Suchen

Definition VdS 3473 Was ist VdS 3473?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Die Richtlinie VdS 3473 definiert Mindestanforderungen an die Cybersecurity kleiner und mittlerer Unternehmen. Sie wurde von der VdS Schadenverhütung GmbH entwickelt und veröffentlicht. Unternehmen können sich nach VdS 3473 zertifizieren lassen. 2018 wurde die Richtlinie durch die VdS 10000 abgelöst.

VdS 3473 war bis 2018 eine Richtlinie zur Informationssicherheit in kleinen und mittleren Unternehmen.
VdS 3473 war bis 2018 eine Richtlinie zur Informationssicherheit in kleinen und mittleren Unternehmen.
(Bild: gemeinfrei / Pixabay )

Die VdS 3473 ist eine Richtlinie, die Mindestanforderungen an die Cybersecurity (Informationssicherheit) in Unternehmen definiert. Sie ist speziell für kleine und mittlere Unternehmen (KMU) vorgesehen. Ziel der Richtlinie ist es, einem KMU ein angemessenes Schutzniveau zu ermöglichen, ohne das Unternehmen organisatorisch oder finanziell zu stark zu belasten. Inhalte der Richtlinie sind unter anderem Hilfestellungen und Vorgaben zur Implementierung eines Informations­sicherheits­management­systems (Information Security Management System - ISMS). Auch konkrete Maßnahmen zur technischen Absicherung der IT-Infrastruktur sind enthalten. Viele Themen der Cybersecurity sind durch die Richtlinie abgedeckt. Die VdS 3473 ist aufwärtskompatibel zu 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001, besitzt jedoch nicht den Umfang und die Komplexität wie ISO 27001 oder der BSI Grundschutz.

Entwickelt wurde die Richtlinie von der VdS Schadenverhütung GmbH auf Initiative des Gesamtverbands der Deutschen Versicherungswirtschaft. Ursprüngliche Intention war es, die Versicherungsfähigkeit von Unternehmen oder Institutionen bezüglich möglicher Cyberrisiken festzustellen. Die Richtlinie erschien im Jahr 2015 in der Version 1.0 und steht der Öffentlichkeit kostenlos im Internet zur Verfügung. 2017 wurde eine Leitfaden der VdS zur Interpretation und Umsetzung der Richtlinie für industrielle Automatisierungssysteme veröffentlicht. Ende 2018 erfolgte die Überarbeitung und Umbenennung. Die VdS-Richtlinie wurde in die 10000er Nummernreihe integriert. Unter anderem diente sie als Vorlage für die VdS 10010 (Umsetzung DSGVO) und ist an vielen Stellen wortgleich.

Inhalt der Richtlinie

VdS 3473 ist insgesamt 38 Seiten lang, wovon 26 Seiten der eigentliche sicherheitsrelevante Inhalt sind. Die Verbindlichkeit der Vorgaben ist über die Formulierungen muss, darf nicht, sollte, sollte nicht und kann geregelt. IT-Ressourcen werden in kritische und nicht kritische Ressourcen unterteilt. Während für die nicht kritischen IT-Ressourcen nur ein Basisschutz vorgesehen ist, sind für kritische Ressourcen Risikoanalysen und erweiterte Sicherheitsmaßnahmen vorgesehen. Durch die Richtlinie abgedeckt sind unter anderem folgende Bereiche der Cybersecurity:

  • Personal
  • Wissen
  • IT-Systeme
  • Netzwerke und Verbindungen
  • mobile Datenträger
  • IT-Outsourcing und Cloud Computing
  • Zugänge und Zugriffsrechte
  • Datensicherung und Archivierung
  • Störungen und Ausfälle
  • Sicherheitsvorfälle

Zur Umsetzung der Informationssicherheit ist ein Vorgehen in mehreren Phasen empfohlen. Zunächst erfolgt die Zuweisung von Verantwortlichkeiten und die Definition der Ziele und des Stellenwerts der Informationssicherheit für das Unternehmen. Anschließend werden konkrete Richtlinien zur Informationssicherheit für verschiedene Zielgruppen definiert (Anwender, Mitarbeiter, Dienstleister, Kunden, mobile Nutzer und weitere). Für sämtliche Ressourcen wird ein Basisschutz implementiert. Für kritische und für das Unternehmen existenzielle Ressourcen erfolgt die Implementierung erweiterter, über den Basisschutz hinausgehender Schutzmaßnahmen.

Zertifizierung nach VdS 3473

Für die Zertifizierung nach VdS 3473 sind mehrere Schritte notwendig. Zunächst gibt eine Selbstauskunft mit 39 zu beantwortender Fragen einen ersten Überblick über den aktuellen Status und den Handlungsbedarf der Informationssicherheit. Auf Basis dieses Statusberichts kann ein erster Audit durch einen unabhängigen Auditor erfolgen. Dieser ermittelt den tatsächlichen Status der Informationssicherheit und schlägt weitere Verbesserungsmaßnahmen vor. Schließlich wird nach Umsetzung der Maßnahmen die tatsächliche Zertifizierung durchgeführt.

Aufgrund der Ablösung von VdS 3473 durch die VdS 10000 ergibt sich ein geringer Zusatzaufwand bei der Zertifizierung. Die Umstellung der Zertifizierung auf das neue Format kann beispielsweise im Rahmen der regelmäßigen Rezertifizierung stattfinden.

(ID:46298744)

Über den Autor