VdS 3473 wird aktualisiert

Nach drei Jahren, in der sich die VdS 3473 als pragmatischer Standard für Informationssicherheitsmanagement in KMU beweisen konnte und dabei ständig an Bedeutung gewonnen hat, wurde nun ein Projekt zur Aktualisierung der Richtlinien durch die VdS Schadenverhütung gestartet. Die Steuerung erfolgt über die Webseite des Projektleiters Mark Semmler. Die aktualisierten Richtlinien werden voraussichtlich am 9. Oktober 2018 im Rahmen der it-sa in Nürnberg vorgestellt. Wer als Unterstützer am Projekt teilnehmen möchte, kann sich hier melden. Ich freue mich, wie schon bei der ersten Version der VdS 3473 und der VdS-Richtlinien 10010, wieder zum Kernteam zu gehören.

Mit VdS 3473 zum erfolgreichen VDA-Audit (TISAX)

In letzter Zeit bekomme ich vermehrt Anfragen von Automobilzulieferern, bei denen auf Grund der engen Zusammenarbeit mit den Herstellern ein Audit zur Informationssicherheit ansteht. Zu diesem Zweck hat der Arbeitskreis Informationssicherheit  im Verband der Automobilindustrie (VDA) ein Information Security Assessment entwickelt, das auf den Anforderungen der ISO 27002:2013 basiert und grundlegende Maßnahmen zur Informationssicherheit. Die Prüfungstiefe ist dabei davon abhängig, wie vertraulich bzw. kritisch die ausgetauschten Informationen sind. Hierbei wird in den Schutzbedarf normal, hoch und sehr hoch unterschieden.

Für den hohen Schutzbedarf gibt es nun den ersten Nachweis, dass die VdS-Richtlinien 3473 grundsätzlich dazu geeignet sind, die Anforderungen eines TISAX-Audits zu erfüllen. Hierzu fand in der letzten Woche ein erfolgreiches Audit bei einem Unternehmen in der Region statt, bei dem ich seit März 2018 ein Informationssicherheitsmanagementsystem (ISMS) nach VdS 3473 aufbaue. Grundsätzlich ist festzuhalten, dass die optionalen „SOLLTE“-Anforderungen der 3473 im VDA-Kontext zu einem „MUSS“ werden. Zudem fehlen einige Punkte, die entsprechend ergänzt werden müssen. Hier sind insbesondere die Bereiche Informationsklassifizierung, Kryptographie und physische Sicherheit zu nennen.

Letztendlich bleibt festzuhalten, dass es mit den VdS-Richtlinien 3473 möglich ist, mit überschaubarem Aufwand und in kürzester Zeit ein solides ISMS zu implementieren, was leicht höheren Anforderungen angepasst werden kann.

„Best of 2018“ Auszeichnung für VdS 10010

Die Initiative Mittelstand hat die VdS-Richtlinien 10010 zur Umsetzung der DSGVO im Rahmen des Innovatoinspreises-IT mit der „Best of 2018“ Auszeichnung prämiert. Die Umsetzung der europäischen Datenschutzgrundverordnung ist für viele Unternehmen immer noch ein Buch mit sieben Siegeln. Daher ist es auch nicht verwunderlich, dass die Fachjury die Richtlinien in die Spitzengruppe der innovativsten Lösungen im Bereich Informationstechnologie wählte. Die VdS 10010 zeigt, wie die DSGVO einfach und mit überschaubarem Aufwand in Unternehmen umzusetzen ist. Sie orientiert sich dabei an der Struktur den VdS-Richtlinien 3473 zur Informationssicherheit in KMU und lässt sich daher auch gut mir ihnen in einem integrierten Managementsystem betreiben.

Erkenntnisse aus zwei Jahren VdS 3473

Im Juli feierten die VdS-Richtlinien 3473 ihren zweiten Geburtstag. Seitdem konnten viele Erfahrungen gesammelt werden, die ich in einem Workshop auf der LeetCon 2017 in Hannover präsentiert habe. Hier nun noch einmal zusammenfassend die wichtigsten Erkenntnisse aus zwei Jahren VdS 3473.

Unternehmen

  • Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz
  • Funktioniert jedoch auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (internationalen) Standorten
  • Wird als „Baseline“ genutzt und durch ergänzende Maßnahmen angepasst (z.B. bei Teilbereichen mit ISO 27001-Anforderung)

Branchen

Die Richtlinien funktionieren branchenübergreifend.  z.B.

  • Produzierendes Gewerbe/ Industrie
  • Anlagen- und Maschinenbau
  • Banken- und Versicherungswirtschaft
  • Ver- und Entsorgungsunternehmen
  • Stadtverwaltungen, Gemeinden, Kommunen
  • Transport & Logistik
  • Gesundheitswesen

Aufwand für die Einführung

  • 5 – 30 (externe) Beratertage zur Einführung
  • 10 – 60 (interne) Personentage für ISB
  • 1 – 18 Monate Umsetzungszeit
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …

Aufwand für den Betrieb

  • 1 – 3 Personentage pro Monat für ISB
  • 0,5 – 1 Personentag pro Monat für IST
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …)

Probleme

Fähigkeiten des Unternehmens

  • Mangelndes Engagement des Topmanagements
  • Unzureichende Fähigkeiten im Change- bzw. Projektmanagement
  • Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten
  • Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc.

Fähigkeiten der Mitarbeiter

  • Führungsschwäche bei Topmanagement oder Personalverantwortlichen
  • Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB)
  • Mangelnde Fachkompetenz

Herangehensweise

  • Initialer Reifegrad wird zu hoch angesetzt
  • Unreflektiertes Übernehmen von Templates
  • Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe
  • Unzureichende Ressourcen (Tagesgeschäft)
  • Unzureichende Beachtung interner (politischer) Gegebenheiten

Entwicklungen

Richtlinien

  • Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen
  • Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO)
  • Integration in Umsetzungs-Tools (z.B. DocSetMinder, verinice)
  • Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen

VdS Schadenverhütung

  • Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme
  • Mapping-Projekt mit BSI IT-Grundschutz
  • Synopse-Projekt VdS 3473 – ISO 27001
  • VdS 10010 zur Umsetzung der DSGVO, basierend auf 3473-Struktur

Versicherer

  • Musterbedingungen für Cyber-Versicherungen
  • VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police
  • Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung

Ausblick

  • Weitere Leitfäden zur Umsetzung (z.B. Gesundheitswesen, Kommunen)
  • Revision und Überführung in 10000er-Reihe (2018?)
  • Anerkannter Stand der Technik?

Die Folien zum Workshop können hier abgerufen werden. Weiterführende Informationen für eine erfolgreiche Umsetzung der VdS 3473 gibt es im VdS 3473 Wiki.

Integriertes Management von Informationssicherheit und Datenschutz

Bei integrierten Managementsystemen fällt einem zunächst die High-Level-Structure (HLS) der ISO-Normen ein. Was aber, wenn man einen mittelstandstauglichen Ansatz zum Management von Informationssicherheit und Datenschutz benötigt? Insbesondere die europäische Datenschutzgrundverordnung (DSGVO), deren Übergangsfrist am 25. Mai 2018 endet, lässt hier die Verantwortlichen oft verzweifelt nach einer handhabbaren Lösung für kleine und mittlere Unternehmen suchen. Mit den VdS-Richtlinien 10010 hat die VdS Schadenverhütung unlängst einen Entwurf für ein Datenschutzmanagementsystem (DSMS) zur Umsetzung der DSGVO vorgestellt, der sich an der Vorgehensweise der VdS-Richtlinien 3473 – Cyber-Security für KMU orientiert und so den Aufbau eines integrierten Managementsystems ermöglicht. Im Januar 2018 startet zusammen mit der Datenschutzexpertin und Co-Autorin der VdS-Richtlinien 10010 Anna Cardillo das erste Projekt zur Einführung eines integrierten Managementsystems für VdS 3473 und VdS 10010. Weitere Informationen und erste Erfahrungsberichte folgen an dieser Stelle. Fragen? Kontaktieren Sie mich.

VdS 3473 gewinnt security innovation award 2016

84 Aussteller aus dreizehn Ländern hatten sich in diesem Jahr für den „security innovation award“ 2016 beworben. Zum fünften Mal wurde die anerkannte Auszeichnung durch die Messe Essen vergeben. Sie zeichnet alle zwei Jahre herausragende Leistungen in den Kategorien Technik & Produkte, Dienstleistungen sowie Brandschutz aus. In diesem Jahr konnte die VdS Schadenverhütung GmbH mit den VdS-Richtlinien 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) in der Kategorie „Dienstleistung“ gewinnen. Als Co-Autor der VdS 3473 freue ich mich natürlich sehr über diese Auszeichnung!

Hier die offizielle Pressemeldung.

 

VdS-Richtlinien 3473 – Informationssicherheit für KMU

Cyber-Versicherungen sind für die Versicherungswirtschaft ein Markt mit beträchtlichem Potential. Im angelsächsischen Raum bereits weit verbreitet, wird die Versicherung von Cyber-Risiken inzwischen auch in Deutschland verstärkt nachgefragt. Dabei werden Schäden abgedeckt, die zum Beispiel durch einen Hackerangriff, ungewollten Datenabfluss oder digitale Erpressung entstehen. Grundlage für die Kosten einer Police ist neben der gewünschten Deckungssumme insbesondere die Wahrscheinlichkeit, ob ein Schaden eintritt, was maßgeblich davon abhängt, welche Sicherheitsmaßnahmen ein Unternehmen umgesetzt hat. Um das Risiko zu ermitteln, greifen Versicherer aktuell noch auf eigene Methoden zur Risikoeinschätzung, beispielsweise mittels Fragebögen oder Audits, zurück. Da dieses Vorgehen jedoch sehr intransparent ist und die Vergleichbarkeit der Angebote erschwert, wurde im Jahr 2014 durch den Gesamtverband der Deutschen Versicherungswirtschaft (GDV) die Entwicklung entsprechender Richtlinien durch die VdS Schadenverhütung beauftragt. Sie entwickelte daraufhin die VdS-Richtlinien 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU).

(Artikel als PDF)

VdS-Richtlinien 3473 – Informationssicherheit für KMU weiterlesen