VdS 3473
Die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH sind die ersten VdS-Richtlinien für das Themengebiet Informationssicherheit und wurden im Jahr 2018 durch ihre Nachfolger VdS 10000 abgelöst. Sie enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die Erstellung der VdS 3473 wurde vom Gesamtverband der Deutschen Versicherungswirtschaft initiiert.
Kennzeichen
BearbeitenDie VdS 3473 sind aufwärtskompatibel zu ISO/IEC 27001 sowie zu dem IT-Grundschutz. Sie sind 38 Seiten lang, 26 Seiten davon beinhalten konkrete Vorgaben. Sie besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Vorgaben („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“). Um den Analyseaufwand zu minimieren, unterscheiden die VdS 3473 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen. Darüber hinaus sind die Kriterien, die zur Einstufung einer IT-Ressource als „kritisch“ führen sehr hoch. Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss. Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln. Für kritische IT-Ressourcen fordern die VdS 3473 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.
Die VdS 3473 empfiehlt bei verschiedenen Themen (Identifizieren kritischer IT-Ressourcen, Umgebung, Datensicherung und Archivierung, Verfahren und Risikomanagement) die Implementierung etablierter Normen aus den Bereichen Business Continuity Management, physische IT-Sicherheit, Qualitäts- und Risikomanagement. Allerdings können Unternehmen eigene Vorgehensweisen definieren. Diese müssen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen. Bestandteil der VdS 3473 ist die Etablierung einer Sicherheitsleitlinie, entsprechender Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses.
Entwicklungsgeschichte
BearbeitenDie Erstellung der VdS 3473 erfolgte durch ein Projektteam aus VdS- und externen Experten ab dem 15. Dezember 2014 mit öffentlicher Beteiligung. Die erfolgten Arbeitsschritte wurden während der gesamten Entwicklungsphase in kurzen zeitlichen Abständen veröffentlicht und so Interessenten die Möglichkeit gegeben, eigene Optimierungen und Änderungswünsche einzubringen. Die VdS-Richtlinien liegen seit dem 1. Juli 2015 in Version 1.0 vor und stehen der Öffentlichkeit kostenlos zur Verfügung.[1]
Am 24. April 2017 wurde von der VdS ein Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme als Entwurf veröffentlicht.[2]
Die VdS 3473 wurden im Jahr 2018 überarbeitet und durch die VdS 10000 abgelöst.
Verwandtschaft zur VdS 10010
BearbeitenDie VdS 3473 diente als Vorlage für die am 15. Dezember 2017 veröffentlichte VdS 10010 („VdS-Richtlinien zur Umsetzung der DSGVO“). So sind z. B. Kapitel 1 bis 8 beider Richtlinien nahezu deckungsgleich.
Unterstützende Maßnahmen
BearbeitenFür die Umsetzung der VdS 3473 kann ein VdS-Zertifikat erlangt werden. Um Organisationen, die ihre Informationssicherheit auf der Basis von VdS 3473 zertifizieren lassen möchten, den Einstieg zu erleichtern, hat VdS zwei vorgeschaltete Instrumente entwickelt.
- In einer webbasierten Selbstauskunft[3] können Unternehmen einen ersten Überblick über den aktuellen Status ihrer Informationssicherheit gewinnen und sich eventuellen Handlungsbedarf verdeutlichen. Die Selbstauskunft besteht aus 39 Fragen zu den Handlungsfeldern Organisation, Technik, Prävention und Management. Sie schließt mit einer Kurzanalyse inklusive Ampelsystem sowie einem ausführlichen Statusbericht zur Informationssicherheit des ausfüllenden Unternehmens ab. Ein derselben Systematik folgender Quick-Check speziell für Prozessautomatisierungstechnik ist seit der CeBIT 2016 ebenfalls online.[4]
- Auf den Ergebnissen der Selbstauskunft können Unternehmen in einem optionalen zweiten Schritt ein Audit durchführen lassen.[5] Das meist eintägige Audit wird vor Ort von einem Auditor der VdS Schadenverhütung GmbH durchgeführt, welcher den Status der Informationssicherheit testiert und ggf. weiteren Verbesserungsbedarf ermittelt.
Auszeichnungen
BearbeitenDie VdS 3473 wurden 2016 mit dem als „Branchenoscar“ des Sicherheitssektors bekannten „Security Innovation Award“[6] der Weltleitmesse für Schadenverhütung, der „Security“ in Essen, ausgezeichnet.
Weblinks
Bearbeiten- Der auf VdS 3473 basierende BIEG-Leitfaden für Informationssicherheit in kleinen und mittleren Unternehmen
Einzelnachweise
Bearbeiten- ↑ VdS-Richtlinie 3473 Cyber-Security für kleine und mittlere Unternehmen (KMU) (PDF; 239K)
- ↑ VdS-Richtlinie 3473-1 Cyber-Security für kleine und mittlere Unternehmen (KMU) - Leitfaden zur Interpretation und Umsetzung der VdS 3473 für Industrielle Automatisierungssysteme (PDF; 460K)
- ↑ Website des VdS-Quick-Check
- ↑ Webseite des VdS-Quick-Check für ICS
- ↑ Webseite des VdS Quick-Audit
- ↑ Webseite des „Security Innovation Award“