VS-Freigabe von Informationsverbünden nach § 50 VSA | proXcel

VS-Freigabe von Informationsverbünden nach § 50 VSA

von Dr. Serkan Tavasli

Verfasst am 15.06.2026

Was Betreiber, Bedarfsträger und Dienstleister früh klären sollten

Wer einen Informationsverbund für die Verarbeitung von Verschlusssachen betreiben will, braucht mehr als ein Sicherheitskonzept in der Ablage. Nach der Verschlusssachenanweisung dürfen Verschlusssachen nur mit VS-IT verarbeitet werden, die hierfür freigegeben ist. Eine Freigabe kann mit Auflagen verbunden werden.

Damit ist die VS-Freigabe kein Verwaltungsschritt, der am Ende eines IT-Projekts noch erledigt wird. Sie prüft, ob ein konkreter Informationsverbund im vorgesehenen Betrieb nachvollziehbar beherrscht wird. Genau darin liegt ihre strategische Bedeutung: Sie zeigt, ob Architektur, Sicherheitskonzept, Geheimschutzanforderungen, Rollen, Nachweise und Betriebsprozesse zusammenpassen.

Relevant ist das besonders für Organisationen, die in behördlichen Kontexten, staatlichen Lieferketten oder sicherheitskritischen Projekten tätig sind. Dort genügt technische Leistungsfähigkeit allein nicht. Bedarfsträger wollen nachvollziehen können, ob Schutzanforderungen nicht nur geplant, sondern umgesetzt, dokumentiert und im Betrieb gesteuert werden.

Verzögerungen entstehen selten, weil eine einzelne technische Maßnahme fehlt. Häufiger werden Freigabeumfang, Verantwortlichkeiten, Nachweise und Betrieb zu spät zusammengeführt. Ein Informationsverbund wird nicht freigabefähig, weil alle Beteiligten sicher arbeiten wollen. Er wird freigabefähig, wenn technische und organisatorische Schutzmaßnahmen im konkreten Betrieb konsistent nachgewiesen werden können.

Wann ist eine VS-Freigabe erforderlich?

Eine VS-Freigabe ist erforderlich, wenn Verschlusssachen mit Informationstechnik verarbeitet werden sollen. Gemeint ist VS-IT in einer konkreten Betriebsumgebung, also zum Beispiel IT-Netze, Anwendungen, Endgeräte, Schnittstellen, Speicherorte und Prozesse für den Umgang mit eingestuften Informationen.

Zentral ist der Begriff des Informationsverbunds. Bewertet wird nicht nur ein Server, eine Anwendung oder ein einzelnes Sicherheitsprodukt. Bewertet wird das Zusammenspiel aus Technik, organisatorischen Vorgaben, Rollen und vorgesehenen Betriebsprozessen.

Ein Informationsverbund kann über mehrere Standorte, Dienstleister, Schnittstellen oder Betreiberrollen verteilt sein. Dann reicht eine isolierte Betrachtung einzelner Komponenten nicht aus. Früh geklärt werden sollte insbesondere:

 

  • was zum Freigabeumfang gehört,
  • welche Geheimhaltungsgrade verarbeitet werden,
  • wer für Betrieb, Änderungen, Auflagen und Nachweise verantwortlich ist,
  • welche externen Stellen oder Dienstleister eingebunden sind.

Sind an einem VS-IT-System mehrere Dienststellen beteiligt, sollte früh geklärt werden, welche Stelle die Gesamtkoordination übernimmt und wie Nachweise der beteiligten Stellen zusammengeführt werden.

Regulatorischer Rahmen nach § 50 VSA

§ 50 VSA bildet den Kern für die Freigabe des Betriebs von VS-IT. Für den Einsatz von VS-IT ist ein Informationssicherheitskonzept nach den Standards des IT-Grundschutzes relevant. Anforderungen des Geheimschutzes werden im IT-Grundschutz insbesondere über Geheimschutzbausteine konkretisiert.

Für VS-NUR FÜR DEN DIENSTGEBRAUCH sind die Anforderungen des Geheimschutzes insbesondere im Baustein CON.11.1 beschrieben. Dieser Baustein unterstützt dabei, Anforderungen des Geheimschutzes frühzeitig in Informationssicherheitskonzepten nach IT-Grundschutz zu berücksichtigen.

Bei höheren Geheimhaltungsgraden können zusätzliche Anforderungen und Prüfungen hinzukommen. Deshalb sollte der konkrete Geheimhaltungsgrad immer zu Beginn des Vorhabens geklärt werden. Davon hängen Freigabeumfang, Nachweise, Beteiligte und Prüftiefe ab.

Für VS-IT-Systeme zur Verarbeitung von VS-NfD kann eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz einschließlich Geheimschutzanforderungen ein besonders relevanter Nachweis sein. Daraus sollte jedoch keine pauschale Aussage abgeleitet werden, dass jede VS-NfD-Freigabe nur auf diesem Weg möglich ist.

Für die Praxis ist die Unterscheidung wichtig: Eine vorhandene Sicherheitsdokumentation ist nicht automatisch freigabefähig. Sie muss den konkreten Informationsverbund abbilden, die einschlägigen Anforderungen zuordnen und die Umsetzung nachvollziehbar machen. An dieser Stelle zeigt sich, ob IT-Grundschutz, Geheimschutz und Betriebsrealität tatsächlich verbunden sind.

Warum Freigabereife mehr ist als Compliance

Die VS-Freigabe wird oft als formale Voraussetzung verstanden. Das greift zu kurz. Für Betreiber, Dienstleister und Bedarfsträger ist Freigabereife auch ein Vertrauenssignal: Sie zeigt, dass ein Informationsverbund nicht nur technisch entworfen, sondern im Zusammenspiel von Organisation, Betrieb und Nachweisführung steuerbar ist.

Eine VS-Freigabe ist kein allgemeines Qualitätssiegel für die Informationssicherheit eines Unternehmens. Sie kann aber ein starkes Indiz dafür sein, dass ein konkreter Informationsverbund für den vorgesehenen VS-Betrieb strukturiert geplant, dokumentiert und gesteuert wird.

Gerade bei verteilten Informationsverbünden entscheidet deshalb nicht allein die technische Architektur. Sie muss in ein Betriebsmodell eingebettet sein, das Rollen, Änderungen, Auflagen, Nachweise und Verantwortlichkeiten dauerhaft abbildet.

Was bei der VS-Freigabe bewertet wird

Die Freigabe betrachtet den Informationsverbund als konkrete Betriebsumgebung. Dazu zählen technische Komponenten, organisatorische Regelungen und Nachweise für den vorgesehenen Umgang mit Verschlusssachen.

Typische Bewertungsbereiche sind:

 

  • Abgrenzung des Informationsverbunds,
  • Informationssicherheitskonzept nach IT-Grundschutz,
  • Umsetzung der Anforderungen aus dem Geheimschutzbaustein,
  • Architektur und Schutzmaßnahmen für VS-IT,
  • Rollen und Verantwortlichkeiten im Geheimschutz,
  • Prüfung von Produkten und Komponenten mit IT-Sicherheitsfunktionen,
  • Nachweise zur Umsetzung der Maßnahmen,
  • Dokumentation von Freigabe, Auflagen und Änderungen.

Diese Bereiche stehen nicht nebeneinander, sondern greifen ineinander. Eine gute Netzarchitektur hilft wenig, wenn Rollen ungeklärt bleiben. Ein Sicherheitskonzept überzeugt nicht, wenn Nachweise zur Umsetzung fehlen. Produkte mit IT-Sicherheitsfunktionen müssen zum Schutzbedarf, zur Architektur und zu den Einsatzbedingungen passen.

In der Praxis wirkt die VS-Freigabe damit wie eine Konsistenzprüfung des Betriebsmodells. Sie fragt nicht nur, ob Maßnahmen vorhanden sind. Sie fragt, ob Maßnahmen, Dokumentation, Zuständigkeiten und Betrieb zusammenpassen.

Unterschied zwischen VS-Freigabe und VS-Zulassung

Die VS-Freigabe betrifft den Betrieb von VS-IT. Sie bezieht sich auf den Informationsverbund, seine Architektur, Prozesse, Rollen, Nachweise und Betriebsbedingungen.

Die VS-Zulassung betrifft dagegen IT-Sicherheitsprodukte und Komponenten, die innerhalb von VS-IT bestimmte IT-Sicherheitsfunktionen übernehmen. Welche Produkte oder Komponenten einer Zulassung bedürfen, richtet sich nach den Festlegungen des BSI und den einschlägigen IT-Sicherheitsfunktionen.

Diese Trennung ist für die Planung entscheidend. Für die Produktseite werden andere Nachweise benötigt als für die Freigabe des gesamten Informationsverbunds. Trotzdem hängen beide Ebenen zusammen: Wenn ein Produkt oder eine Komponente im Informationsverbund eine IT-Sicherheitsfunktion übernimmt, muss geprüft werden, ob eine Zulassung erforderlich ist, welche Einsatzbedingungen gelten und ob das Produkt zum vorgesehenen Betrieb passt.

Die Produktzulassung beantwortet also nicht die Frage, ob der gesamte Verbund freigegeben werden kann. Sie liefert einen Baustein. Die Freigabe des Informationsverbunds bewertet, ob dieser Baustein im konkreten Betrieb richtig eingebettet ist.

Weiterführend:

Wenn ein Produkt im Informationsverbund Sicherheitsfunktionen für den Schutz von Verschlusssachen übernimmt, sollte ergänzend der Beitrag „VS-Zulassung für IT-Sicherheitsprodukte“ gelesen werden.

Ablauf der VS-Freigabe in der Praxis

Der Weg zur VS-Freigabe beginnt mit der Abgrenzung des Informationsverbunds. Dazu gehören Systeme, Netze, Standorte, Schnittstellen, Nutzergruppen, Rollen und verarbeitete Geheimhaltungsgrade.

Ein praxistaugliches Vorgehen sollte nicht erst mit der finalen Dokumentation beginnen. Zuerst muss klar sein, welche Anforderungen für den konkreten Verbund gelten und welche Nachweise bereits vorhanden sind. So lassen sich Lücken erkennen, bevor sie im Freigabeprozess zu Verzögerungen führen.

1. Informationsverbund abgrenzen

Zunächst wird festgelegt, welche Systeme, Netze, Anwendungen, Endgeräte, Schnittstellen und Standorte zum Verbund gehören. Diese Abgrenzung bildet die Grundlage für alle weiteren Schritte.

In modernen IT-Umgebungen ist dieser Schritt oft anspruchsvoller als erwartet. Schnittstellen zu anderen Systemen, Administrationswege, Speicherorte oder externe Betriebsanteile müssen früh betrachtet werden. Ohne klare Abgrenzung bleibt unklar, welche Anforderungen gelten, welche Rollen beteiligt sind und welche Nachweise erforderlich werden.

2. Anforderungen zuordnen

Danach werden die Anforderungen aus VSA, IT-Grundschutz und Geheimschutzbaustein dem konkreten Einsatz zugeordnet. Dabei ist zu klären, welche Geheimhaltungsgrade verarbeitet werden und welche Schutzmaßnahmen daraus folgen.

Freigabereife entsteht nicht durch möglichst viele Maßnahmen, sondern durch passende Maßnahmen. Schutzbedarf, Geheimhaltungsgrad, Architektur und Betriebsmodell müssen zusammen betrachtet werden.

3. Gap-Analyse und Nachweisstand prüfen

Im nächsten Schritt wird der vorhandene Umsetzungs- und Nachweisstand geprüft. Dazu gehören technische Schutzmaßnahmen, Rollen, Betriebsprozesse, Risikoannahmen, Dokumentation und bereits vorhandene Prüf- oder Wirksamkeitsnachweise.

Typische Lücken sind fehlende Rollenbeschreibungen, unvollständige Betriebsprozesse, unklare Änderungsverfahren oder Nachweise, die zwar existieren, aber nicht dem konkreten Verbund zugeordnet sind.

Eine solche Gap-Analyse ist kein Selbstzweck. Sie schafft die Grundlage für einen realistischen Umsetzungsplan und verhindert, dass Grundsatzfragen erst kurz vor der geplanten Inbetriebnahme sichtbar werden.

4. Maßnahmen umsetzen und Freigabe vorbereiten

Fehlende Maßnahmen werden geplant und umgesetzt. Typische Arbeitspakete sind die Ergänzung des Sicherheitskonzepts, die Klärung von Geheimschutzrollen, die Dokumentation von Betriebsprozessen, die Prüfung eingesetzter Produkte oder Komponenten mit IT-Sicherheitsfunktionen und die Vorbereitung der Nachweise.

Vor der Freigabe müssen Sicherheitskonzept, technische Umsetzung, Betriebsdokumentation, Rollenmodell und Nachweise zusammengeführt werden. Je komplexer der Informationsverbund, desto wichtiger wird eine klare Nachweisstruktur.

5. Auflagen und Änderungen im Betrieb steuern

Eine Freigabe kann mit Auflagen erteilt werden. Diese Auflagen müssen im Betrieb verfolgt, terminiert und dokumentiert werden. Änderungen an Architektur, Produkten, Schnittstellen oder Betriebsprozessen können Auswirkungen auf die Freigabe haben.

Deshalb endet die VS-Freigabe nicht mit der Freigabeentscheidung. Sie muss im Betrieb durch Änderungsmanagement, Dokumentationspflege, Wirksamkeitsprüfungen und Auflagenverfolgung aufrechterhalten werden.

Typische Herausforderungen bei VS-IT

In Freigabevorhaben entstehen Verzögerungen häufig an denselben Stellen. Der Informationsverbund ist nicht klar abgegrenzt, Rollen bleiben offen, Nachweise liegen verteilt vor oder Produktzulassung und Betriebsfreigabe werden vermischt.

Auch die Dokumentation wird oft zu spät zusammengeführt. Für eine Freigabe reicht eine technische Beschreibung der Umgebung allein kaum aus. Erforderlich sind Nachweise zu Informationssicherheit, Geheimschutzanforderungen, Rollen, Betriebsprozessen, Auflagen und Änderungen.

Besonders kritisch wird es, wenn Freigabefähigkeit erst kurz vor Inbetriebnahme geprüft wird. Dann werden aus eigentlich steuerbaren Fragen schnell Grundsatzprobleme:

  • Gehört eine Schnittstelle noch zum Freigabeumfang?
  • Ist ein Dienstleister Teil des Betriebsmodells?
  • Welche Produkte oder Komponenten übernehmen IT-Sicherheitsfunktionen?
  • Wer verfolgt Auflagen?
  • Welche Nachweise zeigen nicht nur Planung, sondern wirksame Umsetzung?

Ein weiteres Risiko liegt in der Trennung von Projekt und Betrieb. Wird die Freigabe nur als Projektziel verstanden, fehlen später häufig Prozesse für Änderungen, Auflagen, Nachweispflege oder neue Systemanteile.

Informationsverbünde sind dynamisch. Neue Schnittstellen, Produktupdates, geänderte Betriebsmodelle oder zusätzliche Nutzergruppen können freigaberelevante Auswirkungen haben. Wer Freigabereife erreichen will, sollte deshalb nicht nur auf den Freigabetermin schauen. Maßgeblich ist, ob der Verbund danach stabil und nachweisbar betrieben werden kann.

Welche Fragen Betreiber früh klären sollten

Vor Beginn eines Freigabevorhabens sollten Betreiber, Bedarfsträger und Dienstleister mindestens folgende Fragen beantworten:

 

  • Welche Systeme, Netze, Standorte und Schnittstellen gehören zum Informationsverbund?
  • Welche Geheimhaltungsgrade sollen verarbeitet werden?
  • Welche Anforderungen aus IT-Grundschutz und Geheimschutzbaustein sind relevant?
  • Welche Produkte oder Komponenten im Verbund übernehmen IT-Sicherheitsfunktionen?
  • Welche Nachweise liegen bereits vor?
  • Welche Rollen und Verantwortlichkeiten bestehen im Geheimschutz?
  • Wer verantwortet Freigabe, Betrieb, Auflagen und Änderungen?

Welche Änderungen im Betrieb könnten freigaberelevant werden?

Diese Fragen helfen, den Freigabeumfang zu bestimmen, vorhandene Nachweise zu bewerten und die Abstimmung der beteiligten Stellen zu strukturieren.

In der Beratungspraxis ist genau diese frühe Klärung oft der Unterschied zwischen einem beherrschbaren Freigabevorhaben und einem Projekt, das spät in Grundsatzfragen zurückfällt.

Fazit

Wer einen Informationsverbund für die Verarbeitung von Verschlusssachen betreiben will, sollte § 50 VSA früh in Architektur, Betrieb und Dokumentation einplanen. Der erste Schritt ist die klare Abgrenzung des Informationsverbunds. Danach folgen Anforderungsanalyse, Sicherheitskonzept, Umsetzung, Nachweisführung und Vorbereitung der Freigabe.

Für den laufenden Betrieb bleiben Auflagen, Änderungen und Nachweise relevant. Die VS-Freigabe ist deshalb kein einzelner Meilenstein, sondern ein Steuerungsrahmen für den sicheren und nachvollziehbaren Betrieb von VS-IT.

Die zentrale Erkenntnis lautet: Der eigentliche Wert liegt nicht im Freigabedokument allein, sondern in der Fähigkeit, einen VS-IT-Verbund gegenüber Bedarfsträgern, Aufsicht und Betrieb dauerhaft nachvollziehbar zu steuern. Freigabereife entsteht durch passende Architekturentscheidungen, klare Rollen, konsistente Nachweise und einen Betrieb, der Geheimschutzanforderungen dauerhaft abbilden kann.

Christoph Baumann

Autor

Dr. Serkan Tavasli

Managing Partner

Gründer und Geschäftsführer von proXcel. Der promovierte Wirtschaftsingenieur der TU Berlin begleitet seit über 25 Jahren Unternehmen und öffentliche Organisationen in den Bereichen Informationssicherheit, ISMS, digitale Transformation und integrierte Managementsysteme. Zudem ist er zertifizierter Grundschutzberater, berufener Auditteamleiter für ISO27001 und Six Sigma Master Black Belt.

Qualifikationen

Auditteamleiter für ISO/IEC 27001 und ISO 20000BSI GrundschutzberaterGeprüfter Informationssicherheitsbeauftragter (ISB)Zertifizierter TISAX BeraterPrince 2 Projekt ManagementIT-Service Management gemäß ITIL/ISO 20000DGQ Quality System ManagerSix Sigma Master Black Belt
Index