BSI veröffentlicht Leitfaden für Cloud-Lösungen im Geheimschutzkontext

Geheimschutz und Cloud

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfassenden Leitfaden zum Einsatz von Cloud-Technologien bei der Verarbeitung von Verschlusssachen in der Bundesverwaltung herausgegeben. Das Dokument adressiert die zunehmende Notwendigkeit, Effizienzpotenziale und Skalierbarkeit von Cloud-Diensten auch im sensiblen Geheimschutzbereich zu nutzen.

Rechtlicher Rahmen und technische Anforderungen

Der Leitfaden basiert auf der Verschlusssachenanweisung (VSA) des Bundes und fokussiert primär auf den Geheimhaltungsgrad VS-Nur für den Dienstgebrauch (VS-NfD). Zentral ist das Zusammenspiel zweier Prozesse: die Freigabe von Cloud-Architekturen als VS-IT sowie die Zulassung sicherheitsrelevanter IT-Produkte innerhalb dieser Systeme. Dabei müssen neben der VSA auch Standards wie IT-Grundschutz, der Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) und der Kriterienkatalog C5 berücksichtigt werden.

Die Sicherheit von VS-Cloud-Architekturen erfordert einen ganzheitlichen Ansatz unter Beachtung des Shared-Responsibility-Prinzips zwischen Dienststelle und Cloud Service Provider. Nicht alle Risiken lassen sich technisch eliminieren – daher ist ein systematisches Risikomanagement nach § 8a VSA erforderlich.

Freigabeszenarien nach Bereitstellungsmodellen

Der Leitfaden unterscheidet acht konkrete Szenarien, die sich nach Bereitstellungsmodell (Private, Community, Public Cloud), Standort, Betreiber und Nutzerkreis differenzieren. Bei Private Clouds im eigenen Rechenzentrum oder bei Bundesdienstleistern kann häufig auf bewährte Perimeterschutzkonzepte zurückgegriffen werden. Community Clouds erfordern zusätzlich Trennungsmechanismen zwischen verschiedenen Nutzern, während Public Clouds einen datenzentrischen Sicherheitsansatz mit Security Enforcing Services (SES) voraussetzen.

Besonders komplex gestaltet sich die Verarbeitung von VS in Public Clouds: Hier ist eine klassische Perimetersicherung nicht mehr möglich. Stattdessen müssen SES den Schutz in den Phasen Data at Rest, Data in Transit und Data in Use gewährleisten. Zudem ist eine sicherheitspolitische Einzelfallbewertung erforderlich, welchem Recht der CSP unterliegt und ob ausländische Zugriffsmöglichkeiten bestehen.

Zulassungspflicht und praktisches Vorgehen

Die Identifikation zulassungspflichtiger IT-Sicherheitsprodukte erfolgt anhand eines Entscheidungsbaums unter Berücksichtigung von Nutzerkreis und Betreibervertrauen. Bei fehlendem Vertrauen in den CSP sind technische Mechanismen wie Verschlüsselung, Confidential Computing oder abgeschottete virtuelle Umgebungen zwingend erforderlich. Der Freigabeprozess umfasst neben der initialen Prüfung auch fortlaufende Aufgaben wie Auflagenmanagement und die Bewertung geheimschutzrelevanter Änderungen während des Betriebs.

(Foto: kohlerphoto – stock.adobe.com)

Letztes Update:08.02.26

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner