deen
Teilen
schließen
Teilen
schließen
  • Sprache / language
  • deen

Digitale Souveränität
für unser Land

Digitale Souveränität
für unser Land

Das Duo für höchste Sicherheit

National Secure Cloud (NSC) und VS-Arbeitsplatz

Die fortschreitende Digitalisierung und steigende Cyberbedrohungen erfordern IT-Lösungen, die höchste Sicherheitsstandards erfüllen und zugleich flexibel und benutzerfreundlich sind. Insbesondere Behörden und Streitkräfte arbeiten täglich mit Daten gemäß Verschlusssachenanweisung (VSA) und benötigen einen hohen Grad an Souveränität.

Tägliche Cyber-Angriffe auf Firmen- und Regierungsnetze

Das BSI registriert jeden Tag 250.000 neue Schadprogramm-Varianten. Allein die Bundesverwaltung erhält im Schnitt täglich 775 E-Mails mit Schadsoftware. Pro Tag sperrt das BSI 370 Webseiten für den Zugriff aus den Regierungsnetzen. Cyber-Spionage steht heute auf der Tagesordnung, hier einige Beispiele aus der jüngsten Vergangenheit:

  • Angriff auf das zivile Geschäft des Rüstungskonzerns Rheinmetall (2023)
  • Angriff auf die SPD-Zentrale und Rüstungsunternehmen durch den russischen Militärgeheimdienst (2024)
  • Cyberattacke – vermutlich aus China – auf das britische Verteidigungsministerium (2024)
  • Angriff auf die IT-Infrastruktur der CDU, die als Folge der Attacke vom Netz genommen werden musste (2024)
     

Unsere Antwort:
Die NSC in Kombination mit dem VS-Arbeitsplatz 

Eine maßgeschneiderte Cloud-Infrastruktur und eine sichere Arbeitsumgebung, die den Anforderungen von Behörden, Militärs und regulierten Industrien gerecht werden – mit maximaler Datensouveränität und Schutz bis zur Einstufung GEHEIM.

Die National Secure Cloud

  • eine hochsichere Cloud-Infrastruktur
  • erfüllt die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • hohe Leistungsfähigkeit, Interoperabilität und Skalierbarkeit
  • Sicherheitsdomänen und sichere Domänenübergänge für Behörden und Militär

Der VS-Arbeitsplatz

  • modulare Lösung aus europäischen Open-Source-Anwendungen
  • skalierbar für große Organisationen mit tausenden Nutzern
  • zum Bearbeiten von Verschlusssachen bis zur VS-Einstufung GEHEIM
  • kompatibel mit ZenDiS openDesk.

Sicherheit und Compliance in der Cloud:
Proprietäre versus Open-Source-basierte Lösungen im Vergleich

Der Einsatz eines Open-Source-Cloud-Stacks in Kombination mit Diensten wie NSC und VS-Arbeitsplatz bietet gegenüber den herkömmlichen Cloud-Stacks der Hyperscaler deutliche Vorteile in den Bereichen Sicherheit, Transparenz und regulatorische Konformität – insbesondere in Deutschland. Dies liegt vor allem an der höheren Kontrollierbarkeit, Flexibilität und Offenheit Open-Source-basierter Ansätze.

Bei der Wahl einer Cloud-Lösung spielen Sicherheit und Compliance eine entscheidende Rolle, insbesondere im Hinblick auf datenschutzrechtliche Vorgaben wie den Cloud Act. Im Folgenden vergleichen wir typische Cloud-Stacks der Hyperscaler mit NSC/VS-AP hinsichtlich zentraler Sicherheitsmerkmale und ihrer Compliance-Fähigkeit:

  • Datenabflussrisiko durch 'Call-Home'-Funktionen

    Die Cloud-Stacks der Hyperscaler bergen potenzielle Risiken für den Abfluss sensibler Daten, da sie über "Call-Home"-Funktionalitäten verfügen und auf multinationalen Regionen betrieben werden. Im Gegensatz dazu bieten Open-Source-basierte Lösungen wie die Kombination aus NSC und VS-AP deutlich mehr Transparenz und Kontrolle – und reduzieren damit das Risiko für Datenabfluss erheblich.

  • Einhaltung von IT-Sicherheitsfunktionen (VSA Bund § 52)

    Hier wird der Unterschied zwischen proprietären Lösungen und dem Open-Source-Ansatz deutlich: Während die Cloud-Stacks der Hyperscaler tendenziell Schwierigkeiten haben, diese Anforderungen vollständig zu erfüllen, bietet ein US-freier Open-Source-Stack in Verbindung mit der Möglichkeit, Perimeterschutz durch eine On-Premise-Variante zu implementieren, eine verlässlichere Grundlage für die Einhaltung regulatorischer Vorgaben.

  • Lifecycle Management und Sicherheitsrichtlinien

    Bei der Bewertung von Lifecycle-Managementsystemen im Hinblick auf Sicherheitsrichtlinien, die Einblick in den CVE (Common Vulnerabilities and Exposures) Score des Codes erfordern, zeigen sich deutliche Schwächen bei binärer, vorkompilierter oder proprietärer Software. Nur Open-Source-Code ermöglicht eine vollständige Umsetzung solcher Richtlinien.

    Zudem stoßen Security-Scans, die auf Binärdateien angewendet werden, an technische Grenzen, wodurch ihre Ergebnisse oft weniger aussagekräftig sind. Im Gegensatz dazu bieten Tool-Chains für transparente Qualitätssicherung, wie sie etwa bei NSC oder der NATO Software Factory eingesetzt werden, die notwendige Transparenz und Prüfbarkeit – und stellen sicher, dass vor jedem Release eine fundierte Sicherheitsbewertung erfolgen kann.

  • Hardwaresicherheitsmodule (HSM)

    Es gibt berechtigte Zweifel, ob die in den Hyperscaler-Stacks eingesetzten Crypto-Algorithmen tatsächlich in zertifizierten Hardware Security Modules (HSMs) implementiert sind – vielmehr wird von einer rein softwarebasierten Umsetzung ausgegangen.

    Im Gegensatz dazu lassen sich zertifizierte HSMs problemlos in modular aufgebaute Open-Source-Stacks integrieren, wodurch eine Anpassung an nationale Vorgaben möglich ist. Die NSC gewährleistet dies explizit.

  • Zugelassene Elemente (Baseline für IaaS-Cloud plus Netzwerk)

    Die Hyperscaler-Stacks weisen vermutlich Defizite in Bezug auf zugelassene Sicherheitskomponenten auf, da ihre geschlossene Architektur eine flexible Integration erschwert. Ohne offene oder modulare Softwarearchitekturen bleibt eine Anpassung an spezifische nationale Vorgaben – insbesondere für den deutschen Markt – unwahrscheinlich.

    Im Gegensatz dazu ermöglichen modular aufgebaute, Open-Source-basierte Softwarearchitekturen die gezielte Einbindung von Komponenten gemäß den Anforderungen des BSI (Bundesamt für Sicherheit in der Informationstechnik). Dadurch lassen sich deutsche Compliance-Vorgaben deutlich einfacher und effizienter umsetzen.

Sie wollen mehr wissen?

In unserer Broschüre finden Sie die Details.

PDF / 3 MB
Download

FAQ

  • Wer sind die Bedarfsträger / Zielkunden für die NSC?

    • Regierungen mit hohem IT-Sicherheitsanspruch (inkl. angeschlossener Ministerien und Verwaltungen)
      Für Regierungen und ihre nachgelagerten Behörden steht digitale bzw. Daten-Souveränität ganz oben auf der Agenda. Zudem ist es für diese Bedarfsträger wichtig, einen Vendor-Lock-in zu vermeiden. Stattdessen sollen klassische Produkte der Hyperscaler durch Open-Source-Anwendungen wie den VS-Arbeitsplatz ersetzt oder ergänzt werden.
       
    • Bundeswehr und andere militärische Organisationen (z. B. NATO oder befreundete Staaten)
      Auch im militärischen Kontext ist Datensouveränität sehr wichtig. Zusätzlich müssen hier internationale Standards (z. B. der NATO) berücksichtigt werden. Die technischen Anforderungen sind damit erheblich höher für Regierungen. Der Technologie-Stack der NSC erfüllt all diese Anforderungen.
      Aktuelle Entwicklungen zeigen, dass die Bundeswehr sich an die ZenDiS-Lösung openDesk anlehnt. Der VS-Arbeitsplatz ist die ideale Ergänzung und voll kompatibel mit openDesk.
       
    • Regulierte Industrien
      Regulierte Branchen wie die Pharmaindustrie verwenden erhebliche finanzielle Mittel auf die Entwicklung medizinischer Produkte, die zusätzlich meist einen sehr komplexen und mehrjährigen Zulassungsprozess durchlaufen. Geheimhaltung während des gesamten Prozesses von der Idee bis zur Zulassung ist daher von herausragender Bedeutung, um den Wissensvorsprung sowie den Return on Investment zu sichern.

  • Worin unterscheidet sich die Architektur der NSC von herkömmlichen Clouds?

    Jede Cloud benötigt als Herzstück zur Virtualisierung und Ressourcen-Orchestrierung einen Hypervisor. Im Gegensatz zu herkömmlichen Clouds setzt die NSC auf einen modularen, Mikrokern-basierten Hypervisor. Dieser unterscheidet sich wesentlich von den monolithischen Hypervisoren, die in traditionellen Clouds verwendet werden. Besonders auffällig ist der Unterschied bezüglich der Trusted Computing Base (TCB), der Software und Hardware eines Systems, der man vertrauen muss. Während herkömmliche Clouds auf monolithische Hypervisoren mit Millionen von Codezeilen setzen, besteht die TCB des L4Re Hypervisors in der NSC-Lösung aus lediglich etwa 30.000 Codezeilen. Diese um ein Vielfaches kleinere Codebasis ermöglicht vollständige Überprüfbarkeit und reduziert gleichzeitig die Anfälligkeit für Fehler und Sicherheitslücken.

  • Was versteht man unter der Multi-Sicherheitsdomänen-Cloud?

    Die NSC ist in der Lage, mehrere abgeschlossene Netzwerke oder Domänen für unterschiedliche Geheimhaltungsgrade auf einer Hardware laufen zu lassen und über den L4Re Secure Separation Kernel sicher voneinander zu trennen. Das wurde vom BSI bis zum Geheimhaltungsgrad GEHEIM bestätigt.

  • Wie lassen sich zwischen den Sicherheitsdomänen Daten austauschen?

    Mit SDoT Security Gateways können strukturierte Daten zwischen den Sicherheitsdomänen ausgetauscht werden. Sie werden dabei von den Gateways anhand eines festgelegten Regelwerks geprüft. Unstrukturierte Daten – etwa Word-, Excel- oder andere Dateien – müssen vor dem Verlassen der Sicherheitsdomäne mittels eines SDoTs gelabelt werden. Auch E-Mails lassen sich auf diesem Weg austauschen. Diese IT-Sicherheitsprodukte sind vom BSI bis zum Geheimhaltungsgrad GEHEIM zugelassen.

  • Wie wird in der NSC die Sicherheit für kryptografische Anforderungen gewährleistet?

    Es werden umfassende Sicherheitslösungen bereitgestellt, darunter ein vom BSI zugelassenes Hardware-Sicherheitsmodul für alle kryptografischen Anforderungen. Zusätzlich besteht die Möglichkeit,Client-seitigen Schutz durch Festplattenshy;verschlüsselung sowie „File and Folder“-Verschlüsselung bis zum Standard VS-NfD zu nutzen.

  • Was sind die Merkmale eines VS-Arbeitsplatzes?

    Der VS-Arbeitsplatz berücksichtigt die typischen Merkmale eines digitalen souveränen Arbeitsplatzes in Behörden-Clouds

    • Einsatz von Open-Source-Software: 
      Behörden setzen verstärkt auf Open-Source-Software, die transparenter ist und besser kontrolliert werden kann. Dies reduziert die Abhängigkeit von proprietären Lösungen großer internationaler IT-Unternehmen.
    • Datensouveränität
      Daten werden in eigenen oder nationalen Rechenzentren gespeichert und verwaltet, anstatt in ausländischen Cloud-Diensten. Dies schützt die Daten vor unautorisierten Zugriffen.
    • Sicherheitsstandards
      Strenge Sicherheits- und Datenschutzstandards werden implementiert, um sicherzustellen, dass die IT-Infrastruktur vor Cyberangriffen geschützt ist. Dies umfasst auch regelmäßige Sicherheitsüberprüfungen und -audits.
    • Interoperabilität
      Systeme und Anwendungen werden so entwickelt, dass sie miteinander kompatibel sind und problemlos Daten austauschen können. Dies fördert die Effizienz und reibungslose Zusammenarbeit zwischen verschiedenen Behörden und Abteilungen.
    • Kontrolle über Software und Hardware: 
      Behörden haben die Kontrolle über die Software- und Hardware-Komponenten, die sie verwenden. Dies bedeutet, dass sie Anpassungen vornehmen und Sicherheitslücken schließen können, ohne auf externe Anbieter angewiesen zu sein.
       

    Vorteile eines digital souveränen Arbeitsplatzes für Behörden

    • Sicherheit
      Durch die Kontrolle über die eigenen Daten und IT-Infrastrukturen können Sicherheitsrisiken besser gemanagt und Cyberangriffe effektiver abgewehrt werden.
    • Unabhängigkeit
      Behörden sind weniger abhängig von internationalen IT-Dienstleistern und können ihre IT-Strategien unabhängiger gestalten.
    • Datenschutz
      Die Einhaltung nationaler und europäischer Datenschutzgesetze wird erleichtert, da die Daten innerhalb der eigenen Hoheitsgebiete gespeichert und verarbeitet werden.
    • Kostenkontrolle
      Open-Source-Lösungen sind oft kostengünstiger sind und es fallen weniger Lizenzgebühren an.
Ihr Ansprechpartner für die NSC
Patrick Rund

Senior Manager Digitale Transformation

Nachricht schreiben

Unsere Partner

Kontakt