Cybersecurity Navigator Login

VSA - Verschlusssachenanweisung für den Freistaat Thüringen

VSA - Verschlusssachenanweisung für den Freistaat Thüringen

Sektor Staat und Verwaltung
Branche Regierung u. Verwaltung
Ebene Landesrecht
Bundesland Thüringen
Rechtsakt Untergesetzlich


  • Verschlusssachenanweisung für den Freistaat Thüringen

    VSA

    §§ 2 III; 4; 6 III; 13 III; 14 IV; 17 IV, VI; 18 VI; 21 III; 29 I, III; 30; 32 II, IV; 33 III; 34; 35 V; 36-41

    § 2 Begriff der Verschlusssache sowie sonstige Begriffsbestimmungen

    (1) Nach § 4 Abs. 1 des Thüringer Sicherheitsüberprüfungsgesetzes (ThürSÜG) sind Verschlusssachen (VS) im öffentlichen Interesse geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse unabhängig von ihrer Darstellungsform (z. B. Schriftstücke, Zeichnungen, Karten, Fotokopien, Lichtbildmaterial, elektronische Dateien und Datenträger, elektrische Signale, Geräte, technische Einrichtungen oder das gesprochene Wort). Sie werden entsprechend ihrer Schutzbedürftigkeit von einer amtlichen Stelle oder auf deren Veranlassung in Geheimhaltungsgrade eingestuft.

    (2) Zwischenmaterial, das im Zusammenhang mit einer VS anfällt (z. B. Dateien, Vorentwürfe, Stenogramme, Tonträger, Folien oder Fehldrucke), gilt als VS im Sinne des Absatzes 1. Für die Behandlung von VS-Zwischenmaterial sind Abweichungen bei der Kennzeichnung und beim Nachweis sowie bei der Vernichtung zugelassen.

    (3) Können wegen der Beschaffenheit einer VS Bestimmungen der VSA nicht angewendet werden, so ist sinngemäß zu verfahren. Dabei sind möglichst gleichwertige Sicherheitsmaßnahmen zu treffen.

    (4) Sonstige Begriffsbestimmungen

    Verwendete Begriffe werden nur erläutert, wenn sie in einem speziell auf VS bezogenen Sinn verwendet werden oder in der Verwaltungspraxis wenig gebräuchlich sind.
    1. Verfügbarkeit einer VS bedeutet, dass der berechtigte Zugriff gesichert sein muss, z. B. durch hinterlegte Zweitschlüssel oder Sicherheitskopien bei elektronischer Darstellung.
    2. Integrität einer VS, auch als Unversehrtheit bezeichnet, bedeutet die Sicherheit, dass eine VS unverändert und vollständig ist, z. B. dass nicht eine Anlage der VS entnommen ist. Dies kann durch unzureichende Sicherung (einfaches Schloss) verursacht sein.
    3. Elektronische Signatur: Bei elektronischen Dateien kann durch kryptographische Methoden eine Kontrolle der Unversehrtheit erfolgen. Weiteres ist im Signaturgesetz und zugehörigen Vorschriften zu finden.
    4. Datenträger sind Speichermedium für Computerdaten und -programme, wie Disketten, Festplatten, CD.
    5. PDA: tragbarer Kleinstcomputer (Abkürzung von Personal Digital Assistent).
    6. Unterschieden wird zwischen flüchtigen und nichtflüchtigen Speichermedien. Flüchtige Speichermedien werden zumeist innerhalb von Geräten verwendet und verlieren beim Abschalten den gespeicherten Dateninhalt. Bei nichtflüchtigen Speichermedien, beispielsweise Disketten, CD und Festplatten, bleibt der Dateninhalt regelmäßig bis zum manuellen oder automatisierten Löschvorgang erhalten.
    7. Dongel, auch Dongle: Vorrichtung für Computer, meist in Form eines Steckers, um Funktionen wie Kopierschutz oder Zugang abzusichern.
    8. Common Criteria: Verfahren zur Bestätigung (Zertifizierung) der Sicherheit von Computersystemen und von deren Komponenten. Das amtliche Zertifikat bestätigt anhand einer Prüfung durch eine unabhängige Stelle, dass das vorgegebene Schutzziel vom Produkt erreicht wurde.
    9. Penetrationstest: Verfahren zur Prüfung des Schutzes eines Computernetzes gegen unbefugtes Eindringen in die angeschlossenen Computer.
    10. DECT: Standard für Telefone, die drahtlose Handapparate verwenden (Funk), aber nur an einem bestimmten Telefonanschluss im Festnetz arbeiten.
    11. Bluetooth: Verfahren zur Kopplung elektronischer Geräte untereinander über Funk, z. B. Freisprechanlage mit Mobiltelefon.
    12. Bei approved circuits handelt es sich um Leitungen, die durch besondere Maßnahmen so geschützt sind, dass ein unberechtigter Zugriff („Anzapfen“) erkennbar ist.

     


    § 4 Allgemeine Grundsätze

    (1) Von einer VS dürfen nur Personen Kenntnis erhalten, die aufgrund ihrer Dienstpflichten von ihr Kenntnis haben müssen. Keine Person darf über eine VS umfassender oder eher unterrichtet werden, als dies aus dienstlichen Gründen unerlässlich ist. Es gilt der Grundsatz „Kenntnis nur, wenn nötig“.


    (2) Jeder, dem eine VS anvertraut oder zugänglich gemacht worden ist, trägt ohne Rücksicht darauf, wie die VS zu seiner Kenntnis oder in seinen Besitz gelangt ist, die persönliche Verantwortung für ihre sichere Aufbewahrung und vorschriftsmäßige Behandlung sowie für die Geheimhaltung ihres Inhalts gemäß den Bestimmungen dieser VSA.

    (3) Der Bedrohung der VS durch Verlust der Vertraulichkeit, Verfügbarkeit und Integrität ist mit Schutzmaßnahmen entsprechend dem Stand der Technik entgegenzuwirken. Diese sind entsprechend Anlage 5 zu dokumentieren.


    § 6 Geheimschutzdokumentation

    (1) Jede Dienststelle, die nicht nur gelegentlich mit VS-VERTRAULICH oder höher eingestuften VS arbeitet, hat für eine Geheimschutzdokumentation zu sorgen, in der alle wesentlichen Konzepte, Vorschriften und dienststellenspezifischen Maßnahmen zum Zwecke des Geheimschutzes entsprechend Anlage 5 dokumentiert werden.

    (2) Die Geheimschutzdokumentation ist bei geheimschutzrelevanten Änderungen zu aktualisieren und soll bei Sicherheitsvorkommnissen, mindestens aber alle zwei Jahre auf Aktualität, Vollständigkeit und Erforderlichkeit bestehender und noch zu treffender Geheimschutzmaßnahmen überprüft werden.

    (3) Die Dokumentation kann elektronisch geführt werden. Sofern die Arbeit mit VS persönlich zugeordnet werden muss, sind entsprechende technische Maßnahmen nach § 18 Abs. 2 zu treffen. Diese müssen eine sichere Zuordnung zu Personen erlauben und können insbesondere mittels fortgeschrittener oder qualifizierter elektronischer Signatur erfolgen.


    § 13 Allgemeine Dienstpflichten zum Schutz von VS

    (1) Erörterungen über VS in Gegenwart Unbefugter und in der Öffentlichkeit sind zu unterlassen.

    (2) Niemand darf sich dadurch zur Preisgabe von VS an andere Personen verleiten lassen, dass diese sich über den Vorgang unterrichtet zeigen.

    (3) Personen, die zum Zugang zu VS ermächtigt sind oder eine Tätigkeit ausüben, bei der sie sich Zugang zu VS verschaffen können (§ 10 Abs. 4), ist der Betrieb von privaten Bild- und Tonaufzeichnungsgeräten, privater Informationstechnik und mobilen Telekommunikationsendgeräten, wie z. B. Mobiltelefone, Datenträger PDA, am Arbeitsplatz grundsätzlich untersagt. Die Geheimschutzbeauftragten sowie bei Konferenzen, Sitzungen und Besprechungen die verantwortlichen Leiter können spezielle Regelungen festlegen, um den Betrieb zu erlauben oder das Mitbringen zu untersagen.


    § 14 Herstellung und Bearbeitung von VS

    (1) Die Herstellung und Bearbeitung von VS sind nur an den hierfür bestimmten Stellen zulässig. Die Herstellung und Bearbeitung von VS-NUR FÜR DEN DIENSTGEBRAUCH an anderen Orten, z. B. in der Privatwohnung oder auf Dienstreisen, ist gestattet, wenn eine entsprechende Dienstanweisung vorliegt und der Bearbeiter schriftlich über die zu beachtenden Schutzmaßnahmen nachweisbar belehrt wurde.

    (2) Bei VS-VERTRAULICH oder höher eingestuften VS ist die Zahl der hergestellten Ausfertigungen und eventuell angefallenes VS-Zwischenmaterial durch Unterschrift der Beteiligten auf dem Entwurf oder dem Auftragsformular oder mit qualifizierter elektronischer Signatur oder durch vergleichbar sichere Maßnahmen in einem Protokoll zu bestätigen.

    (3) Bei STRENG GEHEIM oder GEHEIM eingestuften VS ist jede Ausfertigung mit einer laufenden Nummer zu versehen, die bei VS-Schriftstücken auf den oberen Rand der ersten Seite der Ausfertigung zu setzen ist. Bei anderen Darstellungsformen der VS ist sinngemäß zu verfahren. Ferner ist auf dem Schriftstück zu vermerken, welche Ausfertigung der einzelne Empfänger erhält.

    (4) Elektronisch vorliegende VS-VERTRAULICH oder höher eingestufte VS sind mit einem vom BSI für den Geheimhaltungsgrad zugelassenen Programm zu schützen oder entsprechend § 17 aufzubewahren. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.


    § 17 Aufbewahrung von VS

    (1) VS-VERTRAULICH oder höher eingestufte VS sind in VS-Registraturen aufzubewahren. Eine Aufbewahrung außerhalb der VS-Registratur ist nur zulässig, soweit dies aus dienstlichen Gründen unerlässlich ist.

    (2) VS-VERTRAULICH oder höher eingestufte VS sind bei Nichtgebrauch in VS-Verwahrgelassen einzuschließen. Dies gilt für STRENG GEHEIM eingestufte VS bereits bei kürzerer Abwesenheit der die VS bearbeitenden oder verwaltenden Personen. VS-VERTRAULICH und GEHEIM eingestufte VS können bei kurzer Abwesenheit der VS bearbeitenden oder verwaltenden Personen während der Arbeitszeit im Dienstzimmer liegen bleiben, sofern die Zimmertür mit einem Sicherheitsschloss verschlossen wird.

    (3) VS-Verwahrgelasse sind Stahlschränke, Aktensicherungsräume und Ähnliches, die besonderen Sicherheitsanforderungen entsprechen. Näheres über VS-Verwahrgelasse, ihre Bewachung oder technische Überwachung bestimmen die §§ 30 ff.

    (4) Außerhalb der Arbeitszeit sind diese VS-Verwahrgelasse zu bewachen oder durch eine Alarmanlage technisch zu überwachen. Bei GEHEIM oder VS-VERTRAULICH eingestuften VS kann eine Bewachung bzw. technische Überwachung des VS-Verwahrgelasses unterbleiben, wenn das Gebäude oder der Gebäudeteil, in dem sich das Verwahrgelass befindet, ständig bewacht oder technisch überwacht ist und die VS nur vorübergehend in dem VS-Verwahrgelass aufbewahrt werden.

    (5) Ist eine Aufbewahrung nach den Absätzen 2 und 3 nicht möglich, so sind die VS bei einer anderen Dienststelle unterzubringen, die die erforderlichen Voraussetzungen erfüllt. Außer bei STRENG GEHEIM eingestuften VS ist die Aufbewahrung in einem Bankschließfach zulässig, wenn sichergestellt ist, dass nur befugte Personen der Dienststelle dazu Zugang erhalten.

    (6) Bei GEHEIM oder VS-VERTRAULICH eingestuften VS kann auf Antrag der Dienststellenleitung nach Beratung durch das Amt für Verfassungsschutz Thüringen die zuständige oberste Landesbehörde zulassen, dass von der vorgeschriebenen Bewachung bzw. technischen Überwachung abgewichen wird, wenn die damit verbundenen Maßnahmen unangemessen wären. Bei GEHEIM eingestuften VS muss in diesem Fall jedoch mindestens sichergestellt sein, dass ein unbefugter Zugriff auf das VS-Verwahrgelass unmittelbar erkennbar ist.

    (7) Ein VS-Verwahrgelass kann von mehreren Personen benutzt werden. Soweit es der Grundsatz „Kenntnis nur, wenn nötig“ erfordert, sind VS-Verwahrgelasse zu unterteilen, z. B. sind Stahlschränke mit verschließbaren Innenfächern auszustatten.

    (8) Ein VS-Verwahrgelass, dessen Benutzer nicht rechtzeitig erreicht werden kann, ist bei Notwendigkeit durch die Geheimschutzbeauftragte oder den Geheimschutzbeauftragten oder eine damit beauftragte ermächtigte Person in Gegenwart von Zeugen zu öffnen. Die Entnahme von VS ist aktenkundig zu machen.


    § 18 Nachweis von VS-VERTRAULICH oder höher eingestuften VS

    (1) VS-VERTRAULICH oder höher eingestufte VS sind in VS-Registraturen zu verwalten. Kenntnisnahme und Verbleib sind durch VS-Bestandsverzeichnisse, VS-Quittungsbücher, VS-Begleitzettel, VS-Empfangsscheine, VS-Übergabe- und VS-Vernichtungsprotokolle nachzuweisen (Muster nach Anlage 3).

    (2) Die Führung dieser Nachweise kann auch in elektronischer Form entsprechend § 6 Abs. 3 erfolgen. Hierbei sollen möglichst vom BSI zugelassene VS-Registratur-Systeme eingesetzt werden. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen. Zur Beweissicherung ist mindestens Kenntnisnahme und Verbleib automatisch revisionssicher zu protokollieren. Der Zugriff auf die Protokolle und insbesondere ihre Löschung bedürfen der Zustimmung der Geheimschutzbeauftragten.

    (3) VS-Datenträger, ihr Verbleib und ihre Vernichtung sind in einem gesonderten VS-Bestandsverzeichnis nachzuweisen. Zur Erfassung genügen die Angabe eines Ordnungskriteriums, wie fortlaufende Nummern, sowie des Einsatzbereichs (Organisationseinheit, IT-Nutzer) und eine Kurzangabe des Aufgabengebiets. VS-Datenträger sind grundsätzlich nur gegen Quittung weiterzugeben. Mehrere auf einem Datenträger gespeicherte VS-VERTRAULICH oder höher eingestufte VS, die nicht weitergegeben werden, brauchen nicht einzeln nachgewiesen zu werden.

    (4) Ausdrucke dieser VS sind unverzüglich der VS-Registratur zuzuleiten und im VS-Bestandsverzeichnis zu registrieren. Dies gilt nicht für VS-Zwischenmaterial, das nicht an Dritte weitergegeben wird.

    (5) VS-Nachweise sind mindestens fünf Jahre aufzubewahren. Für VS-Bestandsverzeichnisse beginnt die Frist mit Herabstufung auf den Geheimhaltungsgrad VS-NUR FÜR DEN DIENSTGEBRAUCH, Aufhebung der VS-Einstufung, Abgabe oder Vernichtung aller in ihnen nachgewiesenen VS. Für VS-Quittungsbücher, VS-Empfangsscheine, VS-Übergabeprotokolle und VS-Vernichtungsprotokolle beginnt die Frist mit der Ausstellung beziehungsweise der letzten Eintragung.

    (6) Auf Datenträgern vorliegende Sicherheitskopien von VS sind wie die ursprüngliche VS im Sinne dieser Anweisung zu behandeln. Schlüssel für die Kryptierung sind getrennt zu speichern.


    § 21 Grundsätze zu Weitergabe und Versand von VS

    (1) Jeder hat sich vor der Weitergabe oder dem Versand von VS oder ihrem Inhalt zu vergewissern, dass der vorgesehene Empfänger zur Annahme oder Kenntnisnahme berechtigt ist. Die Weitergabe ist nachzuweisen und soll bei VS-VERTRAULICH oder höher eingestuften VS grundsätzlich - auch bei Übertragung über Telekommunikationsverbindungen - über die VS-Registratur erfolgen (Anlage 3, Muster 8).

    (2) Zum Versand von VS ist anstelle der postalischen Form nach Möglichkeit die Übertragung über Telekommunikationsverbindungen nach § 40 zu nutzen. Benutzer dieser Systeme haben Teilnehmerverzeichnisse vor dem Versand auf aktuellen Stand zu kontrollieren und ein schriftliches oder elektronisches Protokoll über den Versand zu erzeugen und zum Vorgang zu nehmen.

    (3) VS, die mit einem vom BSI für den betreffenden Geheimhaltungsgrad zugelassenen Kryptosystem verschlüsselt wurden, bedürfen keines weiteren Schutzes gegen unbefugte Kenntnisnahme. Dies gilt nicht für zum Dekryptieren von verschlüsselten VS benötigte kryptographische Schlüssel. Diese sind getrennt einzustufen und zu schützen. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.

    (4) Für die Weitergabe von VS an Unternehmen gilt Folgendes:

    1. Den Geheimschutz im Bereich der Wirtschaft regelt das für Wirtschaft zuständige Ministerium.
    2. Bei ihm sind vor Weitergabe VS-VERTRAULICH oder höher eingestufter VS Sicherheitsbescheide über die beteiligten Unternehmen anzufordern.
    3. In begründeten Ausnahmefällen kann bei ihm vor Auftragsvergabe zusätzlich eine abschließende Beurteilung angefordert werden, in der ausdrücklich bestätigt wird, dass die beteiligten Unternehmen die für den bestimmten Auftrag erforderlichen Voraussetzungen erfüllen.
    4. Bei VS-NUR FÜR DEN DIENSTGEBRAUCH ist Anlage 7 zu beachten.
    Soweit besondere Gründe es erfordern, kann im Einvernehmen mit dem für Wirtschaft zuständigen Ministerium für bestimmte Bereiche auch eine andere oberste Landesbehörde die vorstehenden Aufgaben übernehmen.

    (5) Vorzimmerberechtigte sollen VS-VERTRAULICH oder höher eingestufte VS grundsätzlich persönlich entgegennehmen. Die Geheimschutzbeauftragten können mit Zustimmung der zuständigen obersten Landesbehörde Ausnahmen zulassen, so z. B. bei hohem Aufkommen an VS die Annahme durch Vorzimmerkräfte erlauben, wenn der Vorzimmerberechtigte anwesend ist und die VS bis zur Übergabe in persönlichem Gewahrsam oder nach § 17 Abs. 2 aufbewahrt wird. Die Ausnahmeregelung ist in der Geheimschutzdokumentation nachzuweisen.

    (6) Die Hinweise der Anlage 6 zu Weitergabe und Versand von VS sind zu beachten.


    § 29 Räumliche Sicherheitsmaßnahmen

    (1) VS-IT-Räume und andere Räume, in denen VS-VERTRAULICH und höher eingestufte VS unkryptiert verarbeitet werden, sind gegen unbemerkten Zutritt Unbefugter zu schützen.

    (2) Mit der Verwaltung, Bearbeitung oder sonstigen Behandlung von VS befasste Organisationseinheiten und Personen sind nach Möglichkeit räumlich zusammenzufassen.

    (3) Sofern Umfang und Bedeutung der VS es erfordern, sind mit Zustimmung der zuständigen obersten Landesbehörde Sicherheitsbereiche zu bilden. Diese sind durch personelle, organisatorische und technische Maßnahmen gegen den Zutritt durch Unbefugte zu schützen. Zutritt zu diesen Bereichen darf nur an Stellen möglich sein, an denen eine zuverlässige Prüfung der Zutrittsberechtigung stattfindet. Als Sicherheitsbereiche kommen sowohl einzelne oder mehrere Räume als auch Gebäude oder Gebäudegruppen in Betracht.

    (4) Für VS-IT-Räume gilt die Zustimmung der zuständigen obersten Landesbehörde nach Absatz 3 als gegeben.

    (5) Die in einem Sicherheitsbereich tätigen Personen sind beim Betreten des Sicherheitsbereiches anhand des Dienstausweises oder auf andere geeignete Weise zu identifizieren. Besucher sind nach Identitätsfeststellung während des Aufenthalts im Sicherheitsbereich zu beaufsichtigen. Bei Besuchern, die nachweislich, beispielsweise durch eine Konferenzbescheinigung nach Anlage 3, Muster 9, nach dem Thüringer Sicherheitsüberprüfungsgesetz überprüft sind, kann die Beaufsichtigung entfallen. Fremdpersonal, wie Handwerker oder Reinigungskräfte, ist gemäß dem Thüringer Sicherheitsüberprüfungsgesetz zu überprüfen und, soweit erforderlich, zu beaufsichtigen. In Ausnahmefällen genügt eine Beaufsichtigung.

    (6) Das Kontrollpersonal ist über alle Arten von Ausweisen, die zum Betreten des Sicherheitsbereiches berechtigen, zu unterrichten. Die Aufgaben sind in einer Dienstanweisung festzulegen. Besucherausweise und ähnliche Aufzeichnungen sind zwei Jahre aufzubewahren.

    (7) Verfügt eine Dienststelle über einen Sicherheitsbereich nach Absatz 3, sollen (soweit erforderlich) abhörgeschützte und abhörsichere Besprechungsräume möglichst in diesem Sicherheitsbereich eingerichtet werden.


    § 30 Technische Sicherung von VS

    (1) Zur Erfüllung der in Absatz 2 genannten Anforderungen dürfen technische Mittel zur Sicherung von VS nur eingesetzt werden, welche vom BSI geprüft und für geeignet befunden worden sind. Im Einzelfall kann das Amt für Verfassungsschutz Thüringen auch dem Einsatz anderer technischer Mittel zustimmen, soweit diese einen vergleichbaren Schutz bieten und das BSI zugestimmt hat.

    (2) Die nachstehend genannten technischen Mittel zur Sicherung von VS müssen folgenden Anforderungen entsprechen:
    1. VS-Verwahrgelasse und VS-Schlüsselbehälter müssen so beschaffen sein, dass
    a) ein Zugang einer Person zum Inhalt erst nach deren zuverlässiger Identifizierung/Authentisierung durch Besitz und Wissen möglich ist; Besitz, beispielsweise Schlüssel, soll gegen Nachfertigung durch Unbefugte geschützt sein; anstelle von Besitz oder Wissen oder ergänzend können auch biometrische Merkmale genutzt werden;
    b) ein Zugriff Unbefugter auf den Inhalt erkennbar wird und
    c) ein angemessener Schutz gegen gewaltsamen Zugriff auf den Inhalt gegeben ist.
    2. Alarmanlagen müssen so beschaffen und installiert sein, dass
    a) sie einen Eindringling sicher erkennen,
    b) sie erst nach zuverlässiger Identifizierung/Authentisierung einer Person durch Besitz und Wissen durch diese unscharf geschaltet werden können; anstelle von Besitz oder Wissen oder ergänzend können auch biometrische Merkmale genutzt werden;
    c) der Alarm sicher zu der zu alarmierenden Stelle übertragen wird und
    d) die Alarmanlage nicht unbemerkt überwunden werden kann.
    3. VS-Transportbehälter und Verpackungen für Briefe/Pakete müssen so beschaffen sein, dass ein Zugriff Unbefugter auf den Inhalt erkennbar wird.
    4. Türen, Türschlösser oder elektronische Zutrittskontrollsysteme für abhörgeschützte/abhörsichere Räume oder für Zugänge zu nicht ständig besetzten Sicherheitsbereichen müssen so beschaffen sein, dass ein Zutritt Unbefugter erkennbar wird; Schlüssel oder andere Zugangsmittel müssen vor Nachfertigung durch Unbefugte geschützt sein.


    (3) Die Dienststelle hat zu veranlassen, dass die zum Schutz von VS eingesetzten technischen Mittel bei der Planung bzw. erstmaligen Nutzung von VS-Aktensicherungsräumen und Alarmanlagen zum Schutz von VS grundsätzlich sowie darüber hinaus gelegentlich stichprobenweise und bei Manipulationsverdacht durch das Amt für Verfassungsschutz Thüringen auf korrekte Ausführung und mögliche Manipulation überprüft werden. Absatz 1 gilt entsprechend.

    (4) In Wiederanlauf-Vorkehrungen bei größeren IT-Systemen sind die erforderlichen Geheimschutzmaßnahmen einzubeziehen.


    § 32 Abhörschutzmaßnahmen

    (1) Das für den Geheimschutz zuständige Ministerium legt im Einvernehmen mit den obersten Landesbehörden die Dienststellen fest, in denen aufgrund des Umfangs und der Bedeutung von VS sowie der Aufgabenstellung eine besondere Abhörgefahr besteht. Bei Dienststellen nach § 45 gilt die besondere Abhörgefahr als gegeben.

    (2) Dienststellen nach Absatz 1 haben Vorkehrungen zu treffen, damit ihre Telekommunikations- und Informationstechnik nicht dazu missbraucht werden kann, um Raum- und Telefongespräche abzuhören.

    (3) In Dienststellen nach Absatz 1 legen die Geheimschutzbeauftragten die Räume fest, in denen aufgrund des Umfangs und der Bedeutung der dort geführten Gespräche eine besondere Abhörgefahr besteht. Bei Räumen, in denen nicht nur ausnahmsweise Gespräche mit GEHEIM oder STRENG GEHEIM eingestuftem Inhalt geführt werden, gilt die besondere Abhörgefahr als gegeben.

    (4) Räume nach Absatz 3 müssen abhörgeschützt oder abhörsicher sein. Diese Räume müssen mindestens
    1. vor unbemerktem Zutritt Unbefugter geschützt sein,
    2. eine akustische Dämpfung aufweisen, die ein Mithören von außen ohne technische Hilfsmittel hinreichend ausschließt,
    3. bei Ausstattung mit Kommunikationseinrichtungen Vorkehrungen enthalten, damit Raumgespräche nicht über diese Einrichtungen abgehört werden können,
    4. so gestaltet sein (Einrichtungen, Installationen usw.), dass Versteckmöglichkeiten für Abhörgeräte nach Möglichkeit beschränkt sind und technische Prüfungen nach Absatz 5 wirksam und in angemessener Zeit durchgeführt werden können und
    5. Vorkehrungen enthalten, damit Leitungen, die in diese Räume führen, nicht für Abhörzwecke missbraucht werden können.
    Abhörsichere Räume sind darüber hinaus so zu gestalten, dass auch eine unbefugte Übertragung von Gesprächen mittels technischer Hilfsmittel (Abhörgeräten) nach außen verhindert wird.

    (5) In Dienststellen nach Absatz 1 sind nach Fertigstellung und anschließend regelmäßig sowie bei Manipulationsverdacht technische Prüfungen durchzuführen, um festzustellen, ob
    1. Telekommunikations- oder IT-Einrichtungen für Abhörzwecke missbraucht werden können oder
    2. in den Räumen nach Absatz 3 Abhöreinrichtungen vorhanden sind und
    3. die Anforderungen der Technischen Leitlinien nach Absatz 8 erfüllt sind.

    (6) Bei Abhörverdacht oder aus Anlass von Konferenzen auf höherer Ebene oder von besonderer Bedeutung sollen ebenfalls technische Prüfungen nach Absatz 5 durchgeführt werden. In diesem Fall ist der Umfang der Prüfung mit dem oder der Geheimschutzbeauftragten bzw. sonstigen Verantwortlichen in Abhängigkeit von den örtlichen und zeitlichen Gegebenheiten und der spezifischen Bedrohungslage abzustimmen.

    (7) Für die nach den Absätzen 5 und 6 geforderten technischen Prüfungen haben die Dienststellen die für die Prüfungen erforderliche Unterstützung zu gewähren.

    (8) Zu Sicherheitsvorgaben für abhörsichere und abhörgeschützte Räume sowie Konferenzen auf höherer Ebene oder von besonderer Bedeutung und zur Umsetzung der Abhörschutzmaßnahmen gibt das BSI im Einvernehmen mit dem Bundesministerium des Innern Technische Leitlinien heraus. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.


    § 33 Sicherung von Schlüsseln und sonstigen Zugangsmitteln zu VS

    (1) Schlüssel zu VS-Verwahrgelassen, für VS-IT-Räume, abhörgeschützte und abhörsichere Räume und zum Ein- und Ausschalten von Alarmanlagen zur technischen Sicherung von VS sind während des Dienstes in persönlichem Gewahrsam zu halten, sofern sie nicht nach Satz 2 verwahrt werden. Vor Verlassen des Dienstgebäudes sind sie grundsätzlich in einem VS-Verwahrgelass oder VS-Schlüsselbehälter zu verschließen.

    (2) VS-Schlüsselbehälter sind möglichst zu bewachen. Wird ein VS-Schlüsselbehälter von mehreren Personen benutzt, so muss er mit Schließfächern ausgerüstet sein, in denen die Benutzer ihre Schlüssel getrennt unterbringen. Dies gilt nicht bei gemeinsamer Benutzung von VS-Verwahrgelassen oder Alarmanlagen. Die Schlüssel zu den Schließfächern verbleiben im persönlichen Gewahrsam der Schließfachbenutzer.

    (3) IT-Systeme, die für VS eingesetzt werden, müssen über ein zuverlässiges Zugangs-/Zugriffskontrollsystem verfügen, so dass nur Befugte im Rahmen der ihnen erteilten Rechte Zugang erhalten und auf VS zugreifen können. Wiederholt abgewiesene Zugangs-/Zugriffsversuche sollen für den betreffenden Nutzer zur Systemsperrung führen. Diese darf nur von dem für IT-Geheimschutzmaßnahmen Verantwortlichen oder einer von ihm beauftragten Person aufgehoben werden.

    (4) Bei der Vergabe, Änderung und Rücknahme von Rechten muss gewährleistet sein, dass
    1. ein dazu erforderlicher Antrag von einer berechtigten Stelle stammt,
    2. die zu berechtigende Person eine ausreichende VS-Ermächtigung besitzt,
    3. der Grundsatz „Kenntnis nur, wenn nötig“ beachtet wird und
    4. keine bezüglich der Sicherheit unvereinbare Bündelung von Funktionen entsteht.
    Die Übertragung der Befugnis zur Vergabe und Änderung von Rechten ist zu dokumentieren und bedarf der Zustimmung der Geheimschutzbeauftragten. Die Dokumentation ist mindestens fünf Jahre aufzubewahren.

    (5) Die Verwendung gegenständlicher Zugangsmittel zu IT-Systemen und Komponenten, wie beispielsweise Magnet- und Chipkarten, Dongel oder Lochstreifen, sowie Einzelheiten über die Auswahl, Vergabe, Kontrolle und den Wechsel von Kennworten/PIN sollen in einer Dienstanweisung festgelegt sein.


    § 34 Zahlenkombinationen als Zugangsmittel zu VS

    (1) Die Zahlenkombination zum Zugang eines VS-Verwahrgelasses oder VS-Schlüsselbehälters oder zum Ein- und Ausschalten einer Alarmanlage darf nur den Benutzern bekannt sein. Sie darf nicht aus leicht zu ermittelnden Zahlen oder Zusammenstellungen, z. B. persönlichen Daten, Fernsprechnummern oder arithmetischen Reihen, bestehen.

    (2) Die Zahlenkombination ist schriftlich aufzuzeichnen und den mit ihrer Verwaltung Beauftragten in einem versiegelten Umschlag zu übergeben. Die Umschläge sind mindestens wie eine VS-VERTRAULICH eingestufte VS aufzubewahren. Weitere Aufzeichnungen der Zahlenkombination sind unzulässig.

    (3) Die Zahlenkombinationen von VS-Verwahrgelassen oder VS-Schlüsselbehältern oder zum Ein- und Ausschalten von Alarmanlagen sind zu ändern:
    1. nach Beschaffung,
    2. bei Wechsel der Benutzer,
    3. nach Öffnung in Abwesenheit der Benutzer,
    4. wenn der Verdacht besteht, dass die Zahlenkombination Unbefugten bekannt geworden ist,
    5. regelmäßig alle zwölf Monate oder häufiger.
    Außer den Benutzern können mit Zustimmung der Geheimschutzbeauftragten auch die zuständigen VS-Verwalter in Anwesenheit der Benutzer die Änderungen vornehmen.

    (4) Reserveschlüssel und die Aufzeichnungen der Zahlenkombinationen sind in getrennten VS-Verwahrgelassen (Reserveschlüssel auch in VS-Schlüsselbehältern) in beschrifteten und versiegelten Umschlägen aufzubewahren. Sie sind durch verschiedene Personen zu verwalten, wenn die Verwalter nicht ohnehin Zugang zu den gesicherten VS haben, z. B. VS-Verwalter und Vertreter. Die Zahlenkombinationen der VS-Schlüsselbehälter sind getrennt von den Zahlenkombinationen der VS-Verwahrgelasse aufzubewahren und zu verwalten.

    (5) Für Kennworte, PIN und andere Zeichenkombinationen für den Zugang zu Computern und elektronischer Informationstechnik, auf denen VS verarbeitet werden, gelten die vorstehenden Absätze sinngemäß. Näheres ist im Geheimschutzkonzept der Dienststelle festzulegen.


    § 35 Planung, Beschaffung und Abnahmeprüfung

    (1) Dienststellen, die VS-VERTRAULICH oder höher eingestufte VS nicht nur gelegentlich verwenden, haben für sämtliche Geheimschutzmaßnahmen ein gemeinsames Konzept entsprechend Anlage 5 zu erstellen, in dem die spezifischen Gegebenheiten der Dienststelle berücksichtigt sind.

    (2) Bei der Planung und Durchführung von Baumaßnahmen sind rechtzeitig die notwendigen Geheimschutzvorkehrungen zu treffen. Hierbei sollte das Amt für Verfassungsschutz Thüringen beratend hinzu gezogen werden.

    (3) Bei der Planung und Abnahmeprüfung von VS-Aktensicherungsräumen, Alarmanlagen zum Schutz von VS, Telekommunikationsanlagen und abhörsicheren oder abhörgeschützten Räumen ist das Amt für Verfassungsschutz Thüringen beratend hinzuzuziehen.

    (4) Ist geplant, IT für VS einzusetzen, so sind die Geheimschutzbeauftragten und deren Verantwortliche mit IT-Fachkenntnissen bereits zu Planungsbeginn zu beteiligen. Bei komplexen IT-Systemen oder besonderen IT-Anwendungen für VS ist das Amt für Verfassungsschutz Thüringen bereits bei Planungsbeginn beratend hinzuzuziehen.

    (5) Bei der Beschaffung von IT, die für VS eingesetzt werden soll, ist in die Beschaffungsaufträge aufzunehmen, welche IT-Sicherheitsfunktionen das IT-System enthalten muss und welche Sicherheitsleistungen die IT-Hersteller oder Vertreiber zu erbringen haben. Es ist insbesondere sicherzustellen, dass
    1. Produkte mit IT-Sicherheitsfunktionen die erforderliche Zulassung aufweisen und sicherheitsgerecht implementiert werden,
    2. Produkte mit IT-Sicherheitsfunktionen ab dem Zeitpunkt, zu dem feststeht, dass sie für VS eingesetzt werden sollen, geschützt aufbewahrt und transportiert werden,
    3. eine sicherheitsgerechte Wartung und Instandsetzung erfolgt,
    4. bei Vergabe des IT-Einsatzes an Dritte die erforderlichen Geheimschutzmaßnahmen erfolgen.


    V. IT-spezifische Maßnahmen

    § 36 Freigabe und Betrieb von IT-Systemen

    (1) Bevor IT-Systeme erstmals für VS eingesetzt werden, haben die Geheimschutzbeauftragten eine Überprüfung zu veranlassen, ob die erforderlichen Geheimschutzmaßnahmen getroffen sind. Zur Unterstützung können die Geheimschutzbeauftragten das Amt für Verfassungsschutz Thüringen hinzuziehen, bei komplexen IT-Systemen oder vielfältigen IT-Anwendungen soll das Amt für Verfassungsschutz Thüringen beratend hinzugezogen werden.

    (2) Die Verarbeitung von VS ist nur mit solchen IT-Systemen zulässig, die ausschließlich von der Dienststellenleitung freigegebene Hard- und Software verwenden. Die Freigabe ist zu dokumentieren.

    (3) Geheimschutzrelevante Änderungen bei freigegebenen IT-Systemen, insbesondere der Einsatz für höher eingestufte VS, bedürfen der vorherigen Zustimmung der zuständigen Geheimschutzbeauftragten, die vor wesentlichen Änderungen nach Absätzen 1 und 2 verfahren.

    (4) Für den Betrieb der IT-Systeme gelten § 4 Abs. 3 und § 18 Abs. 2 sinngemäß.


    § 37 Produkte mit IT-Sicherheitsfunktionen zur Verwendung für VS

    (1) Produkte mit Funktionen zur
    1. Herstellung von Schlüsselmitteln,
    2. Verschlüsselung (Kryptierung),
    3. Löschung oder Vernichtung von VS-Datenträgern,
    4. Abstrahlsicherheit oder
    5. Sicherung von Übertragungsleitungen,
    6. Trennung von Netzen mit unterschiedlichen maximalen Einstufungen der verarbeiteten VS
    müssen vom BSI zugelassen sein. Die Zulassung enthält auch die erforderlichen Angaben zu den Einsatz- und Betriebsbedingungen. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen. Die Nr. 4 bis 6 gelten nicht für VS-NUR FÜR DEN DIENSTGEBRAUCH eingestufte VS.

    (2) Produkte mit Funktionen zur
    1. Zugangs -/Zugriffskontrolle zu den Systemen,
    2. Erstellung von VS,
    3. Protokollierung/Beweissicherung und Protokollauswertung oder
    4. Abwehr von Manipulationen an IT-Systemen,
    5. Registratur und zum Bestandsnachweis,
    die für VS-VERTRAULICH und höher eingestufte VS verwendet werden, sollen vom BSI zugelassen sein. Sofern Produkte mit BSI-Zulassung nicht verfügbar sind, sollen bis zu deren Verfügbarkeit solche Produkte eingesetzt werden, die vom BSI festgelegte Vorgaben (z. B. Mindeststandards, technische Richtlinien) erfüllen. Das Amt für Verfassungsschutz Thüringen soll bei der Auswahl geeigneter Produkte beratend hinzugezogen werden.

    (3) Die Zulassungen erfolgen abgestuft nach der Schutzbedürftigkeit von IT-Anwendungen für VS auf der Grundlage allgemein anerkannter Sicherheitskriterien und Verfahren, die bei Bedarf um besondere Prüfungen zum Schutz vor Angriffen zu ergänzen sind.

    (4) Produkte mit IT-Sicherheitsfunktionen sind ab dem Zeitpunkt, zu dem feststeht, dass sie für VS-VERTRAULICH oder höher eingestufte VS eingesetzt werden sollen,
    1. in Räumen nach § 29 Abs. 1 oder entsprechend geschützten Räumen aufzubewahren,
    2. unter ständiger Kontrolle von nach § 10 Abs. 3 und 4 ermächtigtem oder  zugelassenem Personal zu transportieren oder so zu verpacken, dass ein Zugriff Unbefugter erkennbar wird,
    3. durch nach § 10 Abs. 3 und 4 ermächtigtes oder zugelassenes Personal zu  installieren, zu warten und instand zu setzen, soweit nicht durch organisatorische Maßnahmen, z. B. keine Verarbeitung/Übertragung von VS in Anwesenheit der Personen und deren Beaufsichtigung, ein Zugang zu VS auszuschließen ist, und
    4. in einem Bestandsverzeichnis nachzuweisen.


    § 38 Abstrahlsicherheit

    (1) IT-Hardware, die VS-VERTRAULICH oder höher eingestufte VS unkryptiert führt, soll unter Beachtung der Hinweise des BSI zur Abstrahlsicherheit installiert sein. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.

    (2) Es ist durch die Geheimschutzbeauftragten unter Beachtung der Hinweise des BSI zu prüfen und durch die Dienststellenleitung zu entscheiden, inwieweit mit einer erheblichen Gefährdung der Geheimhaltung der VS-VERTRAULICH oder höher eingestuften VS durch Nutzung von kompromittierender Abstrahlung durch Unbefugte zu rechnen ist. Ist mit einer erheblichen Gefährdung zu rechnen, so muss die IT-Hardware in vom BSI zugelassenen abstrahlsicheren Räumen betrieben werden, eine Zulassung des BSI für den Betrieb innerhalb einer bestimmten Sicherheitszone (Zonenmodell) aufweisen und innerhalb einer solchen betrieben werden oder vom BSI als abstrahlsicher zugelassen sein. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.


    § 39 Technische Prüfungen

    (1) Geheimschutzbeauftragte haben bei IT-Systemen, die für STRENG GEHEIM oder nicht nur ausnahmsweise für GEHEIM eingestufte VS eingesetzt werden, vor dem erstmaligen Einsatz für VS und danach in angemessenen zeitlichen Abständen folgende technischen Prüfungen durch das Amt für Verfassungsschutz Thüringen zu veranlassen:
    1. eine Prüfung des IT-Systems unter den spezifischen Einsatzbedingungen, ob die erforderlichen IT-Sicherheitsfunktionen sachgerecht implementiert sind, keine erkennbaren Manipulationen aufweisen und auch nach Implementierung in das jeweilige IT-System wirksam greifen, nicht über einen Systemweg manipuliert oder umgangen werden können und auch bei einem Verbund mit anderen IT-Systemen diese Sicherheit aufweisen,
    2. Abstrahlsicherheits- und Manipulationsprüfungen bei abstrahlsicheren Räumen/Behältern, bei zonenvermessenen Räumen und bei für VS eingesetzter Hardware und
    3. eine Überprüfung von Sicherheitszonen auf mögliche Einrichtungen zur Erfassung oder Übertragung kompromittierender Nahbereichsabstrahlung.

    (2) Das Amt für Verfassungsschutz Thüringen teilt die Ergebnisse der Prüfungen den Geheimschutzbeauftragten in Form von Prüfberichten mit.

    (3) Bei vernetzten IT-Systemen, die für VS eingesetzt werden, ist in den Dienststellen nach § 5 Abs. 3 Satz 1 durch die Geheimschutzbeauftragten ein Penetrationstest zu veranlassen.


    § 40 Übertragung von VS über Telekommunikations- oder andere technische Kommunikationsverbindungen

    (1) VS sind bei der Übertragung über Telekommunikations- oder andere technische Kommunikationsverbindungen mit einem vom BSI für den betreffenden Geheimhaltungsgrad zugelassenen Kryptosystem zu verschlüsseln oder durch andere zugelassene Maßnahmen zu sichern. Sofern Produkte mit BSI-Zulassung für die Verwendung bei als VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften VS nicht verfügbar sind oder eine BSI-Zulassung nicht zeitgerecht veranlasst werden kann oder nicht erfolgt, können bis zu deren Bereitstellung vom BSI empfohlene Produkte verwendet werden. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.

    (2) Abweichend von Absatz 1 Satz 1 ist in folgenden Fällen eine unkryptierte Übertragung zulässig:
    1. wenn die Erledigung der Angelegenheit dringlich ist und die schriftliche oder sonstige sichere Übermittlung einen unvertretbaren Zeitverlust bedeuten würde, kann
    a) bei Telefongesprächen mit VS-VERTRAULICH eingestuftem Inhalt eine für VS-NUR FÜR DEN DIENSTGEBRAUCH zugelassene Verbindung nach Absatz 1 Satz 1 und
    b) bei Telefongesprächen mit VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuftem Inhalt eine ungeschützte Verbindung
    verwendet werden. Die Gespräche sind möglichst so zu führen, dass der Sachverhalt Dritten nicht verständlich wird. Ist der Gesprächspartner nicht mit Sicherheit zu identifizieren, ist ein Kontrollanruf erforderlich. Besondere Vorsicht ist bei Funkfernsprechanschlüssen, wie Mobilfunk, DECT oder Bluetooth, geboten.
    2. bei dringlichen E-Mails, Fernkopien und Fernschreiben des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH, wenn zwischen Absender und Empfänger für die erforderliche Übertragungsart keine Kryptiermöglichkeiten und auch keine anderen Schutzmöglichkeiten, z. B. durch Nutzung eines Kennwortes, bestehen. Die absendende Stelle hat durch geeignete Maßnahmen vor Übertragung zu gewährleisten, dass die Nachricht den berechtigten Empfänger erreicht.
    3. in außergewöhnlichen Fällen mit Einwilligung der Dienststellenleitung, bei Behörden nach § 5 Abs. 3 Satz 1 der Abteilungs- oder Unterabteilungsleitung, auch über die  vorstehenden Ausnahmen hinaus bei der Übertragung von VS-VERTRAULICH oder GEHEIM eingestuften VS (sofern sie keine besonderen VS-Behandlungskennzeichen wie beispielsweise Krypto aufweisen), wenn
    a) zwischen Absender und Empfänger keine Kryptiermöglichkeit besteht und
    b) eine rechtzeitige Beförderung der VS auf anderem Wege nicht möglich ist und eine Verzögerung zu einem Schaden führen würde, der den mit einer Preisgabe der VS verbundenen Schaden deutlich überwiegen würde.
    Die Nachrichten sind möglichst so abzufassen, dass sie keinen unmittelbaren Rückschluss auf ihren VS-Charakter zulassen. Sie dürfen keine Kennzeichnungen oder Hinweise aufweisen, die sie von einer offenen Nachricht unterscheiden. Die Nachrichtenempfänger sind auf anderem Wege, beispielsweise über andere Telekommunikationsverbindungen, durch Post oder Kurier, unverzüglich über die VS-Einstufung der Nachricht zu unterrichten, außer, dies ist im Einzelfall nicht möglich oder nicht zweckmäßig.

    (3) Bei der Übertragung von VS kann über die bestehenden Ausnahmen nach Abs. 2 hinaus eine Kryptierung unterbleiben
    1. innerhalb eines zutrittsgeschützten IT-Betriebsraumes oder einem Sicherheitsbereich entsprechend § 29 Abs. 3,
    2. wenn die Übertragungseinrichtungen so geschützt sind, dass ein Zugriff Unbefugter unverzüglich erkannt wird (approved circuits), oder
    3. wenn in einem Netz der Dienststelle
    a) VS-NUR FÜR DEN DIENSTGEBRAUCH übertragen werden,
    b) nur VS-VERTRAULICH oder ausnahmsweise GEHEIM eingestufte VS übertragen werden,
    c) ein Zugriffskontrollsystem nach § 37 Absatz 2 eingesetzt ist und
    d) die Übertragungseinrichtungen sich vollständig in einem Bereich mit zuverlässiger Zutrittskontrolle befinden oder außerhalb gegen unmittelbaren Zugriff Unbefugter geschützt sind.
    Bei Verbindung mit einem anderen Kommunikationsnetz müssen dieses und die Verbindung zu diesem mindestens gemäß Buchstabe c) und d) geschützt sein.

    (4) Soweit die für den Betrieb eines Kryptosystems benötigten Kryptodaten (Schlüssel) nicht automatisch bereitgestellt werden, dürfen diese nur vom BSI oder durch vom BSI benannte Stellen hergestellt und verteilt werden. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen. Für die Verwaltung von auf dem Kurier-/Postweg bereitgestellten Kryptodaten sind Kryptoverwalter/Vertreter zu bestellen. Die Kryptoverwalter geben die Kryptodaten in die Kryptosysteme ein oder bei Bedarf an die befugten IT-Nutzer aus. Namen und Behördenanschrift der Kryptoverwalter/Vertreter sowie Änderungen sind dem Amt für Verfassungsschutz Thüringen mitzuteilen.

    (5) Sicherheitsvorgaben für Telekommunikationsanlagen, über die Gespräche mit VS-VERTRAULICH oder höher eingestuftem Inhalt unkryptiert geführt werden, bestimmt eine Technische Leitlinie, die vom BSI im Einvernehmen mit dem Bundesministerium des Innern herausgegeben wird. Nähere Informationen sind über das Amt für Verfassungsschutz Thüringen zu beziehen.

    (6) Bei der Kommunikation mit ausländischen oder zwischenstaatlichen Stellen, wie die NATO, gehen die jeweiligen internationalen Bestimmungen und Abkommen vor, sofern nicht nationale Bestimmungen höhere Geheimschutzmaßnahmen erfordern.


    § 41 Wartung und Instandsetzung von Informationstechnik für VS-VERTRAULICH oder höher eingestufte VS

    (1) Vor Wartungs- oder Instandsetzungsarbeiten sollen diese VS aus dem IT-System entfernt werden, beispielsweise durch Entfernen des Datenträgers. Ist dies nicht möglich, ist nach § 10 Abs. 3 und 4 ermächtigtes oder zugelassenes Wartungs- oder Instandsetzungspersonal einzusetzen. Während der Verarbeitung oder Übertragung von VS ist eine Wartung oder Instandsetzung des IT-Systems grundsätzlich nicht zulässig.

    (2) Eine Fernwartung ist nur zulässig, wenn
    1. sie durch nach § 10 Abs. 3 und 4 ermächtigtes oder zugelassenes Personal erfolgt,
    2. für die Übertragungen im Rahmen der Fernwartung Kryptosysteme eingesetzt sind,
    3. eine zuverlässige Zugriffskontrolle, Beweissicherung und Überprüfung der Protokolle erfolgt und
    4. eine gesonderte Freischaltung und Beendigung jedes Fernwartungsvorganges durch die Dienststelle erfolgt.
    Die Fernwartung soll nur zu Zeiten erfolgen, zu denen keine Arbeit mit VS stattfindet und wenn alle im IT-System zugänglichen VS-Daten kryptiert oder gelöscht sind.

    (3) Die Geheimschutzbeauftragten können abweichend von Abs. 2 zulassen, dass ein Unternehmen die Fernwartung durchführt, wenn
    1. ihm ein Sicherheitsbescheid des für Wirtschaft zuständigen Ministeriums über das Unternehmen vorliegt oder eine andere oberste Landesbehörde für die erforderlichen Geheimschutzmaßnahmen bei dem Unternehmen gesorgt hat,
    2. eine gesonderte Freischaltung und Beendigung jedes Fernwartungsvorganges und Monitoring durch die Dienststelle erfolgt und nach Abs. 2 Satz 1 Nr. 2 bis 3 und Satz 2 verfahren wird,
    3. mit der Firma zuvor ein Vertrag oder eine Vertragsergänzung über die erforderlichen Sicherheitsmaßnahmen abgeschlossen wurde.

    (4) Sofern VS-Informationstechnik die Dienststelle verlässt, wie bei Defekt, Ende eines Leasing-Vertrages oder Ähnlichem, sind auf internen Datenträgern gespeicherte VS mit vom BSI zugelassenen Geräten oder Programmen zu löschen. Ist dies nicht möglich, sind die Datenträger auszubauen und physikalisch so zu zerstören, dass eine Rekonstruktion der enthaltenen Information nicht möglich ist.


     

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • Albrecht/Schmid, K&R 2013, 529 (E-Government)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
  • Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
  • Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
  • Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
  • Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
  • Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
  • Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
  • Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
  • König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
  • Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
  • Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
  • Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
  • Prell, NVwZ 2013, 1514 (E-Government)
  • Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
  • Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
  • Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
  • Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
  • Schulte/ Schröder, Handbuch des Technikrechts, 2011
  • Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
  • Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
  • Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
  • Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
  • Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
  • Suche in Deutsch und Englisch

    Thema


    Ergebnis 1

    NIST FIPS 199:2004-02



    Ergebnis 2

    NIST FIPS 200:2006-03



    Ergebnis 3

    BSI TR 03105 Teil 1.1



    Ergebnis 4

    BSI TR 03105 Teil 1.2



    Ergebnis 5

    BSI TR 03105 Teil 2



    Ergebnis 6

    BSI TR 03105 Teil 3.1



    Ergebnis 7

    BSI TR 03105 Teil 3.2



    Ergebnis 8

    BSI TR 03105 Teil 3.3



    Ergebnis 9

    BSI TR 03105 Teil 3.4



    Ergebnis 10

    BSI TR 03105 Teil 4