VdS Leitfaden VdS 10005

Richtlinien VdS 10005

IT-Sicherheit für Klein- und Kleinstunternehmen

Die Richtlinien VdS 10005 zeigen einen Fahrplan auf, um eine systematische Informationssicherheit in Klein- und Kleinstunternehmen zu implementieren.

Um Ihr Unternehmen gegen Cyber-Risiken abzusichern, brauchen Sie eine realistische Vorstellung davon, wie potenzielle Angriffe auf Ihre IT-Infrastruktur ganz praktisch ablaufen. Dabei wird schnell deutlich, dass Sie verschiedene Handlungsfelder – im organisatorischen und technischen Bereich – im Blick behalten müssen, um die Gefahren durch Cyber-Attacken weitreichend zu minimieren.

Dieser Grundsatz gilt für große Konzerne genauso wie für mittelständische Unternehmen, die vielfach enorme Ressourcen zur Absicherung ihrer IT-Systeme mobilisieren. Die dahinterstehende Systematik hat VdS mit den Richtlinien VdS 10005 nun auch für Klein- und Kleinstunternehmen verfügbar gemacht.

Profitieren Sie von der Erfahrung einer der weltweit führenden Institutionen für Unternehmenssicherheit und lassen Sie sich Schritt für Schritt durch die Anforderungen leiten, die Sie in vielen Fällen ganz praktisch selbst umsetzen können und die Ihr IT-Sicherheitsniveau unmittelbar steigern.

Dafür haben wir für Sie einen Leitfaden entwickelt, der den Richtlinien-Text zur VdS 10005 mit Erläuterungen und Beispielen konkretisiert und der Ihnen auf Basis Ihrer Selbstauskünfte den IT-Sicherheitsgrad Ihres Unternehmens offenlegt.

Das erste Kapitel beschreibt unter anderem den Anwendungs- und Geltungsbereich. Wenn Sie sich hier wiederfinden, ist der Leitfaden VdS 10005 die optimale Lösung, Informationssicherheit in Ihrem Unternehmen methodisch umsetzen.


1 Allgemeines


1.1 Anwendungshinweise

Für die Abwehr "klassischer" Gefahren stehen etablierte Schutz-Standards, insbesondere die Richtlinien der VdS Schadenverhütung GmbH, zur Verfügung. Digitalisierung und Vernetzung bergen jedoch neue Gefahren, die Unternehmen in ihrem Risikomanagement berücksichtigen müssen. Eine gut organisierte Informationssicherheit vermindert die Anzahl der Schwachstellen, verringert die verbleibenden Risiken und begrenzt dadurch potenzielle Schäden für das Unternehmen. Deshalb muss ein Mindestmaß an Sicherheitsmaßnahmen vorhanden sein.

Diese Richtlinien beschreiben grundlegende Maßnahmen zur Informationssicherheit für Klein- und Kleinstunternehmen und sind Grundlage für eine Testierung durch VdS Schadenverhütung. Testate werden auf Grundlage von Auditergebnissen ausgestellt, die vor Ort oder im Remote-Verfahren ermittelt werden und belegen gegenüber Dritten, dass Anforderungen zeitpunktbezogen erfüllt sind.

Als Hilfestellung bei der praktischen Umsetzung der Anforderungen aus diesen Richtlinien stellt VdS Schadenverhütung die Richtlinien VdS 10021 "Leitfaden zur Interpretation und Umsetzung der VdS 10005 für Klein- und Kleinstunternehmen" zur Verfügung. Zusätzlich können z. B. qualifizierte Dienstleister, die ein Anerkennungsverfahren gemäß VdS 10003 durchlaufen haben, hinzugezogen werden.

Die Formulierung "grundlegende Maßnahmen" legt fest, dass alle Anforderungen der VdS 10005 als Mindestanforderungen zu verstehen sind. Sie können durch weitere Maßnahmen beliebig ergänzt (übererfüllt) werden. Aufgrund dieser Formulierung taucht der Begriff "mindestens" in keiner Maßnahme der VdS 10005 auf.

1.2 Anwendungs- und Geltungsbereich

Diese Richtlinien sind für Organisationen anwendbar, in denen maximal 20 Mitarbeiter bei der Erfüllung der Kernprozesse auf die betriebliche Informationstechnik (IT) angewiesen sind.

  • Der Begriff "Mitarbeiter" ist generisch definiert (→ Kapitel 3 D21). Bei der Ermittlung der Anzahl der Mitarbeiter müssen deshalb Angestellte, Arbeiter, Beamte, freie Mitarbeiter, Dienstleister oder deren Mitarbeiter bzw. Erfüllungsgehilfen gleichermaßen berücksichtigt werden, sofern sie zentrale Prozesse erfüllen.
  • Die zentralen Prozesse einer Organisation lassen sich i. d. R. mit Hilfe folgender Fragen ermitteln: Was ist die Aufgabe der Organisation? Durch welche Prozesse verdient die Organisation Geld? Mit welchen Prozessen wird sichergestellt, dass die Organisation auch in der Zukunft Geld verdient?
  • Die Grenze von 20 Mitarbeitern macht deutlich, dass sich die VdS 10005 speziell an kleine Organisationen mit einfachen IT-Infrastrukturen und grundlegenden Sicherheitsanforderungen richtet. Dadurch konnten die Maßnahmen der VdS 10005 so ausgewählt und formuliert werden, dass sie mit einem möglichst geringen Aufwand für Analyse, Dokumentation, Implementation und Betrieb eine Basissicherheit darstellen. Für Organisationen, die auf größere oder komplexere IT-Infrastrukturen angewiesen sind oder die umfassendere Sicherheitsanforderungen erfüllen müssen ist die VdS 10005 nicht geeignet. Hier empfiehlt sich die Implementation eines Informationssicherheitsmanagementsystem (ISMS) z. B. gemäß VdS 10000 (→ Abschnitt 1.1 E1).
  • Die Anzahl der Mitarbeiter im Sinne der VdS 10005 kann bei Bedarf dadurch reduziert werden, indem der Geltungsbereich technisch, geographisch und/oder organisatorisch eingegrenzt wird (→ Abschnitt 1.2 G2).
  • Eine Vertragswerkstatt beschäftigt 10 Mitarbeiter. Die VdS 10005 kann umgesetzt werden.
  • Die IT eines Steuerbüros wird von zwei Mitarbeitern eines IT-Dienstleisters betreut. Die Mitarbeiter des IT-Dienstleisters werden nicht im Sinne dieser Maßnahme gezählt, da sie keine zentralen Prozesse durchführen (IT-Support ist ein Unterstützungsprozess).
  • Ein Start-Up aus drei Gründern betreibt einen Webshop. Auf diesem sind mehr als 400 Benutzerkonten für Partner und Kunden des Unternehmens angelegt. Partner und Kunden werden nicht als Mitarbeiter gezählt (ein Mitarbeiter ist im Sinne der VdS 10005 eine "natürliche Personen, die (...) eine oder mehrere Positionen in der Organisation einnimmt").
  • Ein landwirtschaftliches Unternehmen beschäftigt zehn fest angestellte Mitarbeiter und je nach Jahreszeit bis zu 80 saisonale Arbeitskräfte (Erntehelfer). Die saisonalen Arbeitskräfte nutzen nur das elektronische Zeiterfassungssystem sowie das Wireless LAN des Unternehmens, um z. B. nach Feierabend auf das Internet zuzugreifen. Die Erntehelfer werden nicht im Sinne dieser Maßnahme gezählt, weil sie zwar die Kernprozesse des Unternehmens umsetzen, sie dafür aber nicht zwingend auf die betriebliche IT angewiesen sind (ein Ausfall der Zeiterfassung kann einfach kompensiert werden).
  • Ein Callcenter beschäftigt 25 Telefonisten. Diese werden im Sinne der Maßnahme gezählt, da sie einen Kernprozess erfüllen und dafür auf die IT des Unternehmens angewiesen sind.

Sie müssen grundsätzlich für die gesamte Organisation umgesetzt werden. Der Geltungsbereich kann jedoch in begründeten Fällen technisch, geographisch und/oder organisatorisch eingegrenzt werden.

  • Generell sollte die VdS 10005 für die gesamte Organisation umgesetzt werden, da sie ausschließlich grundlegende Sicherheitsmaßnahmen beinhaltet.
  • Die Einschränkung des Geltungsbereiches ermöglicht es, den Implementationsaufwand zu begrenzen und die zur Verfügung stehenden Mittel auf die für die Organisation essentiellen Bereiche der Informationsverarbeitung zu konzentrieren.
  • Besonders vor dem Hintergrund, dass die in der VdS 10005 verwendeten Begriffe sehr generisch sind (wie z. B. der Begriff "IT-System") sollte der Geltungsbereich sorgfältig festgelegt und im Zweifelsfall eher enger definiert werden.
  • Der Geltungsbereich sollte zu Beginn der Implementation (in der Analyse- und Planungsphase oder im Zuge der Beauftragung) definiert und im Zuge der Beauftragung des Projekts vom Topmanagement genehmigt bzw. festgelegt werden (→ entsprechende Vorlage für die Beauftragung). Anpassungen des Geltungsbereichs zu einem späteren Zeitpunkt der Umsetzung sind möglich (z. B. wenn absehbar wird, dass die eingeplanten Ressourcen für die Umsetzung nicht ausreichen).
  • Um eine Anpassung des Geltungsbereichs während der Umsetzung der VdS 1005 zu erleichtern kann dieser anfangs qualitativ definiert und im Zuge der Umsetzung konkretisiert werden, z. B. durch eine Formulierung wie "die zentralen Teile der IT".
  • Alle Maßnahmen der VdS 10005 sind gemäß des definierten Geltungsbereiches zu interpretieren.
  • Ein Unternehmen besitzt mehrere weitgehend voneinander getrennte IT-Infrastrukturen (Büroumgebung, Entwicklungsumgebung, Testnetz). Da im Testnetz keine Produktivdaten verarbeitet werden und es je nach Testszenario immer wieder neu aufgebaut wird, wird es aus dem Geltungsbereich entfernt.
  • Eine Werbeagentur beschäftigt 17 Mitarbeiter und je nach Auftragslage bis zu 10 freiberuflich tätige Mitarbeiter. Diese werden im Sinne der Maßnahme gezählt, da sie einen Kernprozess erfüllen und dafür auf die IT des Unternehmens angewiesen sind. Um die Anzahl der Mitarbeiter im Sinne der VdS 10005 auf unter 20 zu senken werden die freiberuflich tätigen Arbeitskräfte aus dem organisatorischen Geltungsbereich ausgeschlossen.
  • Ein Unternehmen besteht aus einem Hauptsitz und aus zwei Büros, die weitgehend autonom arbeiten. Aus politischen Gründen wird die VdS 10005 nur am Hauptsitz implementiert.

Die Organisation muss prüfen, ob sie weitere Sicherheitsmaßnahmen implementieren muss, um individuelle betriebliche, gesetzliche und vertragliche Anforderungen zu erfüllen.

  • Die VdS 10005 richtet sich speziell an Organisationen mit einfachen IT-Infrastrukturen und grundlegenden Sicherheitsanforderungen. Diese Maßnahme verpflichtet die Organisation zu prüfen, ob die Maßnahmen der VdS 10005 ausreichend sind oder ob sie höhere Anforderungen erfüllen muss.
  • Die Einhaltung von "betrieblichen, gesetzlichen und vertraglichen Bestimmungen" beinhaltet bzw. beschreibt die Compliance einer Organisation. Deshalb müssen die für die Compliance zuständigen Positionen (Topmanagement und/oder Compliance-Manager) in die Umsetzung dieser Maßnahme eingebunden werden.
  • Ein Friseursalon nutzt seine IT nur zu Zwecken der Werbung, der Kommunikation und des Terminmanagements. Die VdS 10005 ist für diese Organisation geeignet.
  • Eine Vertragswerkstatt nutzt seine IT für die Kundenbetreuung und für die Inspektion der Kundenfahrzeuge. Spezielle Anforderungen an die Informationssicherheit (z. B. aufgrund vertraglicher Vereinbarungen) bestehen nicht. Die VdS 10005 ist ausreichend.
  • Ein Planungsbüro wird von einem wichtigen Kunden gedrängt, Mindestanforderungen in Sachen Informationssicherheit nachzuweisen. Die Geschäftsführerin fragt beim Kunden nach, ob die VdS 10005 ausreichend ist. Der Kunde stimmt zu. Die VdS 10005 wird umgesetzt.
  • Ein freiberuflich arbeitender Berater beachtet die Vorgaben der EU-DSGVO. Weitere Vorgaben (z. B. seitens seiner Kunden) bestehen nicht. Die VdS 10005 ist für ihn geeignet.
  • Ein Unternehmen hat sich gegenüber einem Kunden vertraglich verpflichtet, die Informationssicherheit gemäß VdS 10000, ISO 27001 oder BSI Grundschutz sicherzustellen. Die Maßnahmen der VdS 10005 sind damit nicht ausreichend. Dennoch entscheidet sich das Unternehmen, die VdS 10005 im ersten Schritt umzusetzen, um umgehend eine Basissicherheit nachweisen zu können.
  • Eine Arztpraxis ist aufgrund gesetzlicher Vorgaben verpflichtet, die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit umzusetzen. Die Maßnahmen der VdS 10005 sind damit nicht ausreichend. Dennoch entscheidet sich der Arzt, die VdS 10005 im ersten Schritt umzusetzen, um umgehend eine Basissicherheit nachweisen zu können.
  • Ein Start-Up muss als Zulieferer für die Automobilindustrie den Branchenstandard TISAX umsetzen. Die Maßnahmen der VdS 10005 sind nicht ausreichend. Dennoch startet das Unternehmen mit der VdS 10005, um umgehend eine Basissicherheit zu gewährleisten.

1.3 Gültigkeit

Diese Richtlinien gelten ab dem 01.07.2021.

Neben dem Online-Tool zum Leitfaden erhalten Sie zusätzlich zahlreiche ergänzende Dokumente, Arbeitsabläufe und Umsetzungsvorlagen. Diese Dokumente unterstützen Sie dabei, die Anforderungen der Richtlinien VdS 10005 in Ihrem Unternehmen zu realisieren.

Den kompletten Leitfaden zur VdS 10005 erhalten Sie im VdS-Shop*

*Profitieren Sie von attraktiven Bundle-Angeboten - beispielsweise beim Kauf von Richtlinien und Leitfaden

phone_icon
+49 (0)221 7766 - 380
nach oben
Top