BSI veröffentlicht Leitfaden für Cloud-Lösungen im Geheimschutzkontext
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfassenden Leitfaden zum Einsatz von Cloud-Technologien bei der Verarbeitung von Verschlusssachen in der Bundesverwaltung herausgegeben. Das Dokument adressiert die zunehmende Notwendigkeit, Effizienzpotenziale und Skalierbarkeit von Cloud-Diensten auch im sensiblen Geheimschutzbereich zu nutzen.
Rechtlicher Rahmen und technische Anforderungen
Der Leitfaden basiert auf der Verschlusssachenanweisung (VSA) des Bundes und fokussiert primär auf den Geheimhaltungsgrad VS-Nur für den Dienstgebrauch (VS-NfD). Zentral ist das Zusammenspiel zweier Prozesse: die Freigabe von Cloud-Architekturen als VS-IT sowie die Zulassung sicherheitsrelevanter IT-Produkte innerhalb dieser Systeme. Dabei müssen neben der VSA auch Standards wie IT-Grundschutz, der Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) und der Kriterienkatalog C5 berücksichtigt werden.
Die Sicherheit von VS-Cloud-Architekturen erfordert einen ganzheitlichen Ansatz unter Beachtung des Shared-Responsibility-Prinzips zwischen Dienststelle und Cloud Service Provider. Nicht alle Risiken lassen sich technisch eliminieren – daher ist ein systematisches Risikomanagement nach § 8a VSA erforderlich.
Freigabeszenarien nach Bereitstellungsmodellen
Der Leitfaden unterscheidet acht konkrete Szenarien, die sich nach Bereitstellungsmodell (Private, Community, Public Cloud), Standort, Betreiber und Nutzerkreis differenzieren. Bei Private Clouds im eigenen Rechenzentrum oder bei Bundesdienstleistern kann häufig auf bewährte Perimeterschutzkonzepte zurückgegriffen werden. Community Clouds erfordern zusätzlich Trennungsmechanismen zwischen verschiedenen Nutzern, während Public Clouds einen datenzentrischen Sicherheitsansatz mit Security Enforcing Services (SES) voraussetzen.
Besonders komplex gestaltet sich die Verarbeitung von VS in Public Clouds: Hier ist eine klassische Perimetersicherung nicht mehr möglich. Stattdessen müssen SES den Schutz in den Phasen Data at Rest, Data in Transit und Data in Use gewährleisten. Zudem ist eine sicherheitspolitische Einzelfallbewertung erforderlich, welchem Recht der CSP unterliegt und ob ausländische Zugriffsmöglichkeiten bestehen.
Zulassungspflicht und praktisches Vorgehen
Die Identifikation zulassungspflichtiger IT-Sicherheitsprodukte erfolgt anhand eines Entscheidungsbaums unter Berücksichtigung von Nutzerkreis und Betreibervertrauen. Bei fehlendem Vertrauen in den CSP sind technische Mechanismen wie Verschlüsselung, Confidential Computing oder abgeschottete virtuelle Umgebungen zwingend erforderlich. Der Freigabeprozess umfasst neben der initialen Prüfung auch fortlaufende Aufgaben wie Auflagenmanagement und die Bewertung geheimschutzrelevanter Änderungen während des Betriebs.
(Foto: kohlerphoto – stock.adobe.com)
Letztes Update:08.02.26
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

