Ministerialblatt (MBl. NRW.)
Ausgabe 2024 Nr. 23 vom 10.7.2024 Seite 687 bis 788
Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA) |
---|
Normkopf Norm Normfuß |
zugehörige Anlagen : |
Allgemeine Verwaltungsvorschrift zum materiellen Geheimschutz (Verschlusssachenanweisung - VSA)
12
Allgemeine Verwaltungsvorschrift
zum materiellen Geheimschutz
(Verschlusssachenanweisung - VSA)
Runderlass
des Ministeriums des Innern
603 - 72.00.01
Vom 18. Juni 2024
Nach § 37 Absatz 1 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen vom 23. Februar 2022 (GV. NRW. S. 233) wird zum materiellen und organisatorischen Schutz von Verschlusssachen die folgende Allgemeine Verwaltungsvorschrift erlassen.
Abschnitt
I:
Allgemeine Bestimmungen
§ 1 Anwendungsbereich
§ 2 Begriff der Verschlusssache und deren Geheimhaltungsgrade
§ 3 Allgemeine Grundsätze
§ 4 Verpflichtung, Ermächtigung und Zulassung
§ 5 Mitwirkung der Landesbehörde für Verfassungsschutz
§ 6 Mehrschichtige Sicherheit, Risikomanagement
Abschnitt
II:
Geheimschutzorganisation
§ 7 Dienststellenleitung
§ 8 Geheimschutzbeauftragte
§ 9 Informationssicherheitsbeauftragte
§ 10 VS-Registrierende
§ 11 Qualifikation
Abschnitt
III:
Geheimschutzdokumentation und technische Vorgaben
§ 12 Geheimschutzdokumentation
§ 13 Erstellung der Geheimschutzdokumentation
§ 14 Technische Leitlinien
Abschnitt
IV:
Einstufung und Einstufungsfrist
§ 15 Herausgeber und Einstufung
§ 16 Einstufungsfrist
§ 17 Nachträgliche Verlängerung der Einstufungsfrist
§ 18 Änderung der Einstufung
§ 19 Aufhebung der Einstufung
Abschnitt
V:
Handhabung von Verschlusssachen
§ 20 Herstellung, Bearbeitung und Kennzeichnung
§ 21 Verwaltung und Nachweis
§ 22 Vervielfältigung
§ 23 Aufbewahrung
§ 24 Grundsätze zur Weitergabe
§ 25 Weitergabe an nichtöffentliche Stellen
§ 26 Weitergabe an den Landtag, den Bundestag, die Parlamente anderer Länder sowie an Bundes- und Landesbehörden
§ 27 Empfang
§ 28 Mitnahme von Verschlusssachen außerhalb des Dienstgebäudes
§ 29 Erörterung
§ 30 Aussonderung
§ 31 Archivierung
§ 32 Vernichtung
§ 33 VS-Zwischenmaterial
Abschnitt
VI:
Zusammenarbeit mit nichtdeutschen Stellen und nichtöffentliche Stellen mit Sitz
im Ausland
§ 34 Weitergabe von deutschen Verschlusssachen an nichtdeutsche Stellen und nichtöffentliche Stellen mit Sitz im Ausland
§ 35 Empfang und Handhabung nichtdeutscher Verschlusssachen
§ 36 Sicherheitsakkreditierung
§ 37 Ergänzende Bestimmungen
Abschnitt
VII:
Materielle und technische Maßnahmen
§ 38 Planung und Durchführung
§ 39 Räumliche Sicherheitsmaßnahmen
§ 40 Technische Sicherung
§ 41 Abhörschutzmaßnahmen
§ 42 Dienststellen mit besonderem Geheimschutzbedarf
§ 43 VS-Registraturen
§ 44 VS-Verwahrgelasse
§ 45 VS-IT-Räume und -Bereiche
§ 46 Zutritts- und Zugangsmittel
§ 47 Abnahmen und Wiederholungsprüfungen
§ 48 Lauschabwehrprüfungen
Abschnitt
VIII:
Einsatz von Informationstechnik
§ 49 Allgemeine Grundsätze
§ 50 Freigabe des Betriebs von VS-IT
§ 51 Zulassung von IT-Sicherheitsprodukten und Komponenten
§ 52 IT-Sicherheitsfunktionen
§ 53 Schutz von VS-Übertragungseinrichtungen, -leitungen und -verteilern
§ 54 Handhabung von Datenträgern und IT-Produkten für unkryptierte Verschlusssachen
§ 55 Übertragung von Verschlusssachen über technische Kommunikationsverbindungen
§ 56 Vernichtung und Aussonderung von Datenträgern und registrierten IT-Produkten
§ 57 Abstrahlschutzmaßnahmen
§ 58 Zusammenschaltung von VS-IT
Abschnitt
IX:
Kryptopersonal und Handhabung von Kryptomitteln
§ 59 Kryptomittel
§ 60 Zentralstelle für Kryptomittel
§ 61 Kryptoverwaltung
§ 62 Kryptopersonal
Abschnitt
X:
Aufrechterhaltung des Geheimschutzes
§ 63 Kontrollen
§ 64 Behandlung von Geheimschutzvorkommnissen
§ 65 Verhalten in außergewöhnlichen Gefahrenlagen
Abschnitt XI:Abschließende Regelungen
§ 66 Schlussbestimmungen
§ 67 Inkrafttreten
Verzeichnis der Anlagen
Anlage 1: Hinweise zur Geheimschutzorganisation
Anlage 2: Hinweise zur Geheimschutzdokumentation
Anlage 3: Hinweise zur Einstufung
Anlage 4: Hinweise zur Handhabung von Verschlusssachen
Anlage 5: Merkblatt zur Behandlung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt)
Anlage 6: Richtlinie über die Abgabe von VS-Material an das Landesarchiv Nordrhein-Westfalen (zur Zeit nicht besetzt)
Anlage 7: Hinweise zur Handhabung von Verschlusssachen ausländischer Staaten sowie über- oder zwischenstaatlicher Organisationen
Anlage 8: Muster
Abschnitt I:
Allgemeine Bestimmungen
§ 1
Anwendungsbereich
(1)
Diese Verschlusssachenanweisung richtet sich an Behörden, Gerichte und sonstige
öffentliche Stellen des Landes Nordrhein-Westfalen und der diesen zugehörigen
juristischen Personen des öffentlichen Rechts (Dienststellen), die mit
Verschlusssachen arbeiten, sowie an dort tätige Personen, die Zugang zu
Verschlusssachen haben oder eine Tätigkeit ausüben, bei der sie sich Zugang zu
Verschlusssachen verschaffen können.
(2)
Die Gemeinden, Gemeindeverbände und die sonstigen der Aufsicht des Landes
unterstehenden juristischen Personen des öffentlichen Rechts haben die
Vorschriften dieser Verschlusssachenanweisung im Rahmen ihrer Aufgabenerfüllung
im übertragenen Wirkungskreis zu beachten.
(3)
Diese Verschlusssachenanweisung gilt außerdem für die politischen Parteien nach
Artikel 21 des Grundgesetzes sowie deren Stiftungen, soweit sie ihren Sitz in
Nordrhein-Westfalen haben oder es sich um auf Nordrhein-Westfalen beschränkte
Untergliederungen von Parteien handelt.
§ 2
Begriff der Verschlusssache und deren Geheimhaltungsgrade
(1)
Verschlusssachen
sind im öffentlichen Interesse, insbesondere zum Schutz des Wohles des Bundes
oder eines Landes, geheimhaltungsbedürftige Tatsachen, Gegenstände oder
Erkenntnisse, unabhängig von ihrer Darstellungsform, zum Beispiel
Schriftstücke, Zeichnungen, Karten, Fotokopien, Lichtbildmaterial, elektronische
Dateien und Datenträger, elektrische Signale, Geräte, technische Einrichtungen
oder das gesprochene Wort. Verschlusssachen können auch Produkte und die
dazugehörenden Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung,
Verschlüsselung und Übertragung von Informationen sein (Kryptomittel).
Geheimhaltungsbedürftig im öffentlichen Interesse können auch Geschäfts-,
Betriebs-, Erfindungs-, Steuer- oder sonstige private Geheimnisse oder Umstände
des persönlichen Lebensbereichs sein.
(2)
Zwischenmaterial,
das im Zusammenhang mit einer Verschlusssache anfällt, zum Beispiel Dateien,
Vorentwürfe, Stenogramme, Tonträger, Folien oder Fehldrucke, gilt ebenfalls als
Verschlusssache.
(3)
Verschlusssachen werden entsprechend ihrer Schutzbedürftigkeit nach § 6 Absatz
3 des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen von einer
Dienststelle oder auf deren Veranlassung in folgende Geheimhaltungsgrade
eingestuft:
1.
STRENG GEHEIM, wenn die Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige
Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden
kann,
2.
GEHEIM, wenn die Kenntnisnahme durch Unbefugte die Sicherheit der
Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren
Interessen schweren Schaden zufügen kann,
3.
VS-VERTRAULICH, wenn die Kenntnisnahme durch Unbefugte für die Interessen der
Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein kann,
4.
VS-NUR FÜR DEN DIENSTGEBRAUCH, wenn die Kenntnisnahme durch Unbefugte für die
Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig
sein kann.
(4)
Der Geheimhaltungsgrad einer Verschlusssache bleibt auch bestehen, wenn sie
unrechtmäßig bekannt geworden ist.
§ 3
Allgemeine Grundsätze
(1) Von einer Verschlusssache
dürfen nur Personen Kenntnis erhalten, die auf Grund ihrer Aufgabenerfüllung
von ihr Kenntnis haben müssen. Keine Person darf über eine Verschlusssache
umfassender oder eher unterrichtet werden, als dies aus Gründen der
Aufgabenerfüllung notwendig ist. Es gilt der Grundsatz „Kenntnis nur, wenn
nötig“.
(2) Jede Person, der
eine Verschlusssache anvertraut oder zugänglich gemacht worden ist, trägt ohne
Rücksicht darauf, wie die Verschlusssache zu ihrer Kenntnis oder in ihren
Besitz gelangt ist, die persönliche Verantwortung für ihre vorschriftsmäßige
Behandlung.
(3) Können wegen der
Beschaffenheit einer Verschlusssache Anweisungen für Verschlusssachen nicht
angewendet werden, so ist sinngemäß zu verfahren. Dabei sind möglichst
gleichwertige Sicherheitsmaßnahmen zu treffen.
§ 4
Verpflichtung, Ermächtigung und Zulassung
(1) Bevor eine Person
Zugang zu Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN
DIENSTGEBRAUCH erhält, ist sie auf Anlage 5 zu verpflichten. Dabei ist ihr
gegen Empfangsbestätigung ein Exemplar der Anlage 5 zugänglich zu machen. Die
Verpflichtung ist gemäß Muster 1 der Anlage 8 zu dokumentieren.
(2) Eine Person, die
Zugang zu Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher
erhalten soll oder sich diesen aufgrund einer ihr zu übertragenden Tätigkeit
verschaffen kann, ist zuvor einer Sicherheitsüberprüfung nach dem
Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen zu unterziehen. § 1 Absatz 5
des Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen bleibt unberührt. Nach
erfolgter Sicherheitsüberprüfung ist sie durch die Geheimschutzbeauftragte oder
den Geheimschutzbeauftragten zu ermächtigen beziehungsweise zur Wahrnehmung der
entsprechenden Tätigkeit zuzulassen. Dabei ist sie über die besonderen Bestimmungen
des Geheimschutzes zu belehren, in erforderlichem Umfang auf den Geheimschutz
zu verpflichten und über Anbahnungs- und Anwerbemethoden ausländischer
Nachrichtendienste sowie die Möglichkeit straf- und disziplinarrechtlicher
Ahndung oder arbeitsrechtlicher Maßnahmen bei Verstößen gegen die
Geheimhaltungsvorschriften zu unterrichten. Die Belehrung und Unterrichtung
soll spätestens nach fünf Jahren erneut erfolgen.
(3) Personen, die sich
aufgrund einer ihnen übertragenen Tätigkeit Zugang zu Verschlusssachen
verschaffen können, sind insbesondere Personen, die
1.
als Boten oder Kuriere Verschlusssachen befördern (VS-Bote beziehungsweise
VS-Kurier),
2.
VS-Verwahrgelasse oder Sicherheitsbereiche bewachen,
3.
Einbruch- oder Überfallmeldeanlagen zum Schutz von Verschlusssachen
installieren, warten oder Instand setzen,
4.
Schlüssel oder Zahlenkombinationen zu VS-Verwahrgelassen,
VS-Schlüssel-behältern, Einbruch- oder Überfallmeldeanlagen zum Schutze von
Verschlusssachen verwalten,
5.
als IT-Wartungspersonal oder Administratoren von Informationstechnik zur
Handhabung von Verschlusssachen (VS-IT) eingesetzt oder
6.
in einem Sicherheitsbereich nach § 2 Absatz 1 Nummer 3 des
Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen tätig sind.
(4) Ermächtigten und
zugelassenen Personen sind gegen Empfangsbestätigung die einschlägigen
Strafvorschriften und die für ihre Tätigkeit erforderlichen Vorschriften zum
Schutz von Verschlusssachen zugänglich zu machen und gegebenenfalls ein
VS-Quittungsbuch auszuhändigen. Ermächtigungen, Zulassungen und ihre Befristung
sind nach Muster 2 der Anlage 8 zu dokumentieren.
(5) Ermächtigten
Personen ist bei Bedarf eine Konferenzbescheinigung nach Muster 4 der Anlage 8
auszustellen.
(6) Entfällt die
dienstliche Notwendigkeit für eine Ermächtigung oder Zulassung ganz oder
teilweise, ist diese aufzuheben oder auf den notwendigen Umfang einzuschränken.
Ermächtigungen und Zulassungen sind aufzuheben, wenn ein Sicherheitsrisiko
festgestellt wird. Ermächtigungen und Zulassungen erlöschen spätestens bei
Ausscheiden der betroffenen Person aus der Dienststelle. Die VS-Registratur ist
über Ermächtigungen und Zulassungen sowie deren Erweiterung, Einschränkung,
Aufhebung oder Erlöschen zu unterrichten.
(7) Personen, deren Ermächtigung
oder Zulassung aufgehoben wird oder erlischt, sind verpflichtet,
Verschlusssachen, die sich in ihrem Besitz befinden und gegebenenfalls das
VS-Quittungsbuch unaufgefordert abzugeben und darüber eine Erklärung nach
Muster 5 der Anlage 8 zu unterschreiben. Dies gilt im Falle der Einschränkung
der Ermächtigung oder Zulassung entsprechend.
(8) Bei Einschränkung,
Aufhebung oder Erlöschen der Ermächtigung oder Zulassung ist die betroffene
Person auf das Fortbestehen der Geheimschutzpflichten hinzuweisen.
§ 5
Mitwirkung der Landesbehörde für Verfassungsschutz
Das
für Inneres zuständige Ministerium als Verfassungsschutzbehörde des Landes
Nordrhein-Westfalen berät die in § 1 genannten Stellen bei der Umsetzung dieser
Verschlusssachenanweisung. Dies umfasst auch Erläuterungen zur Anwendung der
technischen Leitlinien des Bundesamtes für Sicherheit in der
Informationstechnik in der jeweils gültigen Fassung. Zur Erfüllung dieser
Aufgabe kann sie sich durch das Bundesamt für Sicherheit in der Informationstechnik,
die Landesbeauftragte für die Sicherheit in der Informationstechnik
beziehungsweise den Landesbeauftragten für Sicherheit in der
Informationstechnik oder durch andere geeignete Stellen beraten lassen. Im
Falle einer Beratung oder Unterstützung sind die hierfür entstehenden Kosten
von der die Verfassungsschutzbehörde beauftragenden Dienststelle zu tragen. Die
Verfassungsschutzbehörde informiert über Zulassungen für IT-Sicherheitsprodukte
durch das Bundesamt für Sicherheit in der Informationstechnik, berät bei der
Auswahl geeigneter informationstechnischer beziehungsweise technischer
Komponenten zum Verschlusssachenschutz, wenn keine vom Bundesamt für Sicherheit
in der Informationstechnik zugelassenen Sicherheitsprodukte verfügbar sind und
unterrichtet unverzüglich alle Dienststellen über Erkenntnisse, die für den
Schutz von dort befindlichen Verschlusssachen oder die Aufrechterhaltung des
dortigen Geheimschutzes von Bedeutung sein können.
§ 6
Mehrschichtige Sicherheit, Risikomanagement
(1)
Bei
der Handhabung von Verschlusssachen werden angemessene technische und
organisatorische Maßnahmen getroffen, die in ihrem Zusammenwirken die Risiken
eines Angriffs reduzieren und im Falle eines erfolgreichen Angriffs die
negativen Folgen begrenzen sollen (Risikomanagement). Die Sicherheitsmaßnahmen
berücksichtigen die Aspekte Prävention, Detektion und Reaktion.
(2)
Eine
Sicherheitsmaßnahme ist angemessen, wenn der Aufwand zur Umsetzung der Maßnahme
und das verbleibende Restrisiko in einem ausgewogenen Verhältnis stehen. Die
Bewertung der Wirksamkeit und Angemessenheit erfolgt auf der Grundlage einer
kontinuierlichen Risikoanalyse.
Abschnitt II:
Geheimschutzorganisation
§ 7
Dienststellenleitung
Die
Dienststellenleitung ist innerhalb ihres Zuständigkeitsbereiches für die
Umsetzung dieser Verschlusssachenanweisung verantwortlich und hat die
Voraussetzungen zur Gewährleistung des materiellen Geheimschutzes zu schaffen.
Sie kann ihre Aufgaben ganz oder teilweise auf Mitarbeiterinnen oder
Mitarbeiter ihrer Dienststelle übertragen. Verpflichtungen und Ermächtigungen
nach § 4 sind bei Dienststellenleitungen durch die in § 4 Absatz 1 des
Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen vorgeschriebene Stelle
durchzuführen.
§ 8
Geheimschutzbeauftragte
(1)
Dienststellen, die Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder
höher handhaben, sollen Geheimschutzbeauftragte und zur Vertretung berechtigte
Personen bestellen. Andernfalls nehmen die Dienststellenleitungen die Aufgaben der
Geheimschutzbeauftragten wahr.
(2)
Dienststellen, die ausschließlich Verschlusssachen der Geheimhaltungsgrade
VS-NUR FÜR DEN DIENSTGEBRAUCH handhaben, können Geheimschutzbeauftragte und zur
Vertretung berechtigte Personen bestellen. Andernfalls nehmen die Dienststellenleitungen
die Aufgaben der Geheimschutzbeauftragten wahr.
(3)
Geheimschutzbeauftragte sorgen für die Umsetzung dieser
Verschlusssachenanweisung und beraten die Dienststellenleitungen in allen
Fragen des Geheimschutzes. Geheimschutzbeauftragte haben ein unmittelbares
Vortragsrecht bei den Dienststellenleitungen und sind bei allen
geheimschutzrelevanten Maßnahmen zu beteiligen. Innerhalb der Dienststellen
können besonders beauftragte Mitarbeiterinnen oder Mitarbeiter zur
Unterstützung der Geheimschutzbeauftragten bestellt werden.
(4)
Geheimschutzbeauftragte oder besonders beauftragte Mitarbeiterinnen oder
Mitarbeiter haben die mit der Handhabung von Verschlusssachen betrauten
Personen durch geeignete Maßnahmen mit den Vorschriften dieser Verschlusssachenanweisung
sowie anderen einschlägigen Vorschriften zum Schutz von Verschlusssachen
vertraut zu machen.
(5)
Geheimschutzbeauftragte tragen durch angemessene Sicherheitsmaßnahmen und
Kontrollen dafür Sorge, Risiken für den Schutz von Verschlusssachen zu
reduzieren und Restrisiken zu identifizieren, die mit den getroffenen Maßnahmen
nicht abgewehrt werden können.
(6)
Die Hinweise zur Geheimschutzorganisation der Anlage 1 sind ergänzend zu
beachten.
§ 9
Informationssicherheitsbeauftragte
Informationssicherheitsbeauftragte
beraten die Geheimschutzbeauftragten in allen Fragen des Einsatzes von
Informationstechnik zur Handhabung von Verschlusssachen einschließlich zu deren
Übertragung.
§ 10
VS-Registrierende
Dienststellen,
die Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher
handhaben, bestellen VS-Registrierende und zur Vertretung berechtigte Personen,
welche für die ordnungsgemäße Verwaltung dieser Verschlusssachen nach den
Vorgaben dieser Verschlusssachenanweisung Sorge tragen.
§ 11
Qualifikation
Die
in den §§ 8 bis 10 genannten Personen müssen über die zur Erfüllung ihrer
Aufgaben erforderliche Fachkunde verfügen.
Abschnitt III:
Geheimschutzdokumentation und technische Vorgaben
§ 12
Geheimschutzdokumentation
(1)
Jede Dienststelle, die nicht nur gelegentlich mit Verschlusssachen arbeitet,
führt eine Geheimschutzdokumentation, die einen Überblick über die wesentlichen
Geheimschutzbelange ermöglicht.
Sie
soll insbesondere enthalten:
1.
Verweise auf alle in diesem Zusammenhang zu beachtenden Vorschriften und
technischen Vorgaben,
2.
eine Auflistung der Dienstposten, auf denen eine sicherheitsempfindliche
Tätigkeit im Sinne des Sicherheitsüberprüfungsgesetzes ausgeübt wird,
3.
eine Auflistung der ermächtigten und zugelassenen Personen,
4.
die VS-Sicherungsdokumentation mit den sich aus Anlage 2 ergebenden Inhalten,
5.
die VS-IT-Dokumentation, mit den sich aus Anlage 2 ergebenden Inhalten,
6.
Nachweise über durchgeführte Abnahmen, Kontrollen und Überprüfungen und
7.
Berichte über Geheimschutzvorkommnisse.
(2)
Die Geheimschutzdokumentation ist bei allen geheimschutzrelevanten Änderungen
zu aktualisieren, mindestens aber alle drei Jahre auf Aktualität,
Vollständigkeit und Erforderlichkeit bestehender und noch zu treffender
Geheimschutzmaßnahmen zu überprüfen.
(3)
Die Geheimschutzbeauftragten geben den Mitarbeiterinnen oder Mitarbeitern ihrer
Dienststelle die für die Dienststelle getroffenen, für die Handhabung von
Verschlusssachen relevanten Regelungen gemäß Absatz 1 Satz 2 Nummer 1
regelmäßig und anlassbezogen in geeigneter Weise bekannt.
§ 13
Erstellung der Geheimschutzdokumentation
(1)
Die Geheimschutzdokumentation wird von den Geheimschutzbeauftragten oder
besonders beauftragten Mitarbeiterinnen oder Mitarbeitern erstellt und
fortgeschrieben. Bei der Erstellung der VS-IT- Dokumentation, die Teil der
Geheimschutzdokumentation ist, werden sie von den
Informationssicherheitsbeauftragten unterstützt.
(2)
Die Verfügbarkeit der Geheimschutzdokumentation muss jederzeit gewährleistet
sein.
(3)
Die Hinweise zur Geheimschutzdokumentation der Anlage 2 sind ergänzend zu
beachten.
§ 14
Technische Leitlinien
(1)
Die Technischen Leitlinien des Bundesamtes für Sicherheit in der
Informationstechnik konkretisieren die Vorgaben der Verschlusssachenanweisung
durch Festlegung von Verfahren zur Prüfung von Produkten, von technischen und
organisatorischen Anforderungen und Handlungsanweisungen auf dem Gebiet des
materiellen Geheimschutzes und sind in ihrer jeweils geltenden Fassung
einzuhalten.
(2)
Die Landesbehörde für Verfassungsschutz kann im Ausnahmefall Abweichungen von
den Technischen Leitlinien des Bundesamtes für Sicherheit in der
Informationstechnik zulassen.
Abschnitt IV:
Einstufung und Einstufungsfrist
§ 15
Herausgeber und Einstufung
(1)
Die Dienststelle, die eine Verschlusssache erstellt oder deren Erstellung
veranlasst oder der Rechtsnachfolger dieser Dienststelle ist der Herausgeber
der Verschlusssache. Der Herausgeber legt nach Maßgabe von § 6 Absatz 3 des
Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen den Geheimhaltungsgrad der
Verschlusssache fest. Von einer Einstufung als Verschlusssache ist nur Gebrauch
zu machen, soweit dies notwendig ist.
(2)
Die Dienststelle kann Richtlinien zur Einstufung von Verschlusssachen für
häufiger vorkommende Fälle festlegen.
(3)
Die Hinweise zur Einstufung der Anlage 3 sind ergänzend zu beachten.
§ 16
Einstufungsfrist
(1)
Die Regelfrist für eine Einstufung einer Verschlusssache des
Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH beträgt 30 Jahre. Der
Herausgeber kann im Einzelfall eine kürzere Frist bestimmen. Die Bestimmung
einer über die Regelfrist hinausgehenden Frist ist unzulässig.
(2)
Für Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher bestimmt
der Herausgeber die Einstufungsfrist nach Maßgabe der sich aus der Begründung
der Einstufung ergebenden Schutzbedürftigkeit. Die Einstufungsfrist soll 30
Jahre nicht überschreiten. Eine längere Frist kann mit Zustimmung der jeweils
zuständigen obersten Landesbehörde für einzelne Verschlusssachen oder aber für
mehrere in einem bestimmten Bereich entstehende Verschlusssachen bestimmt
werden, wenn dies die besondere Schutzbedürftigkeit im konkreten Einzelfall
erfordert. Wird eine längere Frist bestimmt, ist dies zu begründen und so auf
der Verschlusssache oder der zugehörigen Dokumentation zu vermerken, dass dies
jederzeit erkennbar ist.
(3)
Die Einstufungsfrist beginnt am Tag der erstmaligen Einstufung der
Verschlusssache.
(4)
Die Dienststelle kann Richtlinien zur Bestimmung der Einstufungsfrist von
Verschlusssachen für häufiger vorkommende Fälle festlegen.
§ 17
Nachträgliche Verlängerung der Einstufungsfrist
(1)
Die nach § 16 Absatz 1 festgelegte Einstufungsfrist von Verschlusssachen des
Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH kann nicht verlängert werden.
(2)
Besteht die Schutzbedürftigkeit einer einzelnen Verschlusssache oder mehrerer
in einem bestimmten Bereich entstandener Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder höher über die nach § 16 Absatz 2
festgelegte Einstufungsfrist hinaus fort, verlängert der Herausgeber die
Einstufungsfrist. Die Verlängerung soll jeweils 30 Jahre nicht überschreiten.
Eine Verlängerung der Frist über 30 Jahre hinaus bedarf der Zustimmung der
zuständigen obersten Landesbehörde. Die Verlängerung ist zu begründen und so zu
vermerken, dass diese und die verfügende Stelle jederzeit erkennbar sind.
(3)
Über die Verlängerungen der Einstufungsfristen von Verschlusssachen muss der
Herausgeber alle Empfänger rechtzeitig vor Fristablauf schriftlich oder
elektronisch unter Beachtung der Authentifizierung und der notwendigen
Schutzvorkehrungen benachrichtigen. Die Benachrichtigungen sind nachzuweisen.
Die Empfänger von Verschlusssachen, deren Einstufungsfrist abgelaufen ist,
haben vor Offenlegung zu prüfen, ob die Einstufungsfrist verlängert wurde.
§ 18
Änderung der Einstufung
(1)
Ändert sich die Schutzbedürftigkeit einer Verschlusssache, setzt der
Herausgeber den Geheimhaltungsgrad dieser Verschlusssache entsprechend herauf
oder herab. Über die Änderung hat der Herausgeber alle Empfänger der
Verschlusssache oder deren Rechtsnachfolger unverzüglich schriftlich oder
elektronisch unter Beachtung der Authentifizierung und der notwendigen
Schutzvorkehrungen zu benachrichtigen.
(2)
Eine nachträgliche Einstufung von nicht eingestuften Informationen sowie eine
Heraufstufung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN
DIENSTGEBRAUCH ist grundsätzlich unzulässig, es sei denn die
Geheimschutzbeauftragte oder der Geheimschutzbeauftragte stimmt dem im
konkreten Einzelfall ausnahmsweise zu.
(3)
Die Änderung des Geheimhaltungsgrades lässt die Einstufungsfrist nach § 16
unberührt.
(4)
Die Änderung des Geheimhaltungsgrades einer Verschlusssache ist so zu
vermerken, dass die Änderung bei der Handhabung der Verschlusssache jederzeit
erkennbar ist. Sind Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH
oder höher betroffen, ist die Änderung im VS-Bestandsverzeichnis des
Herausgebers und der Empfänger nachzuweisen.
§ 19
Aufhebung der Einstufung
(1)
Die Einstufung als Verschlusssache endet mit Ablauf des Jahres, in welches das
Ende der letztmalig bestimmten Einstufungsfrist fällt. Verschlusssachen sind
nach Ablauf der Einstufungsfrist offenes Schriftgut.
(2)
Entfällt die Geheimhaltungsbedürftigkeit einer Verschlusssache vor Ablauf der
Einstufungsfrist, hebt der Herausgeber die Einstufung auf. Die Aufhebung der
Einstufung ist so zu vermerken, dass diese und die verfügende Stelle jederzeit
erkennbar sind. Im Falle von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH
oder höher benachrichtigt der Herausgeber alle Empfänger der Verschlusssache
oder deren Rechtsnachfolger schriftlich oder elektronisch unter Beachtung der
Authentifizierung und der notwendigen Schutzvorkehrungen. Die Aufhebung der
Einstufung ist in diesem Falle zusätzlich im VS-Bestandsverzeichnis des
Herausgebers und der Empfänger nachzuweisen.
(3)
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher, die vor dem
16. Juni 2001 entstanden sind und auf denen keine erkennbare Einstufungsfrist
vermerkt wurde, gelten spätestens nach Ablauf von 60 Jahren nach ihrer
Herstellung als offenes Schriftgut. Für entsprechende Verschlusssachen des
Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH gilt die Einstufung nach
Ablauf von 30 Jahren nach der Entstehung als aufgehoben.
(4)
Einstufungen von Verschlusssachen ausländischer und zwischenstaatlicher Stellen
können nur von den herausgebenden Stellen selbst nach den jeweils geltenden
Vorschriften aufgehoben werden, sofern nicht zwischenstaatliche Vereinbarungen
ein abweichendes Verfahren regeln.
Abschnitt V:
Handhabung von Verschlusssachen
§ 20
Herstellung, Bearbeitung und Kennzeichnung
(1)
Die Herstellung und Bearbeitung von Verschlusssachen sind grundsätzlich nur an den
hierfür bestimmten Stellen mit den dort vorgesehenen Mitteln zulässig. Nur
Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH dürfen
auch an anderen Orten zum Beispiel in der Privatwohnung oder auf Dienstreisen
hergestellt oder bearbeitet werden, wenn die oder der Geheimschutzbeauftragte
dies gestattet und die Bearbeiterin beziehungsweise der Bearbeiter nachweislich
schriftlich über die zu beachtenden Schutzmaßnahmen gemäß Anlage 5 belehrt
wurde.
(2)
Eine Verschlusssache ist so zu kennzeichnen, dass während der gesamten Dauer
ihrer Einstufung jederzeit erkennbar sind:
1.
der Geheimhaltungsgrad,
2.
der Herausgeber,
3.
das Datum der Herstellung der Verschlusssache,
4.
das bei der Herstellung festgelegte Ende der Einstufungsfrist mit dem Zusatz
„Die Einstufung endet mit Ablauf des Jahres…“, dies gilt nicht, soweit bei
Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH die
Regelfrist von 30 Jahren nach § 16 Absatz 1 Satz 1 nicht unterschritten wird,
5.
bei jeder Ausfertigung einer Verschlusssache der Geheimhaltungsgrade
VS-VERTRAULICH oder höher die fortlaufende Nummer und der Empfänger sowie
6.
die Seiten- und Gesamtseitenzahl.
(3)
Der Geheimhaltungsgrad ist gut sichtbar ungekürzt in Großbuchstaben und so auf
der Verschlusssache anzubringen, dass er sich deutlich von der übrigen
Beschriftung abhebt. Lässt diese Verschlusssachenanweisung die Verwendung von
Abkürzungen der Geheimhaltungsgrade explizit zu oder macht die Beschaffenheit
der Verschlusssache dies im Einzelfall erforderlich, sind folgende Abkürzungen
zu verwenden:
1.
VS-NUR FÜR DEN DIENSTGEBRAUCH: VS-NfD,
2.
VS-VERTRAULICH: VS-Vertr.,
3.
GEHEIM: Geh. sowie
4.
STRENG GEHEIM: Str. Geh.
Bei Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher ist
zusätzlich ein geeignetes individuelles Merkmal wie zum Beispiel
Geschäftszeichen und Tagebuchnummer aufzubringen, anhand dessen sich in
Verbindung mit dem VS-Bestandsverzeichnis die Handhabung der Verschlusssache
jederzeit lückenlos ermitteln lässt.
(4)
Der Herausgeber kann zum Schutz und zur Handhabung der Verschlusssache
ergänzend Warn- und Sperrvermerke nach Anlage 4 verwenden.
(5)
Der Betreff einer Verschlusssache ist so zu formulieren, dass er für sich
genommen nicht geheimhaltungsbedürftig ist.
(6)
Besteht eine Verschlusssache aus mehreren, unterschiedlich eingestuften Teilen,
zum Beispiel aus Anlagen oder Komponenten, sind alle Teile mit ihrem jeweiligen
Geheimhaltungsgrad und die Verschlusssache in ihrer Gesamtheit nach dem
höchsten Geheimhaltungsgrad zu kennzeichnen. Anfang und Ende der einzelnen
Teile müssen erkennbar sein.
(7)
Lässt die Beschaffenheit einer Verschlusssache eine solche Kennzeichnung nicht
zu, ist sinngemäß zu verfahren oder die Kennzeichnung auf der zugehörigen
Dokumentation zu vermerken.
(8)
Werden der Geheimhaltungsgrad einer Verschlusssache geändert oder die
Einstufung aufgehoben, so ist die Kennzeichnung als Verschlusssache durch den
Herausgeber und bei erfolgter Übermittlung durch alle Empfänger zu ändern oder
zu streichen. Die Änderung oder Streichung ist mit Namenszeichen und Datum der
handelnden Person zu versehen. Bei mobilen Datenträgern und gebundenem
Schriftgut erfolgt die Änderung oder die Streichung auf dem Objekt, dem Einband
oder dem Titelblatt.
(9)
Die Absätze 1 bis 8 gelten für elektronische Verschlusssachen entsprechend.
Näheres zur zusätzlichen Kennzeichnung von elektronischen Verschlusssachen, zum
Beispiel anhand von Metadaten, regelt eine Technische Leitlinie des Bundesamtes
für Sicherheit in der Informationstechnik.
(10)
Datenträger, auf denen Verschlusssachen unverschlüsselt gespeichert sind, sind
mit dem Geheimhaltungsgrad der höchsten Einstufung der darauf gespeicherten
Verschlusssachen zu kennzeichnen. Datenträger, auf denen ausschließlich
Verschlusssachen gespeichert sind, die mit einem vom Bundesamt für Sicherheit
in der Informationstechnik zugelassenen Produkt verschlüsselt wurden, müssen
nicht gekennzeichnet werden.
(11)
Die verbindliche Gestaltung der Kennzeichnung von Verschlusssachen, VS-
Schriftgutbehältern und Behältern von VS-Datenträgern ist der Anlage 4 sowie
den Mustern 13 bis 15 der Anlage 8 zu entnehmen. Von der Kennzeichnung sind
VS-Transportbehälter ausgenommen.
(12)
Zur Kennzeichnung von Verschlusssachen ausländischer Staaten und über- oder
zwischenstaatlicher Organisationen sind die Regelungen nach Anlage 7 zu
beachten.
§ 21
Verwaltung und Nachweisführung
(1)
Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH dürfen,
soweit sie nicht Bestandteil höher eingestufter Verschlusssachen sind, in
offenen Registraturen verwaltet werden.
(2)
Verschlusssachen der Geheimhaltungsgrade VS VERTRAULICH oder höher sind in
VS-Registraturen mittels geeigneter Verfahren so zu verwalten, dass ihre
Existenz, ihre Einstufung einschließlich der Einstufungsfrist, ihr Verbleib,
die erfolgten Kenntnisnahmen, ihre Vervielfältigung und deren Verbleib sowie
ihre Vernichtung nachvollziehbar sind (Nachweisführung).
(3)
Die Nachweisführung kann in Papierform oder elektronisch erfolgen. Die gewählte
Form muss ausreichend Schutz vor unbemerkter Veränderung, Verlust und
Verfälschung bieten. Die Nachweisführung von Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder höher erfolgt anhand von
VS-Bestandsverzeichnissen, VS-Quittungsbüchern, VS-Begleitzetteln,
VS-Empfangsscheinen, VS-Übergabeprotokollen und VS-Vernichtungsprotokollen.
Verbindliche Muster für diese Nachweise sind der Anlage 8 zu entnehmen. Zur
elektronischen Nachweisführung von Verschlusssachen kann auch ein
VS-Registratursystem verwendet werden. VS-Registratursysteme unterliegen als
VS-IT sinngemäß den Bestimmungen des Abschnitts VIII.
(4)
VS-Datenträger, ihr Verbleib und ihre Vernichtung sind in einem gesonderten
VS-Bestandsverzeichnis nachzuweisen. Für die eindeutige Identifizierbarkeit
genügt die Angabe eines Ordnungskriteriums, zum Beispiel einer laufenden Nummer.
(5)
VS-Bestandsverzeichnisse sind gemäß dem höchsten Geheimhaltungsgrad der in
ihnen nachgewiesenen Verschlusssachen einzustufen. Der Zugriff auf das
VS-Bestandsverzeichnis ist nur den Geheimschutzbeauftragten, den besonders
beauftragten Mitarbeitenden und den VS-Registrierenden gestattet.
(6)
Bei Wechsel einer oder eines VS-Registrierenden ist der Bestand zu überprüfen
und ein Bestandsbericht in Form eines Übergabeprotokolls nach Muster 20 der
Anlage 8 zu fertigen.
(7)
VS-Nachweise sind mindestens fünf Jahre aufzubewahren. Nach Ablauf der Frist
sind VS-Nachweise zu vernichten. Für VS-Quittungsbücher beginnt die Frist mit
der letzten Eintragung, für VS-Empfangsscheine, VS-Begleitzettel,
VS-Übergabeprotokolle und VS-Vernichtungsprotokolle mit ihrer Ausstellung. Für
VS-Bestandsverzeichnisse beginnt die Frist, wenn alle in ihnen nachgewiesenen
Verschlusssachen auf den Geheimhaltungsgrad VS-NUR FÜR DEN DIENSTGEBRAUCH
herabgestuft, offengelegt, abgegeben oder vernichtet worden sind. Wenn in einem
VS-Bestandsverzeichnis nur noch wenige Verschlusssachen nachgewiesen werden,
können die Einträge unter Beibehaltung ihrer Tagebuchnummer in ein anderes
VS-Bestandsverzeichnis übertragen werden und sind fortan nur dort nachzuweisen.
In diesem Fall beginnt die Aufbewahrungsfrist für das abgeschlossene VS-Bestandsverzeichnis
mit der Übertragung der Einträge.
(8)
Näheres zur Verwaltung und Nachweisführung von Verschlusssachen ist der Anlage
4 zu entnehmen.
(9)
Für Verschlusssachen ausländischer Staaten und über- oder zwischenstaatlicher
Organisationen sind die Regelungen nach Anlage 7 zu beachten.
§ 22
Vervielfältigung
(1)
Vervielfältigung ist die absichtliche Herstellung von weiteren Exemplaren einer
Ausfertigung einer Verschlusssache, unabhängig von der Darstellungsform. Dies
gilt insbesondere für fotomechanische Kopien, Scans, Abdrucke einer
elektronisch dargestellten Verschlusssache, elektronische Kopien von Dateien,
den elektronischen Versand, Auszug und Nachbau.
(2)
Jede Vervielfältigung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH
oder höher ist mit einer fortlaufenden Nummer und dem jeweiligen Empfänger so
zu kennzeichnen, dass sie als weiteres Exemplar einer Verschlusssache (Kopie)
eindeutig erkennbar ist und der Original-Verschlusssache zugeordnet werden
kann. Sie ist als weiteres Exemplar unverzüglich nach § 21 zu registrieren.
(3)
In Dienststellen, in denen Verschlusssachen der Geheimhaltungsgrade
VS-VERTRAULICH oder höher hergestellt oder vervielfältigt werden, sollen
hierfür bestimmte Stellen mit hierzu ermächtigtem Personal festgelegt werden.
Soweit dies nicht geschieht, sind Vervielfältigungen dieser Verschlusssachen
durch die Mitarbeitenden der VS-Registratur zu fertigen. Die Arbeiten sind in
Gegenwart einer weiteren entsprechend ermächtigten Person durchzuführen (Vieraugenprinzip).
(4)
Die Vervielfältigung von Verschlusssachen des Geheimhaltungsgrades STRENG
GEHEIM bedarf zusätzlich der schriftlichen Zustimmung des Herausgebers. Die
Zustimmung ist im VS Bestandverzeichnis zu vermerken.
(5)
Werden in VS-IT Kopien von den dort registrierten Verschlusssachen als
Backup-Daten zur Sicherung der Verfügbarkeit benötigt, sind diese in einem
gesonderten Bestandsverzeichnis in der Art nachzuweisen, dass jederzeit
feststellbar ist, welche Verschlusssachen als Kopie darin gespeichert sind.
§ 23
Aufbewahrung
(1)
Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH können,
soweit sie nicht Bestandteil höher eingestufter Verschlusssachen sind in einer
offenen Registratur dauerhaft aufbewahrt werden. Die dauerhafte Aufbewahrung
von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher erfolgt
in VS-Registraturen. Die Aufbewahrung außerhalb der VS-Registratur ist nur für
den Zeitraum zulässig, für den ein fortgesetzter Zugriff der Bearbeiterin oder
des Bearbeiters auf die Verschlusssache notwendig ist. VS-Registrierende
erkundigen sich in angemessenen Zeitabständen, ob diese Voraussetzung
weiterbesteht.
(2)
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher sind bei
Nichtgebrauch in einem VS-Verwahrgelass gemäß § 44 einzuschließen. Dies gilt
für Verschlusssachen des Geheimhaltungsgrades STRENG GEHEIM bereits bei kurzer
Abwesenheit der die Verschlusssache bearbeitenden oder verwaltenden Personen.
VS-VERTRAULICH oder GEHEIM eingestufte Verschlusssachen können bei einer kurzen
Abwesenheit der die Verschlusssache bearbeitenden oder verwaltenden Personen
während der Arbeitszeit im VS-Arbeitsbereich (VS-IT-Räume und andere Räume, in
denen Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher
gehandhabt werden) verbleiben, sofern die Zimmertür mit einem
Sicherheitsschloss verschlossen ist. Verschlusssachen des Geheimhaltungsgrades
VS-NUR FÜR DEN DIENSTGEBRAUCH sind bei Nichtgebrauch in verschlossenen
Behältern oder abgeschlossenen Räumen aufzubewahren.
(3)
Ist eine Aufbewahrung von Verschlusssachen des Geheimhaltungsgrades
VS-VERTRAULICH oder höher nach den Absätzen 1 und 2 nicht möglich, so sind die
Verschlusssachen bei einer anderen Dienststelle unterzubringen, die die
erforderlichen Voraussetzungen erfüllt. Bei Verschlusssachen bis zum
Geheimhaltungsgrad VS-Vertraulich ist die Aufbewahrung in einem Bankschließfach
zulässig, wenn sichergestellt ist, dass nur befugte Personen dazu Zugriff
erhalten.
(4)
Nichtdeutsche Verschlusssachen der Nordatlantischen Vertragsorganisation
(NATO), des Geheimhaltungsgrades COSMIC TOP SECRET oder mit dem Warnvermerk
ATOMAL oder höher sind der Zentralregistratur bei der Nationalen
Sicherheitsbehörde für den Geheimschutz beim Bundesministerium der Verteidigung
zur Aufbewahrung zuzuleiten.
(5)
Nichtdeutsche Verschlusssachen der Europäischen Union des Geheimhaltungsgrades
TRES SECRET UE/EU TOP SECRET sind der Zentralregistratur beim Auswärtigen Amt
zur Aufbewahrung zuzuleiten.
§ 24
Grundsätze zur Weitergabe
(1)
Weitergabe ist insbesondere
1.
die Weitergabe von Hand zu Hand,
2.
die Beförderung durch Boten,
3.
der Versand durch Kuriere,
4.
der Versand durch private Zustelldienste,
5.
die mündliche Mitteilung,
6.
die Übertragung über technische Kommunikationsverbindungen oder
7.
die Bereitstellung in einem Kommunikationsnetzwerk.
(2)
Jeder hat sich vor der Weitergabe von Verschlusssachen zu vergewissern, dass
der vorgesehene Empfänger zur Annahme oder Kenntnisnahme berechtigt ist.
(3)
Die Weitergabe von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder
höher soll über die VS-Registratur erfolgen. Verschlusssachen des
Geheimhaltungsgrades STRENG GEHEIM dürfen nur mit Zustimmung des Herausgebers
weitergegeben werden. Die Weitergabe und die gegebenenfalls erforderliche
Zustimmung sind nachzuweisen.
(4)
Zwischen zwei getrennt liegenden Gebäuden, die nicht zu einer geschlossenen
Gebäudegruppe gehören, sollen Verschlusssachen grundsätzlich mittels technischer
Kommunikationsverbindungen nach § 55 übertragen werden. Ist dies nicht möglich,
sollen sie durch Kuriere versandt werden. Ist auch dies nicht möglich, können
Verschlusssachen bis zum Geheimhaltungsgrad GEHEIM durch private Zustelldienste
versandt werden.
(5)
Die Geheimschutzbeauftragten können besondere Regelungen zur Weitergabe von
Verschlusssachen innerhalb einer Gemeinschaft von Geheimnisträgern festlegen.
(6)
Die Hinweise der Anlagen 4 und 5 zur Weitergabe und zum Versand von
Verschlusssachen sind zu beachten.
(7)
Die Weitergabe von nichtdeutschen Verschlusssachen der NATO, des
Geheimhaltungsgrades COSMIC TOP SECRET oder mit dem Warnvermerk ATOMAL oder
höher erfolgt über die Zentralregistratur bei der Nationalen Sicherheitsbehörde
für den Geheimschutz beim Bundesministerium der Verteidigung als zentrale
Ausgangsstelle.
(6)
Nichtdeutsche Verschlusssachen der Europäischen Union des Geheimhaltungsgrades
TRES SECRET UEEU TOP SECRET werden über die Zentralregistratur beim Auswärtigen
Amt als zentrale Ausgangsstelle weitergegeben.
§ 25
Weitergabe an nichtöffentliche Stellen
(1)
Die Weitergabe von Verschlusssachen an nichtöffentliche Stellen ist nur
zulässig, wenn sie im staatlichen Interesse erforderlich ist. Das ist insbesondere
bei der Durchführung eines staatlichen Auftrages oder zur Analyse oder Abwehr
von Gefahren für die Sicherheit von Kritischen Infrastrukturen, von sonstigen
Unternehmen im staatlichen Interesse oder einer Stelle des Bundes oder Landes
anzunehmen.
(2)
Vor der Weitergabe von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH
oder höher ist ein Nachweis über die durchgeführte Sicherheitsüberprüfung nach
dem Sicherheitsüberprüfungsgesetz Nordrhein-Westfalen der empfangsberechtigten
Personen der nichtöffentlichen Stellen einzuholen. Die §§ 3 und 4 gelten
entsprechend.
(3)
Der Nachweis kann durch eine gültige Bescheinigung des
Sicherheitsbevollmächtigten nach § 29 Absatz 2 des
Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen erbracht werden, wenn ein
im Vorfeld der Weitergabe grundsätzlich bei dem für die Wirtschaft zuständigen
Ministerium anzufordernder im Verfahren der geheimschutzbetreuten Wirtschaft
vorgesehener Sicherheitsbescheid über die beteiligten nichtöffentlichen Stellen
vorliegt.
(4)
Bei der Weitergabe von Verschlusssachen an nichtöffentliche Stellen muss
mindestens ein Schutzniveau entsprechend dieser Verschlusssachenanweisung
gewährleistet sein.
§ 26
Weitergabe an den Landtag, den Bundestag, die Parlamente
anderer Länder sowie an Bundes- und Landesbehörden
(1)
Die Weitergabe von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder
höher an den Landtag, den Bundestag, die Parlamente anderer Länder sowie an
sonstige Bundes- oder Landesbehörden erfolgt über die zuständige oberste
Landesbehörde grundsätzlich an die VS-Registratur der empfangenden Stelle.
(2)
Die Weitergabe von Verschlusssachen an den Bund oder an ein anderes Land ist
nur zulässig, sofern dort Regelungen zum Schutz von Verschlusssachen
entsprechend dieser Verschlusssachenanweisung gelten oder sich die jeweilige
Bundes- oder Landesbehörde zum Schutz von Verschlusssachen entsprechend dieser
Verschlusssachenanweisung verpflichtet. Das gilt auch für den Zugriff auf VS-IT
sowie für die Teilnahme an einem VS-IT-System des Landes Nordrhein-Westfalen.
§ 27
Empfang
(1)
Beim Empfang von Verschlusssachen des Geheimhaltungsgrades VS-VERTRAULICH oder
höher sind
1.
die Sendungen umgehend der VS-Registratur zuzuleiten und nach § 21 zu verwalten
beziehungsweise nachzuweisen; sofern mehrere Verschlusssachen übermittelt
werden oder auf Datenträger eingehen, sind diese einzeln nachzuweisen,
2.
die Integrität, Authentizität und Vollständigkeit der Sendungen zu prüfen und
3.
der Empfang mit dem Ergebnis der Prüfung gegenüber der VS-Verwaltung des
Absenders unverzüglich zu bestätigen.
(2)
Zeigen sich Hinweise auf unbefugte Kenntnisnahme, Unvollständigkeit oder
Veränderung, so sind die Geheimschutzbeauftragten und die absendenden Stellen
unverzüglich zu benachrichtigen.
(3)
Auf den VS-Empfangsscheinen nicht elektronisch eingehender Sendungen vermerkt
die empfangende Stelle das Datum des Empfangstages und sendet die
Empfangsscheine mit Unterschrift und Dienststempelabdruck versehen unverzüglich
an die absendende Stelle zurück.
(4)
Bei elektronischer Übermittlung von Verschlusssachen genügt eine elektronische
Empfangsbestätigung.
§ 28
Mitnahme von Verschlusssachen außerhalb des Dienstgebäudes
(1)
Verschlusssachen dürfen außerhalb des Dienstgebäudes oder einer Liegenschaft
nur auf Dienstreisen und zu Dienstbesprechungen mitgenommen werden, soweit dies
dienstlich notwendig ist und sie angemessen gegen unbefugte Kenntnisnahme und
unbefugten Zugriff gesichert werden. Die Mitnahme von VS-VERTRAULICH oder höher
eingestuften Verschlusssachen aus anderem Anlass zum Beispiel zur Bearbeitung
in der Privatwohnung) ist unzulässig. In besonderen Fällen können die
Geheimschutzbeauftragten Ausnahmen zulassen. Die Mitnahme von VS-NUR FÜR DEN
DIENSTGEBRAUCH eingestuften Verschlusssachen richtet sich nach Nummer 7 der
Anlage 5.
(2)
Innerhalb des Bundesgebiets ist auf die persönliche Mitnahme von
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher
grundsätzlich zu verzichten. Diese Verschlusssachen sind nach Möglichkeit im
Voraus mittels technischer Kommunikationsverbindungen nach dieser
Verschlusssachenanweisung an eine Dienststelle am Zielort, die selbst
Verschlusssachen verwaltet und aufbewahrt, zu übertragen.
(3)
Die Mitnahme von Verschlusssachen des Geheimhaltungsgrades STRENG GEHEIM bedarf
der vorherigen Zustimmung durch die Geheimschutzbeauftragten. Dies gilt ebenso
bei der Mitnahme von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH
und GEHEIM in das Ausland.
(4)
Ist eine elektronische Übermittlung nicht möglich, sind Verschlusssachen des
Geheimhaltungsgrades VS-VERTRAULICH in einem äußerlich neutralen und
verschlossenen VS-Transportbehälter zu transportieren. An verdeckter Stelle ist
die Anschrift der Dienststelle anzubringen. Die Mitnahme von Verschlusssachen
der Geheimhaltungsgrade GEHEIM oder höher ist grundsätzlich nur in einem
Dienstwagen gestattet. Ist dies nicht möglich, sind Verschlusssachen des
Geheimhaltungsgrades GEHEIM oder höher durch mindestens zwei ausreichend ermächtigte
oder zugelassene Personen zu befördern.
(5)
Verschlusssachen in elektronischer Form sind auf hierfür zugelassener VS-IT
oder mit einem zugelassenen Verfahren verschlüsselt auf einem Datenträger zu
transportieren. Auf Datenträgern verschlüsselt gespeicherte Verschlusssachen
und die Schlüssel für die Kryptierung sind möglichst getrennt zu befördern.
(6)
An empfangende Stellen außerhalb des Bundesgebiets sind Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder höher nach Möglichkeit durch den
Kurierdienst des Auswärtigen Amtes an die zuständige Auslandsvertretung voraus
zuzusenden und nach Erledigung des Dienstgeschäftes auf demselben Weg
zurückzusenden. Ist dies nicht möglich, so versiegelt das Auswärtige Amt
beziehungsweise die zuständige Auslandsvertretung die verpackten
Verschlusssachen und stellt eine Bescheinigung aus, nach der ihre Inhaberin
oder Inhaber zur Mitnahme des versiegelten Stückes als „Kuriergepäck“
berechtigt ist. Ebenfalls zulässig ist die elektronische Übertragung mittels
einer nach dieser Verschlusssachenanweisung zugelassenen technischen
Kommunikationsverbindung. Die persönliche Mitnahme von Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder GEHEIM ist ohne Mitwirkung des
Auswärtigen Amtes nur gestattet, wenn sich diese in elektronischer Form auf
hierfür zugelassener VS-IT oder mit einem zugelassenen Verfahren verschlüsselt
auf einem Datenträger befinden. Die persönliche Mitnahme von STRENG GEHEIM
eingestuften Verschlusssachen im grenzüberschreitenden Verkehr ist unzulässig.
(7)
Bei Mitnahme von Verschlusssachen sind diese ständig in persönlichem Gewahrsam
zu halten oder nach § 23 aufzubewahren. Die Aufbewahrung in Hotelzimmern bei
persönlicher Abwesenheit, Hotelsafes, Gepäckschließfächern oder in unbesetzten
Fahrzeugen ist unzulässig.
§ 29
Erörterung
(1)
Die Erörterung von Verschlusssachen in der Öffentlichkeit ist zu unterlassen.
(2)
Sollen Verschlusssachen in Dienstbesprechungen erörtert werden, so ist darauf bei
der Einladung unter Angabe des Geheimhaltungsgrades hinzuweisen.
(3)
Die entsendenden Dienststellen gewährleisten, dass nur ausreichend ermächtigte
Teilnehmende entsandt werden und stellen bei beabsichtigter Erörterung von
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher eine
Konferenzbescheinigung über die bestehende Ermächtigung nach Muster der Anlage
8 aus, soweit die einladende Stelle dies aus besonderen Gründen für
erforderlich hält.
(4)
Vor Beginn der Dienstbesprechung hat die Veranstaltungsleitung auf die
Geheimhaltungsbedürftigkeit der Erörterungen hinzuweisen und sich zu
vergewissern, dass alle teilnehmenden Personen ausreichend ermächtigt sind.
(5)
Aufzeichnungen bedürfen der Zustimmung der Veranstaltungsleitung und sind als
Verschlusssachen zu behandeln. Über das Mitführen von Bild- und
Tonaufzeichnungsgeräten, mobilen Telekommunikationsgeräten und sonstiger
Informationstechnik soll die Veranstaltungsleitung vor deren Beginn entscheiden.
(6)
Zur Erörterung von Verschlusssachen der Geheimhaltungsgrade STRENG GEHEIM oder
GEHEIM, sollen abhörsichere oder abhörgeschützte Räume benutzt werden. Vor
Konferenzen auf hoher Ebene oder solchen von besonderer Bedeutung ist die
Verfassungsschutzbehörde gegebenenfalls unter Beteiligung des Bundesamtes für
Sicherheit in der Informationstechnik oder anderer geeigneter Stellen
rechtzeitig bei der Planung und Umsetzung der notwendigen Abhörschutzmaßnahmen
beratend hinzuzuziehen.
§ 30
Aussonderung
Verschlusssachen
der Geheimhaltungsgrade VS-Vertraulich oder höher, welche zur Aufgabenerfüllung
nicht mehr benötigt werden, sind aus dem Bestand der Dienststelle zur
Archivierung oder Vernichtung nach den §§ 31 und 32 auszusondern.
§ 31
Archivierung
Die
Dienststellen bieten, soweit gesetzlich nichts anderes bestimmt ist, ihre nicht
mehr benötigten Verschlusssachen dem Landesarchiv zur Archivierung an. Das
Verfahren der Übergabe ist zuvor mit dem Landesarchiv abzusprechen. Dabei ist
sicherzustellen, dass die erforderlichen Maßnahmen zum Schutz der zu
übergebenden Verschlusssache dem jeweiligen Geheimhaltungsgrad entsprechend bei
der Weitergabe und Aufbewahrung ergriffen werden. Näheres ergibt sich aus der
Anlage 6 „Richtlinie über die Abgabe von VS-Material an das Landesarchiv NRW“.
Im Übrigen gelten die Bestimmungen des Archivgesetzes Nordrhein-Westfalen vom
16. März 2010 (GV. NRW. S 188) in der jeweils geltenden Fassung.
§ 32
Vernichtung
(1)
Verschlusssachen, die das Landesarchiv nicht übernimmt, sind so zu vernichten,
dass der Inhalt weder erkennbar ist, noch erkennbar gemacht werden kann.
(2)
Für die Vernichtung dürfen nur Produkte eingesetzt, Verfahren angewandt oder
Dienstleister beauftragt werden, die die Anforderungen des Bundesamtes für
Sicherheit in der Informationstechnik erfüllen.
(3)
Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH dürfen
von den Bearbeitenden an den dafür vorgesehenen Orten selbst vernichtet werden.
(4)
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher dürfen nur
auf Weisung einer zeichnungsbefugten VS-Bearbeiterin beziehungsweise eines
zeichnungsbefugten VS- Bearbeiters durch befugte Mitarbeiterinnen und
Mitarbeiter der VS-Registratur vernichtet werden. Diese Mitarbeiterinnen und
Mitarbeiter der VS-Registratur prüfen die Verschlusssachen vor der Vernichtung
auf ihre Vollständigkeit. Die Vernichtung wird mittels Vernichtungsprotokoll
und Vermerk der Vernichtungsprotokollnummer im VS-Bestandsverzeichnis
nachgewiesen. Dabei ist
unter Angabe
der Ausfertigungsnummer und Seitenzahl zu vermerken, an welchem Tag welche
Verschlusssachen oder welche Teile davon vernichtet wurden und wer die Weisung
zur Vernichtung erteilt hat. Das Vernichtungsprotokoll ist von der oder dem
ausführenden VS-Registrierenden und von einer Zeugin beziehungsweise einen
Zeugen zu unterschreiben.
(5)
Ist die Vernichtung von Verschlusssachen technisch nur für eine
Zusammenstellung von Verschlusssachen möglich zum Beispiel im Falle von
Verschlusssachen, die auf einem Datenträger gespeichert sind, ist die
Vernichtung grundsätzlich so lange auszusetzen, bis alle Verschlusssachen der
Zusammenstellung vernichtet werden können. Ist die vorherige Vernichtung
einzelner Dokumente unabdingbar, können die noch benötigten Dateien vor
Vernichtung der Zusammenstellung nach den Bestimmungen dieser
Verschlusssachenanweisung vervielfältigt werden.
(6)
Bei der Vernichtung von Datenträgern, Kryptomitteln und sonstigen registrierten
IT-Produkten sind die Vorschriften in Abschnitt VIII ergänzend zu beachten.
§ 33
VS-Zwischenmaterial
(1)
Für die Behandlung von VS-Zwischenmaterial sind Abweichungen bei der
Kennzeichnung und beim Nachweis sowie bei der Vernichtung zugelassen.
(2)
VS-Zwischenmaterial, das nicht an Dritte weitergegeben und das unverzüglich
vernichtet wird, braucht weder als Verschlusssache gekennzeichnet noch
nachgewiesen zu werden.
(3)
VS-Zwischenmaterial, das nicht unverzüglich vernichtet wird, ist mit dem entsprechenden
Geheimhaltungsgrad und dem Zusatz „VS-Zwischenmaterial“ zu kennzeichnen. Bei
Weitergabe von VS-Zwischenmaterial zu Verschlusssachen der Geheimhaltungsgrade
VS-VERTRAULICH oder höher an Dritte ist ein Nachweis erforderlich; dies gilt
nicht bei Weitergabe an die VS-Registratur.
(4)
Für die Vernichtung von VS-Zwischenmaterial gilt § 32 mit Ausnahme des Absatzes
4 Satz 2 bis 5 entsprechend.
Abschnitt VI:
Zusammenarbeit mit nichtdeutschen Stellen und
nichtöffentlichen Stellen mit Sitz im Ausland
§ 34
Weitergabe von deutschen Verschlusssachen an nichtdeutsche Stellen und
nichtöffentliche Stellen mit Sitz im Ausland
(1)
Für
die Weitergabe von deutschen Verschlusssachen an nichtdeutsche Stellen und
nichtöffentliche Stellen mit Sitz im Ausland gelten die Regelungen des § 34 der
Allgemeinen Verwaltungsvorschrift zum materiellen Geheimschutz vom 13. März
2023 (GMBl. S. 542) in der jeweils geltenden Fassung, im Folgenden VSA-Bund,
mit der Maßgabe, dass das für Inneres zuständige Ministerium als Verfassungsschutzbehörde
des Landes Nordrhein-Westfalen an die Stelle des für Inneres zuständige
Bundesministerium tritt.
(2)
Verschlusssachen
sind vor der Weitergabe so zu kennzeichnen, dass die empfangende Stelle diese
entsprechend zu handhaben versteht.
§ 35
Empfang und Handhabung nichtdeutscher Verschlusssachen
(1)
Nichtdeutsche Verschlusssachen, zu deren Schutz deutsche Dienststellen
verpflichtet sind, sind nach dem deutschen Geheimhaltungsgrad, der dem
Geheimhaltungsgrad der empfangenen Verschlusssache entspricht, und den
getroffenen Vereinbarungen oder der Zusicherung nach Absatz 2 zu behandeln.
Über- oder zwischenstaatliche Regelungen bleiben unberührt.
(2)
Soweit kein Regierungs- oder Ressortgeheimschutzabkommen oder ein
entsprechendes internationales Abkommen vorliegt, dürfen deutsche Stellen mit
Zustimmung der Verfassungsschutzbehörde zum Empfang nichtdeutscher
Verschlusssachen Zusicherungen entsprechend § 34 Absatz 4 VSA-Bund gegenüber
nichtdeutschen Stellen abgeben. Diese sind mindestens so lange aufzubewahren
wie die Verschlusssachen, auf die sie sich beziehen.
(3)
Alle Rechte des nichtdeutschen Herausgebers bleiben unberührt.
§ 36
Sicherheitsakkreditierung
IT-Systeme
zur Handhabung von Verschlusssachen über- oder zwischenstaatlicher
Organisationen müssen einem Sicherheitsakkreditierungsverfahren gemäß § 36
VSA-Bund unterzogen werden. Das für Inneres zuständige Bundesministerium als
Nationale Sicherheitsbehörde für den Geheimschutz ist im Sinne der nationalen
Zuständigkeit Sicherheitsakkreditierungsstelle (SAA) für IT- Systeme zur
Handhabung von Verschlusssachen über - oder zwischenstaatlicher Organisationen.
§ 37
Ergänzende Bestimmungen
Ergänzend
zu den Bestimmungen dieses Abschnittes sind zur Handhabung von Verschlusssachen
ausländischer Staaten sowie über- oder zwischenstaatlicher Organisationen § 37
VSA- Bund sowie die Hinweise der Anlage 7 zu beachten.
Abschnitt VII:
Materielle und technische Maßnahmen
§ 38
Planung und Durchführung
(1)
Bei der Planung und Durchführung von Baumaßnahmen, die der Absicherung von
Verschlusssachen dienen, sind rechtzeitig die notwendigen
Geheimschutzvorkehrungen zu treffen. Die Richtlinien für Sicherheitsmaßnahmen
bei der Durchführung von Bauaufgaben (RiSBau) sind in ihrer jeweils geltenden
Fassung anzuwenden.
(2)
Bei der Planung von VS-Aktensicherungsräumen, Räumen in denen Verschlusssachen
der Geheimhaltungsgrade VS-Vertraulich oder höher gehandhabt werden,
VS-IT-Räumen und -Bereichen, Sicherheitsbereichen, Alarmanlagen zum Schutz von
Verschlusssachen, Telekommunikationsanlagen und abhörsicheren oder
abhörgeschützten Räumen ist die Verfassungsschutzbehörde gegebenenfalls unter
Hinzuziehung des Bundesamtes für Sicherheit in der Informationstechnik beratend
hinzuzuziehen.
§ 39
Räumliche Sicherheitsmaßnahmen
(1)
VS-Arbeitsbereiche sind so zu schützen, dass Unbefugte am Zutritt gehindert
werden. Unberechtigte Zutrittsversuche sollen automatisiert aufgezeichnet
werden.
(2)
Mit der Handhabung von Verschlusssachen befasste Organisationseinheiten und
Personen sind nach Möglichkeit räumlich zusammenzufassen.
(3)
Sofern Umfang und Bedeutung der dort anfallenden Verschlusssachen es erfordern,
sind in einer Behörde oder sonstigen öffentlichen Stelle des Landes oder in
einem Teil von ihr von der jeweils zuständigen obersten Landesbehörde oder
obersten Aufsichtsbehörde im Einvernehmen mit der Verfassungsschutzbehörde
Sicherheitsbereiche einzurichten. Diese sind durch personelle, organisatorische
und technische Maßnahmen gegen den Zutritt durch Unbefugte zu schützen. Zutritt
zu diesen Bereichen darf nur an Stellen möglich sein, an denen eine
zuverlässige Prüfung der Zutrittsberechtigung stattfindet. Als
Sicherheitsbereiche kommen sowohl einzelne oder mehrere Räume als auch Gebäude
oder Gebäudegruppen in Betracht.
(4)
Personen, die in einem Sicherheitsbereich tätig sind, sind beim Betreten des
Sicherheitsbereiches anhand des Dienstausweises oder auf andere geeignete Weise
zu identifizieren. Besucher und Fremdpersonal sind nach Identitätsfeststellung
während des Aufenthalts im Sicherheitsbereich zu beaufsichtigen. Bei Besuchern
und Fremdpersonal, kann bei Vorliegen einer Konferenzbescheinigung nach Muster
der Anlage 8 oder eines anderen Nachweises über die erfolgreich durchgeführte
Sicherheitsüberprüfung nach dem Sicherheitsüberprüfungsgesetz
Nordrhein-Westfalen die Beaufsichtigung entfallen.
(5)
Das Kontrollpersonal ist über alle Arten von Ausweisen und Bescheinigungen, die
zum Betreten des Sicherheitsbereichs berechtigen, zu unterrichten. Die Aufgaben
des Kontrollpersonals sind in einer Dienstanweisung festzulegen.
(6)
In VS-Arbeitsbereichen und in Sicherheitsbereichen ist der Betrieb von privaten
Bild- und Tonaufzeichnungsgeräten, privater Informationstechnik und mobilen
Telekommunikations-Endgeräten wie zum Beispiel Mobiltelefon, Smartwatch und
Tablet am Arbeitsplatz grundsätzlich untersagt. Die Geheimschutzbeauftragten
können spezielle Regelungen festlegen, um den Betrieb zu erlauben oder das
Mitbringen zu untersagen.
§ 40
Technische Sicherung
(1)
Technische Mittel zur Sicherung von Verschlusssachen müssen die vom Bundesamt
für Sicherheit in der Informationstechnik festgelegten Anforderungen erfüllen.
Dies gilt insbesondere für:
1.
VS-Verwahrgelasse,
2.
VS-Schlüsselbehälter,
3.
Einbruch- und Überfallmeldeanlagen,
4.
Zutrittskontrollanlagen,
5.
VS-Transportbehälter,
6.
VS-Verpackungen,
7.
VS-Sicherheitstüren und -schlösser und
8.
technische Mittel zur Vernichtung von Verschlusssachen.
(2)
Das Bundesamt für Sicherheit in der Informationstechnik gibt eine auf
Eignungsfeststellungen basierende aktuelle Liste der geeigneten technischen
Mittel als Technische Leitlinie heraus.
(3)
Stehen keine technischen Mittel mit Eignungsfeststellung zur Verfügung, kann
die Verfassungsschutzbehörde im Einzelfall auch den Einsatz anderer technischer
Mittel gestatten, soweit diese einen vergleichbaren Schutz bieten.
§ 41
Abhörschutzmaßnahmen
(1)
Dienststellen haben Vorkehrungen zu treffen, damit ihre Telekommunikations- und
Informationstechnik nicht dazu missbraucht werden kann, Raum- und
Telefongespräche abzuhören.
(2)
Dienststellen richten Räume, in denen häufig oder regelmäßig Gespräche mit
Inhalten, die den Geheimhaltungsgraden VS-VERTRAULICH oder höher unterliegen,
geführt werden, abhörgeschützt oder abhörsicher wie folgt ein:
1.
VS-VERTRAULICH Abhörgeschützter Raum,
2.
GEHEIM Abhörgeschützter Raum und
3.
STRENG GEHEIM Abhörsicherer Raum.
(3)
Verfügt die Dienststelle über einen Sicherheitsbereich, sollen Räume nach
Absatz 2 grundsätzlich innerhalb dieses Sicherheitsbereichs eingerichtet
werden. Sie sind gegen den unbemerkten Zutritt Unbefugter zu schützen und
mindestens mit einer akustischen Dämpfung auszustatten, die ein Mithören von
außen hinreichend ausschließt. Zudem sind sie so einzurichten, dass
Versteckmöglichkeiten für Abhöreinrichtungen nach Möglichkeit beschränkt sind
und Manipulationsprüfungen wirksam und in angemessener Zeit durchgeführt werden
können. Art und Umfang des Schutzes legen die Geheimschutzbeauftragten unter
Berücksichtigung der Lage und des bestehenden Umgebungsschutzes fest.
(4)
Abhörsichere Besprechungsräume sind so zu gestalten, dass auch eine unbefugte
Übertragung von Gesprächen mittels technischer Hilfsmittel, wie zum Beispiel
Abhörgeräten, nach außen verhindert wird. Näheres regelt eine Technische
Leitlinie des Bundesamtes für Sicherheit in der Informationstechnik.
(5)
Geräte, die geeignet sind Bild- und/oder Tonaufnahmen zu erstellen, zu
speichern oder zu übertragen, zum Beispiel Mobiltelefone, Smartphones,
Smartwatch, Tablets, Notebooks, Kameras, Diktiergeräte, dürfen in
abhörgeschützten oder abhörsicheren Räumen nicht mitgeführt werden, wenn diese
für Gespräche mit Inhalten, die den Geheimhaltungsgrad VS-VERTRAULICH oder
höher unterliegen genutzt werden. Ausnahmen bedürfen im Einzelfall der
Zustimmung der Geheimschutzbeauftragten.
§ 42
Dienststellen mit besonderem Geheimschutzbedarf
Dienststellen
die in besonderem Maße Ziel von Angriffen auf Vertraulichkeit, Verfügbarkeit,
Integrität und Authentizität von Verschlusssachen sind (Dienststellen mit
besonderem Geheimschutzbedarf), treffen in Abstimmung mit der
Verfassungsschutzbehörde erforderliche weitere Sicherheitsvorkehrungen.
Insbesondere sind regelmäßige Beratungen und Prüfungen durch die
Verfassungsschutzbehörde vorzusehen. Für die die Durchführung haben die
Dienststellen die erforderliche Unterstützung zu gewähren.
§ 43
VS-Registraturen
(1)
VS-Registraturen werden in Sicherheitsbereichen, sofern diese vorhanden sind,
gemäß § 39 Absatz 3 eingerichtet.
(2)
Außerhalb der Arbeitszeit sind sie zu bewachen oder durch eine Alarmanlage
technisch zu überwachen. In beiden Fällen ist sicherzustellen, dass Unbefugte
am Zutritt gehindert werden und ein Eindringen Unbefugter erkannt und
hilfeleistenden Stellen unverzüglich gemeldet werden kann.
(3)
Der Zutritt zu VS-Registraturen wird grundsätzlich nur den von den
Geheimschutzbeauftragten festgelegten Mitarbeiterinnen oder Mitarbeitern
gewährt. Alle anderen Personen sind, soweit ihnen ebenfalls Zutritt gewährt
werden muss, von Mitarbeiterinnen oder Mitarbeitern der VS-Verwaltung zu
begleiten.
§ 44
VS-Verwahrgelasse
(1)
VS-Verwahrgelasse sind besonders gesicherte Räume, Schränke oder sonstige
Behältnisse zur Aufbewahrung von Verschlusssachen.
(2)
Jede VS-Registratur verfügt über mindestens ein VS-Verwahrgelass.
(3)
§ 43 Absatz 2 gilt entsprechend. Bei Verschlusssachen der Geheimhaltungsgrade
GEHEIM oder VS-VERTRAULICH kann eine Bewachung beziehungsweise technische
Überwachung des VS-Verwahrgelasses unterbleiben, wenn das Gebäude oder der
Gebäudeteil, in dem sich das Verwahrgelass befindet, bewacht oder technisch
überwacht ist. Näheres über Art und Umfang der Bewachung und technischen
Überwachung legen die Geheimschutzbeauftragten unter Berücksichtigung des
Schutzziels für die jeweiligen VS-Verwahrgelasse und Gebäude fest.
(4)
Ein VS-Verwahrgelass kann von mehreren Personen genutzt werden, soweit dem
Grundsatz „Kenntnis nur, wenn nötig“ durch geeignete technische Maßnahmen
Rechnung getragen wird. Diese legen die Geheimschutzbeauftragten in
Abhängigkeit von den dort aufbewahrten Verschlusssachen und den zum Zugang berechtigten
Personen fest. Die technischen Maßnahmen sind in der Geheimschutzdokumentation
zu beschreiben.
(5)
Unberechtigte Zugangs-, Zutritts- beziehungsweise Zugriffsversuche sind, soweit
technisch möglich, zu protokollieren.
§ 45
VS-IT-Räume und -Bereiche
(1)
Räume und Bereiche, in denen VS-IT zur Handhabung von Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder höher eingesetzt wird, sind, sofern
vorhanden, in bestehende Sicherheitsbereiche einzugliedern oder als
eigenständige Sicherheitsbereiche nach § 39 Absatz 3 einzurichten.
(2)
Sicherungsmaßnahmen für Räume und Bereiche, in denen VS-IT ausschließlich zur
Handhabung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN
DIENSTGEBRAUCH eingesetzt wird, sind von den Geheimschutzbeauftragten
festzulegen.
§ 46
Zutritts- und Zugangsmittel
(1)
Zutritts- und Zugangsmittel zu VS-Arbeitsbereichen, Sicherheitsbereichen,
VS-Verwahrgelassen sowie zu abhörgeschützten und abhörsicheren Räumen, sind so
zu schützen, dass Unbefugte keinen Zugriff auf Verschlusssachen erhalten.
Dasselbe gilt für Zutritts- und Zugangsmittel zu VS-IT, mit der
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher gehandhabt
werden oder zu anderen Systemen zur technischen Überwachung von Verschlusssachen.
(2)
Gegenständliche Zutritts- und Zugangsmittel zum Beispiel Schlüssel sind
grundsätzlich während der Dienstzeit in persönlichem Gewahrsam zu halten und
vor Verlassen des Dienstgebäudes in einem VS-Verwahrgelass oder
VS-Schlüsselbehälter zu verschließen. Zutritts- und Zugangsmittel
unterschiedlicher Nutzerinnen und Nutzer sind möglichst voneinander getrennt zu
verschließen.
(3)
VS-Schlüsselbehälter sind möglichst zu beaufsichtigen. Die Schlüssel zu den
VS-Schlüsselbehältern beziehungsweise zu den Schließfächern verbleiben im
persönlichen Gewahrsam der Nutzerinnen und Nutzer.
(4)
Wissensbasierte Zutritts- und Zugangsmittel, zum Beispiel Zahlenkombinationen
oder Passwörter, dürfen nur den Berechtigten bekannt sein. Sie sind zu ändern:
1.
vor der erstmaligen Nutzung,
2.
bei einem Wechsel der Berechtigten,
3.
nach deren Nutzung in Abwesenheit des Berechtigten,
4.
bei einem Verdacht, dass sie bekannt geworden sind und
5.
anlassunabhängig mindestens alle zwölf Monate.
(5)
Zutritts- und Zugangsmittel nach Absatz 1 sind zentral zu verwalten und deren
Aus- oder Vergabe zu dokumentieren.
(6)
Für Notfälle sollen gegenständliche und wissensbasierte Reservezutritts- und
-zugangsmittel vorgehalten werden. Diese sind in beschrifteten und versiegelten
Umschlägen voneinander und von den Originalzutritts- und -zugangsmitteln
getrennt in VS-Verwahrgelassen aufzubewahren.
§ 47
Abnahmen und Wiederholungsprüfungen
(1)
Dienststellen stellen die ordnungsgemäße Funktion und Ausführung der eingesetzten
technischen Mittel zur Sicherung von Verschlusssachen und von abhörgeschützten
beziehungsweise abhörsicheren Räumen sowie die Einhaltung der Anforderungen der
jeweiligen Technischen Leitlinien jederzeit sicher.
(2)
Vor der ersten Inbetriebnahme von VS-Verwahrgelassen, VS-Registraturen, VS-IT
Räumen, abhörgeschützten und abhörsicheren Räumen und anderen vergleichbaren
Anlagen führt die Verfassungsschutzbehörde eine Abnahmeprüfung durch und
fertigt ein Prüfprotokoll an. Die Verfassungsschutzbehörde ist rechtzeitig über
eine anstehende Abnahmeprüfung zu unterrichten.
(3)
Nach wesentlichen Änderungen oder wenn eine Beeinträchtigung der Wirksamkeit
zum Beispiel durch Abnutzung oder Verschleiß zu erwarten ist, ist eine erneute
Abnahme erforderlich.
(4)
Abnahmen und Prüfprotokolle sind in der Geheimschutzdokumentation nachzuweisen.
§ 48
Lauschabwehrprüfungen
(1)
Abhörgeschützte und abhörsichere Räume sind auf Veranlassung der
Geheimschutzbeauftragten vor der erstmaligen Nutzung für Verschlusssachen und
danach stichprobenweise sowie anlassbezogen auf Manipulationen zu untersuchen,
die die Sicherheit der Verschlusssachen gefährden können (Lauschabwehrprüfung).
(2)
Lauschabwehrprüfungen werden im Auftrag der Dienststelle unter Hinzuziehung der
Verfassungsschutzbehörde durch geeignete Dritte durchgeführt. Die
Verfassungsschutzbehörde kann das Bundesamt für Sicherheit in der
Informationstechnik oder andere geeignete Stellen beratend hinzuzuziehen.
Anfallende Kosten sind durch die beauftragende Dienststelle zu tragen.
(3)
Die Geheimschutzbeauftragten legen die Häufigkeit der Stichproben in Abstimmung
mit der Verfassungsschutzbehörde fest. In Dienststellen nach § 42 soll die
Prüfung ausgewählter Räume mindestens alle vier Jahre durchgeführt werden.
(4)
Andere Räume sind bei Vorliegen eines Manipulationsverdachts oder aus Anlass
von Konferenzen von besonderer Bedeutung zu prüfen.
(5)
Die Dienststellen unterstützen die Verfassungsschutzbehörde und gegebenenfalls
das Bundesamt für Sicherheit in der Informationstechnik bei der Durchführung
der Überprüfungen.
Abschnitt VIII:
Einsatz von Informationstechnik
§ 49
Allgemeine Grundsätze
(1)
Wird VS-IT zur Handhabung von Verschlusssachen der Geheimhaltungsgrade
VS-VERTRAULICH oder höher eingesetzt, ist vor dem ersten Einsatz eine
Risikoanalyse nach den Standards des Bundesamtes für Sicherheit in der
Informationstechnik in der jeweils geltenden Fassung durchzuführen.
(2)
Die Sicherheit von VS-IT ist während des gesamten Lebenszyklus ab dem
Zeitpunkt, zu dem feststeht, dass sie zur VS-Verarbeitung eingesetzt werden
soll, bis zur Aussonderung kontinuierlich zu gewährleisten.
§ 50
Freigabe des Betriebs von VS-IT
(1)
VS-IT ist vor dem ersten Einsatz durch die Dienststellenleitung freizugeben.
Die Freigabe kann mit Auflagen erteilt werden.
(2)
Voraussetzung für die Freigabe ist die Einhaltung der Standards zur
Informationssicherheit des Bundesamtes für Sicherheit in der
Informationstechnik in der jeweils geltenden Fassung. Dies ist bei Bedarf
jederzeit nachzuweisen.
(3)
Für eine Freigabe ist zudem erforderlich, dass die Anforderungen des
Geheimschutzes erfüllt sind; das sind regelmäßig:
1.
die Erfüllung des Grundsatzes „Kenntnis nur, wenn nötig“ nach § 3 Absatz 1 und
die Berechtigung des Empfängers zur Kenntnisnahme gemäß § 24 Absatz 2,
2.
die Beachtung der Grundsätze zu Einstufung und Kennzeichnung von
Verschlusssachen nach § 15 Absatz 1, § 17 Absatz 1, § 18 Absatz 2, § 19 und §20
Absatz 2,
3.
die Verwaltung und der Nachweis der Verschlusssachen nach § 21,
4.
die Einhaltung der Regeln zur (zeitweiligen) Aufbewahrung von Verschlusssachen
(§ 23),
5.
die Gewährleistung der Sicherheit von VS-IT über deren gesamten Lebenszyklus
nach § 49 Absatz 2,
6.
die Aussonderung und Vernichtung von Verschlusssachen nach §§ 30 bis 32, 56,
7.
die Beachtung der Vorgaben zur Übertragung von Verschlusssachen über technische
Kommunikationsverbindungen nach § 55,
8.
die Beachtung der einschlägigen Bestimmungen über- oder zwischenstaatlicher
Organisationen sowie bilateraler Geheimschutzabkommen nach §§ 34 und 35 und
9.
die Sicherheitsakkreditierung nach § 36.
Die Anforderungen werden in dem vom Bundesamt für Sicherheit in der
Informationstechnik herausgegebenen Geheimschutzbaustein des IT-Grundschutzes
konkretisiert. Geheimschutzbeauftragte können im Einzelfall weitere
Geheimschutzanforderungen vorsehen, insbesondere, wenn dies aufgrund nationaler
und internationaler Bestimmungen mit Auswirkungen auf die Handhabung und
Verarbeitung von Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH und
höher erforderlich ist. Vor der Freigabe veranlassen die Geheimschutzbeauftragten
bei den Informationssicherheitsbeauftragten eine Überprüfung der wirksamen
Umsetzung der Geheimschutzanforderungen, beispielsweise durch
einrichtungsexterne Prüfer. Das Ergebnis der Überprüfung ist in der
Geheimschutzdokumentation festzuhalten.
(4)
Die Dienststellenleitung erteilt vor Inbetriebnahme die Freigabe, sofern die in
den Absätzen 2 und 3 genannten Voraussetzungen vorliegen. Bei Freigaben von
VS-IT-Systemen für die Handhabung von Verschlusssachen der Geheimhaltungsgrade
VS-NUR FÜR DEN DIENSTGEBRAUCH wird dies bei Vorliegen einer ISO
27001-Zertifizierung auf Basis des IT-Grundschutzes inklusive der im
Geheimschutzbaustein aufgeführten Anforderungen vermutet. Die Freigabe von
VS-IT zur Handhabung von Verschlusssachen der Geheimhaltungsgrade
VS-VERTRAULICH oder höher bedarf der Zustimmung der Verfassungsschutzbehörde.
Die Verfassungsschutzbehörde erstellt hierzu ein Freigabevotum.
(5)
Sind an einem VS-IT-System mehrere Dienststellen beteiligt, handelt es sich um
einen VS-IT-Verbund. In diesem Fall obliegt die Gesamtfreigabe der für den
Betrieb verantwortlichen Dienststelle (Betreiber). Die Gesamtfreigabe erfolgt
auf Grundlage der in Absatz 4 genannten Voraussetzungen. Der Betreiber ist für
die Koordinierung der Erfüllung der in Absatz 4 genannten Voraussetzungen
zuständig. Das Freigabevotum und die Freigabe sind in der
Geheimschutzdokumentation des Betreibers festzuhalten.
(6)
Wird ein VS-IT-System im Auftrag des Landes privatrechtlich betrieben, so
bestimmt die jeweils zuständige oberste Landesbehörde, welche Dienststelle als
Betreiber für die Umsetzung der sich aus der VSA ergebenden Anforderungen Sorge
trägt.
(7)
Die Geheimschutzbeauftragten veranlassen eine Wiederholung der Überprüfung nach
Absatz 3 in regelmäßigen Abständen sowie anlassbezogen. Ergibt die Überprüfung,
dass eine Freigabe nicht erneut erteilt werden könnte, haben die
Geheimschutzbeauftragten auf die unverzügliche Herstellung eines
vorschriftenkonformen Zustandes hinzuwirken. Die Freigabe ist zu widerrufen,
wenn auch mit Maßnahmen des Risikomanagements ein vorschriftenkonformer Zustand
nicht hergestellt werden kann. Die Ergebnisse der Folgeüberprüfungen sowie ein
Widerruf der Freigabe sind in der Geheimschutzdokumentation festzuhalten.
(8)
Geheimschutzrelevante Änderungen bei freigegebener VS-IT bedürfen der
vorherigen Zustimmung der Geheimschutzbeauftragten. In diesen Fällen sind die
Änderungen in der Geheimschutzdokumentation zu vermerken und eine
Wiederholungsüberprüfung gemäß Absatz 7 Satz 1 zu veranlassen.
(9)
Der Verfassungsschutzbehörde ist jede erfolgte Freigabe sowie ihr Widerruf
mitzuteilen. Die Verfassungsschutzbehörde führt eine Liste über die in den
Dienststellen freigegebene VS-IT sowie der freigegebenen VS-IT-Verbünde und
erteilt allen Dienststellen auf berechtigtes Verlangen darüber Auskunft.
(10)
Näheres regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der
Informationstechnik.
§ 51
Zulassung von IT-Sicherheitsprodukten und Komponenten
(1)
IT-Sicherheitsprodukte
und -komponenten, die innerhalb von VS-IT IT-Sicherheitsfunktionen gemäß § 52
zum Schutz elektronischer Verschlusssachen übernehmen (IT-Sicherheitsprodukte),
sind vor ihrem Einsatz vom Bundesamt für Sicherheit in der Informationstechnik
auf der Grundlage des Zulassungskonzeptes zuzulassen.
(2)
Die Zulassung wird durch einen Zulassungsnachweis des Bundesamtes für
Sicherheit in der Informationstechnik bestätigt. Dieser enthält auch
Bestimmungen für den Einsatz und den Betrieb.
(3)
Sofern für bestimmte VS-IT keine vom Bundesamt für Sicherheit in der
Informationstechnik zugelassenen IT-Sicherheitsprodukte oder -komponenten
1.
zur Verfügung stehen,
2.
eine Bereitstellung nicht oder nicht zeitgerecht veranlasst werden kann oder
3.
keine Einsatzerlaubnis für andere IT-Sicherheitsprodukte oder -komponenten
vorliegt,
kann
ein anderes dazu geeignetes IT-Sicherheitsprodukt oder eine andere geeignete
Sicherheitskomponente eingesetzt werden, soweit die IT-Sicherheit und die darüberhinausgehenden
Anforderungen des Geheimschutzes gewährleistet sind.
§ 52
IT-Sicherheitsfunktionen
(1)
IT-Sicherheitsfunktionen innerhalb von VS-IT, die Gegenstand einer
Zulassungsaussage nach § 51 sein können, sind Funktionen, die sich grundsätzlich
den folgenden Kategorien zuordnen lassen:
1.
zur Zugangs- und Zugriffskontrolle,
2.
zur Identifikation und Authentisierung,
3.
zur kryptographischen Unterstützung,
4.
für das Sicherheitsmanagement,
5.
zur Informationsflusskontrolle,
6.
zum internen Schutz der Benutzerdaten,
7.
zum Selbstschutz der Sicherheitsfunktionen und ihrer Daten,
8.
zur Netzwerktrennung,
9.
zum Schutz der Unversehrtheit,
10.
zur Verfügbarkeitsüberwachung oder
11.
zur Sicherheitsprotokollierung und Nachweisführung.
Einzelheiten dazu und zum Zulassungskonzept werden in den Technischen
Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik geregelt.
(2)
Das Bundesamt für Sicherheit in der Informationstechnik gibt einen auf diesen
IT-Sicherheitsfunktionen und den sich hieraus ableitenden Produktklassen und
-typen basierenden Katalog sowie eine aktuelle Liste zugelassener
IT-Sicherheitsprodukte und -Komponenten heraus. Der Katalog der Produktklassen
und -typen definiert insbesondere,
1.
ob eine Zulassung für einen Produkttyp erforderlich ist und
2.
welche Sicherheitsfunktionen in einem Zulassungsverfahren für einzelne
Produkttypen gelten.
§ 53
Schutz von VS-Übertragungseinrichtungen, -leitungen und -verteilern
(1)
VS-Übertragungseinrichtungen, -leitungen und -verteiler, die Verschlusssachen
unkryptiert führen, sind gegen unbefugten Zugriff zu schützen.
(2)
Werden VS-Übertragungseinrichtungen, -leitungen und -verteiler ausschließlich
zur Weiterleitung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN
DIENSTGEBRAUCH innerhalb von Räumen und Bereichen, die gegen unkontrollierten
Zutritt geschützt sind, verwendet, sind zusätzliche Schutzmaßnahmen
entbehrlich. Gleiches gilt für den Einsatz von VS-Übertragungseinrichtungen,
-leitungen und -verteiler, die zur Handhabung von Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder höher eingestufte Verschlusssachen
innerhalb von VS-IT-Räumen und -Bereichen eingesetzt werden. In allen anderen
Fällen sind durch die Geheimschutzbeauftragten festzulegende zusätzliche
Schutzmaßnahmen zu treffen. Näheres regelt eine Technische Leitlinie des
Bundesamtes für Sicherheit in der Informationstechnik.
§ 54
Handhabung von Datenträgern und IT-Produkten für unkryptierte
Verschlusssachen
Datenträger
und mobile IT und sonstige IT-Produkte, die keine Zulassung nach § 51 Absatz 1
benötigen, sind, soweit auf ihnen elektronische Verschlusssachen unkryptiert
gespeichert werden, so zu schützen, wie es die Einstufung der darauf gespeicherten
Information erfordert.
§ 55
Übertragung von Verschlusssachen über technische
Kommunikationsverbindungen
(1)
Verschlusssachen sind bei der Weitergabe über technische
Kommunikationsverbindungen (elektronische Übertragung) grundsätzlich durch
IT-Sicherheitsprodukte nach Vorgaben des Bundesamtes für Sicherheit in der
Informationstechnik zu verschlüsseln. § 57 bleibt unberührt.
(2)
Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGE-BRAUCH können
unter Verwendung von VS-IT, die gemäß den Vorgaben des § 50 dazu freigegeben
worden ist, unverschlüsselt elektronisch übertragen werden. Vor der Weitergabe
haben sich die Nutzenden zu vergewissern, dass die Empfängerinnen und Empfänger
die Verschlusssachen ausschließlich über das dafür freigegebene Netz erhalten
und die Bedingungen des § 24 Absatz 2 und 3 erfüllt sind. Dasselbe gilt für die
Weitergabe von Verschlusssachen über- und zwischenstaatlicher Organisationen
sowie anderer Staaten mit vergleichbarem Geheimhaltungsgrad, soweit nichthöherrangige
Rechtsvorschriften entgegenstehen.
(3)
Abweichend von Absatz 2 dürfen Verschlusssachen des Geheimhaltungsgrades VS-NUR
FÜR DEN DIENSTGEBRAUCH ausnahmsweise auch ohne Verschlüsselung gemäß Absatz 1
elektronisch übertragen werden, ohne dass hierzu freigegebene VS-IT verwendet
wird, wenn dafür freigegebene VS-IT nicht verfügbar ist und die Verschlüsselung
nach Absatz 1 einen unvertretbaren Zeitverlust bedeuten würde. In diesem Fall
sind technische Kommunikationsverbindungen auszuwählen, bei denen das Risiko
des Mithörens durch Unbefugte weitestgehend reduziert wird.
(4)
Die elektronische Übertragung von Verschlusssachen des Geheimhaltungsgrades
VS-VERTRAULICH über eine für die Übertragung von Verschlusssachen des
Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH freigegebene technische
Kommunikationsverbindung ist ausnahmsweise zulässig, wenn eine verschlüsselte
elektronische Übertragung nach Absatz 1 einen unvertretbaren Zeitverlust
bedeuten würde.
(5)
Wenn eine Verzögerung zu einem Schaden führen würde, der den mit einer
Preisgabe der Verschlusssache verbundenen Schaden deutlich überwiegen würde,
dürfen Verschlusssachen aller Geheimhaltungsgrade abweichend von den Absätzen 1
bis 3 unverschlüsselt ohne Verwendung hierzu freigegebener VS-IT elektronisch
übertragen werden. In jedem Einzelfall ist die Einwilligung der
Dienststellenleitung einzuholen und zu dokumentieren.
(6)
In den Ausnahmefällen nach den Absätzen 3 bis 5 sind folgende
Vorsichtsmaßnahmen, die den Mitarbeitern zur Kenntnis zu geben sind, zu
beachten, damit das Risiko eines Informationsabflusses weitgehend reduziert
wird:
1.
die Identität des Kommunikationspartners soll vor Beginn der Kommunikation
festgestellt werden,
2.
die Kommunikation ist so zu führen, dass der Sachverhalt Dritten nicht
verständlich wird und ein unmittelbarer Rückschluss auf den VS-Charakter nicht
möglich ist,
3.
die übermittelten Verschlusssachen dürfen keine Kennzeichnungen oder Hinweise
aufweisen, die sie von einer nicht eingestuften Information unterscheiden; die
Kennzeichnungspflicht nach § 20 ist in diesem Fall aufgehoben und
4.
die Kommunikationspartner sind auf anderem Wege zum Beispiel über andere
technische Kommunikationsverbindungen, durch Post oder Kurier unverzüglich über
die Einstufung der Verschlusssachen zu unterrichten, es sei denn dies ist im
Einzelfall nicht möglich oder zweckmäßig.
§ 56
Vernichtung und Aussonderung von Datenträgern und registrierten
IT-Produkten
(1)
Bevor Datenträger und mobile IT und andere IT-Produkte im Sinne von § 54 ihre
gesicherte Einsatzumgebung dauerhaft verlassen, ist sicherzustellen, dass alle
gespeicherten Verschlusssachen gelöscht werden. Die Löschung muss mittels vom
Bundesamt für Sicherheit in der Informationstechnik nach § 51 dafür
zugelassener beziehungsweise zur Freigabe empfohlener IT-Sicherheitsprodukte
erfolgen.
(2)
Ist eine sichere Löschung elektronisch nicht möglich zum Beispiel wegen eines
Defekts, sind die Speichermedien physisch so zu vernichten, dass eine
Rekonstruktion der enthaltenen Informationen nicht möglich ist.
(3)
Die Löschung der Verschlusssachen beziehungsweise die Vernichtung der
Speichermedien ist in der Geheimschutzdokumentation zu dokumentieren.
(4)
Näheres regelt eine Technische Leitlinie des Bundesamtes für Sicherheit in der
Informationstechnik.
§ 57
Abstrahlschutzmaßnahmen
Bei
VS-IT, die zur Handhabung von Verschlusssachen der Geheimhaltungsgrade
VS-VERTRAULICH oder höher eingestufte eingesetzt wird, sind
Abstrahlschutzmaßnahmen zum Beispiel nach dem Zonenmodell zu treffen und zu
dokumentieren. Einzelheiten sind einer Technischen Leitlinie des Bundesamtes
für Sicherheit in der Informationstechnik zu entnehmen.
§ 58
Zusammenschaltung von VS-IT
(1)
Vor der Zusammenschaltung von VS-IT mit anderer VS-IT ist zu prüfen, ob und
inwieweit Informationen zwischen diesen Systemen unter Berücksichtigung
1.
des jeweiligen Schutzniveaus und
2.
des Prinzips „Kenntnis nur, wenn nötig“
ausgetauscht werden dürfen. In Abhängigkeit vom Ergebnis der Prüfung sind
IT-Sicherheitsfunktionen nach § 52 zum Schutz der Systemübergänge zu
implementieren.
(2)
Die direkte oder kaskadierte Zusammenschaltung von bis zum Geheimhaltungsgrad
STRENG GEHEIM freigegebener VS-IT mit offener oder ungeschützter IT ist nicht
zulässig.
Abschnitt IX:
Kryptopersonal und Handhabung von Kryptomitteln
§ 59
Kryptomittel
(1)
Nationale Kryptomittel im Sinne dieser Vorschrift sind Produkte, Geräte und die
dazugehörigen Dokumente sowie zugehörige Schlüsselmittel zur Entschlüsselung,
Verschlüsselung und Übertragung von Informationen, die vom Bundesamt für
Sicherheit in der Informationstechnik als solche festgelegt werden.
Internationale Kryptomittel werden nach den einschlägigen über- oder
zwischenstaatlichen Vorschriften sowie den jeweiligen nationalen Vorschriften
anderer Staaten bestimmt.
(2)
Eingestufte Kryptomittel erhalten einen der Warnvermerke „KRYPTO“ für
„KRYPTOSICHERHEIT“ oder „CRYPTO“ für „CRYPTOSECURITY“. Nicht eingestufte Kryptogeräte
sowie zugehörige kryptographische Komponenten und andere zugehörige Bauteile,
die sicherheitsempfindliche Funktionen ausführen, erhalten den Warnvermerk
„CCI“ („Controlled COMSEC Item“).
(3)
Alle Kryptomittel unterliegen einer Nachweisführung. Die Nachweisführung
erfolgt entsprechend der Nachweisführung für Verschlusssachen der
Geheimhaltungsgrade VS-VERTRAULICH oder höher. Dazu sind eigene
Bestandsverzeichnisse anzulegen.
§ 60
Zentralstelle für Kryptomittel
Die
Verfassungsschutzbehörde Nordrhein-Westfalen nimmt die Aufgaben der zentralen
Nachweisführung, Verwaltung und Verteilung von Kryptomitteln als Zentralstelle
für Kryptomittel für das Land Nordrhein-Westfalen wahr.
§ 61
Kryptoverwaltung
(1)
Dienststellen, die Kryptomittel handhaben, bestellen mindestens eine
Kryptoverwaltende beziehungsweise einen Kryptoverwaltenden und eine zur
Vertretung berechtigte Person (Kryptoverwaltung). Große Kryptoverwaltungen, die
mehrere Kryptoverwaltende benötigen, bestimmen eine leitende Kryptoverwaltende
beziehungsweise einen leitenden Kryptoverwaltenden. Kryptoverwaltende und die
zur Vertretung berechtigten Personen müssen die zur Erfüllung ihrer Aufgaben
erforderliche Fachkunde erwerben.
(2)
Die Anschrift der Dienststelle sowie die Namen der beziehungsweise des
(leitenden) Kryptoverwaltenden und der zur Vertretung berechtigten Person sowie
diesbezügliche Änderungen sind zur Geheimschutzdokumentation zu nehmen.
(3)
Haben sich während der Abwesenheit der beziehungsweise des Kryptoverwaltenden
Veränderungen im Kryptobestand ergeben, so führt diese beziehungsweise dieser
unmittelbar nach Rückkehr eine Bestandsprüfung durch. Gleiches gilt beim
Wechsel des Kryptoverwaltenden. Zusätzlich ist ein Bestandsbericht
(Übergabeprotokoll) zu fertigen.
(4)
Weitere Aufgaben der Kryptoverwaltung sind der Anlage 1 zu entnehmen. Näheres
zur Handhabung von Kryptomitteln regelt eine Technische Leitlinie des
Bundesamtes für Sicherheit in der Informationstechnik.
§ 62
Kryptopersonal
Personen,
die Zugang zu Kryptomitteln erhalten (Kryptopersonal), sind vom
Geheimschutzbeauftragten nach Muster 26 und 27 der Anlage 8 zu belehren und zu
berechtigen (Kryptoberechtigung). Die Belehrung und die Berechtigung sind zu
dokumentieren.
Abschnitt X:
Aufrechterhaltung des Geheimschutzes
§ 63
Kontrollen
(1)
Die Geheimschutzbeauftragten sollen in ihrer Dienststelle in angemessenen
Zeitabständen kontrollieren, ob die Einstufung, die Befristung und die
Handhabung der Verschlusssachen den Vorschriften der Verschlusssachenanweisung
entsprechen. Die Kontrollen können auch durch besonders beauftragte
Mitarbeiterinnen oder Mitarbeiter durchgeführt werden. Soweit die Bearbeitung
von Verschlusssachen mit IT betroffen ist, werden die Geheimschutzbeauftragten
hierbei von den Informationssicherheitsbeauftragten unterstützt.
(2)
Alle Bediensteten haben die Geheimschutzbeauftragten bei
der Durchführung von Kontrollen zu unterstützen und hierfür auf Verlangen Zugang
zu allen Verschlusssachen sowie den mit der Handhabung im Zusammenhang
stehenden aufgezeichneten Protokoll- und Zugriffsdaten uneingeschränkt zu
gewähren. Hierzu gehören auch sonstige Einsichtnahmen, welche den Abfluss von
Verschlusssachen erkennen lassen.
(3)
Die Verfassungsschutzbehörde kann gemäß § 6 Absatz 6 des
Sicherheitsüberprüfungsgesetzes Nordrhein-Westfalen in angemessenen Abständen
bei den Dienststellen kontrollieren, ob die dortigen Regelungen, Maßnahmen und
Verfahren der Verschlusssachenanweisung entsprechen.
(4)
Die Durchführung der Kontrollen und deren Ergebnisse sind in angemessener Weise
zu dokumentieren.
§ 64
Behandlung von Geheimschutzvorkommnissen
(1)
Wird bekannt oder besteht der Verdacht, dass Geheimschutzvorschriften verletzt
wurden oder Sicherheitsvorkehrungen den Geheimschutz nicht gewährleisten, sind
die betroffenen Geheimschutzbeauftragten unverzüglich zu unterrichten. Die
Geheimschutzbeauftragten stellen in diesen Fällen den Sachverhalt fest und
treffen die erforderlichen Maßnahmen.
(2)
Werden Dienststellen geheimschutzbezogene Vorkommnisse mit Bezug zu
Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH oder höher von
wesentlicher Bedeutung bekannt, die die Besorgnis der Bekanntgabe an Dritte
begründen, ist die Verfassungsschutzbehörde unverzüglich über den Sachverhalt
zu unterrichten. Dies gilt insbesondere, wenn ein nachrichtendienstlicher
Hintergrund oder eine Verratstätigkeit anderer Art nicht ausgeschlossen ist.
Die Verfassungsschutzbehörde informiert unverzüglich den Herausgeber sowie das
Bundesamt für Verfassungsschutz über den Sachverhalt. Gleiches gilt für
geheimschutzbezogene Vorkommnisse mit Bezug zu nichtdeutschen Verschlusssachen,
unabhängig von deren Geheimhaltungsgrad.
(3)
Dienststellen, denen geheimschutzbezogene Vorkommnisse bekannt werden, die für
die technische Sicherung von Verschlusssachen oder für die Sicherheit der
Informations- und Kommunikationstechnik des Bundes oder des Landes von
Bedeutung sind, unterrichten unverzüglich die Verfassungsschutzbehörde, die
sofern im Einzelfall erforderlich, ihrerseits unverzüglich das Bundesamt für
Verfassungsschutz über den Sachverhalt informiert. Bei einer akuten Bedrohung
der Sicherheit der Informations- und Kommunikationstechnik setzt die Verfassungsschutzbehörde
zudem unverzüglich das zuständige Computer Emergency Response Team über den
Sachverhalt in Kenntnis.
§ 65
Verhalten in außergewöhnlichen Gefahrenlagen
Sofern
im Katastrophen-, Alarm- oder Verteidigungsfall oder in vergleichbaren außergewöhnlichen
Gefahrenlagen eine Aufbewahrung nach § 23 nicht möglich ist, so dass sich
Unbefugte Zugang zu Verschlusssachen der Geheimhaltungsgrade VS-VERTRAULICH
oder höher verschaffen könnten, sind die Verschlusssachen möglichst
unverzüglich zu vernichten. Die Dienststellen treffen in ihren
Geheimschutzdokumentationen Handlungsanweisungen für die Vernichtung in diesen
Fällen.
Abschnitt XI:
Abschließende Regelungen
§ 66
Schlussbestimmungen
(1)
Die Verfassungsschutzbehörde kann in besonderen Ausnahmefällen Abweichungen von
dieser Verschlusssachenanweisung unter der Voraussetzung, dass der mit der
Verschlusssachenanweisung beabsichtigte Schutz durch andere
Sicherheitsvorkehrungen erreicht wird, gestatten
(2)
Jede Dienststelle kann über die Verschlusssachenanweisung hinaus verschärfte
Sicherheitsvorkehrungen treffen, soweit sie die notwendige einheitliche
Behandlung der Verschlusssachen im gesamten VS-Verkehr nicht stören. Die
Verfassungsschutzbehörde kann im Zweifel hierüber beraten.
§ 67 Inkrafttreten
Dieser
Runderlass tritt am X. Monat 2024 in Kraft.
Gleichzeitig tritt der Runderlass „VS-Anweisung“ vom 9. April 2001 (MBl. NRW S. 666), der durch Runderlass vom 13. Juni 2004 (MBl. NRW. S. 610) geändert worden
ist, außer Kraft. Gleichzeitig werden aufgehoben:
1.
VS-Sicherungsrichtlinien vom 1. April 2003 (n. v.),
2.
VS-Kontrollrichtlinien vom 1. April 2003 (n. v.) sowie
3.
VS-Fernmelderichtlinien vom 1. März 1988 - VI B 3/1-44207-2/87 VS-NfD (n. v.).
- MBl. NRW. 2024 S. 688