Definition VdS 3473

Was ist VdS 3473?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

VdS 3473 war bis 2018 eine Richtlinie zur Informationssicherheit in kleinen und mittleren Unternehmen.
VdS 3473 war bis 2018 eine Richtlinie zur Informationssicherheit in kleinen und mittleren Unternehmen. (Bild: gemeinfrei / Pixabay)

Die Richtlinie VdS 3473 definiert Mindestanforderungen an die Cybersecurity kleiner und mittlerer Unternehmen. Sie wurde von der VdS Schadenverhütung GmbH entwickelt und veröffentlicht. Unternehmen können sich nach VdS 3473 zertifizieren lassen. 2018 wurde die Richtlinie durch die VdS 10000 abgelöst.

Die VdS 3473 ist eine Richtlinie, die Mindestanforderungen an die Cybersecurity (Informationssicherheit) in Unternehmen definiert. Sie ist speziell für kleine und mittlere Unternehmen (KMU) vorgesehen. Ziel der Richtlinie ist es, einem KMU ein angemessenes Schutzniveau zu ermöglichen, ohne das Unternehmen organisatorisch oder finanziell zu stark zu belasten. Inhalte der Richtlinie sind unter anderem Hilfestellungen und Vorgaben zur Implementierung eines Informations­sicherheits­management­systems (Information Security Management System - ISMS). Auch konkrete Maßnahmen zur technischen Absicherung der IT-Infrastruktur sind enthalten. Viele Themen der Cybersecurity sind durch die Richtlinie abgedeckt. Die VdS 3473 ist aufwärtskompatibel zu ISO 27001, besitzt jedoch nicht den Umfang und die Komplexität wie ISO 27001 oder der BSI Grundschutz.

Entwickelt wurde die Richtlinie von der VdS Schadenverhütung GmbH auf Initiative des Gesamtverbands der Deutschen Versicherungswirtschaft. Ursprüngliche Intention war es, die Versicherungsfähigkeit von Unternehmen oder Institutionen bezüglich möglicher Cyberrisiken festzustellen. Die Richtlinie erschien im Jahr 2015 in der Version 1.0 und steht der Öffentlichkeit kostenlos im Internet zur Verfügung. 2017 wurde eine Leitfaden der VdS zur Interpretation und Umsetzung der Richtlinie für industrielle Automatisierungssysteme veröffentlicht. Ende 2018 erfolgte die Überarbeitung und Umbenennung. Die VdS-Richtlinie wurde in die 10000er Nummernreihe integriert. Unter anderem diente sie als Vorlage für die VdS 10010 (Umsetzung DSGVO) und ist an vielen Stellen wortgleich.

Inhalt der Richtlinie

VdS 3473 ist insgesamt 38 Seiten lang, wovon 26 Seiten der eigentliche sicherheitsrelevante Inhalt sind. Die Verbindlichkeit der Vorgaben ist über die Formulierungen muss, darf nicht, sollte, sollte nicht und kann geregelt. IT-Ressourcen werden in kritische und nicht kritische Ressourcen unterteilt. Während für die nicht kritischen IT-Ressourcen nur ein Basisschutz vorgesehen ist, sind für kritische Ressourcen Risikoanalysen und erweiterte Sicherheitsmaßnahmen vorgesehen. Durch die Richtlinie abgedeckt sind unter anderem folgende Bereiche der Cybersecurity:

  • Personal
  • Wissen
  • IT-Systeme
  • Netzwerke und Verbindungen
  • mobile Datenträger
  • IT-Outsourcing und Cloud Computing
  • Zugänge und Zugriffsrechte
  • Datensicherung und Archivierung
  • Störungen und Ausfälle
  • Sicherheitsvorfälle

Zur Umsetzung der Informationssicherheit ist ein Vorgehen in mehreren Phasen empfohlen. Zunächst erfolgt die Zuweisung von Verantwortlichkeiten und die Definition der Ziele und des Stellenwerts der Informationssicherheit für das Unternehmen. Anschließend werden konkrete Richtlinien zur Informationssicherheit für verschiedene Zielgruppen definiert (Anwender, Mitarbeiter, Dienstleister, Kunden, mobile Nutzer und weitere). Für sämtliche Ressourcen wird ein Basisschutz implementiert. Für kritische und für das Unternehmen existenzielle Ressourcen erfolgt die Implementierung erweiterter, über den Basisschutz hinausgehender Schutzmaßnahmen.

Zertifizierung nach VdS 3473

Für die Zertifizierung nach VdS 3473 sind mehrere Schritte notwendig. Zunächst gibt eine Selbstauskunft mit 39 zu beantwortender Fragen einen ersten Überblick über den aktuellen Status und den Handlungsbedarf der Informationssicherheit. Auf Basis dieses Statusberichts kann ein erster Audit durch einen unabhängigen Auditor erfolgen. Dieser ermittelt den tatsächlichen Status der Informationssicherheit und schlägt weitere Verbesserungsmaßnahmen vor. Schließlich wird nach Umsetzung der Maßnahmen die tatsächliche Zertifizierung durchgeführt.

Aufgrund der Ablösung von VdS 3473 durch die VdS 10000 ergibt sich ein geringer Zusatzaufwand bei der Zertifizierung. Die Umstellung der Zertifizierung auf das neue Format kann beispielsweise im Rahmen der regelmäßigen Rezertifizierung stattfinden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Quick-Check zur Sicherheitsrichtlinie VdS 3473

VdS 3473

Quick-Check zur Sicherheitsrichtlinie VdS 3473

Der kostenlose VdS-Quick-Check zur Selbstanalyse des Cyber-Security-Status von KMU auf Basis der Richtlinie 3473 liefert ab sofort nicht nur präzise Schutztipps, sondern auch eine Freikarte zum CeBit-Auftritt von VdS. lesen

Schrittweise Umsetzung der VdS-3473-Richtlinie

Vertrauen durch Sicherheit, Teil 2

Schrittweise Umsetzung der VdS-3473-Richtlinie

Will man Security-Guidelines im Unternehmen einführen, sind die ersten Schritte bekanntlich am schwierigsten. Bei der Richtlinie VdS 3473 bekommt man aber ein wenig Hilfe. In diesem Beitrag verraten wir, welche Maßnahmen man vor der Einführung der Richtlinie ergreifen sollte und wie sich das Rahmenwerk umsetzen lässt lesen

VdS 3473 – eine Security-Richtlinie für KMUs

Vertrauen durch Sicherheit, Teil 1

VdS 3473 – eine Security-Richtlinie für KMUs

Security-Regelwerke wie ISO 27001 lassen sich nur mit einigem Aufwand umsetzen und schrecken kleine und mittlere Unternehmen ab. Die Richtlinie VdS 3473 schafft Abhilfe, denn sie wurde für eben jene Zielgruppe entwickelt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46298744 / Definitionen)