Der Navigator für Informationssicherheit im Mittelstand

Seit 25 Jahren begleite ich mittelständische Unternehmen bei der Erreichung ihrer Sicherheitsziele. Ich bin Co-Autor der VdS-Richtlinien 3473/10000 für Informationssicherheit in KMU sowie VdS 10010 zur Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO), Autor zahlreicher Fachpublikationen und gefragter Dozent, Impulsgeber und Live Hacker.

Beratungsportfolio

  • Positionsermittlung: Überprüfung und Bewertung von Informationssicherheit auf Basis von VdS 3473/10000, ISO 27001 oder Best Practices. Technische Schwachstellenanalysen, Penetrationstests und Red Team Assessments.
  • Kursbestimmung: Beratung in den Bereichen Informationssicherheitsmanagement, Risikomanagement und Notfallmanagement.
  • Zielführung: Unterstützung bei Einführung und Betrieb sowie Zertifizierung von ISMS (VdS 3473/10000, ISO 27001) sowie BCMS (ISO 22301, BSI 100-4), Entwicklung von Sicherheitskonzepten, Stellung des CISO bzw. Informationssicherheitsbeauftragten.

(zum Profil)

Pressekonferenz zur IT-Sicherheit in Arztpraxen

Bericht der Tagesschau zur Sicherheit von Patientendaten in Arztpraxen

Im Rahmen einer Pressekonferenz wurden heute in Berlin die Ergebnisse der von uns durchgeführten IT-Sicherheitsüberprüfung von 25 Arztpraxen vorgestellt. Auch die ARD war vor Ort und berichtete in der Tagesschau.

Klarstellung: Im Beitrag und auch bei anderen Medien wird es so dargestellt, als spräche ich für den Chaos Computer Club. Ich bin zwar Mitglied im CCC, die ganze Aktion hatte jedoch nichts mit dem Club zu tun, sondern wurde vom Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) beauftragt.

IT-Sicherheit in Arztpraxen

GDV Magazin „Positionen #1_2019“

Im Rahmen der Initiative „Cybersicher“ des Gesamtverbandes der Versicherungswirtschaft (GDV) haben wir bei 25 Arztpraxen umfassend geprüft, wie sie in Bezug auf Informationssicherheit aufgestellt sind. Die Resultate werden bei einem Pressegespräch am 8. April in Berlin bekannt gegeben. Vorab wurden bereits einige Artikel zu diesem Thema veröffentlicht:

BSI Anerkennung der VdS 10000

Der Leitungsstab des Bundesamtes für Sicherheit in der Informationssicherheit (BSI) hat sich unlängst zu den VdS-Richtlinien 10000 geäußert:

Das Regelwerk VdS 10000 „Informationssicherheitsmanagement-system für KMU“ stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.

Hierdurch wurde nun auch von offizieller Seite bestätigt: Mit den VdS-Richtlinien 10000 kann ein elegantes und effizientes ISMS aufgebaut werden, das bei Bedarf auf die „großen“ Standards aufgerüstet werden kann!

VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurden die Richtlinien einer ersten Revision unterzogen. Neben allgemeinen Fehlerkorrekturen waren die Hauptziele dabei insbesondere eine weitere Vereinfachung, Verzahnung mit anderen VdS-Richtlinien (insbesondere VdS 10010 zur Umsetzung der DSGVO) sowie eine Annäherung an bestehende Normen und Standards, wie BSI 200-x oder TISAX. Die sichtbarste Änderung ist eine Umbenennung in VdS 10000 und damit die Einsortierung in die neu geschaffene Reihe rund um die Themen Informationssicherheit und Datenschutz. Die Richtlinien wurden auf der IT-Security-Messe „it-sa“ in Nürnberg als Entwurf vorgestellt und erhielten ein durchweg positives Feedback. Nachfolgend werden die wesentlichen Änderungen zur ersten Version aus dem Jahr 2015 vorgestellt.

VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473 weiterlesen

Bericht des NDR zum Live Hacking bei wilhelm.tel

Bericht im Schleswig-Hostein Magazin zum Live Hacking
Bericht im Schleswig-Hostein Magazin zum Live Hacking bei wilhelm.tel

Beim letzten Live Hacking in Norderstedt hat mich ein Fernsehteam des NDR begleitet. Der Bericht inkl. kurzem Interview kann in der NDR Mediathek oder der ARD Mediathek angeschaut werden. Update: Inzwischen leider nicht mehr in der Mediathek abrufbar.

VdS 3473 wird aktualisiert

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurde nun ein Projekt zur Aktualisierung der Richtlinien durch die VdS Schadenverhütung gestartet. Die Steuerung erfolgt über die Webseite des Projektleiters Mark Semmler. Die aktualisierten Richtlinien werden voraussichtlich am 9. Oktober 2018 im Rahmen der it-sa in Nürnberg vorgestellt. Wer als Unterstützer am Projekt teilnehmen möchte, kann sich hier melden. Ich freue mich, wie schon bei der ersten Version der VdS 3473 und der VdS-Richtlinien 10010, wieder zum Kernteam zu gehören.

Mit VdS 3473 zum erfolgreichen VDA-Audit (TISAX)

In letzter Zeit bekomme ich vermehrt Anfragen von Automobilzulieferern, bei denen auf Grund der engen Zusammenarbeit mit den Herstellern ein Audit zur Informationssicherheit ansteht. Zu diesem Zweck hat der Arbeitskreis Informationssicherheit  im Verband der Automobilindustrie (VDA) ein Information Security Assessment entwickelt, das auf den Anforderungen der ISO 27002:2013 basiert und grundlegende Maßnahmen zur Informationssicherheit. Die Prüfungstiefe ist dabei davon abhängig, wie vertraulich bzw. kritisch die ausgetauschten Informationen sind. Hierbei wird in den Schutzbedarf normal, hoch und sehr hoch unterschieden.

Für den hohen Schutzbedarf gibt es nun den ersten Nachweis, dass die VdS-Richtlinien 3473 grundsätzlich dazu geeignet sind, die Anforderungen eines TISAX-Audits zu erfüllen. Hierzu fand in der letzten Woche ein erfolgreiches Audit bei einem Unternehmen in der Region statt, bei dem ich seit März 2018 ein Informationssicherheitsmanagementsystem (ISMS) nach VdS 3473 aufbaue. Grundsätzlich ist festzuhalten, dass die optionalen „SOLLTE“-Anforderungen der 3473 im VDA-Kontext zu einem „MUSS“ werden. Zudem fehlen einige Punkte, die entsprechend ergänzt werden müssen. Hier sind insbesondere die Bereiche Informationsklassifizierung, Kryptographie und physische Sicherheit zu nennen.

Letztendlich bleibt festzuhalten, dass es mit den VdS-Richtlinien 3473 möglich ist, mit überschaubarem Aufwand und in kürzester Zeit ein solides ISMS zu implementieren, was leicht höheren Anforderungen angepasst werden kann.

„Best of 2018“ Auszeichnung für VdS 10010

Die Initiative Mittelstand hat die VdS-Richtlinien 10010 zur Umsetzung der DSGVO im Rahmen des Innovatoinspreises-IT mit der „Best of 2018“ Auszeichnung prämiert. Die Umsetzung der europäischen Datenschutzgrundverordnung ist für viele Unternehmen immer noch ein Buch mit sieben Siegeln. Daher ist es auch nicht verwunderlich, dass die Fachjury die Richtlinien in die Spitzengruppe der innovativsten Lösungen im Bereich Informationstechnologie wählte. Die VdS 10010 zeigt, wie die DSGVO einfach und mit überschaubarem Aufwand in Unternehmen umzusetzen ist. Sie orientiert sich dabei an der Struktur den VdS-Richtlinien 3473 zur Informationssicherheit in KMU und lässt sich daher auch gut mir ihnen in einem integrierten Managementsystem betreiben.