Vertrauen durch Sicherheit, Teil 1

VdS 3473 – eine Security-Richtlinie für KMUs

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Wer große Compliance-Regelwerke scheut, findet in VdS 3473 eine abgespeckte Alternative.
Wer große Compliance-Regelwerke scheut, findet in VdS 3473 eine abgespeckte Alternative. (Bild: Archiv)

Security-Regelwerke wie ISO 27001 lassen sich nur mit einigem Aufwand umsetzen und schrecken kleine und mittlere Unternehmen ab. Die Richtlinie VdS 3473 schafft Abhilfe, denn sie wurde für eben jene Zielgruppe entwickelt.

VdS (Vertrauen durch Sicherheit) ist eine 100-prozentige Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft. Das Leistungsangebot umfasst Ausbildung, Prüfung, und Zertifizierung zu klassischen Themen wie Brandschutz und technische Sicherheit.

Seit Juli 2015 ist auch Cyber Security in der Richtlinie 3473 vertreten. Die Bestandteile der Richtlinie sind auf 38 Seiten aufgeführt. Wer andere Security-Richtlinien kennt, wird angesichts dieser Überschaubarkeit aufmerken. Der „geringe Umfang“ sollte aber nicht zu dem Trugschuss verleiten, dass es um die Qualität der Richtlinie nicht weit her ist.

Im Gegenteil: VdS 3473 bietet einen soliden Basisrahmen, der sehr viele Themen abdeckt, die zu einer Basis für Cybersecurity gehören. Nicht in der Komplexität wie ISO 27001 oder BSI Grundschutz, aber dafür ideal für die KMU-Zielgruppe.

Braucht es noch ein Regelwerk?

Aus technischer Sicht ist ein weiteres Regelwerk nicht zwingend erforderlich, denn die am Markt befindlichen, etablierten Verfahren sind umfassend und werden auch weiterentwickelt. Aber wer versucht, aus dem Stand heraus z.B. ISO 27001 umzusetzen, wird als kleines Familienunternehmen, als Startup oder renommiertes mittelständisches Unternehmen scheitern.

Durch das geringere Sicherheitsniveau der VdS-Richtlinie gelingt dies jedoch etwas leichter als bei anderen Regelwerken. Die Stärke der 3473 ist die „einfachere“ Umsetzbarkeit gegenüber den größeren Security-Frameworks. Das große Plus besteht darin, dass 3473 eine Basis bereitet, von der man später (bei Bedarf) auf andere Regelwerke „upgraden“ kann.

Durch die verständliche Beschreibung ist es machbar, die Voraussetzungen für eine Zertifizierung durch Eigenleistung zu erbringen. Was das Unternehmen dazu tun muss, wird explizit in der Richtlinien-Beschreibung durch MUSS-Vorgaben ersichtlich, während Empfehlungen als SOLLTE-Hinweise aufgeführt sind.

Damit können Consulting-Tätigkeiten für „Standard-Aktivitäten“ eingespart werden, die das IT-Management oder der technische Stab selbst umsetzen können. Auf den zertifizierten VdS-Experten greift man erst dann zu, wenn es um kritische Themen geht oder letztendlich eine Zertifizierung bzw. ein Quick-Audit ansteht.

Der Nutzen von Regelwerken

Große Unternehmen haben eigene Teams von Spezialisten, die sich z.B. um IT-Sicherheit kümmern. Experten, die sich gegenseitig vertreten können und wissen, wo Lücken sind und bei welchen Security-Themen Handlungsbedarf besteht. Kleinere Firmen können sich eine derartige Spezialisierung i.d.R. nicht leisten.

In KMU sind die Fachleute oft übergreifend für mehrere Themen zuständig und IT-Security ist eines unter vielen. Dies führt dazu, dass eine Firma ggf. nur gegen plakative Bedrohungen einen Schutz aufbaut, während Themen, wie ein aussagekräftiges Audit-Konzept (Missbrauchskontrolle) oder Maßnahmen für den Verlust von Datenträgern und IT-Geräten nur rudimentär ausgeprägt sind.

Ein Security-Regelwerk berücksichtigt all diese Themen und „zwingt“ bei Einführung das Unternehmen dazu, sich auch um diese Aspekte zu kümmern und entsprechende Ressourcen dafür bereitzustellen, um geeignete Maßnahmen einzuführen. Wie diese Maßnahmen im Detail aussehen sollten (zu verwendende Programme, Art der Dokumentationssysteme, zu nutzende Backup-Systeme etc.) weist VdS 3473 nicht explizit aus.

Im Segment Schadsoftware gibt die 3473 beispielsweise nur vor, dass alle IT-Systeme über einen Schutz vor Malware verfügen MÜSSEN. Die eingesetzte Lösung SOLLTE auch über einen Echtzeitschutz verfügen. Ebenso gilt, dass die Systeme täglich bzw. wöchentlich vollständig durch die Schutz-Software überprüft werden MÜSSEN. Ebenso MUSS tägliche eine Aktualisierung der Suchmuster erfolgen. Ein bestimmtes Produkt wird nicht gefordert.

Für Einschränkungen, die sich ggf. durch Schadsoftware ergeben oder andere Ursachen haben, verweist die VdS-Richtlinie auf weiterführende Normen, die das Business Continuity Management abdecken, wie z.B. DIN ES ISO 22301.

Die Richtlinie 3473 deckt für KMUs dabei die wichtigsten Bereiche ab. Dazu zählen:

  • Organisation der Informationssicherheit
  • Richtlinien
  • Personal
  • Wissen
  • Identifizierung kritischer IT-Ressourcen
  • IT-Systeme
  • Netzwerke und Verbindungen
  • Mobile Datenträger
  • IT-Outsourcing und Cloud-Computing
  • Zugänge und Zugriffsrechte
  • Datensicherung und Archivierung
  • Störungen und Ausfälle
  • Sicherheitsvorfällen

Wirtschaftliche Vorteile

Neben der Einführung einer technischen durchdachten Security-Basis bietet die VdS 3473 auch wirtschaftliche Vorteile. Die Firmenleitung hat durch die Richtlinie eine genaue Vorgabe, was zu realisieren ist. Nach einer Analyse der IST-Situation, welche die Lücken zur SOLL-Situation aufzeigt, kann dies zur Erstellung eines Business-Plans genutzt werden, der Aufwendungen kalkuliert. Ein „schwarzes Loch“, das unkontrolliert Budget verschlingt, entsteht gar nicht erst.

Diese Umsetzung der VdS 3473 ermöglicht es auch Versicherungen, die Qualität der Cyber-Schutzverfahren ihrer Kunden entsprechend einzuordnen und so Versicherungsprämien gegen Cyberrisiken für ein Unternehmen zu individualisieren. Ein Unternehmen, welches zertifizierte Standards nutzt, stellt sich hier besser auf als eine Firma, deren Schutzverfahren bei einem Versicherungsantrag erst analysiert werden müssen. Dies vermeidet auch das Risiko, während einer ggf. erforderlichen Nachbesserung den Versicherungsschutz zu verlieren oder diesen nur durch höhere Versicherungsprämien zu erhalten.

Aber auch Wettbewerbsvorteile sind möglich. Denn Kunden des Unternehmens erhalten durch die Zertifizierungen nach VdS 3473 eine Aussage darüber, wie ein Unternehmen auf die weltweite Bedrohung durch Cyber-Kriminelle reagiert und wie es sich aufstellt.

Die Gültigkeitsdauer des VdS-Zertifikats beträgt drei Jahre und muss dann erneuert werden. Jährliche Re-Audits mit einem reduzierten Umfang sind künftig vorgesehen. Es ist also kein Selbstläufer, der einmal initiiert für immer gültig ist. Welche Maßnahmen man vor der Einführung der Richtlinie ergreifen sollte und wie sich VdS 3473 umsetzen lässt, verraten wir im zweiten Teil dieses Beitrags.

Schrittweise Umsetzung der VdS-3473-Richtlinie

Vertrauen durch Sicherheit, Teil 2

Schrittweise Umsetzung der VdS-3473-Richtlinie

14.09.16 - Will man Security-Guidelines im Unternehmen einführen, sind die ersten Schritte bekanntlich am schwierigsten. Bei der Richtlinie VdS 3473 bekommt man aber ein wenig Hilfe. In diesem Beitrag verraten wir, welche Maßnahmen man vor der Einführung der Richtlinie ergreifen sollte und wie sich das Rahmenwerk umsetzen lässt lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44255746 / Standards)