Wie wird mein Unternehmen in die Geheimschutzbetreuung aufgenommen?

Die Aufnahme eines Unternehmens in die Geheimschutzbetreuung erfolgt formalisiert und mehrstufig auf Grundlage des Geheimschutzhandbuchs (GHB), des Sicherheitsüberprüfungsgesetzes (SÜG) sowie ergänzender Verwaltungsvorschriften. Die Aufnahme erfolgt nicht automatisch, sondern wird durch einen konkreten Bedarf ausgelöst, der sich durch die Vergabe eines VS-Auftrags (i. d. R. ab VS-VERTRAULICH) an ein Unternehmen ergibt oder durch die geplante Einbindung in sicherheitsempfindliche Tätigkeiten.

Wie qualifiziert sich mein Unternehmen für einen VS-Auftrag?

Unternehmen stehen hier häufig vor einem klassischen Henne-Ei-Problem: Kein Zugang zu Verschlusssachen ohne Geheimschutzbetreuung – und keine Geheimschutzbetreuung ohne entsprechenden Bedarf aus einem VS-Auftrag.

Der Ausweg aus diesem Dilemma liegt im belastbaren Nachweis, dass das Unternehmen in der Lage ist, die Anforderungen des Geheimschutzhandbuchs (GHB) umzusetzen, geeignete Maßnahmen zu etablieren und eine funktionsfähige Geheimschutzorganisation aufzubauen. Nur so kommt man überhaupt für die Erteilung eines VS-Auftrags in Frage.

Um beurteilen zu können, ob sich der Aufwand lohnt, ist jedoch bereits eine fundierte Auseinandersetzung mit den Anforderungen erforderlich. Unternehmen müssen die zu erwartenden Kosten und Aufwände der Maßnahmenumsetzung den potenziellen Geschäftschancen gegenüberstellen. Das setzt konkrete Planungen und ein gutes Verständnis der regulatorischen Anforderungen voraus.

Hinzu kommt, dass das Aufnahmeverfahren in die Geheimschutzbetreuung selbst an zahlreiche ablauforganisatorische Rahmenbedingungen geknüpft ist und sich nicht beliebig beschleunigen lässt. Wer sich an Ausschreibungen und Vergabeverfahren für VS-Aufträge beteiligen möchte, sollte daher frühzeitig die notwendigen Schritte einleiten – insbesondere dann, wenn noch keinerlei Geheimschutzbetreuung besteht.

Ein vorhandenes oder gezielt aufgebautes ISMS kann hierbei einen wesentlichen Beitrag zur Analyse und Bewältigung dieser komplexen Aufgabe leisten. Für viele VS-Aufträge ist die Etablierung eines ISMS zudem ohnehin eine grundlegende Voraussetzung.

Welche VS-Auftragnehmer müssen ein ISMS aufbauen?

Die Verpflichtung zur Einführung eines ISMS nach ISO/IEC 27001 bzw. auf Basis des BSI IT-Grundschutzes ist im Geheimschutzhandbuch (GHB) nicht unmittelbar offensichtlich und wird in der Praxis häufig übersehen.

Bereits bei der Verarbeitung von VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) auf IT-Systemen greifen die Anforderungen gemäß Anlage 4 des GHB. Damit verbunden ist seit 2025 die Verpflichtung zur Selbstakkreditierung auf Grundlage eines etablierten Informationssicherheitsmanagementsystems (ISMS). Eine bisher gültige Übergangsfrist ist im September 2025 ausgelaufen. Seitdem ist ein (zertifiziertes) ISMS erforderlich, das ein Sicherheitsniveau gewährleistet, das mindestens den Anforderungen des IT-Grundschutzes entspricht.

Sofern Sie also nicht ausschließlich nicht elektronisch gespeicherte VS (inkl. VS-NfD) im Unternehmen verwalten, gilt immer die Anforderung zur Selbstakkreditierung eines etablierten ISMS. Darin erklärt das Unternehmen unter anderem die Etablierung eines ISMS durch:

1. die Anwendung der jeweils gültigen Standards des IT-Grundschutzes des BSI mit
   Erstellung eines Informationssicherheitskonzepts inkl. IT-Grundschutz-Check,
   Risikoanalyse und Umsetzungsplanung oder
2. eine ISO 27001 Zertifizierung auf Basis IT-Grundschutz oder
3. eine ISO 27001 Zertifizierung auf Basis einer anderen Grundlage mit Differenz-
   Analyse zum IT-Grundschutz (Zuordnungstabelle), wenn mindestens ein
   gleichwertiges Sicherheitsniveau zu den Anforderungen des IT-Grundschutzes
   gewährleistet ist.

Wie betreibt man ein ISMS GHB-compliant?

Über Anlage 4 des Geheimschutzhandbuchs (GHB) ist ein Informationssicherheitsmanagementsystem (ISMS) im Rahmen einer nennenswerten VS-Beauftragung also obligatorisch. In der Praxis bleibt es jedoch selten bei der Verarbeitung von VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD).

Sobald höhere Geheimhaltungsgrade wie VS-VERTRAULICH oder GEHEIM verarbeitet werden sollen, ist in der Regel die Aufnahme in die Geheimschutzbetreuung des Bundes und die Bestellung eines/einer Sicherheitsbevollmächtigten (SiBe) erforderlich. Damit einher geht eine deutlich intensivere Auseinandersetzung mit den Anforderungen des GHB sowie einschlägiger gesetzlicher Vorgaben wie des Sicherheitsüberprüfungsgesetzes (SÜG).

Ein etabliertes ISMS bildet dabei eine wesentliche Grundlage, um die erforderlichen Maßnahmen systematisch zu identifizieren, umzusetzen und dauerhaft nachzuweisen. Genau hier setzen die CycleSEC ISMS-Frameworks an: Mit dem dedizierten VS-Framework wird ein bestehendes ISMS gezielt um die Anforderungen des Geheimschutzes erweitert. Dadurch lassen sich VS-spezifische Vorgaben – etwa aus dem GHB, dem SÜG sowie ergänzenden Richtlinien – direkt innerhalb des ISMS steuern, dokumentieren und auditierbar nachweisen.

Das Ergebnis ist kein paralleles Geheimschutz-Management-System, sondern eine integrierte Lösung, in der VS-Compliance als Bestandteil des bestehenden ISMS verankert ist.

Wie viele Anforderungen sind zu erfüllen?

Das Geheimschutzhandbuch (GHB) umfasst mehr als 300 Seiten und enthält eine Vielzahl detaillierter Anforderungen. Unternehmen sind verpflichtet, umfangreiche Nachweise zu erbringen – insbesondere im Bereich der VS-Verwaltung sowie bei der Führung von Sicherheitsakten und im Rahmen der Krypto-Verwaltung.

Gleichzeitig bleiben viele Vorgaben bewusst abstrakt und erfordern eine unternehmensspezifische Konkretisierung in Form interner Regelungen, Prozesse und Anweisungen. Genau darin liegt eine der größten Herausforderungen: Die Anforderungen müssen nicht nur verstanden, sondern in eine belastbare und prüffähige VS-Organisation überführt werden.

Selbst die Einarbeitung in eine bereits vollständig aufgebaute und konsistente Geheimschutzdokumentation setzt ein hohes Maß an Sorgfalt sowie fundiertes Fachwissen im Geheimschutz voraus. Für viele dieser Nachweise gelten erhöhte Sicherheitsanforderungen sowie strikte Aufbewahrungspflichten, die so weit reichen, dass selbst Unternehmenseigentümer:innen oder Mitglieder der Geschäftsführung nicht darauf zugreifen dürfen. Der hohe Schutzbedarf erschwert Transparenz und Verständnis für die Komplexität der Aufgabe.

Wie unterstützen die CycleSEC ISMS-Frameworks bei der Umsetzung?

Das CycleSEC VS-Framework setzt genau an dieser Herausforderung an: Es überführt die Anforderungen des Geheimschutzhandbuchs (GHB) in ein strukturiertes Compliance-Mapping, schafft Transparenz und bündelt die erforderlichen Nachweise in einem zentralen Kataster der VS-Nachweisführung, dass gezielt im Management-Review des ISMS reportet werden kann.

Im Kataster der VS-Nachweisführung werden sämtliche Nachweise systematisch erfasst – einschließlich ihrer Anwendbarkeit, ihres Umsetzungsstatus sowie Angaben zu Aktualität und Ablageort. Dadurch entsteht Transparenz darüber, welche Anforderungen existieren, ob sie erfüllt sind und wo noch Handlungsbedarf besteht. Das Kataster bildet damit die Grundlage für eine prüfungssichere, nachvollziehbare und jederzeit auskunftsfähige Dokumentation der GHB-Umsetzung im Unternehmen.

Neben dem Kataster der VS-Nachweisführung mit mehr als 130 vorbereiteten Nachweis-Sheets umfasst das VS-Framework ein VS-Handbuch in ISMS-typischer Gliederung, das als gezielte Ergänzung zum bestehenden ISMS-Handbuch dient.

Darüber hinaus stehen im Policy-Framework Templates für sieben zentrale VS-Anweisungen zur Verfügung – von der Fotografier- und Filmanweisung über Kontroll- und Sperrzonenanweisungen bis hin zur VS-Vervielfältigungsanweisung.

Für die operative Umsetzung enthält das Framework der Rollen und Verantwortlichkeiten neun vorbereitete Rollensteckbriefe für zentrale Funktionsträger innerhalb der VS-Organisation. Ergänzend dazu veranschaulichen fünf VS-Prozesssteckbriefe im Prozess-Framework die wesentlichen Abläufe in der VS-Organisation gemäß GHB – von der Aufnahme in die Geheimschutzbetreuung über den Lebenszyklus von VS-Aufträgen, Sicherheitsakten und VS-Dokumenten bis hin zum Besuchskontrollverfahren.

Das Geheimschutzhandbuch stellt Unternehmen vor erhebliche Herausforderungen. Wer diese erfolgreich meistert, positioniert sich als verlässlicher Partner für öffentliche und nichtöffentliche VS-Aufträge und erschließt sich ein ebenso anspruchsvolles wie spannendes Marktsegment. Die CycleSEC ISMS-Frameworks leisten dabei einen entscheidenden Beitrag zur Etablierung und zum nachhaltigen Betrieb einer leistungsfähigen Geheimschutzorganisation.

Sebastian Klipper

Geschäftsführer CycleSEC

Termin mit Sebastian Klipper buchen

Was ist besser: Getrennte oder integrierte VS-Organisation?

Beide Ansätze werden mit den CycleSEC ISMS-Frameworks kombiniert. Das Kataster der VS-Nachweisführung, Richtlinien, Rollen und Prozesse werden strukturiert in das bestehende ISMS integriert. Gleichzeitig können besonders schutzbedürftige Bereiche – insbesondere VS-Verwaltung, Sicherheitsakten sowie gegebenenfalls die Kryptoverwaltung – organisatorisch und technisch getrennt bleiben und unter erhöhten Sicherheitsanforderungen geführt werden.

Das ISMS übernimmt dabei die übergeordnete Steuerung: Es schafft Transparenz über den Umsetzungsstatus, koordiniert die Dokumentation der VS-Anforderungen und integriert unternehmensweit gültige Maßnahmen in die bestehenden ISMS-Prozesse. Auf diese Weise entsteht ein ausgewogenes Modell: zentrale Steuerung und Nachweisfähigkeit über das ISMS bei gleichzeitiger Wahrung der notwendigen Trennung besonders sensibler Geheimschutzbereiche.

Die wesentlichen Schritte im Überblick

Der Einstieg in die Geheimschutzbetreuung beginnt mit dem Verständnis der regulatorischen Anforderungen und der formalen Voraussetzungen. Nur auf dieser Grundlage lässt sich beurteilen, ob sich die Qualifizierung als VS-Auftragnehmer unternehmerisch lohnt und erreicht werden kann.

Darauf aufbauend folgen eine strukturierte Planung sowie eine Machbarkeitsanalyse für den Aufbau einer geeigneten Geheimschutzorganisation – einschließlich der Umsetzungsplanung für die erforderlichen Sicherheitsmaßnahmen und die geforderte Dokumentation gemäß Geheimschutzhandbuch (GHB). Bereits in dieser Phase ist eine intensive Auseinandersetzung mit der Thematik erforderlich, um ein belastbares Verständnis der Nachweisführung zu entwickeln.

Zusätzlich sind die in Anlage 4 zum GHB enthaltenen Anforderungen an ein geeignetes Informationssicherheitsmanagementsystem (ISMS) zu berücksichtigen und in die Planung der Gesamtorganisation zu integrieren, um ein durchgängig nachvollziehbares und prüffähiges Sicherheitsniveau sicherzustellen. Am Ende steht eine belastbare, auditierbare Gesamtstruktur, in der organisatorische, personelle und technische Maßnahmen ineinandergreifen. Gleichzeitig entsteht eine fundierte Entscheidungsgrundlage dafür, ob und in welchem Umfang eine Qualifizierung als VS-Auftragnehmer sinnvoll ist.

Das bedeutet, dass Unternehmen bereits einen großen Teil des Weges zurücklegen müssen, bevor sie entscheiden können, ob sich der Aufwand lohnt und ob das angestrebte Ziel unter den gegebenen Rahmenbedingungen erreichbar ist. Wer diesen Weg jedoch konsequent geht, gewinnt in jedem Fall ein tiefes Verständnis zur Leistungsfähigkeit der eigenen Sicherheitsorganisation – unabhängig davon, ob am Ende tatsächlich eine Qualifizierung als VS-Auftragnehmer und die Aufnahme in die Geheimschutzbetreung steht.