Vorsicht, streng geheim!

3. Geheimschutzmaßnahmen

­Personelle und materielle Geheim­schutz­maßnahmen sollen die Geheimhaltung der VS nach dem Grundsatz „Kenntnis nur wenn nötig“ gewährleisten. Die konkreten Anforderungen an die personellen und materiellen Geheim­schutz­maßnahmen variieren je nach Geheim­haltungsgrad. Art und Umfang der Geheim­schutz­maßnahmen ergeben sich aus dem GHB nebst Anlagen, der VSA und dem SÜG. Weitere Einzelheiten und Konkretisierungen können sich aus vertraglichen Vereinbarungen mit den Auftraggebern und dem BMWi ergeben.

Personeller Geheimschutz

Der personelle Geheimschutz knüpft an die Personen an, die mit VS in Berührung kommen. Mit Hilfe des personellen Geheim­schutzes soll sichergestellt werden, dass Personen, bei denen ein Sicherheits­risiko besteht, keinen Zugang zu VS erhalten.

Personen, die Zugang zu VS mit der Geheim­haltungs­stufe VS-NUR FÜR DEN DIENST­GEBRAUCH haben sollen oder sich Zugang zu diesen verschaffen können, müssen nach Ziff. 1.7 GHB zur Einhaltung der im Merkblatt in Anlage 4 GHB fest­gelegten Regeln verpflichtet werden. Dabei ist sicher­zustellen, dass Personen, die sich als zur Einhaltung ungeeignet erweisen oder Personen, die gegen Geheim­schutz­bedingungen verstoßen haben, keinen Zugriff auf VS haben.

Zugang zu VS mit der Geheimhaltungs­stufe VS-VERTRAULICH oder höher dürfen nach Ziff. 4.2.1 GHB und §§ 8 ff SÜG nur Personen erhalten, die eine Sicherheits­überprüfung (Ü) zur Feststellung ihrer Zuverlässigkeit bestanden haben und denen eine VS-Ermächtigung nach Ziff. 4.3 GHB erteilt wurde.

Eigentümer und Mitglieder der Geschäfts­leitung des Unter­nehmens müssen sich nach Ziff. 4.1.2 GHB ebenfalls einer Sicherheits­überprüfung unterziehen. Eine Ausnahme gilt nur dann, wenn sie schriftlich auf den Zugang zu VS verzichten und ihre Kenntnis­nahme von VS tatsächlich und dauerhaft aus­geschlossen ist.

Ziel einer solchen Sicherheits­überprüfung ist die Feststellung, ob ein Sicherheits­risiko in der Person besteht, welches sie für den Umgang mit VS ungeeignet macht. Nach § 5 SÜG liegt ein Sicherheits­risiko vor, wenn Zweifel an der Zuverlässigkeit der Person bestehen, bei Anbahnungs- und Werbungs­versuchen fremder Nachrichten­dienste und bei Zweifeln am Bekenntnis der Person zur freiheitlichen demokratischen Grundordnung.

Die Sicherheitsprüfung wird vom BMWi in Kooperation mit dem Bundesamt für Verfassungs­schutz durchgeführt, § 25 SÜG, Ziff. 1.1 und 4.2 GHB. In die Überprüfung werden weitere Behörden, wie Verfassungs­schutz­behörden, das Bundes­zentral­register, das Bundes­kriminal­amt und andere Polizei­dienst­stellen, Nachrichten­dienste, sowie ggf. der Bundes­beauftragte für Stasi-Unterlagen einbezogen, Ziff. 4.2.4 GHB, §§ 7 ff SÜG. Auf Seiten des Unter­nehmens ist der Sicherheits­beauftragte (SiBe) nach Ziff. 4 GHB für alle Vorgänge im Zusammen­hang mit der Sicherheits­über­prüfung zuständig. Er führt zu jeder sicherheits­überprüften Person eine Sicherheits­akte, Ziff. 4.7.2.

Basis der Sicherheits­über­prüfung ist eine Sicherheits­erklärung der zur über­prüfenden Person, siehe Anlagen 19 b und 19 c GHB. In dieser müssen unter Anderem Informationen zu Wohnsitzen und Aufent­halten, zur finanziellen Situation, zu Strafverfahren, Beziehungen zu verfassungs­feindlichen Organisationen und Geheim­diensten offen gelegt werden.

Abhängig von der Geheimhaltungs­stufe der VS, mit denen die jeweilige Person in Berührung kommen soll oder kann, unter­scheidet sich der Umfang der Sicherheits­über­prüfung (Ü 1 bis Ü 3), vgl. Ziff. 4.2.1 und 4.2.4 GHB, §§ 7 ff SÜG. Während bei der gering­schwelligsten Ü 1 (einfache Sicherheits­überprüfung) für VS mit dem Geheim­haltungs­grad VS-VERTRAULICH nur die Person selbst durch bestimmte Maßnahmen überprüft wird, erfolgt bei der Ü 2 (erweiterte Sicherheits­überprüfung) für VS mit dem Geheim­haltungs­grad GEHEIM auch eine Überprüfung von Ehegatten, Lebens­gefährten und Lebens­partnern. Bei der Ü 3 (erweiterte Sicherheits­über­prüfung mit Sicher­heits­ermittlungen), die vor allem bei Zugang zu VS mit dem Geheim­haltungsgrad STRENG GEHEIM vorgeschrieben ist, werden darüber hinaus noch Referenz­personen befragt und ggf. weitere Maßnahmen durchgeführt. 

Unbeschadet ihrer individuellen Ermächtigung sind Beschäftigte (eigenes und Fremdpersonal) nach dem Grundsatz „Kenntnis nur, wenn nötig“ zur Kenntnis­nahme von VS nur berechtigt, wenn und soweit sie zur Ausübung ihrer Tätigkeit im Unternehmen hiervon Kenntnis benötigen, Ziff. 1.4 und 4.4 GHB.

Materieller Geheimschutz

Der materielle Geheimschutz knüpft an die technischen und organisatorischen Vorkehrungen im Unternehmen zum Schutz der VS an, Ziff. 6.1 GHB. Hierfür sind Maßnahmen z.B. im Hinblick auf Herstellung, Kennzeichnung, Bearbeitung, Vervielfältigung, Verwaltung, Verwahrung, Transport und Weitergabe der VS, sowie ggf. zur Sicherheit von IT-Systemen vorgeschrieben.

Bei VS mit der Einstufung VS-NUR FÜR DEN DIENST­GEBRAUCH richtet sich der materielle Geheimschutz nach den Vorgaben in den Anlagen 4 und 4 a GHB, Ziff. 1.7 GHB.

Bei VS mit der Einstufung VS VERTRAULICH oder höher gelten die darüber hinausgehenden Vorgaben des GHB:

So beinhalten Ziff. 6.4, sowie Anlagen 42 bis 44 GHB konkrete Vorgaben zu Ort, Inhalt, Umfang und Art der Kennzeichnung von VS Materialien. Nach Ziff. 6.4.3 GHB sind z.B. Schriftstücke mit dem Geheim­haltungs­grad STRENG GEHEIM und GEHEIM oben und unten mit roter Farbe als solche zu kennzeichnen. Schriftstücke mit dem Geheim­haltungs­grad VS-VERTRAULICH und sind oben mit blauer oder schwarzer Farbe entsprechend zu kennzeichnen.

Ziff. 6.6 GHB enthält Vorschriften zur Verwaltung und Dokumentation von VS. So ist z.B. ein VS-Bestands­verzeichnis zu führen, in dem Buch über die VS des Unter­nehmens, sowie über Aus­fertigungen und Verviel­fältigungen geführt wird. Vorlagen hierzu enthalten die Anlagen 46 bis 56 GHB. Zuständig für die Verwaltung der VS ist ein vom Unternehmen zu bestellender VS-Verwalter, Ziff. 6.6.3 GHB.

VS sind nach Ziff. 6.8 grundsätzlich in personell bewachten oder technisch überwachten VS-Verwahr­gelassen (Stahl­schränke, die den Anforderungen in Anlage 57 GHB entsprechen, Akten­sicherungs­räume) oder VS-Sperr­zonen (besonders geschützte Räume, Gebäude, Gebäude­teile oder Freiland­zonen) zentral zu verwahren. Schlüssel zu den Verwahr­gelassen oder Sperr­zonen müssen nach Ziff. 9 GHB besonders gesichert aufbewahrt werden.

Werden VS mit Einwilligung des BMWi auf IT-Systemen verarbeitet, ist das Thema IT-Sicherheit von besonderer Relevanz. Nach Ziff. 6.11 GHB müssen besondere Schutz­maß­nahmen ergriffen werden, um die Vertraulich­keit, Integrität und Verfüg­barkeit der VS zu gewähr­leisten. Anlage 37 zum GHB beinhaltet IT-Richtlinien (VS-IT-Richt­linien/ Z-VSITR/U), die von den betroffenen Unter­nehmen umgesetzt werden müssen. Die Richtlinien sehen neben der Ernennung eines IT-VS-Beauf­tragten auch Vorgaben zur IT-Planung und –Beschaffung, zur Erstellung einer Geheim­schutz­anweisung (Sicherheits­konzept für die eingesetzte IT) und zum IT-Einsatz vor. Unter die Thematik IT-Einsatz fallen technische und organi­satorische Schutz­maß­nahmen, z.B. Zugangs­kontrolle, Zugriffs­kontrolle, Zugriffs­rechte, automatische Beweissicherung und Protokollauswertung, Wiederauf­bereitung, Löschung und Vernichtung von VS Daten, Software­schutz und Testläufe, System­wartung , Speicherung, Übertragung und Netz­anbindung, Schutz von IT-Betriebs­räumen und Produkten, Daten­sicherung, Kontrolle, technische Prüfungen und das Vorgehen bei Sicherheits­vorkomm­nissen. Nach VSA ist regelmäßig die Umsetzung der IT-Grund­schutz-Standards (BSI Standard 100-2) erforderlich.

Anlage 70 GHB enthält verbindliche Richtlinien zur Nutzung von Tele­kommuni­kations- oder anderen technischen Kommuni­kations­einrichtungen (ITK-Ein­richtungen) für die Übermittlung von VS (Krypto Richtlinien). Werden VS mit Zustimmung des BMWi über ITK Einrichtungen übermittelt, sind sie zu kryptieren oder durch andere gleichwertige Maßnahmen zu sichern. Die Krypto-Richt­linien beinhalten Bestimmungen über die Hand­habung, Verteilung und Nachweis­führung von Kryptomitteln, sowie über Schutzmaßnahmen zur Herstellung und Erhaltung der Krypto­sicherheit.

4. Geheimschutzbetreuung

Unternehmen, die im Rahmen eines Auftrages für die öffentliche Hand (VS Auftrag) möglicherweise Zugang zu VS mit dem Geheimhaltungs­grad VS-VERTRAULICH oder höher haben, werden auf Vorschlag des Auftraggebers in die Geheim­schutz­betreuung des BMWi aufgenommen. Der Zeitraum der Geheimschutz­betreuung kann sich dabei von der Vorbereitung eines Angebots bis zum Ende der vertraglichen Gewähr­leistungs­pflichten nach Beendigung des Auftrages und darüber hinausgehender Aufbewahrungs­pflichten erstrecken, Ziff. 1.8.1 GHB.

Im Rahmen der Geheimschutz­betreuung berät und kontrolliert das BMWi die betroffenen Unternehmen im Hinblick auf Geheimschutz­maßnahmen.

Vertrag mit dem BMWi

Basis der Geheimschutz­betreuung ist ein öffentlich-recht­licher Vertrag (Vertrag) zwischen dem Unternehmen und dem BMWi, siehe Ziff. 1.3 GHB und Anlage 1 GHB. Der Vertrag sieht vor, dass das Unternehmen die Bestimmungen des GHB einschließlich der Anlagen in der jeweils geltenden Fassung akzeptiert und sich verpflichtet, alle erforderlichen organisatorischen, personellen und materiellen Geheimschutz­maßnahmen nach Maßgabe des GHB zu treffen, Ziff. 2.2 GHB.
Aus dem Mustervertrag ergeben sich insbesondere folgende Pflichten des Unternehmens:

• Durchführung der vom BMWi im Rahmen der Geheimschutz­betreuung verfügten Anordnungen und Maßnahmen,
• Beachtung des Grundsatzes „Kenntnis nur, wenn nötig“,
• Überprüfung und Ermächtigung aller Personen, die im Zusammenhang mit einem VS-Auftrag Verschluss­sachen (VS) einsehen, bearbeiten, entwickeln oder schützen sollen, entsprechend dem Geheim­haltungs­grad der VS, 
• Regelmäßige Überprüfung (max. fünf Jahre), ob eine VS noch benötigt wird: Andernfalls ist sie zu vernichten oder dem VS-Auftraggeber zurückzugeben,
• Bestellung eines fachlich und persönlich geeigneten Sicherheits­bevoll­mächtigten (SiBe). 
• Informationspflichten (z. B. bei Änderung von Unternehmens­angaben, Fälle der Insolvenz etc.), 
• Einhaltung der Vorgaben für die Vertrags­gestaltung mit Dritten im Rahmen von VS-Aufträgen. 

Aufnahme in die Geheimschutz­betreuung

Unternehmen, die von dem öffentlichen Auftraggeber beim BMWi für die Geheimschutz­betreuung vorgeschlagen wurden, müssen ihrerseits einige Maßnahmen treffen, um in die Geheimschutz­betreuung aufgenommen werden zu können (siehe FAQ des BMWi). Dazu gehören nach Ziff. 2.3.1 und 2.4.1.1 GHB:

• Einreichung eines Formulars mit den wesentlichen Angaben zum Unternehmen, z.B. Firmierung, Anschrift und Kontaktdaten, Rechtsform, Gesellschafter, Geschäftsführung, Anzahl der Beschäftigten, vgl. Anlage 9 GHB, 
• Einreichung eines Handelsregister­auszuges und Gewerbe­zentralregister­auszuges,
• Bestellung eines vom BMWi akzeptierten SiBe, mindestens eines Vertreters und ggf. eines Vertreters vor Ort, sowie die Einführung des SiBe in seine Aufgaben durch das BMWi,
• Erfolgreiche Sicherheits­über­prüfung und VS-Ermächtigung der Personen, die mit Verschluss­sachen in Berührung kommen und der gesetzlichen Vertreter des Unternehmens,
• Realisierung der erforderlichen materiellen Geheim­schutz­maßnahmen (zum Nachweis der Geheimhaltungs­maßnahmen bietet sich die Vorlage eines Geheim­schutz­konzeptes an).
  Mit dem Erlass eines Sicherheits­bescheides durch das BMWi ist die Aufnahme in die Geheimschutz­betreuung abgeschlossen.

5. Sicherheitsbevollmächtigter

Der Sicherheitsbevoll­mächtigte (SiBe) ist das zentrale Sicherheits­organ des Unternehmens. Ihm obliegen nach Ziff. 3.2 und 3.3 GHB die Planung, Genehmigung, Durchführung und Überwachung sämtlicher Maßnahmen zum Schutz von VS. Er fungiert darüber hinaus als Kontaktperson zu dem Auftraggeber und dem BMWi.

Der SiBe ist bereits in die Planungs- und Vorbereitungs­phase sowie bei Vertragsverhandlungen über VS-Aufträge einzubeziehen. Er ist darüber hinaus bei Personal­maßnahmen, die den Geheimschutz im Unternehmen berühren, beteiligt. Hierzu gehört das Recht auf Einsichtnahme in die Personalakte.

Zu seinem Aufgaben­bereich zählt auch die Beteiligung bei allen Sicherheitsvorkehrungen des Unternehmens (Werkschutz, Informations­schutz, Feuerwehr usw.) sowie bei allen zweckdienlichen Maßnahmen die für den Sicherheits­status des Unternehmens von Bedeutung sein können. Er entscheidet über die Anordnungs­befugnis für VS-Verviel­fältigungen.

Der SiBe hat Informations-, Belehrungs-, Anordnungs- und Kontrollrechte sowie das jederzeitige Zutrittsrecht zu allen Stellen im Unternehmen in dem für seinen Aufgaben­bereich erforderlichen Umfang. Er ist weisungs­befugt gegenüber seinem ständigen Vertreter vor Ort und in dem für den Aufgabenbereich erforderlichen Umfang gegenüber Werkschutz sowie IT- und Kommunikations­sicherheit. Zudem verfügt er über Vollmacht für Verhandlungen über Geheimschutz­angelegen­heiten mit den am Geheimschutz­verfahren beteiligten Behörden und Unternehmen.

Der SiBe ist in sämtliche Prozesse im Hinblick auf den Umgang mit VS einzubinden. Er ist nach Ziff. 3.2 GHB direkt der Geschäfts­führung zu unterstellen und mit allen Befugnissen auszustatten, die für die ordnungs­gemäße Durchführung seiner Aufgaben erforderlich ist.

Inhalt

Das Geheimschutz­konzept ist eine interne verbindliche Richtlinie des Unternehmens zur Umsetzung und Dokumentation der personellen und materiellen Geheimhaltungs­maßnahmen. Es ist damit das zentrale Instrument der Geheimschutz­organisation. Darüber hinaus dient es dem Nachweis angemessener Geheimschutz­maßnahmen gegenüber dem BMWi.

Inhaltlich sollte sich das Geheimschutz­konzept an den Anforderungen des GHB orientieren. Dabei sind die Anlagen des GHB zu integrieren, die eine Vielzahl formaler Erklärungen und Dokumentations­vorlagen, sowie verbindliche Leitfäden enthalten.

Kernthemen eines Geheimschutz­konzeptes sind u.a.

• Funktion, Zuständig­keiten und Prozesse des SiBe, vgl. Ziff. 3 GHB,
• VS-Auftrags­verzeichnis (Übersicht aller vorbereiteten, laufenden, durchgeführten und in Abwicklung befindlichen VS-Aufträge), vgl. Ziff. 3.3.2 GHB,
• VS-Bereichsverzeichnis (Übersicht der Unternehmens­bereiche, in denen VS bearbeitet oder verwahrt werden), vgl. Ziff. 3.3.2 GHB, 
• VS-Personal­verzeichnis (Übersicht der VS-Ermächtigungen), vgl. Ziff. 3.3.2 GHB
• VS-Bestandsübersicht (Übersicht der VS),
• Personelle Geheimschutz­maßnahmen (z.B. Belehrungen, Sicherheits­akten, personelle Geheim­schutz­anweisungen, Liste der zur Kenntnisnahme, Vervielfältigung und Vernichtung von VS befugten Personen, Besuchs­erlaubnisse und Besuchs­verzeichnisse), vgl. Ziff. 4 und 5 GHB,
• Materielle Geheimschutz­maßnahmen zur Gewährleistung der Anforderungen im Hinblick auf Erstellung, Kennzeichnung, Vervielfältigung, Verwaltung, Vernichtung, Verwahrung, Sicherung und Weitergabe von VS, Kontrollzonen, sowie Maßnahmen im Not- Katastrophen, Alarm- und Verteidigungsfall, vgl. Ziff. 6 GHB, 
• GGf. materielle Geheimschutz­maßnahmen in Bezug auf IT-Sicherheit (z.B. IT-Grundschutz nach BSI Standard 100-2),
  • Verfahren zur regelmäßigen Überprüfung und Anpassung der Geheimschutz­maßnahmen, 
• Verfahren zu Informations­pflichten und Meldungen an das BMWi.

Die Gliederung des GHB kann auch als Leitfaden für die Struktur des Konzeptes dienen. Die jeweilige Überschrift des GHB lässt sich dann entsprechend der unternehmens­internen Gegebenheiten konkretisieren und sich daraus konkrete Richtlinien, Anweisungen etc. ableiten. Hierdurch wird auch die Vollständigkeit der Einhaltung der Anforderungen dokumentiert.

Das Bundesamt für Sicherheit in der Informations­technik (BSI) hat eine Vielzahl anerkannter Sicherheits­konzepte erarbeitet oder definiert, auf im Regelfall zurückzugreifen ist. Der BSI-Standard 100-1 definiert allgemeine Anforderungen an ein Informations­sicherheits­management­system (ISMS). Er ist kompatibel zum Standard ISO 27001. Der BSI Standard 100-2 ist ein Standard zur IT-Grundschutz Vorgehensweise. Er beschreibt, wie ein ISMS in der Praxis aufgebaut und beschrieben werden kann. Der BSI-Standard 100-3 beinhaltet die Risiko­analyse auf der Basis von IT-Grundschutz. Bei der Erstellung eines Notfall­konzepts kann auf den BSI-Standard 100-4 zurückgegriffen werden. 

Erstellung und Umsetzung

Bei der Erstellung eines Geheim­schutz­konzepts sollten zunächst die konkreten Anforderungen, die sich aus dem Auftrag, dem Vertrag, sowie dem GHB, dessen Anlagen, dem SÜG und der VSA ergeben, analysiert werden. Anschließend sollte eine Übersicht der Anforderungen erarbeitet werden, die als Basis für die Erstellung konkreter Umsetzungspakete und einer Roadmap dient. Schließlich sollte das Konzept geordnet dokumentiert werden.

Das Thema IT-Grundschutz kann als eigenes Umsetzungs­paket realisiert werden. Hier sollten Schnitt­stellen und Synergien im Zusammenhang mit vorhandenen Konzepten zu IT-Sicherheit und Datenschutz berücksichtigt werden.

Bei der Erstellung und Umsetzung des Geheimschutz­konzeptes kann überdies das Beratungs­angebot des BMWi in Anspruch genommen werden.

7. Frühzeitige Analyse des Geheimschutzbedarfs im Unternehmen

Seitens der öffentlichen Auftrag­geber wird der Umgang mit VS insbesondere in der VSA geregelt. Die Regelungen haben zur Folge, dass der öffentliche Auftraggeber schon bei der Vergabe von VS-Aufträgen erhöhte Anforderungen zu beachten hat. Je nach Art und Umfang der involvierten VS kann es zum einen sein, dass ein Unternehmen sich bereit erklären muss, ggf. die Aufnahme in die Geheimschutz­betreuung durchzuführen und/oder die mit dem Auftrag befassten Mitarbeiter ihr Einverständnis erklären müssen, sich ggf. einer Sicherheits­überprüfung zu unterziehen. Es gibt jedoch auch Konstellationen, in denen ein Unternehmen bereits bei Angebots­abgabe/Zuschlag in der Geheimschutz­betreuung sein muss oder/und die mit dem Auftrag befassten Mitarbeiter sicherheits­überprüft sein müssen (z.B. Aufträge zu Hochsicherheits­themen, wie Verteidigung oder zeitkritische Aufträge, die einen unmittelbaren Leistungs­beginn).

Unternehmen, die sich im Bereich öffentlicher Aufträge bewegen, sollten sich deshalb bereits frühzeitig mit dem Thema Geheimschutz auseinander­setzen, um schnell auf eventuelle Anforderungen reagieren zu können.