VdS-Schadenverhuetung CyberSecurity
 
phone_icon
+49 (0)221 7766 - 380

Informationsverarbeitung für Klein- und Kleinstunternehmen

Mindestanforderungen an die Informationssicherheit für Klein- und Kleinstunternehmen

Die branchenneutralen VdS-Richtlinien 10005 sind ein speziell auf die Bedürfnis- und Ressourcenstruktur von Klein- und Kleinstunternehmen sowie von Handwerksbetrieben mit bis zu 20 Mitarbeitern zugeschnittener Maßnahmenkatalog, mit dem der Informationssicherheitsstatus solcher Organisationen verbessert wird.

Einschlägige Marktanalysen 1) ergeben, dass die Anforderungen an strukturierte Informationssicherheit und der damit verbundene Aufwand von Klein- und Kleinstunternehmen immer noch als zu hoch empfunden wird. Wir erreichen also in vielen Fällen nicht das „K“ von „KMU“. Wie können wir aber insbesondere diesen Unternehmen ein Angebot machen, das einerseits die erforderlichen technisch-organisatorischen Maßnahmen (TOMs) verantwortungsvoll skaliert und dennoch ein angemessenes Schutzniveau bietet, andererseits aber die Ressourcensituation und last but not least die Investitionsbereitschaft der Zielgruppe nicht aus den Augen verliert? Wieviel darf Informationssicherheit heute „kosten“? 

1) vgl. z. B. Ergebnisauswertungen der VdS-Quick-Checks 

Dadurch, dass die TOMs in ein Managementsystem eingebettet sind, das den sogenannten kontinuierlichen Verbesserungsprozess als zentralen Bestandteil hat, bedarf es einer Reihe von Maßnahmen, die ressourcenintensiv sind und den Aufwand in die Höhe treiben.

Wenn es also gelingt, die Forderung nach Umsetzung solcher Maßnahmen per Definition zu minimieren oder gar vollständig zu entfernen, entsteht ein schlanker Satz von Maßnahmen, der die Mindestanforderungen an die Informationssicherheit beschreibt. Und wenn wir zusätzlich diese Mindestanforderungen so formulieren, dass deren externe, unabhängige Überprüfung aus der Ferne, also mittels einer sogenannten „Remote Auditierung“ an höchstens einem halben Tag durchgeführt werden kann, können weitere Ressourcen eingespart werden.

Genau diesen Ansatz verfolgt die Testierung gemäß VdS 10005 und zielt somit auf ein remoteauditbasiertes VdS-Testat ohne zwingende, jährliche Überwachung zu einem attraktiven Preis. Gleichwohl wird den Unternehmen empfohlen, zum Nachweis des Erhalts des erreichten Schutzniveaus das Audit- und Testierungsverfahren in geeigneten Intervallen zu wiederholen.

Wichtig für expandierende Unternehmen ist auch, dass die Anforderungen der VdS 10005 eine reine Teilmenge derer aus der VdS 10000 darstellt, so wie die VdS 10000 eine Teilmenge der Anforderungen der ISO 27001 beschreibt. Somit ist das Upgraden ohne „Blindleistung“ jederzeit möglich: Dieses schon mit der VdS 10000 abgegebene Versprechen wollen wir halten.

    phone_icon
    +49 (0)221 7766 - 380
    nach oben
    Top