Der Navigator für Informationssicherheit im Mittelstand

Seit über 20 Jahren begleite ich mittelständische Unternehmen bei der Erreichung ihrer Sicherheitsziele und verantworte als externer Informationssicherheitsbeauftragter aktuell die Informationssicherheit in Unternehmen mit zusammen mehr als 10.000 Mitarbeitern und zwei Milliarden Euro Jahresumsatz. Ich bin Co-Autor der VdS-Richtlinien 3473 für Cyber-Security in KMU sowie VdS 10010 zur Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO), Autor zahlreicher Fachpublikationen und gefragter Dozent, Impulsgeber und Live Hacker.

Beratungsportfolio

  • Positionsermittlung: Überprüfung und Bewertung von Informationssicherheit auf Basis von VdS 3473, ISO 27001 oder Best Practices. Technische Schwachstellenanalysen, Penetrationstests und Red Team Assessments.
  • Kursbestimmung: Beratung in den Bereichen Informationssicherheitsmanagement, Risikomanagement und Notfallmanagement.
  • Zielführung: Unterstützung bei Einführung und Betrieb sowie Zertifizierung von ISMS (VdS 3473, ISO 27001) sowie BCMS (ISO 22301, BSI 100-4), Stellung des Informationssicherheitsbeauftragten.

(zum Profil)

VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurden die Richtlinien einer ersten Revision unterzogen. Neben allgemeinen Fehlerkorrekturen waren die Hauptziele dabei insbesondere eine weitere Vereinfachung, Verzahnung mit anderen VdS-Richtlinien (insbesondere VdS 10010 zur Umsetzung der DSGVO) sowie eine Annäherung an bestehende Normen und Standards, wie BSI 200-x oder TISAX. Die sichtbarste Änderung ist eine Umbenennung in VdS 10000 und damit die Einsortierung in die neu geschaffene Reihe rund um die Themen Informationssicherheit und Datenschutz. Die Richtlinien wurden auf der IT-Security-Messe „it-sa“ in Nürnberg als Entwurf vorgestellt und erhielten ein durchweg positives Feedback. Nachfolgend werden die wesentlichen Änderungen zur ersten Version aus dem Jahr 2015 vorgestellt.

VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473 weiterlesen

VdS 3473 wird aktualisiert

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurde nun ein Projekt zur Aktualisierung der Richtlinien durch die VdS Schadenverhütung gestartet. Die Steuerung erfolgt über die Webseite des Projektleiters Mark Semmler. Die aktualisierten Richtlinien werden voraussichtlich am 9. Oktober 2018 im Rahmen der it-sa in Nürnberg vorgestellt. Wer als Unterstützer am Projekt teilnehmen möchte, kann sich hier melden. Ich freue mich, wie schon bei der ersten Version der VdS 3473 und der VdS-Richtlinien 10010, wieder zum Kernteam zu gehören.

Mit VdS 3473 zum erfolgreichen VDA-Audit (TISAX)

In letzter Zeit bekomme ich vermehrt Anfragen von Automobilzulieferern, bei denen auf Grund der engen Zusammenarbeit mit den Herstellern ein Audit zur Informationssicherheit ansteht. Zu diesem Zweck hat der Arbeitskreis Informationssicherheit  im Verband der Automobilindustrie (VDA) ein Information Security Assessment entwickelt, das auf den Anforderungen der ISO 27002:2013 basiert und grundlegende Maßnahmen zur Informationssicherheit. Die Prüfungstiefe ist dabei davon abhängig, wie vertraulich bzw. kritisch die ausgetauschten Informationen sind. Hierbei wird in den Schutzbedarf normal, hoch und sehr hoch unterschieden.

Für den hohen Schutzbedarf gibt es nun den ersten Nachweis, dass die VdS-Richtlinien 3473 grundsätzlich dazu geeignet sind, die Anforderungen eines TISAX-Audits zu erfüllen. Hierzu fand in der letzten Woche ein erfolgreiches Audit bei einem Unternehmen in der Region statt, bei dem ich seit März 2018 ein Informationssicherheitsmanagementsystem (ISMS) nach VdS 3473 aufbaue. Grundsätzlich ist festzuhalten, dass die optionalen „SOLLTE“-Anforderungen der 3473 im VDA-Kontext zu einem „MUSS“ werden. Zudem fehlen einige Punkte, die entsprechend ergänzt werden müssen. Hier sind insbesondere die Bereiche Informationsklassifizierung, Kryptographie und physische Sicherheit zu nennen.

Letztendlich bleibt festzuhalten, dass es mit den VdS-Richtlinien 3473 möglich ist, mit überschaubarem Aufwand und in kürzester Zeit ein solides ISMS zu implementieren, was leicht höheren Anforderungen angepasst werden kann.

„Best of 2018“ Auszeichnung für VdS 10010

Die Initiative Mittelstand hat die VdS-Richtlinien 10010 zur Umsetzung der DSGVO im Rahmen des Innovatoinspreises-IT mit der „Best of 2018“ Auszeichnung prämiert. Die Umsetzung der europäischen Datenschutzgrundverordnung ist für viele Unternehmen immer noch ein Buch mit sieben Siegeln. Daher ist es auch nicht verwunderlich, dass die Fachjury die Richtlinien in die Spitzengruppe der innovativsten Lösungen im Bereich Informationstechnologie wählte. Die VdS 10010 zeigt, wie die DSGVO einfach und mit überschaubarem Aufwand in Unternehmen umzusetzen ist. Sie orientiert sich dabei an der Struktur den VdS-Richtlinien 3473 zur Informationssicherheit in KMU und lässt sich daher auch gut mir ihnen in einem integrierten Managementsystem betreiben.

Erkenntnisse aus zwei Jahren VdS 3473

Im Juli feierten die VdS-Richtlinien 3473 ihren zweiten Geburtstag. Seitdem konnten viele Erfahrungen gesammelt werden, die ich in einem Workshop auf der LeetCon 2017 in Hannover präsentiert habe. Hier nun noch einmal zusammenfassend die wichtigsten Erkenntnisse aus zwei Jahren VdS 3473.

Unternehmen

  • Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz
  • Funktioniert jedoch auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (internationalen) Standorten
  • Wird als „Baseline“ genutzt und durch ergänzende Maßnahmen angepasst (z.B. bei Teilbereichen mit ISO 27001-Anforderung)

Branchen

Die Richtlinien funktionieren branchenübergreifend.  z.B.

  • Produzierendes Gewerbe/ Industrie
  • Anlagen- und Maschinenbau
  • Banken- und Versicherungswirtschaft
  • Ver- und Entsorgungsunternehmen
  • Stadtverwaltungen, Gemeinden, Kommunen
  • Transport & Logistik
  • Gesundheitswesen

Aufwand für die Einführung

  • 5 – 30 (externe) Beratertage zur Einführung
  • 10 – 60 (interne) Personentage für ISB
  • 1 – 18 Monate Umsetzungszeit
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …

Aufwand für den Betrieb

  • 1 – 3 Personentage pro Monat für ISB
  • 0,5 – 1 Personentag pro Monat für IST
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …)

Probleme

Fähigkeiten des Unternehmens

  • Mangelndes Engagement des Topmanagements
  • Unzureichende Fähigkeiten im Change- bzw. Projektmanagement
  • Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten
  • Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc.

Fähigkeiten der Mitarbeiter

  • Führungsschwäche bei Topmanagement oder Personalverantwortlichen
  • Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB)
  • Mangelnde Fachkompetenz

Herangehensweise

  • Initialer Reifegrad wird zu hoch angesetzt
  • Unreflektiertes Übernehmen von Templates
  • Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe
  • Unzureichende Ressourcen (Tagesgeschäft)
  • Unzureichende Beachtung interner (politischer) Gegebenheiten

Entwicklungen

Richtlinien

  • Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen
  • Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO)
  • Integration in Umsetzungs-Tools (z.B. DocSetMinder, verinice)
  • Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen

VdS Schadenverhütung

  • Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme
  • Mapping-Projekt mit BSI IT-Grundschutz
  • Synopse-Projekt VdS 3473 – ISO 27001
  • VdS 10010 zur Umsetzung der DSGVO, basierend auf 3473-Struktur

Versicherer

  • Musterbedingungen für Cyber-Versicherungen
  • VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police
  • Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung

Ausblick

  • Weitere Leitfäden zur Umsetzung (z.B. Gesundheitswesen, Kommunen)
  • Revision und Überführung in 10000er-Reihe (2018?)
  • Anerkannter Stand der Technik?

Die Folien zum Workshop können hier abgerufen werden. Weiterführende Informationen für eine erfolgreiche Umsetzung der VdS 3473 gibt es im VdS 3473 Wiki.

Integriertes Management von Informationssicherheit und Datenschutz

Bei integrierten Managementsystemen fällt einem zunächst die High-Level-Structure (HLS) der ISO-Normen ein. Was aber, wenn man einen mittelstandstauglichen Ansatz zum Management von Informationssicherheit und Datenschutz benötigt? Insbesondere die europäische Datenschutzgrundverordnung (DSGVO), deren Übergangsfrist am 25. Mai 2018 endet, lässt hier die Verantwortlichen oft verzweifelt nach einer handhabbaren Lösung für kleine und mittlere Unternehmen suchen. Mit den VdS-Richtlinien 10010 hat die VdS Schadenverhütung unlängst einen Entwurf für ein Datenschutzmanagementsystem (DSMS) zur Umsetzung der DSGVO vorgestellt, der sich an der Vorgehensweise der VdS-Richtlinien 3473 – Cyber-Security für KMU orientiert und so den Aufbau eines integrierten Managementsystems ermöglicht. Im Januar 2018 startet zusammen mit der Datenschutzexpertin und Co-Autorin der VdS-Richtlinien 10010 Anna Cardillo das erste Projekt zur Einführung eines integrierten Managementsystems für VdS 3473 und VdS 10010. Weitere Informationen und erste Erfahrungsberichte folgen an dieser Stelle. Fragen? Kontaktieren Sie mich.

Security Assessment auf Basis der VdS-Richtlinien 3473

Durch ein Security Assessment auf Basis der VdS-Richtlinien 3473 wird der Reife- bzw. Erfüllungsgrad eines Informationssicherheitsmanagementsystems (ISMS) nach VdS 3473 – Cyber-Security für KMU bewertet. Dabei werden Schwachpunkte identifiziert und Verbesserungspotential aufgedeckt; es dient daher gleichwohl einer detaillierten Positionsbestimmung als auch zur Aufwandseinschätzung für eine erfolgreiche Zertifizierung. Das Security Assessment ist nicht zu Verwechseln mit dem Quick-Audit der VdS Schadenverhütung. Bei diesem werden die Ergebnisse des VdS Quick Check durch ein Audit der VdS Schadenverhütung überprüft. Das Quick Audit empfiehlt sich daher immer, wenn ein offizielles Testat, z.B. für den Abschluß einer Cyber-Versicherung, benötigt wird. Fragen? Kontaktieren Sie mich für weitere Informationen.

Live Hacking Testimonials

Ich werde vor der Beauftragung oft gefragt, wie der Stil meiner Vorträge und Live Hackings ist. Da aktuell kein Videomaterial vorhanden ist, lasse ich hier einfach mal Veranstalter und Publikum zu Wort kommen.

„Anschaulich, humorvoll, spannend. Das durchweg positive Feedback der Teilnehmer unserer Veranstaltung bestätigt uns, dass wir mit dem Thema und dem Referenten die richtige Wahl getroffen haben“ – AVW Versicherungsmakler, Hamburg

„noch ein Mal herzlichen Dank für die lustige und auch erschreckende („chilling“) Rede“ – Teilnehmer der CGM Anwendertage, Ulm

„Vielen Dank, die Veranstaltung war sehr erfolgreich – gerade zu Ihrem Vortrag erreichen mich viele positive Rückmeldungen“ – Jahresveranstaltung 60 Jahre Europäischer Sozialfond, Rendsburg

„Bei unserem Unternehmer-Frühstück hat Michael Wiesner den Gästen sehr anschaulich mit seiner Live-Hacking-Vorführung die Cyber-Risiken gezeigt, die sowohl den unternehmerischen als auch den privaten Bereich betreffen. Mit seiner kurzweiligen Präsentation und lockeren Art hat er auch das Publikum mit einbezogen.“ – Sparkasse Oberhessen

„Ich hätte nicht gedacht, dass es so einfach ist. Teilweise wusste ich nicht, ob ich lachen oder weinen soll.“ – Besucherin der Essener Sicherheitstage des Bundesverbandes Sicherheitstechnik e.V.

„Ich wusste, dass in Krankenhäusern enormer Handlungsbedarf besteht, sehe aber jetzt, wie schlimm es wirklich ist. Vielen Dank für’s Augenöffnen!“ – Teilnehmer der Jahrestagung der bayerischen Krankenhausdirektoren, Bad Wörishofen

„Greifbar wurden die zunächst theoretisch vermittelten, spannenden Inhalte dann während der Live-Hacking-Demonstration. Viele Anwesende waren sich der Gefahren nicht bewusst. Aufgrund der guten Resonanz haben wir dann noch eine zweite Kundenveranstaltung mit Herrn Wiesner durchgeführt.“ – Volksbank Dill eG

„Vielen Dank für diese spannende Vorführung. Hätte ich es nicht mit eigenen Augen gesehen, würde ich es nicht glauben“ – Teilnehmer des vero Unternehmerforums, Rostock

„Ich gehe jetzt nach Hause und schalte sofort meinen Kühlschrank aus! Wer weiß, ob der nicht auch schon gehackt wurde“ – Besucher der Vortragsreihe Digitaler Stresstest von wilhelm.tel, Norderstedt

„Michael Wiesner schloss den ersten Konferenztag mit einem spannenden Live-Hacking ab, in dem deutlich wurde, wie einfach man sich mittels einer freigeschalteten Wlan-Funktion Zugriff auf mobile Endgeräte verschaffen kann“ – Teilnehmer des 3. Kommunalen IT-Sicherheitskongresses, Berlin