Verschlusssachen verarbeiten

Sichere VS-NfD-Arbeitsplätze – Anforderungen und Lösungen

Bildquelle: genua GmbH
LinkedInRedditWhatsApp

Ein mobiler Arbeitsplatz für das Verarbeiten von VS-NfD-Informationen erfordert neben einem sicheren VPN eine Festplattenverschlüsselung, Multi-Faktor-Authentifizierung und eine zentrale Policy-Steuerung.

Diese Komponenten BSI-konform zu integrieren, ist aufwendig. IT-Verantwortlichen steht dafür nun ein integriertes Softwarepaket zur Verfügung, das alle Anforderungen des BSI an einen sicheren VS-NfD-Arbeitsplatz erfüllt. Damit können Behörden und Unternehmen flexibel arbeiten, ohne Kompromisse bei Sicherheit, Performance oder Benutzerfreundlichkeit einzugehen.

Anzeige

Mobiles Arbeiten ist längst ein fester Bestandteil moderner Organisationen. Auch Behörden und Unternehmen der geheimschutzbetreuten Industrie können davon profitieren – müssen jedoch besonders strenge Sicherheitsvorgaben erfüllen.

Schließlich müssen sensible Informationen jederzeit geschützt sein – unabhängig davon, ob Mitarbeitende in der Niederlassung, im Homeoffice oder unterwegs tätig sind. Gleichzeitig erwarten Anwender*innen reibungslose Bedienbarkeit, hohe Performance und flexible Einsatzmöglichkeiten. Diese Kombination aus Sicherheit, Skalierbarkeit und Nutzerfreundlichkeit ist anspruchsvoll, aber mit integrierten Lösungsansätzen heute gut umsetzbar.

Regulatorische Rahmenbedingungen im Überblick

Sobald Daten als „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) eingestuft sind, greifen die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese betreffen unter anderem die Endgeräte sowie die eingesetzten Verschlüsselungsverfahren, Authentifizierungsmechanismen und organisatorische Prozesse. Ein sicherer mobiler Arbeitsplatz muss daher mehrere Schutzziele erfüllen:

Anzeige

#1 Vertraulichkeit und Integrität der Daten: Daten dürfen ausschließlich autorisierten Personen zugänglich sein – sowohl während der Übertragung als auch auf dem Endgerät selbst.

#2 Sichere, manipulationsgeschützte Identitäten: Mitarbeitende müssen eindeutig und fälschungssicher identifiziert werden, typischerweise durch Smartcards und Multi-Faktor-Authentifizierung.

#3 Schutz des physischen Endgeräts: Bei Verlust oder Diebstahl eines Laptops darf kein Zugriff auf gespeicherte Daten möglich sein. Eine vollständige Festplattenverschlüsselung ist daher obligatorisch.

#4 Trennung zwischen Kontexten mit unterschiedlichen Sicherheitsanforderungen, z.B. das Verarbeiten von unkritischen Dokumenten und von Verschlusssachen: Nicht nur Applikationen, sondern auch Netze müssen sauber segmentiert werden, um Angriffsflächen zu minimieren.

#5 Skalierbarkeit und zentrale Verwaltung: Behörden, öffentliche IT-Dienstleister und geheimschutzbetreute Unternehmen betreiben oft fünf-, zum Teil sechsstellige Gerätezahlen. Lösungen müssen daher leicht einzurichten und zentral administrierbar sein.

Letztlich muss sichergestellt sein, dass Daten in allen drei Stadien bestmöglich geschützt sind: „Data at Rest“ durch die Festplattenverschlüsselung, „Data in Motion“ durch die VPN-Verbindung und „Data in Use“ bei der Verarbeitung auf dem Endgerät.

Diese Vorgaben lassen sich erfüllen, wenn die technische Basis der Lösung von Anfang an für das benötigte Sicherheitsniveau und optimale Usability ausgelegt wird. Dazu zählt, dass die Sicherheitsfunktionen inklusive Smartcard-Middleware transparent implementiert sind und einen reibungslosen Zugriff auf das Endgerät ermöglichen.

Ein sicherer mobiler Arbeitsplatz im VS-NfD-Umfeld erfordert mehr als nur ein VPN.

Steve Schoner, genua GmbH

Hochsicherer VPN-Client

Ein VPN ist das Grundgerüst für die sichere Anbindung eines mobilen Geräts von außen an das Unternehmensnetz. Der von genua entwickelte VPN-Client genuconnect nutzt das IPsec-Protokoll mit vom BSI empfohlenen Algorithmen (AES-256, ML-KEM786/Brainpool256) und ermöglicht einen automatischen Verbindungsaufbau.

In Kombination mit der BSI-zugelassenen, auch als virtualisierten Variante erhältlichen VPN-Appliance genuscreen baut genuconnect quantenresistente VPN-Verbindungen auf. Die Authentifizierung erfolgt nicht mehr nur über ein Passwort, sondern ist an die Smartcard gekoppelt – ein kompromittiertes Gerät allein reicht daher nicht aus, um Zugriff zu erhalten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

BSI-zugelassene Festplattenverschlüsselung

Der Verlust oder Diebstahl eines Laptops darf niemals zum Datenverlust führen. Sicher verhindern lässt sich das durch eine Festplattenverschlüsselung (Full Disk Encryption, FDE), die bereits vor dem Laden des Betriebssystems eine Security-Token-basierte Pre-Boot-Authentifizierung verlangt.

Eine dedizierte Middleware bindet Security-Tokens wie Smartcards schließlich nahtlos in das Windows-Ökosystem ein. Microsoft stellt dazu seine Cryptographic API, kurz CAPI, zur Verfügung. Diese Schnittstelle ermöglicht es, Zertifikate in allen gängigen Anwendungen – von Outlook über den Browser bis hin zum Windows-Logon – zu nutzen, was dem Bedienkomfort zugutekommt.

Integriertes Sicherheits-Bundle für VS-NfD-Arbeitsplätze

genua hat diese drei Komponenten – VPN-Client, Festplattenverschlüsselung und Smartcard-Middleware – in ein Paket zusammengeführt, das speziell für VS-NfD-Umgebungen entwickelt wurde: die genusecure Suite.

Die eingesetzte Festplattenverschlüsselung ist vom BSI zugelassen für Informationen mit der Einstufung VS-NfD, EU RESTRICTED und NATO RESTRICTED. Für die Pre-Boot-Authentifizierung nutzt sie eine Smartcard. Ein ebenfalls BSI-zugelassener Zufallsgenerator erzeugt in Kombination mit der Smartcard eine sichere Entropie für die Verschlüsselung. Die Lösung unterstützt den Microsoft-Upgrade-Mechanismus unter Beibehaltung der verschlüsselten Partitionen/Festplatten.

genuconnect
Mobiler VS-NfD-Arbeitsplatz: Hochsichere Anbindung von Windows-Geräten mit dem VPN Software Client genuconnect, Teil der genusecure Suite. (Quelle: genua GmbH)

Die verwendete Middleware setzt auf den Public-Key Cryptography Standard 11, kurz PKCS#11. Der auch Cryptoki (Cryptographic Token Interface) genannte standardisierte Schnittstellensatz ermöglicht es Anwendungen, unabhängig vom Betriebssystem und Hardware-Treiber mit kryptografischen Geräten wie Smartcards, USB-Tokens und Hardware-Sicherheitsmodulen (HSMs) zu kommunizieren und kryptografische Operationen wie Ver- und Entschlüsselung, Signaturerstellung oder Schlüsselverwaltung durchzuführen. Die Einbindung unter Windows erfolgt über die CAPI-Schnittstelle.

Durch diese enge Verzahnung entsteht ein Zero-Trust-Modell am Endpunkt: Ohne die korrekte Smartcard kann weder das VPN aufgebaut noch die Festplatte entschlüsselt werden.

Fazit

Ein sicherer mobiler Arbeitsplatz im VS-NfD-Umfeld erfordert mehr als nur ein VPN. Er verlangt eine durchgängige Verschlüsselung, eine robuste Multi-Faktor- Authentifizierung und eine zentrale Policy-Steuerung, die sämtliche Komponenten nahtlos miteinander verknüpft.

In Verbindung mit einer konsequenten Governance, automatisierten Patch-Prozessen und einem starken Sicherheits-Awareness-Programm lässt sich die Angriffsfläche für Remote-Arbeitsplätze signifikant reduzieren, während gleichzeitig die Produktivität und Flexibilität der Mitarbeitenden erhalten bleibt. Unternehmen und Behörden, die diese Bausteine gezielt einsetzen, schaffen ein zukunftsfähiges Sicherheits-Framework, das den steigenden Anforderungen an mobile Arbeit und geheimschutzrelevante Daten gerecht wird.


Steve

Schoner

Senior Product Marketing Manager

genua GmbH

Anzeige

Artikel zu diesem Thema

13. Oktober 2025
Erste Virtualisierte Firewall & VPN-Gateway mit BSI-Zulassung

Weitere Artikel

Wie mobile Endgeräte die Unternehmenssicherheit definieren
Mobile Sicherheit im Unternehmensalltag
Konfety-Malware ist zurück: Neue Variante zielt auf Android
Wenn das Smartphone zur Zielscheibe wird
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.