VdS 10000: Informationssicherheit für KMU
100%ige Sicherheit gibt es nicht! Sicherheit und insbesondere die Informationssicherheit werden leider viel zu oft subjektiv bewertet. Sie sind also dem Auge des Betrachters ausgeliefert und werden durch die Risikolust des jeweiligen Unternehmens stark beeinflusst. Nützlich wäre eine Checkliste, eine Vorlage oder eine Schablone, die Orientierung bietet, wie Informationssicherheit oder auch die Cyber-Security angemessen umgesetzt werden kann. Nur was bedeutet: „angemessen“?
Fakt ist, dass IT-Vorfälle wie Cyber-Kriminalität, Erpressungstrojaner oder IT-Ausfälle zu den wichtigsten geschäftlichen Risiken gehören. Diese ziehen häufig eine Betriebsunterbrechung nach sich.
Erschwerend kommt dazu, dass sich Bedrohungen ständig verändern und beinahe täglich von neuen Gefahren berichtet wird. Informationssicherheit kann daher nicht einmal hergestellt und danach vernachlässigt werden. Ganz im Gegenteil: Informationssicherheit muss vielmehr ein niemals endender Prozess sein, der kontinuierlich verbessert wird. Solch ein Prozess kann auch als ISMS (Informationssicherheitsmanagementsystem) bezeichnet werden.
Nun gibt es eine Herausforderung: Der Prozess der Informationssicherheit birgt in sich selbst die Gefahr einer zu hohen Komplexität (Stichwort: Papiertiger). Dieser Gefahr gilt es zu begegnen und stehts eine praktische Orientierung, also den eigentlichen Nutzen gegenüber zu stellen und entsprechend zu handeln.
Die VdS 10000 setzt genau da an.
Was ist VdS 10000?
Rahmenwerk, Richtlinie, Anforderungskatalog, Checkliste – sind alles Begriffe, die der VdS 10000 durchaus gerecht werden. Die VdS-Richtlinie 10000 ist praktisch gesehen ein 43-seitiges Dokument, welches die Anforderungen an eine organisierte Informationssicherheit auf technischer und organisatorischer Ebene beschreibt.
Sie ist speziell für KMU (Kleine und mittlere Unternehmen) konzipiert worden und dabei branchenneutral gehalten. Dies bedeutet aber nicht, dass die in der VdS 10000 beschriebenen Anforderungen nur für KMU gelten. Auch große Unternehmen nutzen die VdS 10000, ggf. als Sprungbrett zu den „großen“ und deutlich aufwändigeren Richtlinien wie z.B. der ISO 27001. Die VdS 10000 ist ein sehr flexibles Modell und kann entsprechend der Kritikalität und der Risiken auf das jeweilige Unternehmen angepasst werden.
Stellungnahme des Leitungsstab des Bundesamt für Sicherheit in der Informationstechnik (BSI):
„Das Regelwerk VdS 10000 „Informationssicherheitsmanagementsystem für KMU“ stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert.
Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.“
Vorteile der Zertifizierung nach VdS 10000
Wenn ein Unternehmen die Anforderungen der VdS 10000 erfüllt, kann dies durch ein Audit der VdS Schadenverhütung überprüft und zertifiziert werden. Dies dient als Nachweis über die sachgemäße Umsetzung, der in der Richtlinie beschriebenen technischen und organisatorischen Maßnahmen (TOM). Ein solcher Nachweis, wird häufig von Cyber-Versicherern, Banken, Wirtschaftsprüfern sowie Kunden und Lieferanten begrüßt oder sogar gefordert. Ebenfalls kann ein VdS-Zertifikat auch die Rechenschaftsplicht unterstützen, die sich aus dem Datenschutz-Gesetz ergibt (Artikel 32. – Sicherheit der Verarbeitung).
Bei der Frage, ob die Informationssicherheit unabhängig zertifiziert wird oder nicht, sollte nicht vernachlässigt werden, dass solch eine Zertifizierung für die Beteiligten auch ein sehr plastisches Ziel darstellt, auf welches hingearbeitet werden kann.
Inhalte der VdS 10000
Grundsätzlich kann die VdS 10000 in zwei Bereiche unterteilt werden. Das eigentliche ISMS und die Basisanforderungen an die Informationssicherheit.
Für das ISMS ist es erforderlich, Informationssicherheit in die DNA eines Unternehmens einzubetten, Verantwortlichkeiten festzulegen und den grundsätzlichen Stellenwert des Themas im Unternehmen oder der Organisation zu kommunizieren.
In der übrigen Richtlinie werden die grundsätzlichen Anforderungen an die Informationssicherheit beschrieben, welche aus Sicht der Verfasser (und der SIEVERS-GROUP) das Mindestmaß an Informationssicherheit für jede Organisation darstellt.
Thematisch werden in der VdS 10000-Richtlinie die folgenden Themen behandelt:
|
|
Cyber Security Check auf Basis der VdS 10000
Wir haben auf Basis der VdS 10000-Richtlinie, einen Workshop entwickelt, der im Wesentlichen die drei folgenden Zwecke erfüllt:
Klärung der konkreten Ausgangssituation und Risiken
Im Workshop der auch oft 360° Security Check genannt wird, werden alle Themenbereiche der Informationssicherheit behandelt, diskutiert und bewertet. Dies erlaubt die konkrete Beurteilung der Ausgangssituation. Ganz objektiv, gemessen an den VdS 10000-Anforderungen. Folgende Fragen werden durch den Cyber-Security Check beantwortet:
- Auf welchem Niveau ist die Informationssicherheit meines Unternehmens?
- Wo steht mein Unternehmen im Vergleich zu anderen Unternehmen?
- Gibt es Risiken, die mit hoher Priorität behandelt werden sollten?
Sensibilisierung der Workshop-Teilnehmer
Der Cyber Security Check findet mit einem interdisziplinären Teilnehmerkreis als interaktiver Workshop statt. Die Anforderungen werden nicht nur abgefragt, sondern auch erklärt und diskutiert. Dadurch gibt es nicht selten „Aha-Effekte“, da Themen der Informationssicherheit aus neuen Perspektiven betrachtet werden. Die Beteiligung der Geschäftsleitung ist zumindest zeitweise zwingend erforderlich.
Typische Teilnehmer des Workshops sind:
Mitglied(er) der Geschäftsleitung (zeitweise)
IT-Leitung
IT-Administrator
Datenschutzbeauftragter (optional)
Betriebsratsmitglied (optional)
Personalleitung (optional, zeitweise)
Mitarbeiter
Roadmap & Aufwandsabschätzung zur Behandlung der Risiken
Als Ergebnis des Workshops erhält Ihr Unternehmen neben dem Status Quo auch konkrete Handlungsempfehlungen. Diese ermöglichen Ihnen Schritt für Schritt die offenen Anforderungen der VdS 10000 umzusetzen. Die Maßnahmen sind jeweils mit Aufwandsabschätzung versehen.
Mithilfe der gewonnenen Informationen ist es Ihnen möglich, zu entscheiden, wie eine weitere Umsetzung ausgestaltet werden kann und soll. Die konkrete Zielstellung, die nach einem Cyber Security Check verfolgt wird, gilt es im nächsten Schritt zu definieren.
Nach dem Check
Nach dem ersten Schritt, dem Cyber Security Check wissen Sie, wie Ihr Unternehmen im Bereich der Informationssicherheit aufgestellt ist. Nun gilt es zu entscheiden, wie Sie mit diesen Ergebnissen umgehen und welche Ziele Sie für die Informationssicherheit verfolgen.
Als Dienstleister unterstützen wir Sie gerne auf dem gesamten Weg. Von der gemeinsamen Zieldefinition, der Bereitstellung von Vorlagen, der Durchführung von Schulungen, der konkreten Umsetzung der Anforderungen bis hin zur anschließenden kontinuierlichen Weiterentwicklung.
"Sie müssen nicht rennen, um ihr Ziel zu erreichen, aber bleiben Sie in Bewegung. - Gehen Sie heute den ersten Schritt!"