Für Klein- und Kleinstunternehmen stellt die Umsetzung der Mindestanforderungen der VdS-Richtlinien 10000 bereits eine große Hürde dar, da die dafür notwendigen Mitarbeiter in der Regel nicht vorhanden sind und die Einbindung externer Berater wirtschaftlich nicht tragbar ist. Das hat auch die VdS Schadenverhütung erkannt und mit den VdS-Richtlinie 10005 nun Mindestanforderungen für diese Zielgruppe definiert. Gleichzeitig können diese Unternehmen über ein kostengünstiges Testat der VdS den Nachweis zur Einhaltung dieser grundlegender Sicherheitsmaßnahmen erbringen, um z.B. für Kunden oder Versicherer eine Grundabsicherung zu belegen.
Teilmenge der VdS 10000
Die VdS 10005 stellt dabei eine Teilmenge der VdS 10000 dar, kommt aber ohne die Forderung nach einem Informationssicherheitsmanagementsystem (ISMS) aus. Dies entbindet die Unternehmen natürlich nicht von der Verpflichtung zu prüfen, ob nicht weitere Sicherheitsmaßnahmen notwendig sind, um betriebliche, gesetzliche oder vertragliche Anforderungen zu erfüllen. Insbesondere Organisation, die in besonderer Weise auf die Sicherheit ihrer Informationen angewiesen sind, wird weiterhin nahegelegt, die VdS 10000 umzusetzen.
Wesentliche Sicherheitsmaßnahmen
Inhaltlich wurde sich noch stärker auf die wesentlichen technischen und organisatorischen Maßnahmen zur Informationssicherheit fokussiert. So bedarf es nicht mehr explizit eines Informationssicherheitsbeauftragten, sondern nur noch eines Verantwortlichen, der die Umsetzung der Anforderungen sicherstellt. Die Regelungen für Mitarbeiter und die Anforderungen an den Personallebenszyklus wurden ebenso ausgedünnt, wie auch die Anforderungen an IT-Systeme und Netzwerke. Hier wurde sich noch mehr auf die Behandlung der größten Risiken konzentriert:
- Zeitnahes Einspielen von Sicherheitsupdates
- Schutz vor Schadsoftware
- Sichere Authentifizierungsmechanismen
- Rollentrennung bei administrativen Benutzern
- Netzwerkseitige Isolation veralteter oder exponierter IT-Systeme
- Absicherung von Funknetzwerken und Netzwerkübergängen
Datensicherung und Wiederanlaufpläne
Die elementare Sicherheitsmaßnahme stellt für die meisten Unternehmen eine funktionierende und verlässliche Datensicherung dar. Daher nimmt dieses Kapitel auch den meisten Raum in der VdS 10005 ein. Das Datensicherungskonzept muss demnach dem Mehr-Generationen-Prinzip folgen und sicherstellen, dass Datensicherungen nicht verändert oder mutwillig zerstört werden, z.B. im Zuge eines Ransomware-Angriffs. Explizit gefordert werden auch Wiederanlaufpläne für die Speicherorte des Unternehmens. So soll im Schadensfall Ausfallzeit und Schadenshöhe möglichst minimiert werden.
IT-Dienstleister
Den für kleine Unternehmen besonders relevanten IT-Dienstleistern wird das abschließende Kapitel gewidmet, in dem gefordert wird, dass Dienstleistungen vertraglich spezifiziert werden und die Dienstleister zur Erfüllung verpflichtet werden.
Tipps
Wie schon in den VdS-Richtlinien 10000 gibt es neben zwingend umzusetzenden Maßnahmen Empfehlungen, um die Umsetzung greifbarer zu machen und das Sicherheitsniveau weiter zu steigern. Diese sind in der VdS 10000 als „Tipps“ hinterlegt und in nahezu jedem Kapitel zu finden.
Es freut mich, dass ich auch bei diesen VdS-Richtlinien wieder als Co-Autor mitwirken konnte und glaube, dass die VdS 10005 eine gelungene Ergänzung zu den bisherigen VdS-Richtlinien zur Informationssicherheit ist.