Die branchenneutralen VdS-Richtlinien 10005 sind ein speziell auf diese Organisationsformen zugeschnittener Maßnahmenkatalog, mit dem ein angemessener Informationssicherheitsstatus des Unternehmens sichergestellt wird.

Nachdem VdS Schadenverhütung im Jahr 2015 die VdS 10000 "Informationssicherheits-Managementsystem für KMU" vorgestellt hat, wurden zahlreiche Unternehmen zur Zertifizierung geführt. Eine Analyse dieser Unternehmen ergab jedoch, dass Klein- und Kleinstunternehmen sowie Handwerksbetriebe hoch preissensibel sind, sich eine umfangreiche Absicherung kaum leisten können und deswegen in der Regel von dem Angebot der VdS 10000 keinen Gebrauch machen. Aber eben diese Zielgruppe steht aktuell im Fokus der digitalen Angriffe.

Um auch diesen Unternehmen einen ressourcengerechten, systematischen Ansatz zur Verbesserung der Informationssicherheit anbieten zu können, hat unser Expertenteam die VdS-Richtlinien 10005 "Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen" entwickelt, die für Unternehmen bis 20 Mitarbeitern oder Organisationen vergleichbarer Größe angewendet werden können. Das Team stand anfänglich vor der Herausforderung, einerseits die technisch-organisatorischen Maßnahmen (TOMs) verantwortungsvoll zu skalieren, andererseits aber das Ziel eines angemessenen Schutzniveaus, die Ressourcensituation und last but not least die Investitionsbereitschaft der Zielgruppe nicht aus den Augen zu verlieren. Dadurch, dass die TOMs üblicherweise in ein Managementsystem eingebettet sind, das den sogenannten kontinuierlichen Verbesserungsprozess als zentralen Bestandteil hat, bedarf es einer Reihe von Maßnahmen, die ressourcenintensiv sind. Diese Ressourcen brauchen nicht bereitgestellt zu werden, wenn der Managementsystemaspekt aus den Anforderungen herausdividiert wird. 

Das Ziel, den beschriebenen Aufwand für Klein- und Kleinstunternehmen deutlich zu reduzieren, wurde so mit der VdS 10005 erreicht. Zu einem sehr attraktiven Preis bietet VdS Schadenverhütung interessierten Unternehmen nunmehr ein Verfahren an, das eine angemessene Absicherung ihrer IT-Landschaft ermöglicht, allerdings aufgrund des Wegfalls des Managementsystemaspekts nicht mehr zertifizierungsfähig ist. Vielmehr zielt die Richtlinie auf ein remoteauditbasiertes Testat ohne zwingende, jährliche Überwachung ab, so dass auf kostenintensive Vor-Ort-Audits verzichtet werden kann. Darüber hinaus stellen die Richtlinien VdS 10005 eine Teilmenge der VdS 10000 dar und sind damit aufwärtskompatibel. Eine interessante Option, wenn beispielsweise durch eine Geschäftsvergrößerung oder Veränderungen des Risikoumfeldes die Anforderungen an die Informationssicherheit steigen. 

Die VdS 10005 beschreibt auf nur acht Seiten die Anforderungen zu den Themen Verantwortlichkeiten, Mitarbeiter, IT-Systeme, Netzwerke, Umgebung, Datensicherung und IT-Dienstleister und formuliert neben den Anforderungen zahlreiche Tipps zur Umsetzung für noch mehr Schutz. Der aus der VdS 10000 schon bekannte Basisschutz für IT-Systeme und Netzwerke findet sich in hohem Maße wieder, es gilt „No backup, no mercy“: Besonderes Augenmerk wurde auf die Datensicherung und den damit in Zusammenhang stehenden Test-Restores und der Wiederanlaufpläne gelegt, da sie im Falle des Eintritts eines kritischen Ereignisses zweifellos die wichtigste Rückfallebene darstellen.

Mit einer VdS-testierten Informationssicherheit nach VdS 10005 ergeben sich für Klein- und Kleinstunternehmen eine Reihe von Vorteilen:

• Das VdS-Testat bestätigt, dass sich das Unternehmen organisatorisch, technisch und präventiv auf die wichtigsten Angriffsszenarien vorbereitet hat – und über passende Prozesse und Schutzmaßnahmen verfügt.
• Das VdS-Testat erzeugt bei Lieferanten, Kunden und Versicherern ein hohes Vertrauen in die Leistungsfähigkeit des Unternehmens: Informationen sind sicher geschützt und die Risiken zur Einschränkungen der Lieferfähigkeit des Unternehmens wurden minimiert. Wettbewerbsvorteile sind die Folge.
• Das Unternehmen erweitert sein Risikomanagement um den Aspekt der Informationssicherheit. Ein unabdingbares Muss für die Unternehmenssicherheit.
• Die Risikotransparenz im Unternehmen wird erhöht und so die Geschäftsleitung entlastet. Das Unternehmen kann sich wieder auf seine Kernprozesse konzentrieren.
• Das – immer verbleibende – Restrisiko können Unternehmen auf einen Versicherer übertragen und damit eine zweite Verteidigungslinie für ihre Existenzsicherung aufbauen.
• Die Versicherer haben ein hohes Vertrauen in VdS-Bewertungen; ein System, das seit mehr als 100 Jahren funktioniert. Das Vorhandensein eines Testates/Zertifikates erspart den Versicherern oftmals eine Einzelfallbetrachtung beim Kunden.