Neue VdS-Richtlinie: Mindestanforderungen an die KMU-Informationssicherheit
Auch kleine Unternehmen nutzen Informationsverarbeitungssysteme für ihre Geschäftsprozesse und unterliegen damit vielfältigen Cyber-Risiken. Sie können sich eine umfangreiche Absicherung kaum leisten. Mit der VdS 10005 liegt nun eine Richtlinie vor, mit der sich eine systematische IT-Sicherheit mit unabhängigem VdS-Testat implementieren lässt.
Die praktischen Erfahrungen mit dem etablierten Cyber-Security-Standard VdS 10000 haben gezeigt: Die formulierten Anforderungen und Handlungsvorgaben sind für KMU eine praktikable Grundlage, um ein angemessenes Sicherheitsniveau im Bereich der Informationssicherheit zu erreichen. Für Klein- und Kleinstunternehmen sind die Vorgaben der VdS 10000 jedoch immer noch zu komplex, so dass sich speziell diese Kundengruppe einem systematischen IT-Sicherheitsansatz nach wie vor verschliesst. Vor diesem Hintergrund hat VdS die Richtlinien 10005 entwickelt. Ziel des Rahmenwerks ist es, Unternehmen mit bis zu 20 Mitarbeiterinnen und Mitarbeitern einen kostengünstigen Weg zur Absicherung ihrer IT-Systeme aufzuzeigen und mit wirkungsvollen Massnahmen zu fundieren.
Webbasierte Leitfaden entwickelt
«Wie können wir Klein- und Kleinst-Unternehmen ein Angebot machen, das einerseits die technisch-organisatorischen Massnahmen (TOMs) verantwortungsvoll skaliert und dennoch ein angemessenes Schutzniveau bietet, andererseits aber die Ressourcensituation und last but not least die Investitionsbereitschaft der Zielgruppe nicht aus den Augen verliert? Wieviel darf Informationssicherheit heute kosten?», erläutert Markus Edel, VdS-Abteilungsleiter Cyber-Security und Managementsysteme, den gedanklichen Ansatz zur Entwicklung der Richtlinien VdS 10005. «Indem wir den Managementsystemaspekt aus den Anforderungen herausdividieren. Denn dadurch, dass die TOMs in ein Managementsystem eingebettet sind, das den sogenannten kontinuierlichen Verbesserungsprozess als zentralen Bestandteil hat, bedarf es einer Reihe von Massnahmen, die ressourcenintensiv sind», fährt er fort.
Zu den Richtlinien VdS 10005 wurde ausserdem ein webbasierter Leitfaden entwickelt, der die Kunden Schritt für Schritt durch die Anforderungen führt. Neben dem Text der Richtlinien gibt der Leitfaden wertvolle Hinweise zur Interpretation und zeigt konkrete Umsetzungsbeispiele aus der unternehmerischen Praxis auf. Der Leitfaden ist unter vds.de/leitfaden-vds-10005 als Online-Tool in einem kostenpflichtigen, geschlossenen Bereich verfügbar und ermöglicht den Usern zusätzliche komfortable Features – beispielsweise die Möglichkeit, den Umsetzungsstatus der Richtlinie VdS 10005 aktuell abzubilden, um so die Testat-Fähigkeit exakt bestimmen zu können.
Nicht mehr zertifizierungsfähig
Mit dem Gesamtpaket aus Richtlinie und Leitfaden konnte das Ziel, den Aufwand für Kleinstunternehmen zu reduzieren, optimal erreicht werden. So bietet VdS interessierten Unternehmen für unter 650 Euro ein Verfahren, das eine angemessene Absicherung ihrer IT-Landschaft ermöglicht, aufgrund des Wegfalls des Managementsystemaspekts allerdings nicht mehr zertifizierungsfähig ist. Vielmehr zielt die Richtlinie auf ein remoteauditbasiertes Testat ohne zwingende, jährliche Überwachung ab, so dass auf kostenintensive Vor-Ort-Audits verzichtet werden kann. Darüber hinaus stellen VdS 10005 eine Teilmenge der VdS 10000 dar und sind damit aufwärtskompatibel. Eine interessante Option, wenn beispielsweise durch eine Geschäftsvergrösserung oder Veränderungen des Risikoumfeldes auch die Anforderungen an die Informationssicherheit steigen.
Mehr Infos unter: www.vds.de/cyber
Weitere Themen:
Neue Cyber-Versicherung für Selbständige und KMU
