Verschlusssachenanweisung

Anlage 1 (zu Nummer 16.1) Hinweise zur VS-Einstufung 1. Allgemeines Tragen Sie durch eine umsichtige und sachgerechte VS-Einstufung dazu bei, dass a) die tatsächlich geheimhaltungsbedürftigen Informationen effektiv geschützt und b) unnötige Sicherheitskosten vermieden werden. Der Geheimhaltungsgrad einer VS richtet sich nach ihrem Inhalt und nicht nach dem Geheimhaltungsgrad des Vorgangs, zu dem sie gehört oder auf den sie sich bezieht. Ein Schriftstück mit VS-Anlagen ist mindestens so hoch einzustufen wie die am höchsten eingestufte Anlage. Ist es wegen seiner Anlagen eingestuft oder höher eingestuft, so ist darauf zu vermerken, dass es ohne Anlagen nicht mehr als VS zu behandeln oder niedriger einzustufen ist. Innerhalb der Gesamteinstufung einer VS können deutlich feststellbare Teile, zum Beispiel Teilpläne, Abschnitte, Kapitel, Verzeichnisse oder Nummern, niedriger oder nicht eingestuft werden. 2. Prüfen Sie kritisch, ob eine VS-Einstufung tatsächlich notwendig ist. Insbesondere ist zu prüfen, ob das Schutzbedürfnis zur VS-Einstufung nur zeitlich begrenzt besteht (siehe Nummer 9.2 VSA). Im Falle einer VS-Einstufung muss schlüssig darlegbar sein, welche Gefährdungen, Schäden oder Nachteile für die Bundesrepublik Deutschland oder eines ihrer Länder konkret entstehen können, wenn Unbefugte von den Informationen Kenntnis erlangen. Eine VS-Einstufung kommt grundsätzlich nur bei Informationen in Betracht, die die a) äußere Sicherheit, b) auswärtigen Beziehungen, c) innere Sicherheit oder d) durch die Bundesrepublik Deutschland beziehungsweise durch den Freistaat Sachsen zu schützende Belange Dritter betreffen. VS-Einstufung, die durch die Bundesrepublik Deutschland beziehungsweise den Freistaat Sachsen zu schützende Belange Dritter betreffen, bedürfen der Billigung durch die zuständige oberste Staatsbehörde. Für andere schutzwürdige Informationen sind die hierfür bestehenden Regelungen, zum Beispiel Pflicht zur Wahrung von Dienst- oder Steuergeheimnissen, Schutz personenbezogener Daten nach dem Sächsischen Datenschutzgesetz, dem Sächsischen Archivgesetz oder interne Geschäftsordnungen, anzuwenden. Eine Einstufung in VS-VERTRAULICH oder höher hat zur Folge, dass alle mit der eingestuften Information befassten Personen einer aufwändigen, in Persönlichkeitsrechte eingreifenden Sicherheitsüberprüfung unterzogen und für die VS kostenintensive materielle Schutzmaßnahmen getroffen werden müssen. 3. Beispiele für VS-Einstufungen 3.1 Eine Einstufung in STRENG GEHEIM kommt zum Beispiel in Betracht für a) das Informationsaufkommen des Bundesnachrichtendienstes, b) Zusammenstellungen, deren Einzelheiten GEHEIM eingestuft sind, die jedoch in ihrer Gesamtheit STRENG GEHEIM einzustufen sind. 3.2 Eine Einstufung in GEHEIM kommt zum Beispiel in Betracht für a) Maßnahmen nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses, b) Kryptodaten, die für die Verschlüsselung von VS-VERTRAULICH und höher eingestuften VS eingesetzt werden, c) Zusammenstellungen, deren Einzelheiten VS-VERTRAULICH eingestuft sind, die jedoch in ihrer Gesamtheit GEHEIM einzustufen sind. 3.3 Eine Einstufung in VS-VERTRAULICH kommt zum Beispiel in Betracht für a) Ermittlungsberichte in Spionageverdachtsfällen b) Erkenntnisse über die Arbeitsweise extremistischer oder terroristischer Organisationen, deren Preisgabe die weitere Beobachtung beziehungsweise Aufklärung gefährden würde, c) Pläne der Computernetze und Konfigurationsdaten der eingesetzten Systeme von Dienststellen nach Nummer 5.3 VSA d) Zusammenstellungen, deren Einzelheiten VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft sind, die jedoch in ihrer Gesamtheit VS-VERTRAULICH einzustufen sind. Dies können beispielsweise Computernetze sein, in denen verschiedene Bearbeiter gelegentlich VS-NUR FÜR DEN DIENSTGEBRAUCH bearbeiten. Auf den einzelnen Arbeitsplätzen liegen dann zwar auch bei einer größeren Dienststelle nur wenige VS vor; auf den Servern kann die Zusammenstellung aber schon einen Umfang an Informationen annehmen, dass beim Verlust der Vertraulichkeit ein Schaden für den Freistaat Sachsen eintreten kann. Schnittstelle für die Einstufung ist dann das Netz oberhalb der Leitungen der einzelnen Arbeitsplatz-Computer. Des Weiteren kommen Zusammenstellungen polizeilicher Ermittlungen in Frage, die einzeln nicht oder lediglich VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuft sind, in ihrer Gesamtheit aber polizeiliche Arbeitsweisen offenlegen. 3.4 Eine Einstufung in VS-NUR FÜR DEN DIENSTGEBRAUCH kommt zum Beispiel in Betracht für a) Abschlussberichte über Sicherheitsüberprüfungen von Personen, b) Fahndungsunterlagen aus den Bereichen Terrorismus und Extremismus, c) Zusammenstellungen über Geheimschutzmaßnahmen (Geheimschutzdokumentation), d) besondere Dienstanweisungen und Dienstpläne, e) Zusammenstellungen polizeilicher Ermittlungen, die einzeln nicht eingestuft sind, in ihrer Gesamtheit aber polizeiliche Arbeitsweisen offenlegen.

Anlage 2 (zu Nummer 16.1) Hinweise zur VS-Kennzeichnung Vorbemerkung: Die nachfolgenden Hinweise gelten vorzugsweise für Schriftgut. Bei anderen Darstellungsformen der VS sind vergleichbare Schutzmaßnahmen zu ergreifen. 1. Bei STRENG GEHEIM oder GEHEIM eingestuften VS wird der Geheimhaltungsgrad mit dem Zusatz „amtlich geheim gehalten“ in roter Farbe durch Stempel oder Druck am oberen und unteren Rand jeder beschriebenen Seite angebracht. Die beschriebenen Seiten sind zu nummerieren; ihre Gesamtzahl ist auf der ersten Seite anzugeben. Die VS sind mit Geschäftszeichen und Datum zu versehen. Das Geschäftszeichen ist am Schluss durch die Abkürzung „str.geh.“ beziehungsweise „geh.“ zu ergänzen; bei STRENG GEHEIM eingestuften VS ist es auf jeder beschriebenen Seite anzubringen. 2. Bei VS-VERTRAULICH eingestuften VS wird der Geheimhaltungsgrad mit dem Zusatz „amtlich geheim gehalten“ in schwarzer oder blauer Farbe durch Stempel, Druck oder Maschinenschrift am oberen Rand jeder beschriebenen Seite angebracht. Die beschriebenen Seiten sind zu nummerieren. Die VS sind mit Geschäftszeichen und Datum zu versehen. Das Geschäftszeichen ist am Schluss durch die Abkürzung „VS-Vertr.“ zu ergänzen. 3. Bei VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften VS wird der Geheimhaltungsgrad in schwarzer oder blauer Farbe durch Stempel, Druck oder Maschinenschrift am oberen Rand jeder beschriebenen Seite angebracht. Die VS sind mit Geschäftszeichen und Datum zu versehen. Das Geschäftszeichen ist am Schluss durch die Abkürzung VS-NfD zu ergänzen. Bei Büchern, Broschüren und Ähnlichem genügt die Kennzeichnung auf dem Einband oder dem Titelblatt. 4. Die äußeren Vorder- und Rückseiten sowie gegebenenfalls die Rücken von Schriftgutbehältern (Lauf-, Klebe-, Sammelmappen, Ordner, Hefter), in denen STRENG GEHEIM, GEHEIM oder VS-VERTRAULICH eingestufte VS befördert oder verwahrt werden, sind wie folgt zu kennzeichnen: a) bei STRENG GEHEIM mit einem gelben und einem roten Diagonalstreifen (überkreuzt), b) bei GEHEIM mit einem roten Diagonalstreifen, c) bei VS-VERTRAULICH mit einem blauen Diagonalstreifen. Von dieser äußeren Kennzeichnung sind VS-Transportbehälter ausgenommen. 5. VS-Bestandsverzeichnisse sind in derselben Weise zu kennzeichnen. 6. Bei Kryptosystemen können als VS eingestufte zum Ver- und Entschlüsseln nötige Kryptodaten (Schlüsselmittel), Beschreibungen, Bauteile und sonstige Dokumentation unabhängig vom Geheimhaltungsgrad mit dem Warnvermerk KRYPTO gekennzeichnet werden, um die Umsetzung des Prinzips „Kenntnis nur, wenn nötig“ zu erleichtern.

Anlage 3 (zu Nummern 11, 12, 18, 20, 21, 25, 29) Hinweise und Muster für den Nachweis von VS Vorbemerkung: die nachfolgenden Hinweise gelten vorzugsweise für Schriftgut. Bei anderen Darstellungsformen der VS sind vergleichbare Schutzmaßnahmen zu ergreifen. 1. Hinweise zum Führen von VS-Bestandsverzeichnissen Bei der Gestaltung der VS-Bestandsverzeichnisse kann die VS verwaltende Dienststelle von Muster 10 abweichen. Folgendes ist jedoch zu beachten: 1.1 Auf der ersten Seite ist zu vermerken, welche Geheimhaltungsgrade nachgewiesen werden und von wem das VS-Bestandsverzeichnis geführt wird. 1.2 Die Seiten gebundener VS-Bestandsverzeichnisse sind zu nummerieren. Bei VS-Bestandsverzeichnissen in Karteiform sind die Karteikarten fortlaufend zu nummerieren und mit Dienstsiegel zu kennzeichnen. Bei VS-Bestandsverzeichnissen in elektronischer und in Loseblattform ist das Landesamt für Verfassungsschutz beratend hinzuzuziehen. 1.3 VS-Bestandsverzeichnisse erhalten den Geheimhaltungsgrad der in ihnen nachgewiesenen VS. Ausnahmen in Einzelfällen bedürfen der Zustimmung der Geheimschutzbeauftragten. Bei mobilen Datenträgern und gebundenem Schriftgut erfolgt die Kennzeichnung auf dem Objekt, dem Einband oder dem Titelblatt. Die Kennzeichnung hat bei Karten oder losen Blättern einzeln zu erfolgen. 1.4 In den VS-Bestandsverzeichnissen sind Eingang, Ausgang, Verbleib, Vervielfältigung, Herabstufung und Vernichtung von VS-VERTRAULICH oder höher eingestuften VS nachzuweisen und besondere Fristen für die Aufhebung oder Reduzierung der VS-Einstufung zu vermerken. 1.5 STRENG GEHEIM eingestufte VS sind in einem getrennten VS-Bestandsverzeichnis zu führen. 1.6 Jede VS ist im VS-Bestandsverzeichnis unter einer eigenen fortlaufenden Nummer zu registrieren. Werden weitere Einträge zu einer nachgewiesenen VS unter derselben Nummer registriert, so ist bei STRENG GEHEIM oder GEHEIM eingestuften VS als Unterscheidungsmerkmal eine weitere Zahl hinzuzusetzen (zum Beispiel Hoch- oder Stückzahl). 1.7 Die Eintragungen sind dokumentenecht (nach DIN 16554) vorzunehmen. Änderungen müssen erkennbar sein; sie sind mit Datum und Unterschrift zu versehen. Bei Streichungen muss der ursprüngliche Text lesbar bleiben. Es ist unzulässig, in VS-Bestandsverzeichnissen zu radieren, Eintragungen unkenntlich zu machen oder Blätter zu entfernen oder einzufügen. Bei nicht dauerhaft benötigten Eintragungen (zum Beispiel Wiedervorlagetermine) können die Geheimschutzbeauftragten Ausnahmen zulassen. 1.8 Die VS-Verwalter bestätigen den Empfang neuer VS-Bestandsverzeichnisse (VS-Tagebücher oder Karten). Die Empfangsbescheinigungen sowie etwaige VS-Übergabeverhandlungen nehmen die Geheimschutzbeauftragten oder von diesen Beauftragte in Verwahrung. 2. Muster für Nachweise Nachfolgende Muster befinden sich im Anhang und werden bei Bedarf als Dateivorlage zur Verfügung gestellt: Verzeichnis Muster Muster Titel Muster 1 Verpflichtung zur Geheimhaltung von VS Muster 2 Ermächtigung und Zulassung Muster 3 Wiederholung der Unterrichtung Muster 4 Aufhebung der Ermächtigung oder Zulassung Muster 5 VS-Begleitzettel Muster 6 VS-Übergabeprotokoll Muster 7 VS-Vernichtungsprotokoll Muster 8 VS-Empfangsschein Muster 9 Konferenzbescheinigung Muster 10 VS-Bestandsverzeichnis Muster 11 VS-Quittungsbuch

Anlage 4 (zu Nummer 23.1 VSA) Hinweise zur Kennzeichnung nichtdeutscher VS Nichtdeutsche VS sind wie folgt zu kennzeichnen: 1. Nichtdeutsche VS sind mit dem deutschen Geheimhaltungsgrad, der dem zugeordneten nichtdeutschen Geheimhaltungsgrad entspricht, zu kennzeichnen. Nummer 12.1 VSA ist anzuwenden. Es genügt die Kennzeichnung mit dem deutschen Geheimhaltungsgrad auf der ersten Seite (Anlagen oder Teile gesondert). 2. Bei Übersetzungen, bei denen die nichtdeutsche Herkunft nicht erkennbar ist, ist diese auf der ersten Seite neben dem vergleichbaren deutschen Geheimhaltungsgrad kenntlich zu machen. Beispiele: SECRET DEFENSE GEHEIM amtlich geheimgehalten COSMIC TOP SECRET STRENG GEHEIM amtlich geheimgehalten 3. Nachstehend sind die vergleichbaren Geheimhaltungsgrade der Organisationen und Staaten aufgeführt, denen gegenüber vertragliche Verpflichtungen gemäß Nummer 1 bestehen. Daneben bestehen mit weiteren Staaten Teilabkommen für bestimmte Gebiete der Zusammenarbeit, die den dafür zuständigen Stellen bekannt sind (Ressortabkommen, Projektabkommen). Im Zweifelsfall erteilt das Bundesministerium des Innern, das eine Übersicht über alle Geheimschutzabkommen führt, Auskunft. Geheimhaltungsgrade lfd. Nr. Den deutschen Geheimhaltungsgraden entsprechen VS-NUR FÜR DEN DIENSTGEBRAUCH VS-VERTRAULICH GEHEIM STRENG GEHEIM Den deutschen Geheimhaltungsgraden entsprechen VS-NUR FÜR DEN DIENSTGEBRAUCH VS-VERTRAULICH GEHEIM STRENG GEHEIM A. Bei internationalen Organisationen: 1. NATO (1) NATO RESTRICTED NATO CONFIDENTIAL NATO SECRET COSMIC TOP SECRET 2 WEU (1) WEU RESTRICTED WEU CONFIDENTIAL WEU SECRET FOCAL TOP SECRET 3 EURATOM (1) EURA NUR FÜR DEN DIENSTGEBRAUCH EURA VERTRAULICH EURA GEHEIM EURA STRENG GEHEIM 4. EUROCONTROL (1) EUROCONTROL RESTRICTED EUROCONTROL CONFIDENTIAL EUROCONTROL SECRET – 5. EUROPOL EUROPOL RESTRICTED EUROPOL CONFIDENTIAL EUROPOL SECRET EUROPOL SECRET EUROPOL TOP SECRET 6. EU RESTREINT UE CONFIDENTIEL UE SECRET UE TRES SECRET UE/ EU TOP SECRET 7. ESA ESA RESTRICTED ESA CONFIDENTIAL ESA SECRET ESA TOP SECRET 8. OCCAR OCCAR RESTRICTED OCCAR CONFIDENTIAL OCCAR SECRET OCCAR TOP SECRET B. Bei ausländischen Staaten: 1. Belgien (5) DIFFUSION RESTREINTE CONFIDENTIEL SECRET TRÈS SECRET 2. Bulgarien (5) ЗА СЛУЖЕБНО ПОЛЗВАНЕ СЕКРЕТНО СТРОГО СЕКРЕТНО – 3. Dänemark (5) TIL TJENESTEBRUG FORTROLIGT HEMMELIGT YDERST HEMMELIGT 4. Estland (5) AMETKONDLIK KONFIDENTSIAALNE SALAJANE – 5. Finnland (5) KÄYTTÖ RAJOITETTUEI LUOTTAMUK- SELLINEN SALAINEN ERITTÄIN SALAINEN 6. Frankreich (5) – CONFIDENTIEL DEFENSE SECRET DEFENSE TRES SECRET DEFENSE 7. Griechenland (5) PERIORISMENIS CHRISSEOS EMPISTEFTIKON APPORITON AKRROS APPORITON 8. Großbritanien (5) RESTRICTED CONFIDENTIAL SECRET TOP SECRET 9. Italien (5) RISERVATO RISERVATISSIMO SEGRETO SEGRETISSIMO 10. Kasachstan Для служебного полъзования Секретно Совершерно секретно 11. Lettland (5) KONFIDENTIALI SLEPENI SEVISKI SLEPENI – 12. Litauen (5) RIBOTO NAUDOJIMO KONFIDENCIALIAI SLAPTAI VISISKAI SLAPTAI 13. Niederlande (5) DEPARTEMENTAAL VERTROUWELIJK CONFIDENTIEEL STG GEHEIM STG ZEER GEHEIM STG 14. Norwegen (5) BEGRENSET KONFIDENSIELT HEMMELIG STRENGT HEMMELIG 15. Polen (5) ZASTREZONE POUFNE TAINE SCISLE TAINE 16. Portugal (5) RESERVADO CONFIDENCIAL SECRETO MUITO SECRETO 17. Rumänien (5) SECRET DE SERVICIU SECRET STRICT SECRET – 18. Russland Для служебного полъзования Секретно Совершерно секретно 19 Schweden zivil (3/5) – – HEMLIG KVALIFICERAT HEMLIG militärisch (3/5) HEMLIG RESTRICTED HEMLIG CONFIDENTIAL HEMLIG SECRET HEMLIG TOP SECRET 20. Schweiz (4/5) – VERTRAULICH GEHEIM – 21. Slowakische Republik (5) – TAJNE PRISNE TAJNE – 22. Spanien (5) DIFUSION LIMITADA CONFIDENCIAL RESERVADO SECRETO 23. Tschechische Republik (5) VYHRAZENE DUVIRNE TAJNE POISNI TAJNE 24. Ukraine – Таємно Ціпком таємно – 25. Ungarn (5) TITKOS SZIGORUAN TITKOS SZIGORUAN TITKOS – 26. Vereinigte Staaten (2/5) – CONFIDENTIAL SECRET TOP SECRET Anmerkungen: (1) Für VS dieser Organisationen gelten Vorschriften, die zum Teil über die Forderungen der VS-Anweisung hinausgehen (zum Beispiel bei COSMIC TOP SECRET und ATOMAL Informationen der NATO). Die Vorschriften können bei Bedarf beim Bundesministerium des Innern angefordert werden. (2) Die Vereinigten Staaten und Frankreich haben keinen VS-NUR FÜR DEN DIENSTGEBRAUCH entsprechenden Geheimhaltungsgrad. Sie verwalten und sichern solche VS anderer Staaten und internationaler Organisationen entsprechend gleichwertiger oder strengerer nationaler Vorschriften. (3) Im zivilen Behördenbereich verwendet Schweden keine vergleichbaren Geheimhaltungsgrade für VS-NUR FÜR DEN DIENSTGEBRAUCH und VS-VERTRAULICH. Zivile deutsche VS der Geheimhaltungsgrade VS-NUR FÜR DEN DIENSTGEBRAUCH und VS-VERTRAULICH werden in Schweden entsprechend dem zivilen Geheimhaltungsgrad HEMLIG geschützt und behalten ihre deutsche Kennzeichnung. Mit der Beibehaltung der deutschen Kennzeichnung wird sichergestellt, dass eine zum Beispiel VS-NfD eingestufte VS, die in Schweden wie GEHEIM geschützt wird und nach Deutschland zurückgegeben wird, ihre ursprüngliche Einstufung nicht verliert, es sei denn, es gibt fachliche, von Schweden angezeigte Gründe dafür. (4) Die Schweiz verwendet den Geheimhaltungsgrad VS-NUR FÜR DEN DIENSTGEBRAUCH nicht. Deutsche VS mit diesem Geheimhaltungsgrad werden in der Schweiz entsprechend den deutschen Geheimschutzvorschriften verwaltet und gesichert. (5) Bei Staaten, die Mitglied in der EU, der NATO oder der ESA sind, können sich zwischenzeitlich Abweichungen bei den Geheimhaltungsgraden ergeben haben, die in den bilateralen Geheimschutzabkommen noch nicht berücksichtigt sind. Auskunft hierzu erteilt das Bundesministerium des Innern auf Anfrage.

Anlage 5 (zu Nummern 4, 6, 35) Hinweise zur Geheimschutzdokumentation 1. Die VS-Vorschriften einschließlich Rundschreiben, Erlasse und behördeneigene VS-Dienstanweisungen müssen den Mitarbeitern der Dienststelle jederzeit auf einfache Weise zugänglich sein. 2. In Dienststellen, die mit VS arbeiten, ist ein auf die Dienststelle bezogenes Geheimschutzkonzept zu erstellen, in dem die Informationen und vorgesehenen Maßnahmen entsprechend den nachfolgenden Absätzen dieser Anlage sowie insbesondere sonstige nach den Nummern 4.3, 18.1 und 25 der VSA dokumentiert sind. In Dienststellen mit geringem Aufkommen an VS-VERTRAULICH oder höher eingestuften VS können das Geheimschutzkonzept oder dessen Teile in anderen Dienstvorschriften oder Konzepten enthalten sein oder auf diese verweisen (zum Beispiel IT-Sicherheitskonzept). 3. Liste der nach Nummer 10 VSA zum Zugang zu VS ermächtigten oder zugelassenen Personen 4. VS-Sicherungsdokumentation 4.1 Auflistung der Standorte, der Anzahl und der Benutzer von Aktensicherungsräumen, VS-Verwahrgelassen, VS-Transportbehältern, VS-Schlüsselbehältern und VS-Vernichtungsgeräten, der Aufbewahrungsorte der jeweils dazugehörigen Reserveschlüssel und Zahlenkombinationen sowie die Namen der Verwalter und der Zugangsmöglichkeiten in Notfällen, 4.2 Dokumentation der Bewachung und technischen Überwachung; Einsatzbereiche von Alarmanlagen einschließlich der Regelungen, wer sie scharf und unscharf schalten sowie warten und instand setzen darf, 4.3 Lagepläne und Zutrittsregelungen von Sicherheitsbereichen sowie von abhörgeschützten und abhörsicheren Räumen, 4.4 Nachweis über durchgeführte Kontrollen, ob a) die Ermächtigungen zum Zugang zu VS und die Zulassungen für Tätigkeiten, die dem Geheimschutz unterliegen, im vorliegenden Umfang erforderlich sind. b) die zum Zugang zu VS ermächtigten und die für eine Tätigkeit, die dem Geheimschutz unterliegt, zugelassenen Personen ausreichend überprüft und die von ihnen zu beachtenden Geheimschutzbestimmungen unterrichtet sind, c) die VS gemäß der VSA hergestellt, vervielfältigt, gekennzeichnet, nachgewiesen, aufbewahrt und weitergegeben sowie nicht mehr benötigte VS gemäß Nummer 26 VSA aus dem Bestand der Dienststelle ausgesondert werden, d) der Grundsatz „Kenntnis nur, wenn nötig“ in der Praxis beachtet wird. 5. IT-spezifische Dokumentation 5.1 Erstellung eines Geheimschutzkonzeptes unter Beachtung der in den BSI-Standards 100-2 und 100-3 beschriebenen Vorgehensweise 5.2 Übersicht über die für die VS verwendete Hard- und Software, Datenträger sowie sonstige Informationstechnik und die genutzten IT-Sicherheitsfunktionen, 5.3 Dokumentation der Nutzungs- und Zugriffsrechte, 5.4 Dokumentation der Abnahme und Freigabe, 5.5 Nachweise über durchgeführte Kontrollen, ob a) IT-Sicherheitskomponenten wie vorgesehen eingesetzt, gewartet und instandgesetzt werden, b) Zugriffsrechte in der erteilten Form erforderlich sind, im IT-System korrekt zugewiesen sind und die Mittel zur Identifizierung und Authentisierung vorschriftsgemäß geschützt sind, c) unbefugte Zugangs- und Zugriffsversuche erfolgten und abgewiesen wurden und d) Zugriffe auf VS-Daten offensichtlich ungerechtfertigt erfolgten. 6. Berichte über Sicherheitsvorkommnisse und Dokumentation von Sachverhalten, die den Geheimschutz beeinträchtigen sowie zu ergriffenen Maßnahmen und Ergebnissen.

Anlage 6 (zu Nummern 21, 23, 24) Hinweise zu Weitergabe und Versand von VS Vorbemerkung: Die nachfolgenden Hinweise gelten vorzugsweise für Schriftgut. Bei anderen Darstellungsformen der VS sind vergleichbare Schutzmaßnahmen zu ergreifen. 1. Weitergabe von VS innerhalb desselben Gebäudes oder einer geschlossenen Gebäudegruppe 1.1 Innerhalb desselben Gebäudes oder einer geschlossenen Gebäudegruppe sind VS-VERTRAULICH oder höher eingestufte VS von Hand zu Hand weiterzugeben oder durch Boten zu befördern; sie sind in einem VS-Quittungsbuch nachzuweisen. Von einer Quittungspflicht ausgenommen sind VS-VERTRAULICH eingestufte VS, die innerhalb von Referaten oder vergleichbaren Organisationseinheiten weitergegeben oder die täglich an die VS-Registratur zurückgegeben werden. 1.2 Bei GEHEIM eingestuften VS können die Geheimschutzbeauftragten ausnahmsweise zulassen, dass innerhalb bestimmter Referate oder vergleichbarer Organisationseinheiten eine Quittung entfällt, wenn besondere Umstände (außergewöhnlich große Anzahl dieser VS und unvertretbare Zeitverzögerungen) vorliegen und der aktuelle Verbleib der VS jederzeit feststellbar ist. VS-VERTRAULICH eingestufte VS können bei besonders großer Anzahl dieser VS mit Zustimmung der Dienststellenleitung auch an andere Organisationseinheiten ohne Quittung weitergegeben werden; bei Weitergabe soll die VS-Registratur beteiligt werden. Der Verbleib solcher VS ist verstärkt zu kontrollieren. 1.3 Innerhalb desselben Ortes können zwischen Gebäuden einer Dienststelle VS-VERTRAULICH oder höher eingestufte VS von Hand zu Hand weitergegeben oder durch Boten befördert werden. 1.4 VS-NUR FÜR DEN DIENSTGEBRAUCH eingestufte VS werden ohne Quittung weitergegeben und wie nicht eingestuftes Schriftgut befördert. 2. Weitergabe von VS durch Boten 2.1 STRENG GEHEIM oder GEHEIM eingestufte VS sind bei Beförderung durch VS-Boten in Klebemappen oder Umschlägen zu verschließen. Der Klebestreifen oder Umschlag muss neben der Unterschrift des Absenders die Aufschrift tragen: „STRENG GEHEIM/GEHEIM – diese Mappe (dieser Umschlag) darf nur von ............................ oder dem STRENG GEHEIM/GEHEIM ermächtigten Vertreter geöffnet werden!“ Die Klebemappen oder Umschläge sollen in verschlossenen VS-Transportbehältern mit Zählwerk befördert werden; die Mappen/Umschläge dürfen jeweils nur VS für einen Empfänger enthalten. Stehen VS-Transportbehälter mit Zählwerk nicht zur Verfügung, so ist als Hülle ein zweiter Umschlag zu verwenden, auf dem die Anschrift des Empfängers und das Geschäftszeichen ohne den Geheimhaltungsgrad angegeben werden. 2.2 Der Absender hat die erforderlichen Eintragungen im VS-Quittungsbuch vorzunehmen. Das VS-Quittungsbuch ist dem VS-Boten mitzugeben. Der Absender hat auf baldige Rückgabe des Quittungsbuches zu achten und die Eintragungen hinsichtlich der Vollständigkeit, der für die Beförderung benötigten Zeit und gegebenenfalls der Übereinstimmung der Zählwerknummern zu überprüfen. 2.3 Der Bote hat die VS unverzüglich zu befördern und bis zu ihrer Ablieferung im persönlichen Gewahrsam zu halten. Kann eine STRENG GEHEIM eingestufte VS nicht sofort zugestellt werden, so ist sie dem Absender oder der zuständigen VS-Registratur zur einstweiligen Verwahrung zurückzugeben. 2.4 Der Empfänger hat die Unversehrtheit und den Verschluss des VS-Transportbehälters beziehungsweise Umschlages zu prüfen und ihn persönlich zu öffnen. Er überprüft anhand der Eintragungen im VS-Quittungsbuch die für die Beförderung benötigte Zeit sowie bei VS-Transportbehältern den Zählwerkstand. Er trägt das Datum, die Uhrzeit und bei VS-Transportbehältern den Zählwerkstand in das VS-Quittungsbuch ein und quittiert die VS. 2.5 VS-VERTRAULICH eingestufte VS sind bei Beförderung durch Boten in Klebemappen, Umschlägen oder anderer angemessener Verpackung zu verschließen. Der Klebestreifen oder Umschlag muss neben der Unterschrift des Absenders die Aufschrift tragen: „VS-VERTRAULICH – diese Mappe (dieser Umschlag) darf nur von ............................ oder dem VS-VERTRAULICH ermächtigten Vertreter geöffnet werden!“ Einer Verwendung von VS-Transportbehältern bedarf es nicht. Unterbleibt eine Quittung bei der Weitergabe, so ist der Klebestreifen durch das Datum und die Uhrzeit beim Absenden zu ergänzen. Im Übrigen gelten die Nummern 21.2 bis 21.4 VSA entsprechend. 2.6 Sendungen mit VS-VERTRAULICH oder höher eingestuften VS, die auf dem inneren Umschlag den Vermerk „Persönlich“ oder „Nicht durch die Registratur zu öffnen“ tragen, sind dem Empfänger oder gegebenenfalls dem Vertreter im Amt ungeöffnet mit einem VS-Begleitzettel zuzuleiten. Der Empfänger kann eine solche VS von der Weitergabe in den Geschäftsgang ausschließen, wenn es der Grundsatz „Kenntnis nur, wenn nötig“ erfordert. In diesem Falle werden der zuständigen VS-Registratur nur der ausgefüllte VS-Begleitzettel und der unterschriebene VS-Empfangsschein zugeleitet. 3. Versand von VS Bei Weitergabe von VS-VERTRAULICH oder höher eingestuften VS zwischen getrennt liegenden Gebäuden, die nicht zu einer geschlossenen Gebäudegruppe gehören (Versand), sind die nachfolgenden Vorschriften anzuwenden. 3.1 STRENG GEHEIM eingestufte VS sind durch VS-Kurier zu versenden. 3.2 VS-Kuriere, die STRENG GEHEIM oder GEHEIM eingestufte VS befördern, haben einen Dienstwagen mit Fahrer zu benutzen. Ist dies nicht möglich, so ist bei STRENG GEHEIM eingestuften VS ein zweiter VS-Kurier einzusetzen. Die Benutzung öffentlicher Nahverkehrsmittel außer Taxi ist möglichst, bei STRENG GEHEIM eingestuften VS ausnahmslos, zu vermeiden. 3.3 Für die Versendung durch VS-Kurier ist ein neutraler, verschlossener VS-Transportbehälter mit Zählwerkschloss, an dem ein verdecktes Schild mit der Anschrift der Dienststelle angebracht ist, zu benutzen. 3.4 VS-Kuriere haben die VS ständig in persönlichem Gewahrsam zu halten. Können mitgeführte VS nicht ständig in persönlichem Gewahrsam gehalten werden, sind sie nach Nummer 17 VSA aufzubewahren. Ist dies nicht möglich, sind sie verschlossen einer Polizeidienststelle zur sicheren Aufbewahrung zu übergeben. 3.5 GEHEIM oder VS-VERTRAULICH eingestufte VS können durch VS-Kurier oder private Zustelldienste befördert werden. Bei Benutzung eines privaten Zustelldienstes müssen folgende Voraussetzungen erfüllt sein: Beim Absender a) eindeutige Adressierung und zuverlässige Verpackung, b) Absendung zum letztmöglichen Zeitpunkt für eine Zustellung bis zum Mittag des folgenden Arbeitstages. Beim privaten Zustelldienst a) Abholung beim Absender mit Zustellgarantie bis zum Mittag des folgenden Arbeitstages, b) Nachweis der Annahme und Auslieferung der Sendung, c) lückenlose DV-gestützte Verfolgung der Sendungen von der Annahme bis zur Auslieferung. Bei Bedarf erteilt das LfV Auskunft, welche privaten Zustelldienste die Voraussetzungen nach Nummer 2 erfüllen. 3.6 VS-NUR FÜR DEN DIENSTGEBRAUCH eingestufte VS können als gewöhnliche Sendungen befördert werden. 4. Versand oder Weitergabe von VS an Parlamente, Privatpersonen oder Unternehmen 4.1 VS, die dem Landtag zugänglich gemacht werden sollen, sind von der obersten Staatsbehörde grundsätzlich der VS-Registratur der Verwaltung des Sächsischen Landtages zur Registrierung zu übersenden. 4.2 Bevor VS an Privatpersonen oder Unternehmen weitergegeben werden, ist erneut zu prüfen, ob die VS-Einstufung in allen Teilen erforderlich ist. Soweit möglich und zweckmäßig, ist eine differenzierte VS-Einstufung vorzunehmen. 4.3 Bei VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften VS genügt es, das VS-NfD-Merkblatt (Anlage 7) zum Vertragsbestandteil zu machen oder die Privatperson auf die darin enthaltenen Bestimmungen hinzuweisen. Vor Weitergabe von VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften VS an ein Unternehmen ist zu prüfen, ob die VS-Einstufung zwingend beibehalten werden muss. 4.4 Für die Weitergabe von VS-VERTRAULICH oder höher eingestuften VS an Unternehmen gilt Nummer 21.4 VSA. 4.5 Privatpersonen dürfen Kenntnis von VS nur erhalten, wenn dies im staatlichen Interesse (zum Beispiel zur Durchführung eines staatlichen Auftrages) erforderlich ist. Sie sind, wenn es sich um VS-VERTRAULICH oder höher eingestufte VS handelt, zuvor gemäß dem Sächsischen Sicherheitsüberprüfungsgesetz zu überprüfen, über die in Betracht kommenden Vorschriften der VSA zu unterrichten sowie unter Hinweis auf die Strafbarkeit einer Geheimnisverletzung förmlich zur Geheimhaltung zu verpflichten (Muster 1) und zu ermächtigen. Bei Bedarf können an die Stelle vorstehender Bestimmungen besondere Sicherheitsvorschriften treten. VS dürfen Privatpersonen erst dann übergeben werden, wenn Maßnahmen für den Schutz der VS unter sinngemäßer Beachtung der VSA getroffen worden sind (Beispiel: Vorübergehende Überlassung eines VS-Verwahrgelasses). 5. Versand von VS an Empfänger im Ausland 5.1 VS-VERTRAULICH oder höher eingestufte VS an berechtigte Empfänger im Ausland sind durch den Kurierdienst des Auswärtigen Amtes zur zuständigen Auslandsvertretung der Bundesrepublik Deutschland zu versenden. Ist diese nicht selbst Empfänger, so ist sie um sichere Weiterleitung an den Empfänger zu ersuchen. Hierbei ist die Geschäftsordnung des Auswärtigen Amtes für den Einsatz von Kurieren zu beachten (RES 21-23 Tz. 1.16.3). Soweit termingebundene VS-Transporte nicht direkt für die Auslandsvertretung bestimmt sind, sondern im Interesse anderer Behörden erfolgen, muss die veranlassende Stelle die damit verbundenen Kosten übernehmen. VS des Geheimhaltungsgrades STRENG GEHEIM sind zusätzlich zu verschlüsseln oder mit Doppelkurier zu befördern. Die Verschlüsselung für den zivilen Bereich übernimmt das Auswärtige Amt. Das versendende Ressort setzt sich deswegen mit dem Auswärtigen Amt in Verbindung. 5.2 VS-NUR FÜR DEN DIENSTGEBRAUCH eingestufte VS von und zu deutschen Auslandsvertretungen sind ebenfalls durch den Kurierdienst des Auswärtigen Amtes zu versenden. Sendungen an andere Empfänger im Ausland können mit einem privaten Zustelldienst versandt werden. 6. Verpackung für den Versand 6.1 VS-VERTRAULICH oder höher eingestuftes Schriftgut ist in doppeltem Umschlag zu versenden. Der Umschlag darf außer bei VS-VERTRAULICH nicht mehr als einen Vorgang enthalten. 6.2 Die inneren Umschläge müssen so beschaffen sein, dass ein unbefugter Zugriff auf den Inhalt erkennbar ist. Das LfV kann im Verdachtsfall eine entsprechende Prüfung durchführen. 6.3 Der innere Umschlag ist mit folgenden Angaben zu versenden: a) Empfänger und Absender, b) Bezeichnung des Empfangsberechtigten mit dem Zusatz „oder Vertreter im Amt“ (o. V. i. A.), c) Geheimhaltungsgrad sowie d) Geschäftszeichen. 6.4 Sendungen, deren Inhalt aus besonderem Grund nur für den auf dem Umschlag bezeichneten Empfänger bestimmt ist, sind auf dem inneren Umschlag mit dem Zusatz „Persönlich“ zu versehen. 6.5 Der äußere Umschlag darf nur die für die Zustellung erforderlichen Angaben enthalten. Er darf keine Zusätze aufweisen, die Rückschlüsse auf den Inhalt zulassen oder auf eine Sonderbehandlung der Sendung hindeuten. 6.6 Kuriersendungen sind abweichend von Nummer 6.1 im einfachen Umschlag zu verpacken und mit dem Geschäftszeichen einschließlich des abgekürzten Geheimhaltungsgrades oder einer Ausgangsnummer zu versehen. Die Übergabe ist vom Kurier und vom Empfänger zu quittieren. 6.7 Beim Versand von VS-VERTRAULICH oder höher eingestuften VS über privaten Zustelldienst ist im inneren Umschlag ein ausgefüllter VS-Empfangsschein beizufügen, der vom Empfänger zurückzusenden ist. Geht der VS-Empfangsschein innerhalb einer angemessenen Frist (in der Regel nach einer Woche) nicht ein, so hat der Absender den Schein anzumahnen. 6.8 Für den Versand von Paketen gelten die vorstehenden Bestimmungen entsprechend. 7. Aufbewahrung von VS-Transportbehältern VS-Transportbehälter sind so aufzubewahren, dass sie Unbefugten nicht zugänglich sind. Der VS-Verwalter hat darauf zu achten, dass die VS-Transportbehälter nach Gebrauch unverzüglich an die VS-Registratur zurückgegeben werden.

Anlage 7 (zu Nummer 19 und 21) Merkblatt zur Behandlung von Verschlusssachen des Geheimhaltungsgrades VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD-Merkblatt) Das Merkblatt ist für die Unterrichtung der Mitarbeiter von Dienststellen für den allgemeinen Umgang mit VS-NUR FÜR DEN DIENSTGEBRAUCH eingestufter VS gedacht, insbesondere aber für Verträge mit privaten Firmen und Organisationen über die Erbringung von als Verschlusssache VS-NUR FÜR DEN DIENSTGEBRAUCH eingestuften Leistungen. Die Bestimmungen dieses Merkblattes sollen in die Vertragsgestaltung einfließen. 1. Allgemeines 1.1 Zugangsberechtigung und Weitergabe a) VS des Geheimhaltungsgrades VS-NfD dürfen nur Personen zugänglich gemacht werden, die im Zusammenhang mit der Auftragsdurchführung oder bei der Auftragsanbahnung Kenntnis erhalten müssen (Grundsatz „Kenntnis nur, wenn nötig“). Den zugangsberechtigten Personen ist dieses Merkblatt vor dem Zugang zu solchen VS nachweislich bekannt zu geben; sie werden auf ihre besondere Verantwortung für den Schutz der VS gemäß diesem Merkblatt sowie eventuelle strafrechtliche oder vertragsrechtliche Konsequenzen bei Zuwiderhandlung hingewiesen. Weitergehende Maßnahmen wie zum Beispiel Sicherheitsüberprüfungen oder formale Besuchsanmeldungen sind bei diesem Geheimhaltungsgrad nicht erforderlich. b) Über den Inhalt der VS ist Verschwiegenheit gegenüber Nichtbeteiligten zu wahren. Mitarbeiter, die sich zum Umgang mit solchen VS als ungeeignet erwiesen oder gegen die Verpflichtung zur Geheimhaltung verstoßen haben, sind von der Bearbeitung solcher VS auszuschließen. c) Die Weitergabe von VS-NfD eingestuften VS darf nur an Regierungsstellen, zwischenstaatliche Organisationen oder Auftragnehmer erfolgen, die an einem Programm/Projekt/Auftrag beteiligt sind und die Zugang zu den Informationen im Zusammenhang mit der Bearbeitung des Programms/Projekts/Auftrags haben müssen. Vor der Weitergabe von VS-NfD eingestuften VS an nicht beteiligte zwischenstaatliche Organisationen oder Auftragnehmer aus nicht beteiligten Ländern ist die schriftliche Einwilligung des amtlichen VS-Auftraggebers der VS einzuholen. Grundsätzlich bedarf es hierbei einer Geheimschutzvereinbarung (siehe auch Nummer 23 VSA). d) Zuständige Stelle für Fragen des Geheimschutzes im nicht-öffentlichen Bereich das Staatsministerium für Wirtschaft und Arbeit. Dieses kann sich beim VS-Auftragnehmer über die Einhaltung der Bestimmungen dieses Merkblattes vergewissern. Ist Auftraggeber eine Behörde, kann auch diese die Kontrollrechte nach Satz 1 wahrnehmen. e) Die VS-Einstufung ist dreißig Jahre nach dem 1. Januar des auf die Einstufung folgenden Jahres aufgehoben, sofern keine andere Frist bestimmt ist (Siehe auch Nummer 9 VSA). 1.2 Bearbeitungsmaßnahmen a) Kennzeichnung und Handhabung beziehungsweise Verwahrung aa) Dokumente sind durch schwarzen oder blauen Stempelaufdruck, Druck „VS-NUR FÜR DEN DIENSTGEBRAUCH“ am oberen Rand jeder beschriebenen Seite sowie aller entsprechend eingestuften Anlagen zu kennzeichnen beziehungsweise im Falle internationaler oder ausländischer VS mit der entsprechenden deutschen Kennzeichnung umzustempeln. Bei Büchern, Broschüren und Ähnlichem genügt die Kennzeichnung auf dem Einband und dem Titelblatt. Trägt jede beschriebene Seite eines ausländischen Buches oder einer ausländischen Broschüre den ausländischen Geheimhaltungsgrad, genügt die Kennzeichnung mit dem deutschen Geheimhaltungsgrad auf dem Einband oder dem Titelblatt. bb) VS-NfD eingestuftes Material (zum Beispiel Gerät, Ausrüstung) oder Datenträger (zum Beispiel Disketten, CD's, Mikrochips, Mikrofiche) sind ebenfalls entweder deutlich sichtbar am Material selbst oder – falls dies nicht möglich ist – an den Aufbewahrungsbehältnissen des Materials zu kennzeichnen beziehungsweise grundsätzlich umzustempeln. cc) Die VS sind in verschlossenen Räumen oder Behältern (Schränken, Schreibtischen und so weiter) zu verwahren. Außerhalb von solchen Räumen oder Behältnissen sind sie stets so aufzubewahren beziehungsweise zu behandeln, dass Unbefugte keinen Zugang zu oder Einblick in die VS haben. dd) VS-Zwischenmaterial (zum Beispiel Vorentwürfe, Stenogramme, Tonträger, Folien) ist gegen Einsichtnahme Unbefugter in derselben Weise zu schützen wie das Bezugsdokument. VS-Zwischenmaterial, das nicht an Dritte weitergegeben und unverzüglich vernichtet wird, muss nicht als VS gekennzeichnet werden. b) Weitergabe aa) Die Weitergabe in Deutschland erfolgt durch Boten oder Versand durch Zustelldienste in einfachem verschlossenen Umschlag beziehungsweise Behältnis. Der Umschlag beziehungsweise das Behältnis erhalten keine VS-Kennzeichnung. bb) VS können durch private Zustelldienste als gewöhnlicher Brief beziehungsweise Paket oder auch als Luft- oder Seefracht in das Ausland versendet werden, es sei denn, der VS-Auftraggeber hat dieser Versendungsart ausdrücklich widersprochen oder andere Modalitäten für den Auslandsversand festgelegt. Dabei sind vom VS-Auftraggeber zwischenstaatliche Vereinbarungen beziehungsweise besondere Programm- oder Projektvereinbarungen zu berücksichtigen. c) Vernichtung/Rückgabe aa) Um größere Bestände von VS zu vermeiden, sind nicht mehr benötigte VS zu vernichten oder an den VS-Auftraggeber zurückzugeben. bb) VS, auch VS-Zwischenmaterial, sind so zu vernichten, dass der Inhalt nicht mehr erkennbar ist und nicht mehr erkennbar gemacht werden kann. d) Verlust, unbefugte Weitergabe, Auffinden von VS oder Nichtbeachtung des Merkblattes sind unverzüglich dem deutschen VS-Auftraggeber mitzuteilen, um einen eventuell entstandenen Schaden zu begrenzen und den Vorfall aufzuklären. e) Besuche in das oder aus dem Ausland mit Zugang zu VS-NfD oder vergleichbarem Geheimhaltungsgrad werden in der Regel unmittelbar zwischen der entsendenden und der zu besuchenden Einrichtung vereinbart. Es gibt keine besonderen Formvorschriften. f) Aufträge aa) Alle VS-Auftragnehmer/-Unterauftragnehmer sind vom VS-Auftraggeber vertraglich zu verpflichten, die Regelungen dieses Merkblattes zu beachten. Dabei ist darauf hinzuweisen, dass eine Nichtbeachtung die Auflösung des Vertrages beziehungsweise von Teilen des Vertrages zur Folge haben kann. bb) Bei Angeboten beziehungsweise der Aufforderung zur Abgabe von Angeboten und nach Auftragsdurchführung sind VS bis zur Aufhebung der Einstufung vorschriftsmäßig zu verwahren, baldmöglichst zu vernichten oder zurück zu geben. cc) VS-Auftragnehmer/-Unterauftragnehmer im Ausland sind vertraglich zu verpflichten, die Vorschriften ihrer zuständigen Sicherheitsbehörde für die Behandlung von VS vergleichbaren Geheimhaltungsgrades zu beachten. Gibt es keinen vergleichbaren Geheimhaltungsgrad in dem Land eines VS-Auftragnehmers/-Unterauftragnehmers, ist das Staatsministerium für Wirtschaft und Arbeit einzuschalten. Die Weitergabe darf dann erst nach Zustimmung des Staatsministeriums für Wirtschaft und Arbeit erfolgen. 2. Nutzung von Informationstechnik (IT) 2.1 Bearbeitung a) Wird IT für die Bearbeitung von VS-NfD eingestuften VS genutzt, sind zum Schutz der VS (entsprechend Nummer 1.1 Buchst. a und Buchst. b) geeignete informationstechnische Maßnahmen und/oder materielle und organisatorische Maßnahmen zu treffen. b) Vor der Bearbeitung oder Speicherung von VS-NfD eingestuften VS ist sicherzustellen, dass das Gerät oder das interne Netzwerk nicht unmittelbar (zum Beispiel ohne Schutz durch eine Firewall) mit dem Internet verbunden ist, sofern nicht weitergehende Maßnahmen entsprechend Nummer 3.3 ergriffen worden sind. c) Bei der Bearbeitung von VS-NfD eingestuften VS kommen insbesondere folgende Maßnahmen in Betracht: aa) Übersicht über die Zugriffsberechtigungen, bb) Nutzung von Identifizierungs- und Authentisierungsmechanismen (zum Beispiel Login, Passwort), cc) geeignete IT-Sicherheitsanweisung (einzelplatz- oder unternehmensbezogen). d) Funktastaturen und Funk-Netzwerke dürfen nur eingesetzt werden, wenn sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen sind. Nähere Auskünfte erteilt das Landesamt für Verfassungsschutz Sachsen. e) Werden für die Bearbeitung oder Speicherung von VS-NfD eingestuften Daten tragbare IT-Systeme (zum Beispiel Notebooks oder Handhelds) eingesetzt, sind die verwendeten Speichermedien durch vom BSI zugelassene Produkte zu verschlüsseln. Sofern Programme und Geräte mit BSI-Zulassung nicht verfügbar sind, können durch das BSI nach Common Criteria, Prüftiefe mindestens EAL 3, zertifizierte Produkte verwendet werden. Auskünfte erteilt das Landesamt für Verfassungsschutz Sachsen. f) Transportable Datenträger (zum Beispiel Disketten, CD's, Wechselplatten), die VS-NfD eingestufte Daten unkryptiert enthalten, sind gemäß Nr. 1.2 Buchst. a Doppelbuchst. bb zu kennzeichnen und gemäß Nummer 1.2 Buchst. a Doppelbuchst. cc aufzubewahren. g) Das Löschen von Datenträgern hat mit Hilfe von Softwareprodukten zu erfolgen, die mindestens ein zweifaches Überschreiben vorsehen. Hierbei soll auf vom BSI empfohlene Produkte zurückgegriffen werden. h) IT und Datenträger sind auf Virenbefall (insbesondere sogenannte ᾶTrojaner‘ oder ᾶWürmer‘) zu überprüfen, bevor VS-NfD damit bearbeitet werden. Diese Prüfung ist in regelmäßigen Zeitabständen zu wiederholen. i) Private IT (zum Beispiel Laptops), Software oder Datenträger dürfen nicht für die Bearbeitung eingesetzt werden. In für VS-NfD genutzten IT-Systemen dürfen keine private Software oder private Datenträger verwendet werden. j) Auf fest installierten Datenträgern, die VS-NfD eingestufte Daten unkryptiert enthalten, sind die Verschlusssachen gemäß Buchstabe g zu löschen, bevor die Datenträger im Rahmen von Wartungs- oder Reparaturarbeiten an IT-Systemkomponenten den Bereich der zugriffsberechtigten Personen verlassen. Ist eine Löschung nicht möglich, sind die Datenträger auszubauen und zurückzubehalten beziehungsweise ist das Wartungs- beziehungsweise Reparaturunternehmen vertraglich auf die Einhaltung der Regeln dieses Merkblattes zu verpflichten. 2.2 Übertragung a) Bei der elektronischen Übermittlung auf Telekommunikations- oder anderen technischen Kommunikationsverbindungen (einschließlich Onlinedienste wie WWW, FTP, TELNET, E-Mail et cetera) in Deutschland sind die VS mit einem vom BSI zugelassenen, zertifizierten (Nummer 40 VSA) Kryptosystem zu kryptieren. Abweichend hiervon ist im Ausnahmefall eine unkryptierte Übertragung zulässig aa) innerhalb von Festnetzen bei Telefongesprächen, bei Videokonferenzen und bei Fernkopien und Fernschreiben, wenn zwischen Absender und Empfänger für die erforderliche Übertragungsart keine Kryptiermöglichkeit besteht und der VS-Auftraggeber bei der Auftragsvergabe nicht ausdrücklich eine Kryptierung verlangt. Die absendende Stelle hat sich vor der Übertragung möglichst zu vergewissern, dass sie mit dem richtigen Empfänger verbunden ist. bb) innerhalb eines geschlossenen Netzes (LAN), wenn es ausschließlich auf einem örtlich zusammenhängenden firmeneigenen Gelände betrieben wird und die Übertragungseinrichtungen gegen unmittelbaren Zugriff Unbefugter geschützt sind. b) Bei grenzüberschreitenden elektronischen Übermittlungen müssen die Verschlüsselungsverfahren zwischen den nationalen Sicherheitsbehörden der beteiligten Staaten abgestimmt werden. Sofern in einem Programm/Projekt besondere Sicherheitsanweisungen für die Übermittlung vereinbart wurden, sind diese zu beachten. Bei Bedarf erteilt das Landesamt für Verfassungsschutz Sachsen weitere Auskünfte. 2.3 Maßnahmen zum Schutz der Vertraulichkeit Die im Folgenden empfohlenen Maßnahmen sollen die Vertraulichkeit der elektronisch gespeicherten VS sicherstellen. Sie dienen nicht in erster Linie dazu, die Integrität und die Verfügbarkeit der Daten zu gewährleisten. Drei unterschiedliche Ausgangssituationen sind zu unterscheiden: a) Einzelplatz-PC oder Netzwerke mit geschlossenen Nutzergruppen, die nicht mit anderen Netzen verbunden sind aa) Das Betriebssystem muss ein differenziertes Benutzerprofil und Zugriffsschutz bis auf Dateiebene gewährleisten, damit der Grundsatz „Kenntnis nur, wenn nötig“ sichergestellt wird (zum Beispiel Unix/Linux, Win NT, Win 2000, Win XP). bb) Es muss ein Login und ein Passwort vorhanden sein. Das Passwort muss mindestens sechs alphanumerische Stellen, Sonderzeichen, Groß- und Kleinbuchstaben enthalten. cc) Das BIOS muss ebenfalls durch ein Passwort geschützt sein. dd) Ein Booten des IT-Systems darf grundsätzlich nur von der Festplatte aus möglich sein. ee) Es sollte – falls möglich – eine RAM-Disk für die Temp-Dateien enthalten (Nutzungshilfe). ff) Ein aktuelles Virenschutzprogramm muss eingesetzt sein. gg) Bei Netzwerken sollte eine eigene Partition zum Speichern der VS-Daten auf dem Server installiert werden. b) Geschlossene Netze mit E-Mail-Anschluss nach außen Zusätzlich zu den unter Buchstabe a festgelegten Punkten müssen aa) ein serverbasiertes Netz vorhanden sein, bei dem der Server im zugangsgeschützten Bereich steht, bb) eine Firewall vorhanden sein, entweder auf dem Server oder als eigenes IT-System (und gegebenenfalls zusätzlich E-Mailserver) auch im zugangsgeschützten Bereich, ein Paketfilter eingesetzt werden, ein Application Gateway ist möglich. cc) jede weitere IP-Adresse außer der Server-IP nach außen verborgen werden (DNS-Server), dd) die Übertragung von VS-NfD verschlüsselt erfolgen, wobei für die Verschlüsselung nur vom BSI freigegebene Produkte eingesetzt werden dürfen; Schlüssel sind grundsätzlich nicht auf der Festplatte abzulegen. Es müssen verbindliche Anwenderregelungen innerhalb des Unternehmens festgelegt und geschult werden. Die neuesten Sicherheits-Updates der genutzten Software sind nach Verfügbarkeit insbesondere auch der Firewall einzubinden. c) Standalone-PC oder geschlossene Netze mit E-Mail und Internetanschluss Zusätzlich zu den unter Buchstaben a und b festgelegten Punkten müssen aa) eine Firewall und ein Application-Gateway vorhanden sein, bb) die Regelungen des BSI-Grundschutzhandbuches für Passwörter angewendet werden, cc) VS-NfD-Daten auf dem Server in einer eigenen Partition beziehungsweise in einem speziell geschützten Datenbereich gehalten werden; die dadurch gegebenen Schutzmechanismen sind entsprechend anzuwenden. Je nach Umfang ist die Einrichtung eines eigenen VPN zum Beispiel für eine Nutzergruppe oder ein Projekt erforderlich.