VdS 3473, VdS 10000 – nie gehört? Dann wird es Zeit: In einer Situation, in der Cyberattacken auf kleine und mittelgroße Unternehmen rapide zunehmen und Auftraggeber Nachweise über ausreichende Schutzmaßnahmen für IT-Systeme und Daten verlangen, können die Richtlinien der VdS den Weg zu einem soliden Basisschutz ebnen.
Entwickelt wurde der Sicherheitsstandard VdS 3473 von der VdS Schadenverhütung GmbH, Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft GDV und hervorgegangen aus der Anfang des 20. Jahrhunderts gegründeten Sprinklerüberwachungsstelle. Bis heute beschäftigt sich die VdS mit Unternehmenssicherheit. Sie ist akkreditierte Prüf- und Zertifizierungsstelle nach DIN EN ISO für Produkte und Lösungen für den physischen Schutz von Unternehmen wie Brandmelde- und Löschsysteme, Alarmanlagen, Schließsysteme sowie für Dienstleister der Branche.
Angepasst an KMU-Voraussetzungen
Infolge der wachsenden Cyber-Bedrohung startete die VdS im Jahr 2015 mit VdS 3473 eine eigene Richtlinien-Reihe für IT-Sicherheit, und zwar speziell für KMU. Ihr liegt der Gedanke zugrunde, dass auf der einen Seite Standards wie ISO 27001 kleine und mittelgroße Unternehmen mit ihren geringen organisatorischen und finanziellen Ressourcen überfordern, auf der anderen Seite auch in diesen Unternehmen die IT-Sicherheit in geordneten Bahnen gehandhabt und verbessert werden muss. Ebenso wichtig ist für KMU die Möglichkeit, das Vorhandensein passender Prozesse und Schutzmaßnahmen mittels eines Zertifikates nachweisen und gegebenenfalls auf eine Zertifizierung nach der „großen“ Norm zu einem späteren Zeitpunkt hinarbeiten zu können.
VdS ist deshalb so konzipiert, dass kleine Firmen unabhängig von der Branche ein niedrigschwelliges Angebot für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erhalten und mit konkreten technischen und organisatorischen Maßnahmen zeitnah und zu vertretbaren Kosten Mindestanforderungen für den Schutz ihre IT-Infrastruktur umsetzen können. VdS 3473 wurde Ende 2018 abgelöst von VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), bei dem auch die DSGVO-Anforderungen an den Datenschutz berücksichtigt werden.
Aufwärtskompatibel zu ISO 27001
Das VdS-Regelwerk basiert auf ISO 27001 und dem vom BSI entwickelten IT-Grundschutz und ist aufwärtskompatibel zu den beiden Standards – die Unternehmen können für deren Umsetzung auf den bereits umgesetzten Maßnahmen nach VdS aufbauen. VdS 10000 ermöglicht die Einführung eines ISMS mit deutlich geringerem Dokumentations- und Analyseaufwand als bei ISO 27001 und IT-Grundschutz. Die Handlungsfelder sind ebenfalls mit den „großen“ Standards vergleichbar, wie die Bereiche „Organisation der Informationssicherheit“, „Identifizierung kritischer IT-Ressourcen“, „Netzwerke und Verbindungen“, „Mobile Datenträger“ oder „Datensicherung und Archivierung“ etc. zeigen, allerdings sind die Anforderungen geringer. Die Hierarchisierung nach MUSS-, KANN- und SOLLTE-Anforderungen stellt sicher, dass kritische Anforderungen vorrangig umgesetzt werden.
Zertifizierung
Unternehmen können die Umsetzung von Informationssicherheit auf der Basis des Regelwerks zertifizieren lassen. Den Weg dorthin ebnet VdS mit einer Selbstauskunft des Unternehmens, dem VdS Quick-Check, und dem darauf aufbauenden, von einem VdS-Auditor durchgeführten VdS Quick-Audit, in dessen Rahmen der Sicherheitsstaus erfasst und Verbesserungsmaßnahmen ermittelt werden. Weiterhin ist eine VdS-Zertifizierung nach ISO 27001 möglich.
