw. VS-AuftraggeberIn hat immer sicherzustellen, dass die Verschlusssachen entsprechend ihrem Schutzbedarf behandelt werden. Es können Stichproben durchgeführt werden, ggf. auch direkt durch das BMWi. Wird festgestellt, dass die Anforderungen, die im Geheimschutzhandbuch (GHB) niedergeschrieben sind, nicht erfüllt werden, muss das betroffene Unternehmen Abhilfe schaffen. In solchen Fällen gibt es zunächst eine Frist, um die Auflagen mittels geeigneter Maßnahmen umzusetzen. Werden die auferlegten Auflagen nicht fristgerecht umgesetzt, dann wird der Vertrag zwischen dem BMWi und dem jeweiligen Unternehmen in letzter Konsequenz gekündigt. Damit ist das Unternehmen nicht mehr dazu befugt VS zu verarbeiten.
An dieser Stelle muss ich auch betonen: Der Verstoß gegen die Geheimhaltungspflicht bzw. gegen Vorschriften des GHB ist kein Kavaliersdelikt und kann strafrechtliche Folgen bis hin zur Freiheitsstrafe nach sich ziehen. Die Verstöße sind im Strafgesetzbuch geregelt (§§ 93 bis 99, 203 Absatz 2 und 353b StGB).
Welche Geheimhaltungsstufen gibt es?
Bei den Verschlusssachen muss man gewisse Kategorien unterscheiden. Verschlusssachen können Gegenstände oder Kenntnisse sein, das heißt neben physischen Schriftstücken können das auch Bild, Tonaufzeichnung, Datenträger oder elektronische Dateien sein.
In Deutschland gibt es im Wesentlichen vier unterschiedliche Geheimhaltungsstufen. Die niedrigste Stufe ist: VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD). Es gibt drei weitere Geheimhaltungsgrade, und zwar in „aufsteigender“ Reihenfolge:
- VS-VERTRAULICH
- GEHEIM
- STRENG GEHEIM
Will ein Unternehmen VS-NfD verarbeiten, muss es nicht zwingend in die Geheimschutzbetreuung aufgenommen werden. Es muss sich allerdings gegenüber dem VS-Herausgeber vertraglich dazu verpflichten, die Regelungen des aktuell gültigen VS-NfD Merkblattes einzuhalten. Die betroffenen Mitarbeiter müssen sich in diesem Fall auch nicht einer Sicherheitsüberprüfung gem. Sicherheitsüberprüfungsgesetz – SÜG unterziehen.
Das BMWi ist verantwortlich für den Geheimschutz in der Wirtschaft. Bei Behörden hingegen ist das BMI (Bundesministerium des Innern, für Bau und Heimat) zuständig – hier gilt nicht das GHB, sondern die Verschlusssachenanweisung – VSA.
Wenn ein Unternehmen Verschlusssachen ab VS-VERTRAULICH verarbeiten will, ist die Aufnahme in die Geheimschutzbetreuung verpflichtend. Es gilt jedoch: Keine Aufnahme in die Geheimschutzbetreuung ohne konkreten Bedarf. Jedem Unternehmen steht es frei, die Anforderungen aus dem GHB vorab zu erfüllen. Schließlich können mit den Maßnahmen auch interne Daten oder Unterlagen besser geschützt werden. Auch erleichtert es den potentiellen Aufnahmeprozess in die Geheimschutzbetreuung. Oftmals ist das Wissen über den Geheimschutz bei den meisten Unternehmen nicht vorhanden – auch bei MitarbeiterInnen die mit der Sicherheit / IT-Sicherheit betraut sind. Das heißt, Unternehmen sollte sich frühzeitig externe Hilfe holen oder die Geheimschutzexpertise Expertise aufbauen. So kann dem BMWi dann zügig dargestellt werden, dass alle Regelungen des GHB eingehalten werden und die VS entsprechend geschützt werden.
Ist es bekannt, dass ein Unternehmen in der Geheimschutz-betreuung aufgenommen ist und erhöht die Geheimschutz-betreuung nicht das Risiko Ziel von ausländischer Spionage zu werden?
Unternehmen dürfen in keiner Weise damit werben, dass Sie in der Geheimschutzbetreuung sind. Dann sollte auch kein größeres Risiko davon ausgehen. Das BMWi veröffentlicht auch keine Listen der Unternehmen in der Geheimschutzbetreuung.
Wenn ein Angreifer – z.B. ein ausländischer Nachrichtendienst – anderweitig Kenntnis darüber erlangen sollte, dass ein Unternehmen sich in der Geheimschutzbetreuung befindet, dann kann es durchaus sein, dass es Ziel eines Angriffes wird. Ein Cyberangriff ist nur eine Option. Es gibt viele direkte und indirekte Wege die ein Angreifer wählen kann. Manchmal laufen Aktivitäten über Jahre. Ziel ist schließlich nicht immer nur einmalig an spezielle VS zu gelangen, sondern unbemerkt über lange Zeiträume möglichst viele Informationen abzugreifen. Wenn aber alle Anforderungen des Geheimschutzes erfüllt sind – heißt alle technischen und organisatorischen Maßnahmen umgesetzt sind – und wenn die Mitarbeiter entsprechend geschult sind sowie ein allgemein gutes Verständnis für Informationssicherheit im Unternehmen herrscht, sollte es im besten Falle keine große Herausforderung sein einen Angriff frühzeitig zu erkennen und entsprechende Abwehr-Maßnahmen einzuleiten.
Führt die Geheimschutzbetreuung zur Überwachung der Organisation und seiner Mitarbeiter durch die Polizei oder den Verfassungsschutz?
Nein das ist nicht der Fall. Aber wie bereits gesagt, müssen bei der Verarbeitung von VS ab dem Geheimhaltungsgrad VS-VERTRAULICH alle beteiligten Mitarbeiter einer Sicherheitsüberprüfung unterzogen werden, welche das BMWi gemeinsam mit dem Bundesamt für Verfassungsschutz (BfV) und anderen Behörden durchführt. Die finale Entscheidung für die Ermächtigung einer Mitarbeiterin oder eines Mitarbeiterin liegt beim BMWi.
Die/der jeweilige MitarbeiterIn muss dem Verfahren jedoch explizit zustimmen und wird über den gesamte Vorgang aufgeklärt. Zunächst muss die/der jeweilige MitarbeiterIn ein Formular ausfüllen und Angaben zu Wohnorten, Lebenslauf, Reisen, Social Media Profilen, usw. machen. Dieses bildet eine zentrale Basis für die Sicherheitsüberprüfung und es gilt hier ehrlich alle Angaben zu machen. Es kann ein Auszug aus dem Bundeszentralregister eingesehen werden und es werden auch Polizeibehörden involviert, aber man wird nicht überwacht. Bei der Durchführung der Sicherheitsüberprüfung dürfen keine nachrichtendienstliche Mittel eingesetzt werden – dies alles ist klar im Sicherheitsüberprüfungsgesetz (SÜG) geregelt. Bei der erweiterten Sicherheitsüberprüfung (SÜ 2) wird der Ehepartner ebenfalls überprüft und bei der SÜ 3 auch weitere Kontaktpersonen durch Mitarbeiter des BfV direkt befragt.
Generell gilt, je höher der Grad der Sicherheitsüberprüfung, um so länger dauert sie. Haben zu überprüfende Personen komplexe Lebensläufe (z.B. viele Reisen, Auslandsaufenthalte, doppelte Staatsangehörigkeit), kann es zu weiteren zeitlichen Verzögerungen kommen.
Muss man weiterhin in der Geheimschutzbetreuung bleiben, wenn man keine laufende Projekte hat in denen VS verarbeitet werden? Muss man austreten?
Wenn ein VS-Auftrag abgeschlossen wurde, dann muss das Unternehmen grundsätzlich überprüfen, ob es überhaupt noch notwendig ist in der Betreuung zu sein. Wenn keine Folgeaufträge generiert werden oder nicht in naher Zukunft geplant ist, einen adäquaten Auftrag anzunehmen, dann muss das Unternehmen sogar aus der Geheimschutzbetreuung austreten.
Sollte das Unternehmen dennoch (nach einiger Zeit) wieder VS-Aufträge annehmen wollen, sollte eine Wiederaufnahme keine große Hürde darstellen, weil man im Idealfall auf das vorhandene Know-how im Unternehmen zurückgreifen kann.
Ablauf einer Geheimschutzberatung
Wie laufen Beratungsprojekte zur Geheimschutzbetreuung ab?
Wenn sich ein Kunde bei uns zum Geheimschutz beraten lässt, dann schauen wir uns zunächst den gesamten Informationsverbund an und klären mit dem Auftraggeber ganz genau was das Ziel ist.
Sind die Rahmenbedingungen geklärt, schauen wir uns den Informationsverbund genauer an und identifizieren einschlägige Use Cases. Das heißt: Welche eingestuften Informationen sollen verarbeitet werden? Welche IT-Systeme werden dazu benötigt? Werden die Informationen bzw. Daten nur an einem einzigen Standort verarbeitet oder müssen diese zwischen mehreren Unternehmensstandorten ausgetauscht werden? Es gibt z. B. die Möglichkeit mit einem einzelnen Arbeitsplatz, der vielleicht gar nicht mit dem Unternehmens-Netzwerk oder mit dem Internet verbunden ist, zu arbeiten. Das hat den Vorteil, dass der Schutz der VS leichter umzusetzen ist, weil man keine externe Datenverbindung vor unberechtigtem Zugriff von außen schützen muss.
Vor allem in der heutigen Zeit, bei agilen Prozessen und Organisationsformen, geht der Trend schon eher dahin, die VS im Netzwerk zu haben – z. B. in einem separaten VS-Netzwerk – damit mehrere Mitarbeiter darauf zugreifen können. Hier muss auf jeden Fall sichergestellt sein, dass wirklich nur die Mitarbeiter Zugriff haben, die für die Auftragserfüllung auch zwingend Zugriff auf die VS haben müssen. Das ist einer der wichtigsten Grundsätze im Zusammenhang mit dem Geheimschutz, das sogenannte „need-to-know“ Prinzip. Die Gegebenheiten werden gemeinsam mit dem Kunden genauestens identifiziert und analysiert.
Wir prüfen außerdem, ob ein IT-Grundschutz (BSI) oder ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) vorhanden ist. Dies ist im Regelfall eine gute Ausgangsbasis und die folgenden Schritte würden dadurch erleichtert. .
Wenn der Informationsverbund, die Use Cases und die Rahmenbedingungen analysiert wurden, wird ein individuelles Konzept mit der gewünschten Zielarchitektur erstellt, welches dem BMWi vorgelegt werden kann. Das BMWi wird dieses Konzept überprüfen und ggf. mit Kommentaren und Hinweisen versehen, die es bei der Umsetzung zu berücksichtigen gilt. Selbstverständlich unterstützen wir die Kunden auf Wunsch gerne auch bei der Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen und begleiten den Prozess bis zur finalen Freigabe durch das BMWi.
Wie lange dauern diese Beratungsprojekte und warum kann es zu Verzögerungen kommen?
Das kann man nicht pauschal sagen. Das ist immer abhängig von den Rahmenbedingungen und dem Reifegrad des bestehenden ISMS. Wenn ein zertifiziertes ISMS vorliegt, dann hält sich der Mehraufwand in Grenzen und so ein Projekt kann schneller abgeschlossen werden als ein Projekt, in dem das Unternehmen noch am Anfang steht in Bezug auf (IT-)Sicherheit.
Viele Projekte dauert in etwa sechs bis neun Monate. Dies bedeutet aber nicht, dass wir konstant an dem Projekt arbeiten, sondern Beinhaltet auch Bearbeitungszeiten durch den Kunden oder das BMWi. Es sind mehrere Faktoren, die hier eine Rolle spielen. Es kommt unter anderem darauf an, in welchem Umfang VS verarbeitet werden sollen. Wenn sie z. B. an mehreren Standorten verarbeitet werden sollen, dann muss auch eine sichere Verbindung zwischen den Standorten gewährleistet sein. Hier gibt es sehr strenge Vorgaben. Es müssen BSI-zugelassene Hardware- and Software-Lösungen genutzt werden, um überhaupt den Schutz der VS gewährleisten zu können. Wenn Hardware im größeren Stil angeschafft und implementiert werden muss – z. B. wenn VS über mehrere Standorte hinweg verarbeitet werden sollen – dann ist allein die Planungsphase mit der Marktanalyse und Konzept-Erstellung schon sehr aufwendig. Auch die Bearbeitungszeit durch das BMWi muss bei der Projektplanung berücksichtigt werden und stellt einen nicht zu vernachlässigenden Faktor dar.
Welche Kosten kommen generell auf Organisationen zu, die in die Geheimschutzbetreuung aufgenommen werden wollen?
Folgende Kostenfaktoren sind zu beachten. Die Aufzählung ist allerdings nicht abschließend und enthält nur die essenziellen Kosten, die auf ein Unternehmen zukommen:
- Hardware, inkl. Beschaffung und Implementierung
- Laufende Kosten, wie z. B. Pflege/Maintenance der Systeme, Lizenzen, etc.
- Ab VS-VERTRAULICH müssen diverse Rollen gemäß GHB besetzt werden – z. B. der Sicherheitsbeauftragte (SiBe) und ggf. ein€ IT-VS Beauftragte(r)
- Schulungskosten für die/den Beauftragte(n)
- Personalkosten allgemein
- Beratungskosten (optional). Beratungskosten können sich jedoch optimierend auf andere Kostenfaktoren auswirken
Die Beratung durch das BMWi ist grundsätzlich kostenlos. Man hat z. B. einen direkten Ansprechpartner zu Fragen rund um den Geheimschutz
Was sind die häufigsten Herausforderungen bei Ihren Geheimschutzprojekten?
Eine Herausforderung ist, dass das GHB etwas älter ist (2017). Daher ist es nicht unbedingt auf aktuelle Bedürfnisse von Unternehmen ausgerichtet, wie agiles Projektmanagement, schnelles Teilen von Informationen, usw. Aber das ist ja grundsätzlich auch kritisch zu hinterfragen beim Umgang mit VS – der Kreis der Beteiligten sollte eben so klein wie nötig gehalten werden.
Eine weitere Herausforderung, wenn nicht sogar das Hauptproblem, in der heutigen Zeit im Zusammenhang mit der Verarbeitung von VS, ist das Outsourcing von IT-Diensten – das ist immer kritisch! Denn hier könnte es sein, dass auch Mitarbeiter, die nicht dem eigenem Unternehmen angehören Zugang zu VS erlangen und das darf eigentlich nicht sein. Es würde dem „need-to-know“-Prinzip widersprechen.
Inwiefern hatte die aktuelle Lage (COVID19) Auswirkungen auf die Geheimschutzbetreuung?
In Zeiten von Remote Work und Homeoffice, wollen Unternehmen ihren Mitarbeitern auch die Verarbeitung von VS von zu Hause aus ermöglichen – dies ist aber nur eingeschränkt möglich. Es gibt strikte Auflagen, die es hier zu berücksichtigen und erfüllen gilt. VS ab dem Geheimhaltungsgrad VS-VERTRAULICH können gar nicht außerhalb des Unternehmens bearbeitet werden (weder digital noch analog). Selbst für VS-NfD ist ein technischer und organisatorischer Aufwand notwendig, um alle Voraussetzungen zum Schutz von VS im Homeoffice zu gewährleisten.
Organisatorische Veränderungen
Welche zentralen Veränderungen ergeben sich für eine Organisation durch die Geheimschutzbetreuung? Welche Maßnahmen kommen auf Organisationen zu?
Das kommt immer auf das Unternehmen an. Wenn es schon ein gutes Grundverständnis für Informationssicherheit gibt und die wichtigsten Maßnahmen zum Schutz der Informationssysteme nach IT-Grundschutz oder ISO 27001 umgesetzt wurden, dann sind die Veränderungen gar nicht so groß. Vielleicht müssen noch die letzten Anforderungen des GHB umgesetzt werden oder eventuell die eine oder andere Hard- oder Software ausgetauscht werden. Im Großen und Ganzen gibt es für solche Unternehmen aber keine tiefgreifenden organisatorischen Veränderungen.
Anders sieht es aus, wenn das Unternehmen sich über Informationssicherheit bisher keine oder nur wenig Gedanken gemacht hat, dann ist das ganze Unterfangen mit einem erheblichen Aufwand verbunden. Es ist nicht unmöglich, aber dann muss man zunächst bei seinen Mitarbeitern ein grundlegendes Verständnis für die Informationssicherheit generieren und dann natürlich die technischen und organisatorischen Anforderungen erfüllen.
Erfordert die Geheimschutzbetreuung eine große Veränderungs-bereitschaft bei der Belegschaft? Muss man parallel ein Change-Management etablieren?
Hier kann man keine pauschale Antwort geben. Das hängt stark von der Unternehmenskultur und den etablierten Informationssicherheitsmaßnahmen ab. Sind Teile eines Gebäudes plötzlich nur noch für Teile der Belegschaft zugänglich oder der Umgang mit der IT durch Sicherheitsmaßnahmen „wenige“ Nutzerfreundlich, stößt dies nicht immer auf Gegenliebe. Zahlreiche Studien haben gezeigt, dass MitarbeiterInnen kreativ Maßnahmen umgehen oder ignorieren, wenn sie ihre Arbeit verkomplizieren. Ein Change Management und gute Kommunikation die alle Mitarbeiter und nicht nur die, die unmittelbar mit VS in Verbindung kommen, in Sachen Informationssicherheit sensibilisiert und mitnimmt, ist sicherlich sinnvoll. Nicht nur einmal sondern kontinuierlich. Unser Arbeitsumfeld wird immer digitaler und die Angriffsmethoden immer raffinierter – dadurch steigt auch die Gefahr Opfer eines Cyberangriffes zu werden. Das ist grundsätzlich mein Rat, egal um welche Organisation im öffentlichen und privaten Sektor es sich handelt oder ob VS vorhanden sind. Das Management spielt hierbei eine wichtige Rolle. Es muss die „Marschrichtung“ vorgeben und Informationssicherheit auch selber jeden Tag vorleben.
Angenommen es kommen neue Mitarbeiter dazu, wird ein Training durchgeführt (z.B. vom BMWi) oder wird das intern geregelt?
Das kommt auch wieder darauf an, welche VS im Unternehmen verarbeitet werden. Bei VS-NfD muss sich das Unternehmen gegenüber dem VS-Herausgeber selbst verpflichten alle Anforderungen gemäß GHB einzuhalten – dies gilt auch für die Schulung der eigenen Mitarbeiter. Ab VS-VERTRAULICH brauchen alle Mitarbeiter, die entsprechend eingestufte VS verarbeiten eine Sicherheitsüberprüfung.
Wenn sich das Unternehmen in der Geheimschutzbetreuung befindet, dann braucht es auch einen Sicherheitsbeauftragten (SiBe), der stellvertretend für die Geschäftsführung oder den Vorstand für alle Belange rund um dem Geheimschutz verantwortlich ist. Dieser Beauftragte muss gewisse Anforderungen erfüllen und auch spezielle Seminare des BMWi im Vorfeld besuchen. Er muss u. a. Sorge tragen, dass alle Regelungen und Anforderungen des GHB im Unternehmen umgesetzt wurden.
Ist der Sicherheitsbeauftragter ein interner Mitarbeiter?
Ja, der SiBe ist immer durch einen internen Mitarbeiter zu stellen. Er hat aber auch einen direkten Ansprechpartner beim BMWi, welcher für alle Belange und Fragen rund um den Geheimschutz beratend zur Seite steht.
Angenommen ich bin schon länger in der Geheimschutzbetreuung, wie kann das BMWi immer sicherstellen, dass ich vorschrifts-konform handele?
Eine 100% Kontrolle gibt es nicht. Es hat schon auch ein Stück weit mit Vertrauen zu tun. Aber wie bereits geschildert, existiert ein rechtsverbindlicher Vertrag, der eingehalten werden muss. Bei einem Verdacht der Nichtkonformität wird entweder das BMWi selbst oder der VS-Herausgeber genauer darauf achten und im schlimmsten Fall den Vertrag mit allen rechtlichen Konsequenzen kündigen und auch hier sei noch einmal der Bezug zum potenziellen Straftatbestand erlaubt.
Das Interview führte Mariam El-Abida.
