Corona Krise: Homeoffice effizient, Krisenmanagement! Informieren Sie sich heute noch!

VdS10000 – Information Security für KMUs


Information Security für KMU nach VdS10000



Was ist die VdS10000?

Die VdS 10000 sind Richtlinien der VdS Schadenverhütung GmbH für die Informationsverarbeitung. Die Richtlinien beinhalten Anforderungen an ein Information Security Management System (ISMS) für kleine und mittlere Unternehmen (KMU). Sie stellen Richtlinien zur Informationsverarbeitung dar und sind branchenneutral und auf KMU abgestimmt. Die VdS Schadenverhütung GmbH ist eine 100%ige Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V.

Warum VdS10000?

Die Grundlage für die Versicherungsfähigkeit einer Unternehmens in Bezug auf Cyber-Risiken wird durch die Erfüllung der Anforderungen und letztendlich durch die Zertifizierung nach VdS 10000  sichergestellt. Zusätzlich zeigt eine VdS 10000 Compliance gegenüber Kunden und Lieferanten eine hinreichende Sicherheit der verarbeiteten Daten. Hinzu kommt, dass auch Anforderungen wie die technisch-organisatorischen Maßnahmen der DSGVO mit berücksichtigt werden.

Warum nicht gleich ISO 27001?

Die VdS 10000 basiert auf den Standards ISO 27001 und dem IT-Grundschutz des BSI. Der Vorteil für KMU liegt in einem überschaubaren Aufwand und folglich auch in einer kostengünstigen Alternative. Da die meisten Anforderungen immer noch vom IT-Personal selbst umgesetzt werden, ist eine Entlastung durch einfache und schnell umsetzbare Anforderungen von Vorteil.

Auf der anderen Seite bildet die VdS 10000 nur ein solides Fundament und kein unternehmensspezifisches ISMS. Allerdings sind die Richtlinien aufwärtskompatibel und können als Grundlage für eine spätere Zertifizierung nach ISO 27001 dienen. Für KMU ist eine Zertifizierung nach VdS 10000 meistens ausreichend und das Zertifikat deckt gleichzeitig die Anforderungen für „Brandsicherheitsanlagen und Sicherheitsanlagen“ nach DIN EN 16773 ab

Was können Sie tun?

Lassen Sie sich von uns helfen! Vereinbaren Sie ein unverbindliches Gespräch und erfahren Sie mehr über die Notwendigkeit von Information Security. Wir können Ihnen dabei helfen, für mehr Information Security in Ihrem Unternehmen zu sorgen.

VDS 10000

VdS 10000 Prozess

Der Weg zur Zertifizierung nach VdS10000 erfolgt in drei Stufen.

Die erste Stufe ist der VdS-Quick-Check

Hier beantworten Sie in einem Webformular Fragen zu Management, Organisation, Prävention und Technik. Diese werden anschließend ausgewertet. Anhand einer Ergebnis-Matrix analysiert bimoso, wie Ihre Organisation bereits in Sachen Information Security aufgestellt ist und wo Handlungsbedarf besteht. Aus diesen Ergebnissen leiten wir Handlungsempfehlungen ab und helfen Ihnen dabei, konkrete Maßnahmen zu definieren. Damit unterstützen wir die Verantwortlichen in Ihrer Organisation bei der Umsetzung.

Die zweite Stufe besteht aus einer Erfassung des Ist-Zustandes

Im Anschluss an den VdS-Quick-Check führen wir diesen vor Ort in Ihrem Unternehmen durch. Dieser Test dient der Verifizierung der Ergebnisse des VdS-Quick-Checks und zeigt den Status der Information Security in Bereichen der Organisation, welche nicht vom VdS-Quick-Check erfasst werden können. Nach dem Abschluss der abgeleiteten Maßnahmenumsetzung prüft bimoso den Stand der Information Security durch ein Test-Audit vor Ort. Dieses dient der Vorbereitung auf die Zertifizierung. Der Auditbericht informiert Sie über die bereits erreichten Ziele, gegebenenfalls vorhandene Lücken und Maßnahmen zur Schließung dieser.

Die dritte Stufe des VdS10000 Checks ist die Zertifizierung

Sie erfolgt durch einen offiziellen VdS-Auditor. Durch den Quick-Check und das Test-Audit sind Sie gut auf das Zertifizierungs-Audit vorbereitet. Es werden unter anderem spezifische Unternehmensfaktoren sowie Teile der Information Security Management System Dokumentation bewertet.

Die bimoso GmbH begleitet Sie gerne auf dem Weg hin zur VdS 10000 Zertifizierung für Information Security.

NormTracker VdS 10000 Kurzvorstellung

VdS 10000 ISMS für KMU

NormTracker und VdS 10000 Assetmanagement

Aufgabenmanagement mit dem NormTracker nach VdS 10000


Iso 27001 ISMS (Information Security System)

Auch die VdS10000 basiert auf den unten aufgeführten Schutzzielen. Sie bilden das Fundament für eine sichere Informationsverarbeitung.

Integrität

Integrität bedeutet, dass Informationen vor Änderungen geschützt werden. Diese Änderungen können Modifikation, Einfügungen, Löschungen, Umordnung, Duplikaten oder Widereinspielung sein. Das zeigt, dass die Integrität an vielen Punkten gefährdet sein kann. Wenn beispielsweise ein Empfänger einer Email andere Daten bekommt, als vom Absender gesendet wurden, ist die Integrität der Informationen betroffen. Aber auch, wenn Backups nach einem Zwischenfall fehlerhaft in die Produktivdaten wiedereingespielt werden. Ein Angriff auf die Integrität erfolgt folglich nicht nur absichtlich sondern auch unbeabsichtigt durch Softwarefehler oder menschliches Versagen.

Verbindlichkeit

Verbindlichkeit beschreibt die eindeutige Zuordnung von Sender und Empfängern von Informationen. Das bedeutet, dass ein Empfänger eindeutig den Ursprung der Informationen nachweisen kann („Proof of origin“) und ein Sender die Übermittlung von Informationen beweisen kann („Proof of delivery“).

Vertraulichkeit

Vertraulichkeit bedeutet, die Informationen vor unberechtigter Offenlegung zu schützen. Bei der Vertraulichkeit greift das „need-to-know“-Prinzip. Informationen dürfen nur von befugten Personen verarbeitet bzw. an sie übermittelt werden. Ein Angriff auf die Vertraulichkeit stellt beispielsweise das Einloggen in ein System mit Zugangsdaten eines Dritten dar. Oder oft besitzen Unternehmen für ein System nur begrenzte Lizenzen und die Mitarbeiter nutzen die gleichen Zugangsdaten. Bei der Vertraulichkeit muss ein Unternehmen Sicherheitsmaßnahmen ergreifen, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann.

Zurechenbarkeit

Zurechenbarkeit beschreibt die Übernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte („information assets“). Das bedeutet beispielsweise, dass ein Systemowner für die dargestellten Informationen verantwortlich ist und alle Zugriffe kontrolliert sowie überwacht.

Verfügbarkeit

Verfügbarkeit beschreibt die Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Entitäten. Das bedeutet, dass Daten und IT-Systeme für berechtigte Personen zur Verfügung stehen und die Informationen vor Verlust geschützt sind.

Authentizität

Authentizität beschreibt den Nachweis der Echtheit von Informationen. Dieser Vorgang ist bidirektional. Der Vorgang des Nachweises der eigenen Identität durch eine Person oder Entität wird als Authentisierung bezeichnet. Die Prüfung und Nachweis der Identität einer Person oder Entität wird als Authentifizierung bezeichnet. Ein Angriff auf die Authentizität stellt beispielsweise das Bestellen einer Ware unter falschen Namen dar.

Man darf alle oben genannten Schutzziele nicht isoliert betrachtet, da sie ineinander greifen und sich gegenseitig bedingen. Folglich wird Information Security nur im abgestimmten Zusammenspiel gewährleistet. Für die Priorisierung der Schutzziele gibt es kein Patentrezept. Während der Analyse ist im Einzelfall zu entscheiden, an welcher Stelle Handlungsmaßnahmen ergriffen werden müssen.

Nils Eikemeier

e2e Consultant

+49 40 33 44 2409

Nils Eikemeier ist zertifizierter „Information Security Officer“. Als e2e Consultant unterstützt er Unternehmen in den Bereichen: Information Security, IT-Security, Data Protection.

Name*

E-Mail*

Betreff*

Ihre Nachricht an uns*

* Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Aie in der Datenschutzerklärung. Eine Kopie Ihrer Nachricht wird an Ihre E-Mail-Adresse geschickt.

Dieses Formular wird nicht vom Internet Explorer unterstütz, bitte benutzen Sie für die Anmeldung einen anderen Browser.



Data Protection

Zusätzliche Sicherheit von Microsoft 365

Microsoft 365 bietet Kunden mehr Schutz als nur Windows 10 und Office365. Es erkennt Hackerangriffe automatisch und wehrt sie ab, da es über einen erweiterten Bedrohungsschutz verfügt. Hintergrund Eine von Bitkom durchgeführte Studie zeigt, dass die Cyber-Angriffe auf deutsche Unternehmen...

Erfahren Sie Mehr

0 / Lilith Khurshudyan / Jan 28, 2020
Security

Smarthome-Geräte hören mit

IT-Sicherheitsexperten warnen immer wieder vor den Gefahren von Smarthomes, wie zum Beispiel Amazon Echo oder Google Home. Personen, die diese Geräte nutzen, laufen Gefahr, ihre privaten Daten und vertraulichen Informationen zu verlieren. Ein von Forschern des SRLabs durchgeführtes Experiment, zeigt...

Erfahren Sie Mehr

0 / Isa Latta / Nov 08, 2019