Vertrauen durch Sicherheit, Teil 2 Schrittweise Umsetzung der VdS-3473-Richtlinie

Will man Security-Guidelines im Unternehmen einführen, sind die ersten Schritte bekanntlich am schwierigsten. Bei der Richtlinie VdS 3473 bekommt man aber ein wenig Hilfe. In diesem Beitrag verraten wir, welche Maßnahmen man vor der Einführung der Richtlinie ergreifen sollte und wie sich das Rahmenwerk umsetzen lässt

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

FTAPI Software GmbH

Specops Software GmbH

Im ersten Artikel zur VdS-Richtlinie 3473 haben wir gezeigt, was genau die VdS 3473 ist und für wen sie sich eignet. Im zweiten Teil zeigen wir jetzt, welche Maßnahmen man vor der Einführung der Richtlinie ergreifen sollte und wie sich VdS 3473 am besten umsetzen lässt.

Was einen bei der Umsetzung von VdS 3473 erwartet und wo Security-Nachbesserungen erforderlich sind, zeigt ein VdS-Quick-Check via Web-Fragebogen. Starte man den Check, erhält man nach einer kurzen Bearbeitungszeit von etwa 20 Minuten eine grobe Einstufung.

Vertrauen durch Sicherheit, Teil 1

VdS 3473 – eine Security-Richtlinie für KMUs

Dialog-orientiert arbeitet man sich durch einen kleinen Fragenkatalog und beantwortet dabei Schlüsselfragen zum IST-Zustand. Die Hintergründe der Frage können dabei über ein Hilfe-Icon (?) eingeblendet werden. Dies erlaubt es, die Anforderung besser zu verstehen und die eigene Situation aus diesem Blickwinkel optimal zu beurteilen.

Hat man so alle Fragen beantwortet, erhält man eine tabellarische Ansicht, in der die einzelnen Themengruppen (Organisation, Technik, ...) und die Quick-Check-Schnellbeurteilung des IST-Zustands angezeigt werden

Bildergalerie

Nach Abschluss des Quick-Checks kann man entweder selbst eine Nachbesserung initiieren (um dann erneut einen Quick-Check durchzuführen) oder man holt sich bereits zu diesem Zeitpunkt einen VdS-Auditor ins Boot, der die Nachbearbeitung unterstützt. Dieser Auditor kann auch gleich einen kostenpflichtigen, sogenannten Quick-Audit vornehmen und dabei ein Konformitätstestat auf Basis des VdS Quick-Checks ermitteln.

Die Kosten-Frage und Zertifizierungsablauf

Der Löwenanteil der Kosten wird für die Nachbesserung der aktuellen IST-Situation im eigenen IT-Umfeld anfallen. Denn die VdS 3473 hat MUSS-Komponenten, die im Unternehmen ggf. erstmal etabliert oder angepasst werden müssen.

Themen wie beispielsweise Funktionstrennung, Missbrauchskontrolle und Mitarbeiter-Schulung sind Zeit- und Kostenintensiv. Dies erklärt möglicherweise auch, weshalb gegenwärtig nur drei Unternehmen auf der VdS-Webseite aufgeführt sind, die nach 3473 zertifiziert wurden (Stand 4/2016).

Wie eine Zertifizierung im Idealfall abläuft, wird im Dokument „Zertifizierung der Informationssicherheit in kleinen und mittleren Unternehmen (KMU)“ exemplarisch beschrieben. Hier wird auch auf die Gebührentabelle (Modul Y) verwiesen, welche die zu erwartenden Kosten für die Zertifizierung nennt.

Die Gebührentabelle (Stand: Januar 2016) führt diverse Einzeltätigkeiten bzw. Stundensätze auf, die additiv die Gesamtsumme ergeben. Für einen Quick-Audit, auf Basis des Quick-Checks, können Kosten anfallen, die sich im (mittleren) vierstelligen Euro-Bereich bewegen.

Für den eigentlichen Audit inklusive der Zertifizierung kann man mit einem hohen vierstelligen €-Betrag rechnen. Generell gilt, je intensiver das Unternehmen seine Hausaufgaben bei der Umsetzung der Richtlinie gemacht hat und je besser diese Umsetzung verifiziert werden kann, desto preiswerter ist das gesamte Verfahren.

Letztendlich solle man aber ein Angebot einholen, dass ein VdS-Auditor zu einem überschaubaren Preis ermitteln kann.

Zusammenfassung

KMUs können mit Umsetzung der VdS-Richtlinie 3473 Ihre IT-Sicherheit auf ein stabiles Fundament stellen und das Unternehmen zukunftsorientiert ausrichten. Es ist ein Schritt in die richtige Richtung! Es ist aber kein leichter Weg, aber wer ihn beschreitet wird mittelfristig davon profitieren!

Wie steht es um den Aufwand, der Umsetzung der Richtlinie? Aus der Praxis berichtet Stefan Klinger, VdS-Berater bei LivingData.

Security-Insider: Herr Klinger, Sie als zertifizierter VdS-Berater stehen an vorderster Front. Was sind die drei größten Herausforderungen, die Ihren Kunden bei der Umsetzung der VdS 34732 zu denken geben?

Stefan Klinger: Da meine Kunden vor allem kleinere Unternehmen bis ca. 30 Mitarbeiter sind, ist das Bereitstellen der Manpower für den ISB eine große Herausforderung. Auch ist in diesem Umfeld meistens keine eigene IT-Abteilung vorhanden, die IT wird von einem Mitarbeiter nebenbei mitgemacht, somit ist eine Trennung zwischen den fast nicht vorhandene IT-Leiter und den ISB wenn es überhaupt eine qualifizierte Person gibt kaum möglich. In diesem Kundenkreis geht viel auf Zuruf, hier jetzt strukturierte Prozesse einzuführen stößt teilweise auf großes Misstrauen und es verlangt schon Überzeugung so ein System durchzusetzen.

Security-Insider: Für die Erstzertifizierung ist eine maximale Laufzeit von 18 Monaten möglich. Schaffen die Anwärter dies oder ist für die Mehrzahl der Unternehmen diese Zeitspanne zu kurz?

Wenn die Akzeptanz vorhanden ist und die entsprechenden Mitarbeiter hinter dem Projekt stehen, dann sollte diese Zeitspanne in der Regel ausreichend sein.

Nach Aussage auf der VdS-Webseite gilt „Mit ca. 20 % des Aufwandes im Vergleich zu ISO 27001 können KMU aus den VdS-Richtlinien Maßnahmen und Prozesse ableiten, mit denen...“ ist dieser Wert Ihre Einschätzung nach auf Dauer haltbar?

Wenn erst einmal die Einführung gemacht wurde, was den größten Zeitaufwand bedeutet, so denke ich, dass der Wert auf Dauer schon zu halten ist.

(ID:44256143)