VdS 10000 Beratung

Die VdS Richtlinie 10000 für die Informationssicherheit definiert Mindestanforderungen an ein Managementsystem für die Informationssicherheit für kleine und mittelständische Unternehmen. Sie basiert auf den anerkannten Standards ISO 27001 und BSI-Grundschutz. Mit ca. 20 % des Aufwandes im Vergleich zu ISO 27001 können Unternehmen aus den VdS-Richtlinien Maßnahmen und Prozesse ableiten, mit denen sie im IT-Bereich ein angemessenes Schutzniveau erreichen.

Die VdS Schadenverhütung in Köln hat mit der VdS 10000 bzw. dem Vorgänger, der VdS 3473 einen Volltreffer gelandet. Für kleine und mittelständische Unternehmen, denen ISO 27001 zu komplex, BSI Grundschutz zu mächtig und ISIS 12 zu intransparent ist, wurde mit VdS 10000 die ideale Lösung geschaffen. Bereits die VdS 3473 wurde 2018 mit dem „Security Innovation Award“ ausgezeichnet. Die VdS 10000 ist nochmal einfacher und klarer strukturiert und ermöglich, auch mit geringen Ressourcen ein grundlegendes Informationssicherheitsmanagement aufzubauen.

Um den Analyseaufwand zu minimieren, unterscheidet der Standard nur zwischen „kritischen“ und „nicht kritischen“ IT-Ressourcen. Kritische IT-Ressourcen sind dabei für das Unternehmen essentiell, ihr Verlust typischerweise bestandsgefährdend. Alles andere ist nicht kritisch. Für die nicht kritischen IT-Ressourcen wurde ein Basisschutz definiert, der, sofern technisch möglich, umgesetzt werden muss. Nur wenn sich ein Unternehmen gegen die Umsetzung des Basisschutzes entscheidet, ist eine Risikoanalyse notwendig, um die dadurch entstehenden Risiken zu minimieren. Für kritische IT-Ressourcen fordern die VdS 10000 erweiterte Schutzmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.

Umsetzung der VdS 10000

Die VdS 10000 lässt sich in wenigen Schritten umsetzen.

  1. Bestimmung der Geschäftsprozesse
  2. Identifizierung sensibler Informationen
  3. Identifizierung kritischer Systeme
  4. Risikoanalyse der kritischen Systeme
  5. Umsetzung des Basisschutzes
  6. Festlegung und Umsetzung zusätzlicher Maßnahmen
  7. Erstellung notwendiger Konzepte und Verfahren
  8. Information und Sensibilisierung der Mitarbeiter
  9. Jährliche sowie anlassbezogene Prüfung der Konzepte und Verfahren

Im ersten Schritt werden die vorhandenen Geschäftsprozesse im Unternehmen bestimmt. Diese Bestimmung kann sich an der bestehenden Struktur des Unternehmens orientieren. Die Geschäftsprozesse müssen auch nicht bis in das letzte Details beschrieben werden. Wichtiger ist, bei der Bestimmung festzulegen, welche dieser Geschäftsprozesse für das Unternehmen kritisch sind, d.h. bei einem Ausfall existenzbedrohend sein können. Die Existenzbedrohung leitet sich beispielsweise aus großen Einnahmeverlusten oder hohen Vertragsstrafen her.

Im zweiten Schritt werden weitere, von diesen Geschäftsprozessen unabhängige, besonders sensible Informationen identifiziert, die ebenfalls kritisch für das Unternehmen sind. Darunter fallen beispielsweise Forschungs- und Entwicklungsdaten aber auch besonders schützenswerte personenbezogene Daten. Sowohl der Verlust dieser kritischen Daten als auch ihre Beschädigung oder eine ungewünschte Veröffentlichung können einen potentiell existenzbedrohenden Schaden nach sich ziehen.

Anschließend werden die IT-Systeme identifiziert, die Voraussetzung sind, dass kritische Geschäftsprozesse ausgeführt werden bzw. auf denen kritische Daten gespeichert oder verarbeitet werden. Zu diesen IT-Systemen kann beispielsweise ein Warenwirtschaftssystem gehören, das Voraussetzung für alle Bestellungen ist oder ein Datenbanksystem, auf dem besonders vertrauliche Daten gespeichert werden.

Für kritische Systeme ist gemäß VdS 10000 eine Risikoanalyse notwendig, um besondere Gefährdungen zu identifizieren. Das genutzte Verfahren zur Risikoanalyse wird in der VdS 10000 nicht vorgeschrieben, die Norm empfiehlt jedoch, auf bewährte Standards wie BSI 200-3 oder ISO 27005 zurückzugreifen.

Für alle nichtkritischen Systeme muss der Basisschutz umgesetzt werden. Zum Basisschutz zählen der sichere Bezug von Software aus vertrauenswürdigen Quellen, die Beschränkung des Netzwerkverkehrs z.B. durch eine Firewall, die Protokollierung von Fehlern und Anmeldeversuchen, der Schutz vor Schadsoftware, die Authentisierung der Nutzer sowie die Beschränkung administrativer Rechte.

Für kritische Systeme sind weitere Maßnahmen erforderlich, die einerseits im Standard festgelegt sind, z.B. Dokumentation, Datensicherung und Überwachung, die sich andererseits aber auch aus der Risikoanalyse ergeben können.

Neben der Dokumentation der Systeme und der Infrastruktur sind weiterhin eine Reihe von Richtlinien sowie verschiedene Verfahren zu dokumentieren. Richtlinien sind beispielweise für die Nutzung mobiler IT-Systeme, für die Nutzung von Cloud Computing, für die Datensicherung sowie für die Behandlung von Störungen, Ausfällen und Sicherheitsvorfällen notwendig. Verfahren definieren Vorgehensweisen und Prozesse, die beispielsweise für die Inbetriebnahme und Ausmusterung von IT-Systemen, für den Verlust von mobilen IT-Systemen und Datenträgern oder für die Datensicherung gefordert werden.

Die Leitlinie, die Richtlinien sowie alle Verfahren müssen von der Geschäftsleitung in Kraft gesetzt und alle betroffenen Mitarbeiter sowie Mitarbeiter von Dienstleistern und Vertragspartner informiert werden. Außerdem müssen alle Richtlinien und Verfahren regelmäßig sowie anlassbezogen z.B. bei Sicherheitsvorfällen überprüft und ggf. überarbeitet werden.

Unsere Leistung

Wir unterstützen Sie bei der Einführung der VdS 10000, angefangen mit der Entwicklung der Konzepte bis zur abschließenden Auditierung.

SecuriZen ist unser Tool für die professionelle Einführung der VdS 10000 in Ihrem Unternehmen. Mit SecuriZen können Sie Ihre Geschäftsprozesse erfassen, Ihre Risikoanalyse durchführen, Maßnahmen festlegen und den Stand der Implementierung nachverfolgen. Sie können außerdem direkt mit SecuriZen alle notwendigen Richtlinien und Verfahren erstellen und dafür die umfangreichen Templates und Vorlagen von uns nutzen.

Außerdem beraten wir Sie bei der Umsetzung, implementieren auf Wunsch zusätzliche Sicherheitsmaßnahmen, schulen und sensibilisieren Ihre Mitarbeiter und bereiten Sie auf die Auditierung durch die VdS Schadenverhütung vor.