VS-NfD: was Behörden-Auftragnehmer 2026 wissen müssen (Geheimschutz für KMU)

Inhalt in Kürze

• VS-NfD = Verschluss-Sache Nur für den Dienstgebrauch — niedrigster der vier deutschen Geheimhaltungsgrade nach SÜG.
• 30.000 Unternehmen in Deutschland sind betroffen (BMWK-Sicherheitsforum-Schätzung) — davon ein Großteil KMU als Behörden-Auftragnehmer oder Subunternehmer.
• BSI CON.11.1 ist der Standard-Baustein für VS-NfD-Konformität — rund 30 Maßnahmen, mit Anlage 4 GHB rund 158 Audit-Punkte.
• Hugo Audit-Engine ist Stand Mai 2026 das einzige DACH-DSGVO-Tool mit fertigem 158-Punkte-Standardkatalog für VS-NfD.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 9 Minuten

Wer als IT-Dienstleister, Berater oder Zulieferer einen Auftrag von einer Bundesbehörde bekommt — Bundeswehr, Bundespolizei, BSI, Cybersecurity-Forschung — wird früher oder später mit dem Kürzel VS-NfD konfrontiert. Bedeutung, Pflichten und Audit-Aufwand sind in der KMU-Welt unterbeleuchtet. Dieser Artikel sortiert das Wichtigste — und zeigt, wie ein 50-Mitarbeiter-Unternehmen es in 8 Wochen schafft.

Was bedeutet VS-NfD (4 Geheimhaltungsgrade)

Das deutsche Sicherheitsüberprüfungsgesetz (SÜG) und das Bundes-VS-Anweisungs-Gesetz (BVSAnwG) definieren vier Geheimhaltungsgrade:

VS-NfD ist die niedrigste Stufe — und damit die, die KMU als Auftragnehmer am häufigsten erreicht. Die anderen drei Stufen sind primär Konzern- oder Behördenintern.

Quelle: BSI CON.11.1 Geheimschutz VS-NfD Edition 2023 · BMWK-Sicherheitsforum VS-NfD-FAQ · ITZBund VS-NfD-Merkblatt.

Wer ist betroffen?

Sechs typische KMU-Konstellationen, die plötzlich VS-NfD-Pflichten haben:

• IT-Dienstleister mit Behörden-Mandat: Wer eine Bundesbehörde IT-betreut, bekommt typisch VS-NfD-Daten in die Hand.
• Rüstungs-Zulieferer 2. und 3. Reihe: Auch wer kein Hauptauftragnehmer ist, sondern Subunternehmer, fällt darunter.
• Energie-Infrastruktur-Service: KRITIS-Konzerne reichen die VS-NfD-Anforderung an Wartungs- und Software-Dienstleister weiter.
• Forschungs-Beauftragte: Universitäre Forschungseinrichtungen mit Bundesmitteln und Zugriff auf staatlich-vertrauliche Daten.
• Software-Lieferant für Bundesbehörden: Wer Standard-Software an Behörden verkauft + Support liefert, kann VS-NfD-Daten in Logs sehen.
• Cybersecurity-Auditoren: Externe Pen-Tester, die VS-NfD-Systeme prüfen, brauchen die Berechtigung selbst.

BSI CON.11.1 erklärt

Der zentrale BSI-Baustein für VS-NfD heißt CON.11.1 „Geheimschutz VS-Nur Für den Dienstgebrauch”. Er strukturiert die Anforderungen in:

1. Strukturanalyse: Welche VS-NfD-Daten verarbeitet das Unternehmen, wo, von wem.
2. Schutzbedarf-Feststellung: Vertraulichkeit hoch (per Definition), Integrität und Verfügbarkeit fallabhängig.
3. Modellierung: Welche IT-Systeme, Räume, Prozesse sind betroffen.
4. Anforderungen aus Anlage 4 GHB: Detail-Pflichten zu Verpflichtung, Kennzeichnung, Aufbewahrung, Transport, Vernichtung, Reisedienst.
5. Zusätzliche Maßnahmen-Empfehlung: 30 BSI-Bausteine zu Sensibilisierung, Bereich-Trennung, Verschlüsselung etc.

158-Punkte-Checkliste — typische Fragen aus dem Hugo-Standardkatalog

Beispielhafte Audit-Fragen, mit denen ein 50-MA-IT-Dienstleister im VS-NfD-Audit konfrontiert wird:

• Verpflichtung: Sind alle Mitarbeiter mit VS-NfD-Zugang nach VS-NfD-Merkblatt Teil 2 schriftlich verpflichtet?
• Kennzeichnung: Werden Dokumente mit VS-NfD korrekt mit „VS-NfD" auf jeder Seite und im Dateinamen gekennzeichnet?
• Trennung: Werden VS-NfD-Daten in einer eigenen IT-Umgebung gehalten (eigene Domäne, eigene Verzeichnisse, getrennt von Standard-Geschäft)?
• Verschlüsselung: Werden VS-NfD-Daten in Ruhe (AES-256) und in Übertragung (TLS 1.3) verschlüsselt? Ist eine BSI-zugelassene Krypto-Lösung im Einsatz?
• Zutritt: Ist der Bereich, in dem VS-NfD-Material verarbeitet wird, durch Schloss + Karte gesichert? Wird Zutritt protokolliert?
• Transport: Wenn VS-NfD-Material transportiert wird — Versand mit Doppel-Umschlag, Empfangsbestätigung, Aufbewahrungsweg dokumentiert?
• Vernichtung: Werden VS-NfD-Akten zur Vernichtung an einen DIN-66399-Stufe-P5-Schredder gegeben? Vernichtung dokumentiert?
• Vorfall-Meldepflicht: Ist ein Meldeweg an die Geheimschutzbeauftragte des Auftraggebers definiert? Pflicht: 24 Stunden bei Verlust.

Bei Hugo umfasst der Standardkatalog 158 solcher Fragen mit Erklärungen, Maßnahmen-Vorschlägen und KI-Coach. Mehr im Datenschutz-Audit-Software-Vergleich 2026 — dort wird klar, dass VS-NfD bei Hugo Marktlücke ist.

Praktische Umsetzung im KMU — 6 Schritte

Realistischer 8-Wochen-Plan für ein 50-MA-Unternehmen, das einen VS-NfD-Auftrag annimmt:

1. Woche 1: Geheimschutzbeauftragte:n bestellen — interner Mitarbeiter, der die VS-NfD-Pflichten organisatorisch verantwortet. Schriftliche Bestellung an den Auftraggeber.
2. Woche 2: Strukturanalyse — Welche Daten, welche Systeme, welche Mitarbeiter sind betroffen. Dokumentiert im VS-NfD-Sicherheitskonzept.
3. Woche 3–4: Trennung der IT-Umgebung — eigener Tenant in M365 oder On-Prem-Server, getrennte Berechtigungsstruktur, BSI-zugelassene Verschlüsselung.
4. Woche 5: Verpflichtung der Mitarbeiter — alle MA mit Zugang nach VS-NfD-Merkblatt Teil 2 schriftlich verpflichten. Schulung dazu.
5. Woche 6: Audit nach BSI CON.11.1 — Ist-Aufnahme aller 158 Punkte, Maßnahmen-Plan für Lücken.
6. Woche 7–8: Maßnahmen umsetzen + Re-Audit — kritische Lücken schließen (Schredder, Schloss, Krypto), Re-Audit dokumentiert die Erfüllung.

Aus der Praxis

Es trifft auch die kleineren Unternehmen, die nicht direkt unter VS-NfD-Pflicht fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil sind. Wer einem VS-NfD-Auftraggeber zuliefert, bekommt die Sicherheits-Anforderungen 1:1 weitergereicht — und braucht plötzlich einen 158-Punkte-Audit.

Nils OehmichenDatenschutzberater bei frag.hugo

Verhältnis zu ISO 27001 und BSI Grundschutz

Wer schon ein ISMS hat, ist nicht automatisch VS-NfD-konform — und umgekehrt:

Wer ISO 27001 zertifiziert ist, hat rund 60 % der VS-NfD-Anforderungen abgedeckt. Die übrigen 40 % sind die Geheimschutz-spezifischen Themen — siehe oben. Mehr zum Vergleich im KMU-ISMS-Software-Vergleich 2026.

Werkzeuge für VS-NfD-Audit

Drei Bausteine sind sinnvoll:

• Audit-Engine mit VS-NfD-Standardkatalog (158 Punkte) — Hugo Pro+ ist Stand Mai 2026 ohne DACH-Konkurrenz. Vergleich: Audit-Software 2026.
• Magic-Link-Re-Audit für 24-Monats-Cycle — siehe Magic-Link-Pattern.
• ISMS mit BSI-Grundschutz-Mapping — wenn das Unternehmen schon Grundschutz hat, wird VS-NfD ergänzend modelliert. Mehr in ISMS-Software-Vergleich 2026 und Grundschutz++-Vorbereitung.

Fazit / Ihr nächster Schritt

VS-NfD ist 2026 für viele KMU der neue Eintritts-Pass in Behörden- und KRITIS-Lieferketten. Wer es als Standardkatalog mit 158 Audit-Punkten plus Magic-Link-Re-Audit umsetzt, macht aus einem Compliance-Hindernis einen Wettbewerbsvorteil.

Häufige Fragen (FAQ)

Was bedeutet VS-NfD?

VS-NfD steht für „Verschluss-Sache — Nur für den Dienstgebrauch”. Es ist der niedrigste der vier Geheimhaltungsgrade nach Sicherheitsüberprüfungsgesetz (SÜG): VS-NfD < VS-VERTRAULICH < GEHEIM < STRENG GEHEIM. VS-NfD-Material darf nur an Personen weitergegeben werden, die es im Rahmen ihres dienstlichen Auftrags benötigen.

Wer ist von VS-NfD betroffen?

Alle Unternehmen, die für Behörden arbeiten und Zugang zu Verschlusssachen erhalten — typisch IT-Dienstleister für Bundesbehörden, Rüstungs-Zulieferer, Energie-Infrastruktur, kritische Forschung. Auch Subunternehmer im Auftrag eines VS-NfD-Hauptauftragnehmers. Etwa 30.000 Unternehmen in Deutschland sind betroffen, davon viele KMU.

Was verlangt BSI CON.11.1 konkret?

Der BSI-Baustein CON.11.1 „Geheimschutz VS-NfD” verlangt rund 30 Maßnahmen aus den Themenbereichen: Sensibilisierung, Trennung von Bereichen, Zugangskontrolle, Verschlüsselung, Transport, Vernichtung, Vorfälle. Hinzu kommen ca. 130 Detail-Anforderungen aus Anlage 4 GHB „VS-NfD-Merkblatt” und ggf. branchenspezifische Auflagen — zusammen rund 158 Audit-Punkte.

Brauche ich für VS-NfD eine Sicherheitsüberprüfung der Mitarbeiter?

Für VS-NfD selbst nein — diese Stufe verlangt nur eine Verpflichtung nach VS-NfD-Merkblatt Teil 2. Erst ab VS-VERTRAULICH wird eine formale Sicherheitsüberprüfung Ü1 nach SÜG nötig. Wer mit einem VS-NfD-Auftrag startet, kommt also ohne Ü1-Personal aus — wichtige Erleichterung für KMU.

Wie unterscheidet sich VS-NfD-Audit von ISO 27001?

ISO 27001 ist generisch und international, VS-NfD ist deutsch und behördenspezifisch. Etwa 60 % der ISO-Annex-A-Controls sind auch in VS-NfD enthalten — der Mehrwert von VS-NfD: Kapitelarbeit zu Vernichtung, Transport und Sensibilisierung. Wer ISO 27001 hat, braucht für VS-NfD typisch 30 % zusätzliche Maßnahmen.

Konkurrenz-Recherche-Stand: Anforderungen verifiziert am 8. Mai 2026 über die offiziellen BSI CON.11.1 Edition 2023, BMWK-Sicherheitsforum und ITZBund VS-NfD-Merkblatt. Die 158-Punkte-Zahl ist die Hugo-Audit-Engine-Kalibrierung — keine offizielle BSI-Zahl, sondern unsere Praxis-Aggregation aus CON.11.1 + GHB-Anlage 4.