ISMS auf Basis von VdS 3473 – Eine Einführung

Informationssicherheit ist längst keine Frage der Notwendigkeit mehr. Vielmehr stellt sich die Frage, wie mit einem vertretbaren Aufwand ein gesundes Maß von Informationssicherheit geschaffen werden kann. Denn Informationssicherheit ist kein Selbstzweck sondern unverzichtbar für Unternehmen, die im Wettbewerb bestehen wollen. Dies gilt auch für kleine und mittlere Unternehmen (KMU). Denn auch hier ist die Informationstechnologie (IT) längst in den meisten Geschäftsprozessen integriert und daher nicht mehr wegzudenken.

(Artikel als PDF)

ISMS auf Basis von VdS 3473 – Eine Einführung weiterlesen

VdS 3473 Wiki ist online!

Das Wiki zu den VdS-Richtlinien 3473 ist am 1. Juli 2016 – exakt ein Jahr nach der Veröffentlichung der Richtlinien – online gegangen. Es ist jedoch noch nicht komplett fertig, so dass in den nächsten Monaten noch viel Arbeit investiert werden muss, um alle versprochenen Inhalte zur Verfügung zu stellen. Deshalb gibt es ein Einführungsangebot, das bis zum 01.10.2016 gültig ist. Weitere Infos unter www.3473-wiki.de.

Anwendbarkeit von VdS 3473 in großen Unternehmen

Ein knappes Jahr nach der Veröffentlichung ist ein Zwischenfazit zur Anwendbarkeit möglich: Die VdS-Richtlinien 3473 sind nicht nur für KMU geeignet sondern stoßen auch bei größeren Unternehmen mit weltweiten Standorten auf großes Interesse.

Insbesondere dort, wo der IT-Betrieb nicht oder nur teilweise zentral gesteuert wird, kann durch die Anwendung der VdS-Richtlinien 3473 ein einheitliches Sicherheitsniveau über alle Lokationen erreicht werden. Möglich wird dies unter anderem durch die konsequente Ausrichtung auf absolute Minimalanforderungen und die große Freiheit bei der Ausgestaltung der einzelnen Verfahren und Aufgaben im Informationssicherheitsprozess. Dort, wo die Einführung der größeren Standards wegen Anzahl und Komplexität der verschiedenen IT-Organisationen scheidert, können mit der VdS 3473 bereits nach kurzer Zeit erste Erfolge erzielt werden.

Auch zeigt sich wieder einmal, dass der Erfolg eines ISMS maßgeblich vom Commitment des Topmanagements abhängig ist (siehe VdS 3473: Kapitel 4 – Organisation der Informationssicherheit). Denn insbesondere bei Standorten „weit ab vom Schuss“ entwickelt sich oft ein unkontrollierter Wildwuchs, der nur schwer zu bändigen ist. Hier werden die eigenen Königreiche vehement verteidigt und Verantwortliche im Bereich der IT oder der Informationssicherheit haben ohne Rückendeckung des Topmanagements kaum eine Chance.

Der Informationssicherheitsbeauftragten (ISB) sollte daher wenn möglich als übergeordnete Stabsstelle ausgewiesen werden, denn so sind Zuständigkeiten über alle Standorte hinweg eindeutig und unmissverständlich geklärt. Für eine reibungslose Integration der Informationssicherheitsprozesse hat es sich über dies als sinnvoll erwiesen, die IT-Abteilung bei einer Holding-Gesellschaft anzusiedeln (sofern vorhanden) und nicht als gleichberechtigtes Schwesterunternehmen zu platzieren.

 

3. Kommunaler IT-Sicherheitskongress 2016 (Nachlese)

3. Kommunaler IT-Sicherheitskongress 2016
3. Kommunaler IT-Sicherheitskongress 2016

Ich hatte die Gelegenheit beim 3. Kommunalen IT-Sicherheitskongress in Berlin über die VdS-Richtlinien 3473 zu refereieren.

Klares Feedback von Organisatoren und Teilnehmern war, dass insbesondere für kleine und Kleinstkommunen die VdS 3473 eine gute Alternative zum IT-Grundschutz sein könnte. Hier wird bereits die Integration in entsprechende ISMS-Tools geprüft.

Neben den deutlich geringeren Aufwänden im Vergleich zum IT-Grundschutz ist insbesondere die Zertifizierfähigkeit auf großes Interesse gestoßen. Denn für die im Zuge der Modernisierung des IT-Grundschutzes geplante „Basisabsicherung“ ist aktuell keine Möglichkeit zur Zertifizierung vorgesehen.

Der Kommunale IT-Sicherheitskongress wird in Abstimmung mit dem Deutschen Städtetag (DST) und dem Deutschen Städte- und Gemeindebund (DStGB) durch den Deutschen Landkreistag (DLT) organisiert und vom IT-Planungsrat und dessen ständiger Arbeitsgruppe Informationssicherheit (AG InfoSic) unterstützt. Er richtet sich in erster Linie an kommunale Praktiker, insbesondere an IT-Sicherheitsbeauftragte von Kommunalverwaltungen, und soll dem praxisrelevanten Informations- und Erfahrungsaustausch dienen (Flyer).

 

Erste englischsprachige Audits gemäß VdS 3474

In der letzten Woche durfte ich für einen bekannten deutschen Mittelständler zwei Standorte in Frankreich gemäß VdS 3474 (VdS Quick-Audit für Cyber-Security) auditieren. Die Audits wurden erstmals komplett in englischer Sprache durchgeführt, was sehr gut funktionierte. Die englische Version der VdS-Richtlinie 3473 kann auf der Homepage der VdS Schadenverhütung heruntergeladen werden.

BIEG-Leitfaden Informationssicherheit für KMU (Print Ausgabe)

Der von mir verfasste BIEG-Leitfaden Informationssicherheit für kleine und mittlere Unternehmen ist ab sofort auch in gedruckter Form erhältlich (PDF).

Dieser Leitfaden gibt Ihnen einen Überblick über die VdS-Richtlinien
3473 – Cyber-Security für kleine und mittlere Unternehmen: eine Sicherheitsrichtlinie, die speziell entwickelt wurde, um kleinen und mittleren Unternehmen auf  dem  Weg  zu  mehr  Informationssicherheit  eine  Anleitung  an  die  Hand  zu  geben. So wappnen Sie sich gegen Risiken und wirtschaftliche Schäden.

BIEG-Leitfaden_Informationssicherheit

T.I.S.P. Community Meeting

Das 10. T.I.S.P. Community Meeting findet am 10./11. November 2016 in Frankfurt/Main statt. Auf dem alljährlichen Treffen der „TeleTrusT Information Security Professionals“ werde ich einen Vortrag über die VdS-Richtlinien 3473 halten. Ich selbst bin seit 2009 Inhaber des T.I.S.P. Exptertenzertifikates und freue mich, in diesem Jahr etwas zu dieser Veranstaltung beitragen zu können (Agenda).