VdS 3473 - Cyber-Security für kleine und mittlere UnternehmenEs ist endlich an der Zeit den Richtlinien der VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) einen eigenen Artikel zu widmen. Klingt der Name vielleicht noch etwas sperrig, so hat es der Inhalt der Richtlinien mehr als in sich.

Denn mit der VdS 3473 ist erstmals ein standardisiertes Richtlinienwerk für Informationssicherheit am Markt, welches ganz explizit insbesondere kleine und mittlere Unternehmen adressiert. Die VdS 3473 ermöglicht es KMU, für ihre IT-Infrastrukturen bei vertretbarem Aufwand ein angemessenes Schutzniveau aufzubauen und dieses im laufenden Betrieb auch nachhaltig sicher zu stellen, ohne sie organisatorisch oder finanziell zu überfordern.

Damit finden wir Antworten auf die Fragen nach dem richtigen Maß für einen angemessenen Schutz der IT-Infrastruktur, ohne uns mit der Komplexität der ISO 27001 oder des BSI IT-Grundschutz auseinander setzen zu müssen.

Ein kurzer Blick auf die Hintergründe der VdS 3473

Die VdS zählt zu den renommiertesten Institutionen für Unternehmenssicherheit mit den Schwerpunkten Brandschutz, Sicherheit und Naturgefahrenprävention und jetzt auch Cyber-Security. Auch aus dem Privatbereich kennt man die VdS zumeist als Label auf Rauchmeldern. Die VdS ist eine 100%-ige Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV).

Und es ist kein Geheimnis, dass der GDV als Initiator bei der Entwicklung der VdS 3473 aufgetreten ist. Denn mit der VdS 3473 und der damit verbunden VdS-Zertifizierung, ist es der Versicherungswirtschaft nun möglich, die Versicherungsfähigkeit von Unternehmen in Bezug auf Cyber-Risiken objektiv bewerten zu können.  Somit kann dem Kunden ein maßgeschneiderter Versicherungsschutz im Rahmen von Cyber-Policen angeboten werden. Doch zurück zur VdS 3473 …

Was zeichnet die Richtlinien der VdS 3473 aus?

Die VdS 3473 ist kurz, knackig und prägnant. Die Richtlinien passen auf die berühmten 38 Seiten, davon beinhalten 11 Seiten Inhaltsverzeichnis, Einleitung und Glossar. Die Richtlinien der VdS 3473 basieren auf den anerkannten Standards der ISO 27001 und des BSI IT-Grundschutz, ohne jedoch deren Komplexität mit an Bord zu haben.

Die VdS 3473 konzentriert sich auf die Umsetzung der für kleine und mittlere Unternehmen wesentlichen Maßnahmen zur technischen und organisatorischen Absicherung von IT-Infrastrukturen. Dabei ist die VdS 3473 aufwärtskompatibel zur ISO 27001 und zum BSI IT-Grundschutz. Damit ist die VdS 3473 die perfekte Basis für Informationssicherheit, die zu einem späteren Zeitpunkt bei Bedarf jederzeit „aufgebohrt“ werden kann.

Die Richtlinien der VdS 3473 sind dabei sehr explizit geschrieben, zeichnen sich also durch eine eindeutige Sprachregelung zur Verbindlichkeit der Vorgaben aus („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“). Das Ganze bei minimalisiertem Analyse- und Dokumentationsaufwand mit dem Fokus auf eine einfache und schnelle Implementierung. Denn: Ein umgesetzter Basis-Schutz ist besser als gar kein Schutz.

Bei der VdS 3473 kommt das Pareto-Prinzip zum Tragen: Erreiche mit 20% des Aufwands ca. 80% des Ziels, hier: der Schutz der IT-Infrastrukturen. Und quasi ganz nebenbei: eine zertifizierungsfähige Informationssicherheit. Das, immer verbleibende, Restrisiko wird auf einen Versicherer übertragen.

Das Prinzip der VdS 3473

Die Richtlinien der VdS 3473 betrachten grundsätzlich die gesamte Informationssicherheit in einem Unternehmen. Dabei werden in einem Analyseprozess die IT-Ressourcen zwischen „nicht kritisch“ und „kritisch“ unterschieden. Für nicht-kritische Ressourcen wird ein einfacher Basisschutz definiert (Minimalprinzip), dessen Maßnahmen, sofern technisch möglich, umgesetzt werden müssen. Für kritische IT-Ressourcen fordert die VdS 3473 zusätzliche technische und organisatorische Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.

Bei der Analyse und Bewertung der IT-Ressourcen, wie zum Beispiel der IT-Systeme, Netzwerke, Umgang mit mobilen Datenträgern, IT-Outsourcing und Cloud Computing, Zugänge und Zugriffsrechte, Datensicherung, Störungen und Ausfälle sowie Sicherheitsvorfällen, ermöglicht die VdS 3473 dem Unternehmen, eine eigene und somit individuell abgestimmte Vorgehensweise zu definieren. Jedoch immer unter Berücksichtigung einiger weniger MUSS-Umsetzungen.

Bestandteil der VdS 3473 ist weiterhin die Entwicklung und Etablierung einer unternehmensweiten Sicherheitsleitlinie, von entsprechenden Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses.

Fazit: VdS 3473 – eine solide Basis für Informationssicherheit

Bei aller Begeisterung zur Simplizität und Effektivität bezüglich der Umsetzung der VdS 3473 bleibt ein elementarer Punkt festzuhalten: Informationssicherheit ist Teil der Sorgfaltspflichten der Geschäftsführung bzw. des Managements. Informationssicherheit kann nicht in Form einer Graswurzel-Bewegung im Unternehmen implementiert werden. Die Gesamtverantwortung für die Informationssicherheit liegt bei der Geschäftsführung und muss von dieser initiiert und als integraler Bestandteil der Unternehmenskultur wahrgenommen und gelebt werden.

Für Unternehmen besteht die Möglichkeit, ihre Informationssicherheit auf Basis von VdS 3473 zertifizieren zu lassen. Die Zertifizierung bestätigt, dass die Informationssicherheit eines Unternehmens vollumfänglich den Anforderungen der Richtlinien VdS 3473 entspricht und dass ein angemessener Schutz der Informationssicherheit implementiert worden ist. Und wie immer gilt: Ein Zertifizierung hilft beim Aufbauen und Untermauern von Vertrauen gegenüber Kunden, Lieferanten und Partnern – und manchmal ist eine Zertifizierung auch zwingende Voraussetzung für eine (weitere) Zusammenarbeit und damit wirtschaftlich notwendig.

Egal, ob mit oder ohne geplante Zertifizierung: Wir machen Ihr Unternehmen in Sachen Informationssicherheit fit. Und die Richtlinien der VdS 3473 sind dafür die perfekte Basis. Sprechen Sie uns dazu gerne an.