VdS 10000 – Die wesentlichen Unterschiede zur VdS 3473

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurden die Richtlinien einer ersten Revision unterzogen. Neben allgemeinen Fehlerkorrekturen waren die Hauptziele dabei insbesondere eine weitere Vereinfachung, Verzahnung mit anderen VdS-Richtlinien (insbesondere VdS 10010 zur Umsetzung der DSGVO) sowie eine Annäherung an bestehende Normen und Standards, wie BSI 200-x oder TISAX. Die sichtbarste Änderung ist eine Umbenennung in VdS 10000 und damit die Einsortierung in die neu geschaffene Reihe rund um die Themen Informationssicherheit und Datenschutz. Die Richtlinien wurden auf der IT-Security-Messe „it-sa“ in Nürnberg als Entwurf vorgestellt und erhielten ein durchweg positives Feedback. Nachfolgend werden die wesentlichen Änderungen zur ersten Version aus dem Jahr 2015 vorgestellt.

Begrifflichkeiten

Bereits in der Überschrift „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ wird konkretisiert, dass die Richtlinien ein vollständiges ISMS beschreiben. Wie auch in anderen Managementsystemen üblich wurde nun unter Abschnitt 1.1. die Möglichkeit der Einschränkung auf einen Geltungsbereich verankert, jedoch mit dem Hinweis, dass er die gesamte Organisation umfassen sollte. An diesem Punkt wird auch eine erste sprachliche Änderung sichtbar; aus „Unternehmen“ wird „Organisation“, was verdeutlichen soll, dass die Richtlinien nicht nur für Unternehmen sondern auch für andere Organisationen, wie öffentliche Verwaltungen oder Verbände angewendet werden können. „Geschäftsprozesse“ werden in Folge durch „Prozesse“ ersetzt. Eine weitere Änderung im Sprachgebrauch ist die Nutzung von „Zutritt“ als Ersatz für den „physischen Zugriff“ (siehe Glossar) – eine Annäherung an die BSI-Standards.

Verantwortlichkeiten

Die Verantwortlichkeiten des Informationssicherheitsbeauftragten (ISB) wurden in Abschnitt 4.3 generischer gefasst und beschreiben den ISB nun primär als Koordinator des ISMS („Steuern, koordinieren und prüfen der technischen und organisatorischen Maßnahmen“). Weitere Aufgaben erhält der ISB in den einzelnen Kapiteln. Hier sind insbesondere die Erstellung und jährliche Prüfung der IS-Richtlinien, die Freigabe von Ausnahmen und die Durchführung der Schutzbedarfsermittlung (Kapitel 9 – Identifizieren kritischer IT-Ressourcen) zu nennen. Aus „dem IT-Verantwortlichen“ unter Abschnitt 4.5 wurden „die IT-Verantwortlichen“. Dies trägt dem Sachverhalt Rechnung, dass in vielen Organisationen die Verantwortlichkeiten für die IT auf mehrere Personen verteilt sind (z.B. IT-Leiter für die klassische „Office-IT“, Produktionsleiter für die IT-Komponenten der Automatisierungstechnik). Die Verantwortlichkeiten bzw. die einzelnen Positionen müssen wie gehabt in der Leitlinie zur Informationssicherheit (Kapitel 5) definiert werden. Einzige Änderung in diesem Abschnitt ist, dass diese nun nicht mehr zwingend auf die Konsequenzen ihrer Nichtbeachtung hinweisen muss.

Mitarbeiter

Eine wichtige Konkretisierung erfolgte bei der Definition von „Mitarbeitern“ (ehemals „Personal“). Obwohl diese bereits in der 3473 externe Mitarbeiter einschloss, gab es an diesem Punkt immer wieder Missverständnisse. Neben der Ausweitung auf ein „öffentlich-rechtliches Dienst- und Treueverhältnis“ (für öffentlichen Dienst bzw. Beamte) macht die getroffene Aufzählung deutlich, dass auch freie Mitarbeiter sowie Mitarbeiter von Dienstleistern und deren Subunternehmen gemeint sind. Dementsprechend wurde ein Großteil der „Lieferanten und sonstigen Auftragnehmer“ explizit in dieser Definition inkludiert, so dass auch nachfolgend spezielle Verantwortlichkeiten und Regelungen für diese Personengruppe entfallen. Besonders deutlich wird dies im ehemaligen Abschnitt 6.4 („Regelungen für Lieferanten und sonstige Auftragnehmer“), der ersatzlos gestrichen wurde, da die „Regelungen für Nutzer“ (6.3.) mitgelten. Eine Annäherung an bestehende Standards konnte durch die Aufnahme einer verpflichtenden Dokumentation der Inhalte und Teilnehmer von Schulungs- und Sensibilisierungsmaßnahmen in Abschnitt 8.2 erreicht werden. Das bisherige Fehlen dieser Anforderung wurde insbesondere aus dem Bereich Qualitätsmanagement kritisiert.

Kritische IT-Ressourcen

Das Verfahren zur Schutzbedarfsermittlung unter Kapitel 9 (Identifizieren kritischer IT-Ressourcen) startet mit einer leicht abgeänderten Empfehlung zu bestehenden Standards. Hier wurde in der Vergangenheit unter anderem auf Business Continuity Management (BCM) und die Standards ISO 22301 sowie BSI 100-4 (IT-Notfallmanagement) verwiesen. Da beim BCM jedoch das Schutzziel „Verfügbarkeit“ im Mittelpunkt steht und die weiteren Ziele der Informationssicherheit (Vertraulichkeit und Integrität) nur am Rande Beachtung finden, wurde der Hinweis auf BCM entfernt und durch die Informationsklassifizierung gemäß ISO/IEC 27001 ersetzt. Inhaltlich kommt dieses Kapitel insbesondere mit einer Vereinfachung des Verfahrens einher, in dem in Abschnitt 9.2. die Kriterien für kritische Informationen „geschärft“ wurden. Kritische Informationen werden als Informationen definiert, bei denen bestimmte Faktoren zu katastrophalen Schäden führen können. Wurde hier neben dem Verlust der Vertraulichkeit und der Integrität in der 3473 noch von dauerhaftem Verlust (Langzeitverfügbarkeit) und kurzzeitiger Nichtverfügbarkeit (unmittelbare Verfügbarkeit) gesprochen, benennt die VdS 10000 die Faktoren „Datenverlust von bereits weniger als 24 Stunden“ und „Nichtverfügbarkeit im Echtzeitbetrieb“. Da Kapitel 16 (Datensicherung und Archivierung) eine Datensicherung der Server und Speicherorte mindestens alle 24 Stunden fordert, gibt es daher nach diesem Kriterium kritische Informationen, wenn dieser als „Maximal tolerierbarer Datenverlust – MTD“ bezeichnete Zeitraum nicht ausreichend ist. Noch einfacher wird es bei dem Kriterium der unmittelbaren Verfügbarkeit, da eine Organisation lediglich prüfen muss, ob sie überhaupt IT-Systeme im Echtzeitbetrieb einsetzt („elektronische Datenverarbeitung erfolgt (nahezu) simultan mit den entsprechenden Prozessen“). Ist dies nicht der Fall, kann dieser Punkt in der Analyse komplett ausgeblendet werden und erspart so weitere Aufwände. Abschnitt 9.4 (Individualsoftware) wurde gestrichen, da Software bereits in der Definition von „IT-Ressourcen“ enthalten ist. Die Anforderungen an kritische Individualsoftware bleiben natürlich weiterhin in Abschnitt 10.5.10. erhalten.

IT-Systeme

Die nächsten größeren Änderungen finden sich in Kapitel 10 (IT-Systeme). Zum einen wurden die Verfahren zur „Inbetriebnahme und Änderungen“ und zur „Ausmusterung und Wiederverwendung“ vereinfacht und das Verfahren zur Aktualität der Inventarisierung wurde gestrichen. Zum anderen wurde Abschnitt 10.3.1. von „Updates“ in „Software“ umbenannt und weitere Anforderungen für Software aufgenommen. Hier ist insbesondere zu nennen, dass nun explizit gefordert wird, dass Software aus vertrauenswürdigen Quellen bezogen werden muss. Das Fehlen einer solchen Anforderungen wurde in der Vergangenheit des Öfteren kritisiert. Mit der Aufnahme wird zudem eine Lücke zu den Anforderungen von BSI und ISO geschlossen.

Netzwerke und Verbindungen

Kapitel 11 (Netzwerke und Verbindungen) startet wiederum mit einer Klarstellung: Bei der Dokumentation der selbigen geht es um einen Netzwerkplan. Der Versuch, diesen in der 3473 generisch zu umschreiben sorgte mehr für Verwirrung, als dass die damit verbundenen Freiheiten bei der Umsetzung von Vorteil gewesen wären. Abschnitt 11.3 (Netzübergänge zu weniger oder nicht vertrauenswürdigen Netzwerken) stellte bisher die einzige Anforderung der 3473 dar, die grundsätzlich mit einer Risikoanalyse und -behandlung einher ging. Dieser Punkt konnte entschärft werden, in dem die Risikoanalyse nur noch gefordert wird, wenn Mindestanforderungen nicht umgesetzt werden (Reglementierung des Netzwerkverkehrs, Schutz vor Schadsoftware und Angriffen, Untersuchung von Angriffen aus dem internen Netzwerk).

Physische Sicherheit

Kapitel 13 (Umgebung) berücksichtigt nun explizit auch die Absicherung von Niederspannungsanlagen, in dem in Abschnitt 13.1 („Schutz von Servern, aktiven Netzwerkkomponenten und Netzwerkverteilstellen“) auf die DIN VDE 0100-Reihe verwiesen wird. Bei kritischen IT-Systemen wurde das Ausspähen vertraulicher Informationen als zu analysierende Bedrohung ergänzt und somit eine wichtige TISAX-Anforderung aufgenommen. Ebenfalls in diese Richtung geht der Hinweis auf „zusätzliche abgesicherte Gebäude oder Gebäudeteile“ (Abschnitt 13.3) und damit der Verweis auf die Etablierung entsprechender „Sicherheitszonen“.

Geringfügige Änderungen

Die nachfolgenden Kapitel erfahren nur geringfügige Änderungen. In Abschnitt 14.1 fordert die VdS 10000 hier nun eine IS-Richtlinie, anstatt jedes Vorhaben explizit vom Topmanagement freigeben zu lassen. Bei der Auslagerung von kritischen IT-Ressourcen (14.4) wurde aus der vormals zwingenden Vereinbarung von Konsequenzen bei Nichteinhaltung von vertraglich vereinbarten Leistungen eine optionale Anforderung – eine Eingabe des Kompetenznetzwerks „Trusted Cloud e. V.“. Die jährlichen Tests der Datensicherung im Kapitel 16 (Datensicherung und Archivierung) wurden in das zu implementierende Verfahren integriert, so dass bei einem erkannten Mangel (z.B. Probleme bei der Datensicherung) das Verfahren angepasst werden muss. Wiederanlaufpläne für kritische IT-Ressourcen (17.3.1) müssen nun über ein Verfahren implementiert werden, so dass auch diese über den jährlichen Revisionszyklus aktuell gehalten werden.

Zahlen

Wie schon bei 3473 und der VdS 10010 konnten sich Interessierte als „Unterstützer“ melden und aktiv bei der Weiterentwicklung der Richtlinien mitarbeiten. Insgesamt wurden so mehr als 200 Anmerkungen, Änderungswünsche und Kritikpunkte an das Normungsgremium herangetragen und bearbeitet. Die VdS-Richtlinien 10000 kommen zusammen auf 39 Seiten im DIN A4-Format, wobei lediglich 27 Seiten konkrete Anforderungen enthalten. Obwohl zusätzliche Anforderungen aufgenommen wurden, konnte der Umfang der Richtlinien daher nahezu konstant gehalten werden.

Die Richtlinien können auf der Homepage der VdS Schadenverhütung unter https://vds.de/cyber/ kostenfrei heruntergeladen werden.