NATO-Cloud-Stufen: Infrastrukturarchitektur für nicht eingestufte, geheime und streng geheime Daten

Von Corvus Intelligence Engineering-Team · Über das Team →

4. Juni 2026 9 Min. Lesezeit

Das NATO-Klassifizierungsrahmenwerk unterteilt Informationen in vier Stufen – NATO Unclassified (NU), NATO Restricted (NR), NATO Confidential (NC) und NATO Secret (NS) – mit Cosmic Top Secret (CTS) über allen anderen Stufen für die sensibelsten Bündnisinformationen. Jede Stufe stellt eigene Anforderungen an Infrastruktur, Personal und Prozesse. Software, die über mehr als eine Stufe hinweg betrieben wird, kann Klassifizierung nicht als nachträgliche Überlegung behandeln; das Stufenmodell ist eine tragende Architekturkomponente.

Für Verteidigungssoftwareanbieter ist das Verständnis, wie diese Stufen auf physische Infrastruktur, Netzwerkarchitektur, Identitätssysteme und Akkreditierungsverfahren abgebildet werden, keine Option. Ein Produkt, das nur für NATO-Unclassified-Umgebungen zertifiziert ist, wird unabhängig von seinen technischen Fähigkeiten nicht für NATO-Secret-Operationen akzeptiert. Umgekehrt treibt die Überentwicklung eines Systems auf Secret-Niveau, wenn Unclassified ausreicht, unnötige Kosten und Terminrisiken. Die richtige Stufenzuordnung von Anfang an ist die folgenreichste Architekturentscheidung in einem NATO-Programm.

Das NATO-Klassifizierungsstufenmodell

Die NATO-Sicherheitsrichtlinie, geregelt durch C-M(2002)49 und seine Nachfolgedokumente, definiert Geheimhaltungsstufen als Marker des Schadens, den eine unbefugte Offenlegung verursachen würde. Die praktischen infrastrukturellen Auswirkungen jeder Stufe sind erheblich:

NATO Unclassified (NU) umfasst öffentlich zugängliche Informationen und interne Verwaltungsdaten, die keinen Schutz über die standardmäßige IT-Hygiene hinaus erfordern. NU-Systeme können kommerzielle Cloud-Dienste, gemeinsam genutzte Infrastruktur und mit dem Internet verbundene Standardnetzwerke verwenden. Der NCIA-Cloud-Service-Katalog listet genehmigte kommerzielle Dienste für NU-Workloads auf. Diese Stufe ist in etwa vergleichbar mit dem US-DoD-NIPR-Netzwerk (Non-classified Internet Protocol Router).

NATO Restricted (NR) ist eine mittlere Geheimhaltungsstufe für Informationen, deren Offenlegung den NATO-Interessen abträglich wäre. NR wird nicht universell in allen NATO-Mitgliedstaaten verwendet – mehrere Mitgliedstaaten besitzen kein nationales Restricted-Äquivalent. Infrastruktur für NR-Workloads muss sich in kontrollierten Einrichtungen mit Zugangseinschränkungen befinden, kann aber unter strengen logischen Trennungskontrollen physische Hardware mit anderen NR-Workloads verschiedener Nationen teilen.

NATO Confidential (NC) umfasst Informationen, deren Offenlegung den NATO-Interessen schaden würde. NC-Systeme erfordern dedizierte logische Umgebungen, genehmigte kryptographische Systeme (typischerweise aus dem NCIA-genehmigten Katalog) und Personal mit einer Mindestsicherheitsfreigabe. NC ist in etwa vergleichbar mit dem US-SIPR-Netzwerk (Secret Internet Protocol Router) auf der unteren Ebene.

NATO Secret (NS) ist die primäre operative Geheimhaltungsstufe für sensible Bündnisplanung, Nachrichtendienste und operative Daten. NS-Infrastruktur muss physisch von NC und darunter getrennt sein – eigene Server, eigener Speicher, eigenes Netzwerk. Der Personalzugang erfordert eine NATO-Secret-Freigabe und das Need-to-know-Prinzip. Die meisten taktischen und operativen NATO-Softwaresysteme arbeiten auf NS-Niveau. Das US-Äquivalent ist SECRET auf SIPR oder IL5/IL6 im Cloud-Kontext.

Cosmic Top Secret (CTS) und seine Sonderkennzeichnungen (CTS/ATOMAL, CTS/BOHEMIA usw.) erfordern physische Sicherheit auf SCIF-Niveau, vollständige Air-Gap-Trennung von externen Netzwerken einschließlich NS sowie streng begrenzte Personalpools. CTS-Systeme werden nur in NATO-kontrollierten oder national akkreditierten Einrichtungen betrieben. Kein kommerzielles Cloud-Angebot, egal wie gut akkreditiert, qualifiziert sich für CTS.

Wichtige Erkenntnis: Die operativ bedeutendsten NATO-Systeme laufen auf NS-Niveau. Anbieter, die auf die zentralen C2-, ISR- und Logistikprogramme des Bündnisses abzielen, müssen von Anfang an für NS-Anforderungen entwickeln – die nachträgliche Nachrüstung von NS-Sicherheitskontrollen in ein System, das für NU konzipiert wurde, ist selten ohne einen nahezu vollständigen Neuaufbau der Identitäts-, Kryptographie- und Datenverarbeitungsschichten machbar.

Physische Trennungsanforderungen auf jeder Stufe

Physische Trennungsanforderungen sind der konkreteste Ausdruck von Geheimhaltungsstufen und treiben Infrastrukturkosten stärker voran als jeder andere Faktor.

Bei NATO Unclassified ist gemeinsam genutzte physische Infrastruktur zulässig. Ein NU-Workload kann in einem mandantenfähigen kommerziellen Cloud-Rechenzentrum neben Nicht-NATO-Mandanten betrieben werden, sofern der Cloud-Dienst auf der NCIA-Genehmigungsliste steht und logische Isolierung (VPC, Namespace, Mandantentrennung) korrekt konfiguriert ist. Dies macht NU zur einzigen Stufe, bei der hyperscale kommerzielle Cloud ohne Einrichtungskontrollen eine echte Option darstellt.

Bei NATO Restricted und Confidential muss die physische Infrastruktur in einer NATO-akkreditierten Einrichtung oder einem national genehmigten Äquivalent untergebracht sein. Die Server-, Speicher- und Netzwerkhardware muss für NATO-Workloads dediziert sein – sie darf nicht mit kommerziellen Mandanten oder Nicht-NATO-Regierungs-Workloads geteilt werden. Innerhalb einer NATO-akkreditierten Einrichtung dürfen NR- und NC-Systeme Hardware unter strikter logischer Trennung teilen, aber die Einrichtung selbst stellt die physische Sicherheitsgrenze dar.

Bei NATO Secret wird die physische Trennung absoluter. NS-Server, Speicher und Netzwerke müssen auf dedizierter Hardware betrieben werden, die nicht mit NC- oder NR-Workloads geteilt wird. Die Hardware muss in einer Einrichtung untergebracht sein, die die TEMPEST-Anforderungen der NATO erfüllt (Schutz vor elektromagnetischen Emissionen), mit zonengesteuertem Zugang und CCTV-Überwachung der Serverräume. Tragbare Speichermedien in NS-Umgebungen müssen unter den COMSEC-Verfahren (Kommunikationssicherheit) der NATO verfolgt, kontrolliert und gehandhabt werden.

Bei Cosmic Top Secret nähern sich die physischen Sicherheitsanforderungen denen einer nationalen Geheimdiensteinrichtung: vollständige SCIF-Konstruktionsstandards, Personalzugang über Zwei-Faktor-Biometrie- oder Kartensysteme, Faraday-Abschirmung und keine Netzwerkkonnektivität zu externen Systemen – einschließlich anderer klassifizierter Netzwerke – ohne eine genehmigte CDS.

Compute-Optionen nach Stufe

Kommerzielle Cloud und GovCloud (NATO Unclassified). NU-Workloads können auf kommerziellen Hyperscale-Plattformen (AWS, Azure, GCP) unter Verwendung von NCIA-genehmigten Dienstangeboten bereitgestellt werden. Für NATO-Mitgliedstaaten mit nationalen Souveränitätsanforderungen werden nationale Cloud-Plattformen bevorzugt, die von genehmigten Anbietern betrieben werden. Die NCIA Hybrid Cloud bietet eine verwaltete NU-Umgebung für die eigenen administrativen und öffentlich zugänglichen Systeme der NATO.

Souveräne Cloud und dedizierte Mandantschaft (NATO Restricted / Confidential). Die praktischen Compute-Optionen für NR/NC-Workloads sind souveräne Cloud-Bereitstellungen – national betriebene Cloud-Infrastruktur auf genehmigter Hardware in kontrollierten Einrichtungen – oder dedizierte Private-Cloud-Umgebungen in NATO-akkreditierten Rechenzentren. Mehrere NATO-Staaten haben nationale Verteidigungscloud-Programme aufgebaut: das UK MOD Managed Cloud Services, Frankreichs Cloud au Centre (SFT3) und das Cloud-Programm der deutschen Bundeswehr Informationstechnik GmbH (BWI). Diese Plattformen sind speziell für NR/NC-Daten konzipiert und wurden durch nationale Akkreditierungsverfahren geprüft.

Air-Gapped souveräne Infrastruktur (NATO Secret). NS-Compute läuft auf Air-Gapped-Infrastruktur – physisch isolierten Servern ohne externe Netzwerkkonnektivität. Die Software-Bereitstellung in NS-Umgebungen erfolgt über akkreditierte Medien (verschlüsselter USB, optische Disc oder dedizierte Transfer-Workstation) durch eine CDS. Die Container-Orchestrierung auf NS-Ebene verwendet typischerweise eine gehärtete Kubernetes-Distribution, die auf Bare-Metal oder privatem Hypervisor bereitgestellt wird, ohne Konnektivität zu externen Registries oder Update-Kanälen. Alle Container-Images müssen vorab gezogen, verifiziert und auf Air-Gapped-Registries geladen werden, bevor eine Bereitstellung erfolgt.

Wichtige Erkenntnis: Das Supply-Chain-Management für Container-Images ist eine der reibungsintensivsten operativen Herausforderungen auf NS-Ebene. Anbieter, die containerisierte Anwendungen in NATO-Secret-Umgebungen bereitstellen, müssen eine vollständige Software-Bill-of-Materials (SBOM) führen, alle Basis-Images vorab durch den Image-Prüfprozess der Einrichtung qualifizieren und akzeptieren, dass Update-Zyklen, die in kommerziellen Umgebungen in Tagen gemessen werden, auf NS-Niveau in Wochen oder Monaten gemessen werden.

Netzwerkarchitektur und Cross-Domain-Solutions

Die entscheidende Netzwerkherausforderung in einer mehrstufigen NATO-Bereitstellung ist die Kontrolle des Datenflusses über Geheimhaltungsgrenzen hinweg. Daten, die auf NS-Ebene entstehen, können nicht in NU-Netzwerke fließen, ohne eine genehmigte Cross-Domain-Solution zu passieren. Die CDS setzt die Sicherheitsrichtlinie an der Grenze durch – sie ist nicht einfach eine Firewall, sondern ein spezialisiertes Gerät, das Inhaltsinspektions-, Datenvalidierungs- und Formattransformationsregeln anwendet, die im Akkreditierungspaket des Systems definiert sind.

Guard-Geräte sind bidirektionale Filteranlagen, die es genehmigten Datentypen erlauben, unter definierten Bedingungen zwischen Stufen zu fließen. Ein Guard könnte es erlauben, bereingte Sensordaten von NS nach NU zur weiteren Verteilung zu übermitteln, während jeder Fluss von Planungs- oder Geheimdienstdaten blockiert wird. Guards erfordern eine detaillierte Inhaltsfilterungsrichtlinie, die von der Akkreditierungsbehörde unterzeichnet wurde, und die Richtlinie selbst wird zu einem Sicherheitsartefakt, das versioniert und auditiert werden muss.

Datendioden sind hardwareerzwungene Einwegübertragungsgeräte – physisch enthalten sie nur einen Sender auf der hochrangigen Seite und nur einen Empfänger auf der niedrigrangigen Seite, wodurch es unmöglich ist, dass Daten in die verbotene Richtung fließen. Datendioden werden für Massentransfers von hoch nach niedrig verwendet (z. B. das Übermitteln bereinigter taktischer Protokolle von NS nach NU zur Analyse), wo bidirektionale Kommunikation nicht erforderlich ist. Produkte wie Owl Cyber Defense DualDiode und Waterfall Security Unidirectional Security Gateways sind in NATO-äquivalenten Bereitstellungen weit verbreitet.

Protokollbrüche verhindern, dass direkte TCP/IP-Sitzungen Geheimhaltungsgrenzen überspannen. Selbst wenn ein Guard den Datenfluss erlaubt, muss die Verbindung am Guard enden und auf der anderen Seite neu aufgebaut werden – keine Ende-zu-Ende-Sitzung darf eine Stufengrenze überschreiten. Dies hat erhebliche Auswirkungen auf Echtzeitanwendungen: Streaming-Video, Sprache und Sensor-Feeds, die von NS nach NU übertragen werden, müssen am Guard neu kodiert und neu übertragen werden, was Latenz einführt und Formataushandlung erfordert.

Für Corvus Quantum, das sicheres Video- und Daten-Streaming in Verteidigungsumgebungen bereitstellt, erfordern mehrstufige Bereitstellungen, dass die Streaming-Pipeline als gestaffeltes Relay implementiert wird – ein NS-Encoder speist eine genehmigte CDS, die auf der NU-Seite einen bereinigten Stream neu aufbaut. Das Streaming-Protokoll muss CDS-kompatibel sein (typischerweise UDP mit fester Paketstruktur, die Guard-Inhaltsfilter parsen können), kein stateful-Session-Protokoll, das End-to-End-TCP erfordert.

Identitäts- und Zugriffsmanagement über Stufen hinweg

Jede Geheimhaltungsstufe unterhält einen eigenen PKI-Vertrauensanker (Public-Key-Infrastruktur), und Zertifikate aus einer PKI niedrigerer Stufe werden in einer Umgebung höherer Stufe nicht automatisch als vertrauenswürdig eingestuft. Bei NATO Unclassified können Standard-kommerzielle PKI oder nationale Regierungs-PKI akzeptabel sein. Bei NATO Secret ist die Identitätsinfrastruktur die NATO-PKI – eine dedizierte Zertifizierungsstelle, die von der NCIA betrieben wird und Zertifikate auf Smartcards (NATO-CIS-Token) ausgibt, die an Personal mit NS-Freigaben verteilt werden.

Die praktische Konsequenz für mehrstufige Anwendungen ist, dass ein Benutzer, der stufenübergreifend arbeitet, separate Identitäten und separate Hardware-Token für jede Stufe haben muss. Ein System, das versucht, eine einzige Identität über NU und NS zu teilen, ist nicht akkreditierbar. Anwendungen müssen separate Authentifizierungsabläufe für jede Stufe implementieren, wobei kein Sitzungstoken oder Anmeldeinformationsmaterial die Stufengrenze überschreitet.

Multi-Faktor-Authentifizierung ist auf allen Stufen oberhalb von NU verpflichtend. Bei NC/NS ist der Standard die zertifikatbasierte Authentifizierung mit einem Hardware-Token (PKI-Smartcard) plus PIN – Biometrie kann ergänzen, aber nicht den Zertifikatsfaktor ersetzen. Nur-Passwort-Authentifizierung wird auf keiner klassifizierten Stufe akzeptiert. Für webbasierte Anwendungen, die in NS-Umgebungen bereitgestellt werden, ist gegenseitiges TLS mit Client-Zertifikatsauthentifizierung die Mindestanforderung, ohne Ausnahmen für Entwickler- oder Dienstkonten.

Privilegiertes Zugriffsmanagement auf NS-Ebene erfordert typischerweise Jump-Server (Privileged Access Workstations, PAWs), die physisch und logisch von Standard-Benutzerarbeitsplätzen isoliert sind, wobei alle privilegierten Sitzungen aufgezeichnet und prüfbar sind. Die PAW-Umgebung selbst muss Teil der akkreditierten Systemgrenze sein.

Softwarezertifizierung und der NATO-Akkreditierungsprozess

Software, die auf NC- oder NS-Ebene betrieben wird, muss durch den NATO-Sicherheitsakkreditierungsprozess zertifiziert werden, der von der NATO Security Accreditation Authority (SAA) verwaltet wird – dem Gremium innerhalb der NCIA, das für die Genehmigung von Systemen für den Betrieb innerhalb von NATO-Netzwerken zuständig ist. Der Akkreditierungsprozess folgt der NATO-INFOSEC-Technical-Baseline (ITB), einem Satz von Sicherheitsanforderungen, die Zugriffskontrolle, Kryptographie, Audit, Schwachstellenmanagement und Konfigurationsmanagement abdecken.

Das Akkreditierungspaket umfasst einen System-Security-Plan (SSP), der die Systemgrenze, Datenflüsse und Sicherheitskontrollen dokumentiert; eine Risikobewertung, die Restrisiken der ITB zuordnet; einen Konfigurationsmanagementplan; und einen Vorfallreaktionsplan. Für Software, die in nationalen Einrichtungen unter bilateralen Vereinbarungen bereitgestellt wird, kann die nationale Designated Accreditation Authority (DAA) – äquivalente Rollen existieren im UK (DSO), Deutschland (BSI), Frankreich (ANSSI) und anderen Mitgliedstaaten – die Akkreditierung anstelle der NATO SAA durchführen, aber die angewandten Standards müssen die ITB erfüllen oder übertreffen.

Anbieter sollten mehrere Akkreditierungszyklen einplanen. Die erstmalige Akkreditierung umfasst typischerweise eine Ersteinreichung, einen Feststellungsbericht der SAA, eine Behebungsphase und eine erneute Einreichung – der vollständige Zyklus dauert routinemäßig 12–24 Monate für NS-Systeme. Jede größere Softwareversion, die die Systemgrenze verändert, neue Datenflüsse einführt oder kryptographische Implementierungen ändert, kann eine Teilneu-Akkreditierung auslösen. Die Einbindung der Akkreditierungspflege in den Produktentwicklungslebenszyklus – und nicht als einmaliges Ereignis zu behandeln – ist für Programme mit mehrjährigen Betriebshorizonten unerlässlich.

Wichtige Erkenntnis: Der NATO-Akkreditierungszeitplan ist das am häufigsten unterschätzte Terminrisiko in Bündnissoftwareprogrammen. Anbieter, die ihr erstes NATO-Programm aufnehmen, sollten 18 Monate ab der ersten SSP-Einreichung bis zur operativen Genehmigung auf NS-Ebene einplanen und davon ausgehen, dass der Akkreditierungsprozess 15–20 % des gesamten Programm-Engineeringaufwands im Team verbraucht.

Bereitstellungsmuster für mehrstufige Anwendungen

Das dominante Architekturmuster für mehrstufige NATO-Software ist das gestaffelte Relay: eine einzelne logische Anwendung mit separaten Bereitstellungen auf jeder Geheimhaltungsstufe, verbunden durch genehmigte CDS für kontrollierten Datenaustausch. Jede stufenspezifische Bereitstellung ist ein unabhängiges akkreditiertes System, auch wenn dieselbe Codebasis verwendet wird. Änderungen an gemeinsamen Komponenten müssen im Akkreditierungspaket jeder Stufe neu qualifiziert werden, bevor sie bereitgestellt werden.

Die Datenbereinigung vor der stufenübergreifenden Herabstufung ist das technisch komplexeste Element dieses Musters. Eine Berichtsanwendung, die NS-operative Daten für die Verteilung an NU-Netzwerke aggregiert, muss einen Bereinigungsworkflow implementieren, der klassifizierte Felder entfernt, eingebettete Metadaten beseitigt (EXIF-Daten in Bilddateien, Autoreninformationen in Dokumenten, GPS-Koordinaten in Sensorprotokollen), Daten in Formate konvertiert, die keine eingebetteten klassifizierten Informationen tragen können, und jeden Transfer mit ausreichenden Prüfdetails protokolliert, um die Herkunft jedes Elements nachzuverfolgen, das die Grenze überschritten hat.

Automatisierte Bereinigung kann strukturierte Daten (Datenbankeinträge mit definierten Feldklassifizierungen) verarbeiten, ist aber für unstrukturierte Daten (natürlichsprachige Dokumente, Bilder, Audio) unzureichend. Für die Herabstufung unstrukturierter Daten ist typischerweise ein menschlicher Prüfschritt erforderlich – ein ausgebildeter Klassifizierungsprüfer, der die bereinigten Ausgaben inspiziert, bevor sie die Grenze überschreiten –, der von Akkreditierungsbehörden in der Regel verlangt wird. Software kann den Prüfer unterstützen (wahrscheinlich klassifizierte Passagen hervorheben, Bilder mit Ausrüstung oder Personal markieren), aber die Prüfentscheidung muss einer namentlich genannten, rechenschaftspflichtigen Person zugeordnet werden können.

Für Anbieter, deren Produkte in NATO-Umgebungen mit Zero-Trust-Architekturen integriert werden, fügt das Stufenmodell dem Standard-Zero-Trust-Modell eine Dimension hinzu: Zusätzlich zur Überprüfung von Identität, Gerätestatus und Anforderungskontext muss die Policy Engine auch datenklassifizierungsbasierte Zugriffskontrollen durchsetzen – um sicherzustellen, dass ein auf NS-Niveau authentifizierter Benutzer NS-Daten nicht versehentlich über eine auf NU-Niveau exponierte Anwendungsschnittstelle exfiltrieren kann. Dies erfordert, dass Klassifizierungsbezeichnungen an Datenobjekten beim Ingestion-Zeitpunkt angebracht und durch den gesamten Anwendungsstack durchgesetzt werden, einschließlich Caches, Queues und temporärem Speicher.

Was dies für Verteidigungssoftwareanbieter bedeutet

Das NATO-Stufenmodell ist kein abstraktes Compliance-Rahmenwerk – es ist ein Satz harter technischer Einschränkungen, die bestimmen, was Sie bauen können, wie schnell Sie es bereitstellen können und wie Sie jeden Datenfluss architektonisch gestalten müssen. Anbieter, die es als eine Checkbox-Übung behandeln, entdecken seine Auswirkungen spät, wenn die Behebung am teuersten ist.

Die wichtigsten praktischen Schritte sind: Definieren Sie Ihre Zielstufe zu Beginn des Architekturdesigns, nicht nach der Entwicklung; binden Sie die NATO SAA oder nationale DAA in Vorakkreditierungskonsultationen ein, bevor Sie ein formales Paket einreichen; entwickeln Sie Ihr CDS-Schnittstellendesign parallel zu Ihrem Anwendungsdesign, nicht danach; und behandeln Sie die Akkreditierungspflege als eine kontinuierliche Ingenieursfunktion, nicht als einen einmaligen Programmmeilenstein.

Für Produkte wie Corvus Quantum, die klassifizierte Daten über oder innerhalb von NATO-Netzwerken streamen, definiert die Stufenarchitektur die gesamte Streaming-Topologie – Encoder-Platzierung, CDS-Integrationspunkte, Sicherheitsanforderungen für Relay-Knoten und das Latenzbudget, das nach Berücksichtigung des CDS-Inspektions-Overheads verfügbar ist. Dies sind keine Parameter, die im Nachhinein optimiert werden können; sie müssen von der ersten Architekturprüfung an in das System eingebaut werden.

Ihr Projekt besprechen

Wir entwickeln und betreiben sichere Software für NATO- und Bündnisverteidigungsprogramme – von kommerzieller NATO-Unclassified-Cloud bis hin zu Air-Gapped-NATO-Secret-Bereitstellungen und CDS-integrierten mehrstufigen Architekturen.

Corvus Quantum → Briefing buchen

Diese Analyse wurde von Corvus-Intelligence-Ingenieuren erstellt, die missionskritische Software für Verteidigungs- und Regierungsorganisationen entwickeln. Mehr über unser Team →

Häufig gestellte Fragen

Kann AWS GovCloud NATO-SECRET-Daten hosten?

Nein – nicht direkt. AWS GovCloud (US) ist für das US-DoD-Impact-Level 5 (IL5) akkreditiert, das US-amerikanische nationale Sicherheitssysteme und CUI abdeckt. Die NATO-SECRET (NS)-Klassifizierung folgt NATO-NCIA-Akkreditierungsverfahren, die von FedRAMP und DoD-IL-Rahmenwerken getrennt sind. NATO-SECRET-Daten müssen in Infrastrukturen gespeichert werden, die speziell von NATO-Sicherheitsbehörden akkreditiert wurden – in der Regel NATO-eigene Einrichtungen, vom nationalen Verteidigungsministerium kontrollierte souveräne Cloud-Umgebungen oder Auftragnehmer-Rechenzentren, die die NATO-INFOSEC-Technical-Baseline-Bewertung abgeschlossen haben. Einige nationale Programme haben bilaterale Vereinbarungen angestrebt, es gibt jedoch keine pauschale Genehmigung für kommerzielle GovCloud-Lösungen als Host für NS-Daten.

Was ist der NATO-NCIA-Cloud-Service-Katalog?

Die NATO Communications and Information Agency (NCIA) verwaltet den NATO-Cloud-Service-Katalog, der Infrastructure-as-a-Service-, Platform-as-a-Service- und Software-as-a-Service-Angebote auflistet, die für die Nutzung über alle NATO-Geheimhaltungsstufen hinweg genehmigt sind. Der Katalog unterscheidet zwischen Diensten, die für NATO Unclassified (NU), NATO Restricted (NR) und NATO Confidential/Secret (NC/NS) genehmigt sind. Die NCIA betreibt die NATO Hybrid Cloud – eine Kombination aus privat betriebener NATO-Infrastruktur und genehmigten kommerziellen Diensten für niedrigere Geheimhaltungsstufen. Der Zugang zum Katalog und zu genehmigten Anbieterlisten erfordert die Einbindung über nationale Delegationen oder direkte NCIA-Beschaffungskanäle.

Wie lange dauert die NATO-Cloud-Akkreditierung?

Die Zeitrahmen für NATO-Sicherheitsakkreditierungen hängen stark von der Geheimhaltungsstufe und dem Umfang ab. Für NATO-Unclassified-Systeme, die bereits genehmigte kommerzielle Dienste nutzen, kann Integration und Genehmigung 3–6 Monate in Anspruch nehmen. Für NATO-Restricted- oder NATO-Confidential-Systeme erfordert das Akkreditierungspaket – einschließlich des System-Security-Plans, der Risikobewertung und des INFOSEC-Technical-Baseline-Nachweises – in der Regel 9–18 Monate für eine Ersteinreichung, mit Iterationszyklen bei Feststellungen. NATO-Secret-Systeme, die eine dedizierte Infrastrukturakkreditierung erfordern, können für eine neue Einrichtung oder Plattform 2–4 Jahre in Anspruch nehmen. Anbieter sollten die NATO Security Accreditation Authority (SAA) frühzeitig im Programmlebenszyklus einbinden – nicht erst am Ende der Entwicklung.

Was ist eine Cross-Domain-Solution und wann ist sie erforderlich?

Eine Cross-Domain-Solution (CDS) ist eine Kombination aus Hardware und Software, die die Informationssicherheitsrichtlinie bei der Übertragung von Daten zwischen Netzwerken unterschiedlicher Geheimhaltungsstufen durchsetzt. Eine CDS ist immer dann erforderlich, wenn Daten von einem Netzwerk mit höherer Geheimhaltungsstufe (z. B. NATO Secret) in ein Netzwerk mit niedrigerer Geheimhaltungsstufe (z. B. NATO Unclassified) fließen müssen – oder in umgekehrter Richtung mit entsprechender Bereinigung und Deklassifizierung. CDS-Komponenten umfassen Guard-Geräte (bidirektionale Filteranlagen), Datendioden (hardwareerzwungene Einwegübertragungen für Massentransfers) und Protokollbrüche (die verhindern, dass direkte TCP-Sitzungen die Grenze überschreiten). Alle CDS-Komponenten, die in NATO-Umgebungen eingesetzt werden, müssen auf der von der NCIA genehmigten Produktliste stehen oder eine von NATO akzeptierte nationale Behördengenehmigung erhalten haben.

Welche physischen Trennungsanforderungen gelten zwischen den NATO-Cloud-Stufen?

Physische Trennungsanforderungen steigen mit der Geheimhaltungsstufe. NATO-Unclassified-Infrastruktur kann Hardware mit Nicht-NATO-Systemen unter Verwendung logischer Trennung (VLANs, VPCs, Mandantenisolierung) teilen. NATO Restricted erfordert in der Regel logische Trennung von kommerziellen Workloads, darf aber innerhalb einer kontrollierten Einrichtung physische Infrastruktur teilen. NATO Confidential und NATO Secret erfordern physisch getrennte Server, Speicher und Netzwerke innerhalb einer NATO-akkreditierten Einrichtung – gemeinsam genutzte physische Infrastruktur mit Workloads niedrigerer Geheimhaltungsstufen oder kommerziellen Workloads ist nicht zulässig. NATO Top Secret (CTS) und darüber hinaus erfordern physische Sicherheit auf SCIF-Niveau mit streng kontrolliertem Personalzugang, elektromagnetischer Abschirmung und in den meisten Fällen vollständiger Air-Gap-Trennung von externen Netzwerken, einschließlich anderer klassifizierter Netzwerke.