Dienstleistungen - Suzana Ulbrich
Was können wir für Sie tun ?

Richtlinien zur Nutzung von Telekommunikations- oder anderen technischen Kommunikationseinrichtungen für die Übermittlung von Verschlusssachen (VS) in Unternehmen

(Krypto - Richtlinien)

Kryptomittel, die von der Bundeswehr - National Distribution Agency Germany (NDA Germany) bereitgestellt werden
Für die Erfüllung von nationalen bzw. internationalen VS-Aufträgen ist auf Veranlassung des VS-Auftraggebers gegebenenfalls die Ausstattung von Unternehmen mit Kryptomitteln der Bundeswehr, der NATO, der EU sowie von sonstigen internationalen Stellen erforderlich.

Von der Bundeswehr - National Distribution Agency Germany (NDA Germany) wurden Richtlinien zur Behandlung von Kryptomitteln herausgegeben. In diesen Richtlinien wurden die Sicherheitsmaßnahmen (einschließlich der Anwendung von materiellen Sicherheitsmaßnahmen) für Kryptomittel festgelegt.

Diese Richtlinien regeln die Behandlung, den Einsatz und die Nutzung von Kryptomitteln. Sie fassen die wesentlichen Bestimmungen des Kryptowesens der Bundeswehr, der NATO und der EU zur Handhabung, Verteilung und zur Nachweisführung von Kryptomitteln zusammen und legen Schutzmaßnahmen zur Herstellung und Erhaltung der Kryptosicherheit fest.

Diese Richtlinien gelten ausschließlich für Kryptomittel der Bundeswehr, der NATO, der EU oder sonstiger internationaler Stellen, die über die NDA Germany bereitgestellt werden.
Unternehmen, die Kryptomittel benötigen, müssen sich gegenüber dem VS- Auftraggeber verpflichten, geeignete Verfahren zu implementieren, um die Einhaltung dieser Richtlinien sicherzustellen. NDA Germany darf die Einhaltung dieser Richtlinien in den Unternehmen prüfen bzw. prüfen lassen.

Die Richtlinien zur Kryptosicherheit können bei der NDA Germany angefordert werden.

Für die Wahrnehmung der Aufgaben der Kryptoverwalterung ist ein/e Kryptoverwalter/in bzw. stellvertretende/r Kryptoverwalter/in im Rahmen einer formellen Schulung auszubilden.
Ansprechpartner:
bei Kryptomitteln der Bundeswehr und der NATO / EU das

Zentrum für Cyber-Sicherheit der Bundeswehr NDA Germany
Münstereifeler Straße 75
53359 Rheinbach
Tel. Leiter NDA: 02226 88 1710
Tel. Leitender Kryptoverwalter: 02226 88 1711 Fax: 02226 88 1702

bei anderen Kryptomitteln das

BSI - Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee 183
53175 Bonn
Telefon: 0228/9582-0
Telefax: 0228/9582-400


Für die Behandlung von Kryptomitteln des Bundes, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt werden, sind die nachfolgend abgedruckten bisherigen Krypto-Richtlinien weiter anzuwenden, bis das BSI eigene Richtlinien für die Behandlung, den Einsatz und die Nutzung von Kryptomitteln herausgeben wird.

B: Kryptomittel, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt werden

§ 1 Anwendbarkeit

Diese Richtlinien sind bei der Übermittlung von VS der Geheimhaltungsgrade VS- VERTRAULICH und höher unter Benutzung von Telekommunikations- oder anderen Kommunikationseinrichtungen anzuwenden.

§ 2 Allgemeine Grundsätze

  1. Die Nutzung von Telekommunikations- oder anderen technischen Kommunikations- einrichtungen zur Übermittlung von VS bedarf der Zustimmung des BMWi. VS sind grundsätzlich vor einer Übermittlung mittels Telekommunikations- oder anderer technischer Kommunikationseinrichtungen - zu kryptieren oder- durch andere gleichwertige Maßnahmen zu sichern (z.B. approved circuits). Die erforderlichen Maßnahmen werden im Einzelfall durch BMWi festgelegt.
  2. Zum Kryptieren von VS dürfen nur Kryptosysteme verwendet werden, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für den betreffenden Geheimhaltungsgrad zugelassen oder vom amtlichen VS-Auftraggeber beigestellt sind. Eine Genehmigung für deren Einsatz erteilt BMWi in Abstimmung mit den Fachdienststellen. (vgl. § 14 VS-IT- Richtlinien/Unternehmen).
  3. Komponenten von Kryptosystemen, die für eine Kryptierung von VS zugelassen sind, sowie die dazu gehörenden systembezogenen Anweisungen sind regelmäßig VS – NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) eingestuft und unterliegen neben den Richtlinien für VS– NfD zusätzlichen Behandlungsvorschriften. Diese VS-NfD-Einstufung gilt nur so lange die Komponenten keine Kryptovariablen enthalten. Sind die enthaltenen Kryptovariablen höher eingestuft, sind die Komponenten entsprechend dieser höheren Einstufung zu behandeln. Die Komponenten erhalten zusätzlich eine Abstrahl-Prüfplakette und BSI-Manipulations- erkennungs-Plaketten (MEPs). Kryptodatenträger sind neben dem Geheimhaltungsgrad mit dem Warnvermerk ”KRYPTO” in gleicher Farbe wie der jeweilige Geheimhaltungsgrad zu kennzeichnen. 
  4. Zugang zu Kryptogeräten, Kryptodatenträgern und Kryptounterlagen, die VS- VERTRAULICH oder höher eingestuft sind oder Kryptovariablen enthalten, die VS- VERTRAULICH oder höher eingestuft sind, dürfen nur ausreichend ermächtigte Personen erhalten, die von dem/der SiBe schriftlich bestellt (Kryptoverwalter/-in und Vertreter/-in gemäß § 4(1)) und/oder über die Besonderheiten des Umgangs mit Kryptomitteln nachweislich belehrt wurden (Muster 3). Sämtliches Kryptopersonal sowie dessen Unterrichtung ist in einem Nachweis (Muster 2) aktenkundig zu machen. Für die Bearbeitung von VS-NUR FÜR DEN DIENSTGEBRAUCH KRYPTO eingestuften Unterlagen reicht eine nachweisbare Belehrung aus (Muster 3).

§ 3 Begriffsbestimmungen

Kryptieren/Dekryptieren: Klartext mittels eines Kryptosystems durch Verschlüsseln oder Codieren in unverständliche Form (Kryptotext) umwandeln bzw. Kryptotext in verständlichen Klartext rückwandeln.
Kryptobetriebsstelle: Vom BMWi zugelassene Räumlichkeit, in der Kryptomittel eingesetzt und betrieben werden.
Kryptodaten: Bestandteile der Zeichenfolge, die eine Kryptovariable bildet. Kryptodatenträger: Datenträger, der Kryptovariable enthält.
Kryptogerät: Gerät, das nach einem kryptologischen Prinzip kryptiert. Kryptomaterial: Oberbegriff für Kryptogerät und Zubehör.
Kryptomittel: Oberbegriff für Kryptounterlagen und Kryptomaterial.
Kryptopersonal: Personal, das zum Zugang zu und Umgang mit Kryptomitteln berechtigt ist.
Kryptoschlüssel: Kryptovariable bzw. Kryptodatenträger.
Kryptosystem: Zusammengehörige Kryptomittel, die eine bestimmte Kryptierung ermöglichen.
Kryptounterlage: Unterlage, die Kryptoinformationen oder Kryptodaten enthält.
Kryptovariable: Folge von Zeichen, die einen Kryptiervorgang einleitet oder unmittelbar zum Kryptieren benutzt wird.
Kryptoverteilerstelle: Stelle, die in ihrem Zuständigkeitsbereich für Nachweis, Lagerung und Verteilung von Kryptomitteln verantwortlich ist.
Kryptoverwalter/in: Person, der die Verwaltung, sichere Aufbewahrung und Vernichtung von Kryptomitteln übertragen wurde.

§ 4 Verwaltung von Kryptodatenträgern und Kryptounterlagen

Krytodatenträger und Kryptounterlagen sind getrennt von den übrigen VS zu verwalten. Die Verwaltung von Kryptodatenträgern und Kryptounterlagen obliegt dem/der Krypto- verwalter/in und sein/ihre Vertreter/in, die auf Vorschlag des/der SiBe vom BMWi bestellt werden (Muster 1). Die Bestellung kann ohne Angabe von Gründen zurückgenommen werden. Jeweils eine Ausfertigung der Bestellung wird vom BMWi an die Kryptoverteilerstellen weitergeleitet. Eine Ausfertigung erhält der/die SiBe. Der/die Kryptoverwalter/in und sein/ihre Vertreter/in sind von dem/der SiBe, soweit dieser/e bereits vom BMWi kryptobelehrt ist, nachweislich über ihre Aufgaben und Pflichten zu belehren (Muster 5). Die Aufgaben des/der Kryptoverwalters/in können auch von dem/der SiBe, VS- Verwalter/in oder Vertreter/in wahrgenommen werden.

Zum Aufgabenbereich des/der Kryptoverwalters/in gehören 

- das Führen von Krypto-Bestandsverzeichnissen zu Kryptodatenträgern und Kryptounterlagen,

- die Ausgabe und Rücknahme von Kryptodatenträgern und Kryptoschlüsseln,

- das Laden von Kryptodatenträgern mit Kryptodaten und Kryptoschlüsseln,

- die Vernichtung von Kryptodatenträgern und Kryptounterlagen,

- die Aufbewahrung von Kryptodatenträgern und Kryptounterlagen.

Eingehende Kryptodatenträger und Kryptounterlagen dürfen nur von dem/der Kryptoverwalter/in oder dem/der Vertreter/in gegen Empfangsbescheinigung (Muster 4) entgegengenommen, ausgehende nur von diesen übermittelt werden. Kryptodatenträger dürfen nicht unbefugt hergestellt, vervielfältigt oder auszugsweise wiedergegeben werden.

Kryptogeräte, die für eine Kryptierung von VS zugelassen sind, sowie Kryptodatenträger und Kryptounterlagen sind in einem eigenen Krypto-Bestandsverzeichnis nachzuweisen. Mit Zustimmung BMWi kann im Einzelfall der Nachweis auch in den allgemeinen VS- Bestandsverzeichnissen erbracht werden. In diesem Fall ist der jeweilige Eintrag mit dem entsprechenden Warnvermerk zu kennzeichnen.

Kryptodatenträger und eingestufte Kryptounterlagen sind unverzüglich durch den/die Kryptoverwalter/in zu vernichten, wenn sie nicht mehr benötigt werden. Der Vernichtungsnachweis (Muster 5) ist VS-NfD einzustufen. Vernichtungsnachweise und Bestandsberichte sind gemäss den Auflagen der Kryptoverteilerstelle aufzubewahren. Kassetten und andere Sicherheitsverpackungen von Kryptodatenträgern und Kryptounter- lagen, die nicht von der Kryptoverteilerstelle zurückverlangt werden, sind zu vernichten.

§ 5 Versendung und Transport der Komponenten von Kryptosystemen

(1) Kryptogeräte und Zubehör, Kryptodatenträger, die mit einem Kryptoschlüssel im unverschlüsselten Zustand geladen sind, sowie Kryptounterlagen sind grundsätzlich durch Firmenkurier zu versenden.
Dabei ist der innere Umschlag bzw. die innere Verpackung mit dem Namen des/der Empfangsberechtigten, dem Zusatz ”oder Vertreter/in” und dem Zusatz ”persönlich (KRYPTO)” zu versehen. Der äußere Umschlag bzw. die äußere Verpackung ist neutral zu adressieren.

(2) Kryptodaten bzw. Kryptoschlüssel können, wenn dies die zuständige Kryptoverteilerstelle ausdrücklich zulässt, auch auf zugelassenen technischen Kommunikationswegen über- mittelt werden. Diese Übermittlung erfolgt mit einer von der Kryptoverteilerstelle festzulegenden Kryptierung. Eine Übermittlung dieser Daten hat in enger Abstimmung zwischen Kryptoverteilerstelle und dem/der Kryptoverwalter/in der empfangenden Stelle zu erfolgen.

(3) Kryptogeräte dürfen nicht mit eingelegtem/aktiviertem Kryptodatenträger bzw. unkryptiert gespeicherten Kryptodaten transportiert werden.

§ 6 Installation und Sicherung von Kryptogeräten und Kryptounterlagen einschließlich Kryptodatenträgern, Freigabe und Prüfungen

(1) Kryptogeräte, Kryptodatenträger und Kryptounterlagen sind entsprechend ihrer jeweiligen VS-Einstufung, jedoch getrennt von den übrigen VS, zu verwahren. Kryptogeräte dürfen nicht mit eingelegtem oder aktiviertem Kryptodatenträger bzw. eingegebenen Kryptodaten gelagert werden.
(2) Kryptogeräte sind gemäß den Vorgaben bzw. systembezogenen Zulassungskriterien des BSI zu installieren und insbesondere gegen kompromittierende Abstrahlung zu sichern.
(3) Die Inbetriebnahme der Kryptobetriebsstelle und somit des Kryptogerätes ist erst zulässig, wenn eine schriftliche Freigabe von BMWi vorliegt. Mit Vorlage dieser Freigabebestäti- gung gewährt die Kryptoverteilerstelle Zugang zu Kryptomittel.
(4) Der ordnungsgemäße Betrieb der Kryptobetriebsstelle wird alle 5 Jahre durch BMWi überprüft.
(5) Kryptobetriebsstellen sind grundsätzlich als Kontroll- bzw. Sperrzonen zu betreiben. Der Zutritt ist in der Kontroll- bzw. Sperrzonenanweisung zu regeln.
(6) In Kryptobetriebsstellen darf grundsätzlich nur ermächtigtes Personal eingesetzt werden. Personal, das nicht ermächtigt ist (z. B. Wartungs-, Reinigungskräfte), darf nur kurzfristig eingesetzt werden und ist während der Tätigkeit in der Kryptobetriebsstelle ständig zu beaufsichtigen. Die Kenntnisnahme von VS muss ausgeschlossen sein.

§ 7 Kommunikationsbetrieb

(1) Das Kryptieren und Dekryptieren darf nur in Kryptobetriebsstellen durchgeführt werden.
(2) Kryptiert empfangene VS des Geheimhaltungsgrades VS-VERTRAULICH oder höher, sind unmittelbar nach Dekryptierung der VS-Registratur zur Registrierung vorzulegen. Dabei sind folgende Informationen mitzuteilen:
- Tagebuchnummer und Bezeichnung der VS,
- Übermittlungsart der VS (z. B. Fernschreiben, Telekopie, E-Mail usw.),
- Datum und Uhrzeit der Aufnahme bzw. Absendung,
- Datum und Uhrzeit der Weiterleitung,
- Empfänger, Absender.
Der Empfang von verschlüsselten VS ist dem Absender von der VS-Registratur zu bestätigen (Anlage 47).
Bei der Übermittlung anfallendes VS-Zwischenmaterial ist unverzüglich zu vernichten.

§ 8 Sicherheitsvorkommnisse

(1) Wenn beim Kommunikations- bzw. Kryptobetrieb für VS bekannt wird oder der Verdacht entsteht, dass
- Unbefugte Zugriff auf VS erhalten haben oder ihn sich verschaffen wollten,
- Komponenten von Kryptosystemen sicherheitserhebliche Mängel aufweisen, manipuliert oder entwendet wurden oder
- die Geheimhaltung von VS in anderer Weise verletzt oder konkret gefährdet wurde,
- ist unverzüglich der/die SiBe zu benachrichtigen.
(2) Der/die Sicherheitsbevollmächtigte veranlasst bei Gefahr im Verzuge die notwendigen Maßnahmen. Er hat bei Feststellung schwerwiegender Mängel bis zu deren Beseitigung den Kommunikations- bzw. Kryptobetrieb für VS einzuschränken oder zu untersagen. Die festgestellten Mängel sind dem BMWi, dem VS-Auftraggeber und der Krypto- verteilerstelle zu melden.
(3) Sicherheitsvorkommnisse und die daraufhin veranlassten Maßnahmen sind zu dokumentieren. Die Dokumentation ist mindestens zehn Jahre aufzubewahren.

§ 9 Krypto-Geheimschutzdokumentation

Ergänzend zu einem eventuellen Geheimschutzplan ist eine Krypto-Geheimschutzdokumentation zu führen, die mindestens folgendes enthält:
- aktuelle Liste des Kryptopersonals und Verzeichnis der Kryptobetriebsstellen und Kryptogeräte für die letzten fünf Jahre,
- Zulassungskriterien sowie systembezogene Anweisungen der Kryptogeräte und Freigabebestätigungen für Kryptosysteme für die gesamte Einsatzdauer des Gerätes,
- Kontroll- und Prüfberichte, Berichte über Sicherheitsvorkommnisse und bei Einsatz von IT zusätzlich die ITGA’s für die jeweils letzten zehn Jahre.