VS-NfDBSIGeheimschutz

VS-NfD: was Behörden-Auftragnehmer 2026 wissen müssen (Geheimschutz für KMU)

Q: Was bedeutet VS-NfD?

VS-NfD steht für ‚Verschluss-Sache — Nur für den Dienstgebrauch'. Es ist der niedrigste der vier Geheimhaltungsgrade nach Sicherheitsüberprüfungsgesetz (SÜG): VS-NfD < VS-VERTRAULICH < GEHEIM < STRENG GEHEIM. VS-NfD-Material darf nur an Personen weitergegeben werden, die es im Rahmen ihres dienstlichen Auftrags benötigen.

Q: Wer ist von VS-NfD betroffen?

Alle Unternehmen, die für Behörden arbeiten und Zugang zu Verschlusssachen erhalten — typisch IT-Dienstleister für Bundesbehörden, Rüstungs-Zulieferer, Energie-Infrastruktur, kritische Forschung. Auch Subunternehmer im Auftrag eines VS-NfD-Hauptauftragnehmers. Etwa 30.000 Unternehmen in Deutschland sind betroffen, davon viele KMU.

Q: Was verlangt BSI CON.11.1 konkret?

Der BSI-Baustein CON.11.1 ‚Geheimschutz VS-NfD' verlangt rund 30 Maßnahmen aus den Themenbereichen: Sensibilisierung, Trennung von Bereichen, Zugangskontrolle, Verschlüsselung, Transport, Vernichtung, Vorfälle. Hinzu kommen ca. 130 Detail-Anforderungen aus Anlage 4 GHB ‚VS-NfD-Merkblatt' und ggf. branchenspezifische Auflagen — zusammen rund 158 Audit-Punkte.

Q: Brauche ich für VS-NfD eine Sicherheitsüberprüfung der Mitarbeiter?

Für VS-NfD selbst nein — diese Stufe verlangt nur eine Verpflichtung nach VS-NfD-Merkblatt Teil 2. Erst ab VS-VERTRAULICH wird eine formale Sicherheitsüberprüfung Ü1 nach SÜG nötig. Wer mit einem VS-NfD-Auftrag startet, kommt also ohne Ü1-Personal aus — wichtige Erleichterung für KMU.

Q: Wie unterscheidet sich VS-NfD-Audit von ISO 27001?

ISO 27001 ist generisch und international, VS-NfD ist deutsch und behördenspezifisch. Etwa 60 % der ISO-Annex-A-Controls sind auch in VS-NfD enthalten — der Mehrwert von VS-NfD: Kapitelarbeit zu Vernichtung, Transport und Sensibilisierung. Wer ISO 27001 hat, braucht für VS-NfD typisch 30 % zusätzliche Maßnahmen.

VS-NfD = Verschluss-Sache niedrigster Geheimhaltungsgrad. Wer betroffen ist, was BSI CON.11.1 verlangt, wie ein KMU das umsetzt — Komplett-Anleitung 2026. Fuer den Hamburger Mittelstand 2026.

Nils Oehmichen

Externer DSB · TÜV-zertifiziert

08. Mai 2026

Inhalt in Kürze

VS-NfD = Verschluss-Sache Nur für den Dienstgebrauch — niedrigster der vier deutschen Geheimhaltungsgrade nach SÜG.
30.000 Unternehmen in Deutschland sind betroffen (BMWK-Sicherheitsforum-Schätzung) — davon ein Großteil KMU als Behörden-Auftragnehmer oder Subunternehmer.
BSI CON.11.1 ist der Standard-Baustein für VS-NfD-Konformität — rund 30 Maßnahmen, mit Anlage 4 GHB rund 158 Audit-Punkte.
Hugo Audit-Engine ist Stand Mai 2026 das einzige DACH-DSGVO-Tool mit fertigem 158-Punkte-Standardkatalog für VS-NfD.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 9 Minuten

Wer als IT-Dienstleister, Berater oder Zulieferer einen Auftrag von einer Bundesbehörde bekommt — Bundeswehr, Bundespolizei, BSI, Cybersecurity-Forschung — wird früher oder später mit dem Kürzel VS-NfD konfrontiert. Bedeutung, Pflichten und Audit-Aufwand sind in der KMU-Welt unterbeleuchtet. Dieser Artikel sortiert das Wichtigste — und zeigt, wie ein 50-Mitarbeiter-Unternehmen es in 8 Wochen schafft.

Fuer Hamburger Behoerden-Auftragnehmer:

Hamburg ist Standort mehrerer Bundes- und Landesbehoerden, die VS-NfD-Auftraege vergeben. Wer als IT-Dienstleister, Beratung oder Forschungspartner mit dem Bund oder der Hansestadt arbeitet, braucht ein VS-NfD-Konzept. Mehr zu den Pflichten der Hamburger Behoerden im Leitfaden zum HmbBfDI-Verfahren.

Was bedeutet VS-NfD (4 Geheimhaltungsgrade)

Das deutsche Sicherheitsüberprüfungsgesetz (SÜG) und das Bundes-VS-Anweisungs-Gesetz (BVSAnwG) definieren vier Geheimhaltungsgrade:

Grad	Englische Entsprechung	Beispiele
VS-NfD (Nur für den Dienstgebrauch)	RESTRICTED	Behördenarbeitspläne, Bauzeichnungen, Bewerbungsunterlagen
VS-VERTRAULICH	CONFIDENTIAL	Beschaffungsunterlagen, kritische Personalakten
GEHEIM	SECRET	Operativ-taktische Behördenpläne
STRENG GEHEIM	TOP SECRET	Verteidigungsstrategie, hochsensible Lageinformationen

VS-NfD ist die niedrigste Stufe — und damit die, die KMU als Auftragnehmer am häufigsten erreicht. Die anderen drei Stufen sind primär Konzern- oder Behördenintern.

Quelle: BSI CON.11.1 Geheimschutz VS-NfD Edition 2023 · BMWK-Sicherheitsforum VS-NfD-FAQ · ITZBund VS-NfD-Merkblatt.

Geheimhaltungsgrade

~30.000

Betroffene Unternehmen DE

158

VS-NfD Audit-Punkte

~8 Wochen

Realistische Umsetzungszeit KMU

Wer ist betroffen?

Sechs typische KMU-Konstellationen, die plötzlich VS-NfD-Pflichten haben:

IT-Dienstleister mit Behörden-Mandat: Wer eine Bundesbehörde IT-betreut, bekommt typisch VS-NfD-Daten in die Hand.
Rüstungs-Zulieferer 2. und 3. Reihe: Auch wer kein Hauptauftragnehmer ist, sondern Subunternehmer, fällt darunter.
Energie-Infrastruktur-Service: KRITIS-Konzerne reichen die VS-NfD-Anforderung an Wartungs- und Software-Dienstleister weiter.
Forschungs-Beauftragte: Universitäre Forschungseinrichtungen mit Bundesmitteln und Zugriff auf staatlich-vertrauliche Daten.
Software-Lieferant für Bundesbehörden: Wer Standard-Software an Behörden verkauft + Support liefert, kann VS-NfD-Daten in Logs sehen.
Cybersecurity-Auditoren: Externe Pen-Tester, die VS-NfD-Systeme prüfen, brauchen die Berechtigung selbst.

BSI CON.11.1 erklärt

Der zentrale BSI-Baustein für VS-NfD heißt CON.11.1 „Geheimschutz VS-Nur Für den Dienstgebrauch”. Er strukturiert die Anforderungen in:

Strukturanalyse: Welche VS-NfD-Daten verarbeitet das Unternehmen, wo, von wem.
Schutzbedarf-Feststellung: Vertraulichkeit hoch (per Definition), Integrität und Verfügbarkeit fallabhängig.
Modellierung: Welche IT-Systeme, Räume, Prozesse sind betroffen.
Anforderungen aus Anlage 4 GHB: Detail-Pflichten zu Verpflichtung, Kennzeichnung, Aufbewahrung, Transport, Vernichtung, Reisedienst.
Zusätzliche Maßnahmen-Empfehlung: 30 BSI-Bausteine zu Sensibilisierung, Bereich-Trennung, Verschlüsselung etc.

158-Punkte-Checkliste — typische Fragen aus dem Hugo-Standardkatalog

Beispielhafte Audit-Fragen, mit denen ein 50-MA-IT-Dienstleister im VS-NfD-Audit konfrontiert wird:

Verpflichtung: Sind alle Mitarbeiter mit VS-NfD-Zugang nach VS-NfD-Merkblatt Teil 2 schriftlich verpflichtet?
Kennzeichnung: Werden Dokumente mit VS-NfD korrekt mit „VS-NfD" auf jeder Seite und im Dateinamen gekennzeichnet?
Trennung: Werden VS-NfD-Daten in einer eigenen IT-Umgebung gehalten (eigene Domäne, eigene Verzeichnisse, getrennt von Standard-Geschäft)?
Verschlüsselung: Werden VS-NfD-Daten in Ruhe (AES-256) und in Übertragung (TLS 1.3) verschlüsselt? Ist eine BSI-zugelassene Krypto-Lösung im Einsatz?
Zutritt: Ist der Bereich, in dem VS-NfD-Material verarbeitet wird, durch Schloss + Karte gesichert? Wird Zutritt protokolliert?
Transport: Wenn VS-NfD-Material transportiert wird — Versand mit Doppel-Umschlag, Empfangsbestätigung, Aufbewahrungsweg dokumentiert?
Vernichtung: Werden VS-NfD-Akten zur Vernichtung an einen DIN-66399-Stufe-P5-Schredder gegeben? Vernichtung dokumentiert?
Vorfall-Meldepflicht: Ist ein Meldeweg an die Geheimschutzbeauftragte des Auftraggebers definiert? Pflicht: 24 Stunden bei Verlust.

Bei Hugo umfasst der Standardkatalog 158 solcher Fragen mit Erklärungen, Maßnahmen-Vorschlägen und KI-Coach. Mehr im Datenschutz-Audit-Software-Vergleich 2026 — dort wird klar, dass VS-NfD bei Hugo Marktlücke ist.

Praktische Umsetzung im KMU — 6 Schritte

Realistischer 8-Wochen-Plan für ein 50-MA-Unternehmen, das einen VS-NfD-Auftrag annimmt:

Woche 1: Geheimschutzbeauftragte:n bestellen — interner Mitarbeiter, der die VS-NfD-Pflichten organisatorisch verantwortet. Schriftliche Bestellung an den Auftraggeber.
Woche 2: Strukturanalyse — Welche Daten, welche Systeme, welche Mitarbeiter sind betroffen. Dokumentiert im VS-NfD-Sicherheitskonzept.
Woche 3–4: Trennung der IT-Umgebung — eigener Tenant in M365 oder On-Prem-Server, getrennte Berechtigungsstruktur, BSI-zugelassene Verschlüsselung.
Woche 5: Verpflichtung der Mitarbeiter — alle MA mit Zugang nach VS-NfD-Merkblatt Teil 2 schriftlich verpflichten. Schulung dazu.
Woche 6: Audit nach BSI CON.11.1 — Ist-Aufnahme aller 158 Punkte, Maßnahmen-Plan für Lücken.
Woche 7–8: Maßnahmen umsetzen + Re-Audit — kritische Lücken schließen (Schredder, Schloss, Krypto), Re-Audit dokumentiert die Erfüllung.

Hinweis Subunternehmer:

Wer als Subunternehmer einer VS-NfD-Aufgabe arbeitet, muss seine eigenen Subunternehmer ebenfalls durchschulen. Die Verpflichtung wandert die Lieferkette runter — keine „Black-Box-Auslagerung". Das macht VS-NfD strukturell unterscheidlich von DSGVO-Auftragsverarbeitung.

Aus der Praxis

Es trifft auch die kleineren Unternehmen, die nicht direkt unter VS-NfD-Pflicht fallen – aber aufgrund der Lieferkette ein wichtiger Bestandteil sind. Wer einem VS-NfD-Auftraggeber zuliefert, bekommt die Sicherheits-Anforderungen 1:1 weitergereicht — und braucht plötzlich einen 158-Punkte-Audit.

Nils OehmichenDatenschutzberater bei frag.hugo

Verhältnis zu ISO 27001 und BSI Grundschutz

Wer schon ein ISMS hat, ist nicht automatisch VS-NfD-konform — und umgekehrt:

Aspekt	ISO 27001	BSI IT-Grundschutz	VS-NfD CON.11.1
Generisch / spezifisch	generisch international	Deutschland, alle Branchen	Behörden-spezifisch
Vertraulichkeits-Fokus	mittel	mittel-hoch	sehr hoch
Vernichtung	nur Empfehlung	DIN 66399 verlangt	DIN 66399-Stufe P5 zwingend
Transport	nur generisch	dokumentiert	Doppel-Umschlag-Pflicht
Mitarbeiter-Verpflichtung	empfohlen	dokumentiert	spezifische VS-NfD-Verpflichtung Pflicht
Externe Prüfung	jährlich Auditor	alle 3 Jahre BSI	bei Auftragsannahme + 24 Mo Re-Audit

Wer ISO 27001 zertifiziert ist, hat rund 60 % der VS-NfD-Anforderungen abgedeckt. Die übrigen 40 % sind die Geheimschutz-spezifischen Themen — siehe oben. Mehr zum Vergleich im KMU-ISMS-Software-Vergleich 2026.

Das Wichtigste: VS-NfD ist 2026 für KMU keine exotische Behörden-Disziplin mehr — es ist die Voraussetzung für jeden öffentlichen Auftrag mit auch nur ansatzweise vertraulichem Inhalt. Wer es proaktiv angeht (8 Wochen Aufbau, 158-Punkte-Audit, BSI CON.11.1 als Roadmap), bekommt Aufträge, die Wettbewerber ohne VS-NfD-Status gar nicht erst angeboten bekommen. Hugo ist das einzige DACH-DSGVO-Tool mit fertigem VS-NfD-Standardkatalog.

Werkzeuge für VS-NfD-Audit

Drei Bausteine sind sinnvoll:

Audit-Engine mit VS-NfD-Standardkatalog (158 Punkte) — Hugo Pro+ ist Stand Mai 2026 ohne DACH-Konkurrenz. Vergleich: Audit-Software 2026.
Magic-Link-Re-Audit für 24-Monats-Cycle — siehe Magic-Link-Pattern.
ISMS mit BSI-Grundschutz-Mapping — wenn das Unternehmen schon Grundschutz hat, wird VS-NfD ergänzend modelliert. Mehr in ISMS-Software-Vergleich 2026 und Grundschutz++-Vorbereitung.

Fazit / Ihr nächster Schritt

VS-NfD ist 2026 für viele KMU der neue Eintritts-Pass in Behörden- und KRITIS-Lieferketten. Wer es als Standardkatalog mit 158 Audit-Punkten plus Magic-Link-Re-Audit umsetzt, macht aus einem Compliance-Hindernis einen Wettbewerbsvorteil.

VS-NfD-Audit-Engine in Hugo testen

Im Hugo-DSB-Pro+ (449 €/Mo) ist der VS-NfD-Standardkatalog mit 158 Punkten enthalten — plus Magic-Link-Re-Audit und 3 Bericht-Stile. 15-Minuten-Erstgespräch für einen ersten Live-Überblick.

Erstgespräch buchen →

Häufige Fragen (FAQ)

Was bedeutet VS-NfD?

VS-NfD steht für „Verschluss-Sache — Nur für den Dienstgebrauch”. Es ist der niedrigste der vier Geheimhaltungsgrade nach Sicherheitsüberprüfungsgesetz (SÜG): VS-NfD < VS-VERTRAULICH < GEHEIM < STRENG GEHEIM. VS-NfD-Material darf nur an Personen weitergegeben werden, die es im Rahmen ihres dienstlichen Auftrags benötigen.

Wer ist von VS-NfD betroffen?

Alle Unternehmen, die für Behörden arbeiten und Zugang zu Verschlusssachen erhalten — typisch IT-Dienstleister für Bundesbehörden, Rüstungs-Zulieferer, Energie-Infrastruktur, kritische Forschung. Auch Subunternehmer im Auftrag eines VS-NfD-Hauptauftragnehmers. Etwa 30.000 Unternehmen in Deutschland sind betroffen, davon viele KMU.

Was verlangt BSI CON.11.1 konkret?

Der BSI-Baustein CON.11.1 „Geheimschutz VS-NfD” verlangt rund 30 Maßnahmen aus den Themenbereichen: Sensibilisierung, Trennung von Bereichen, Zugangskontrolle, Verschlüsselung, Transport, Vernichtung, Vorfälle. Hinzu kommen ca. 130 Detail-Anforderungen aus Anlage 4 GHB „VS-NfD-Merkblatt” und ggf. branchenspezifische Auflagen — zusammen rund 158 Audit-Punkte.

Brauche ich für VS-NfD eine Sicherheitsüberprüfung der Mitarbeiter?

Für VS-NfD selbst nein — diese Stufe verlangt nur eine Verpflichtung nach VS-NfD-Merkblatt Teil 2. Erst ab VS-VERTRAULICH wird eine formale Sicherheitsüberprüfung Ü1 nach SÜG nötig. Wer mit einem VS-NfD-Auftrag startet, kommt also ohne Ü1-Personal aus — wichtige Erleichterung für KMU.

Wie unterscheidet sich VS-NfD-Audit von ISO 27001?

ISO 27001 ist generisch und international, VS-NfD ist deutsch und behördenspezifisch. Etwa 60 % der ISO-Annex-A-Controls sind auch in VS-NfD enthalten — der Mehrwert von VS-NfD: Kapitelarbeit zu Vernichtung, Transport und Sensibilisierung. Wer ISO 27001 hat, braucht für VS-NfD typisch 30 % zusätzliche Maßnahmen.

Konkurrenz-Recherche-Stand: Anforderungen verifiziert am 8. Mai 2026 über die offiziellen BSI CON.11.1 Edition 2023, BMWK-Sicherheitsforum und ITZBund VS-NfD-Merkblatt. Die 158-Punkte-Zahl ist die Hugo-Audit-Engine-Kalibrierung — keine offizielle BSI-Zahl, sondern unsere Praxis-Aggregation aus CON.11.1 + GHB-Anlage 4.

Auch interessant

BSI

BSI Grundschutz++ 2026/2030: was sich für KMU ändert (OSCAL, JSON, ISMS-Tools)

Grundschutz++ = BSI-Reform seit Januar 2026. Wer betroffen ist, was OSCAL bedeutet, wie ISMS-Tools migrieren — Vorbereitungs-Guide für KMU. Fuer den Hamburger Mittelstand 2026.

DSGVO

Cloudflare Turnstile vs Google reCAPTCHA 2026: das datenschutzfreundliche Captcha

reCAPTCHA trackt Nutzer. Turnstile ist DSGVO-freundlich, kostenlos, browserseitig. Direktvergleich 2026 mit Schritt-für-Schritt-Migration. Fuer den Hamburger Mittelstand 2026.