Mindestanforderungen an die Informationssicherheit für Klein- und Kleinstunternehmen
Auch Unternehmen mit weniger als 20 Mitarbeiterinnen und Mitarbeitern nutzen Informationsverarbeitungssysteme für ihre Geschäftsprozesse und unterliegen damit vielfältigen Cyber-Risiken. Gerade diese Klienten sind jedoch hoch preissensibel und können sich eine umfangreiche Absicherung kaum leisten. Mit der VdS 10005 liegt nun eine Richtlinie vor, mit der sich eine systematische IT-Sicherheit mit unabhängigem VdS-Testat implementieren lässt.
Pressemitteilung 31/2021
Köln, 07.September 2021: Die praktischen Erfahrungen mit dem etablierten Cyber-Security-Standard VdS 10000 haben gezeigt: Die formulierten Anforderungen und Handlungsvorgaben sind für mittelständische Unternehmen eine praktikable Grundlage, um ein angemessenes Sicherheitsniveau im Bereich der Informationssicherheit zu erreichen. Für Klein- und Kleinstunternehmen sind die Vorgaben der VdS 10000 jedoch immer noch zu komplex, so dass sich speziell diese Kundengruppe einem systematischen IT-Sicherheitsansatz nach wie vor verschließt. Vor diesem Hintergrund hat VdS die Richtlinien VdS 10005 entwickelt. Ziel des Rahmenwerks ist es, Unternehmen mit bis zu 20 Mitarbeiterinnen und Mitarbeitern einen kostengünstigen Weg zur Absicherung ihrer IT-Systeme aufzuzeigen und mit wirkungsvollen Maßnahmen zu fundieren.
„Wie können wir Klein- und Kleinst-Unternehmen ein Angebot machen, das einerseits die technisch-organisatorischen Maßnahmen (TOMs) verantwortungsvoll skaliert und dennoch ein angemessenes Schutzniveau bietet, andererseits aber die Ressourcensituation und last but not least die Investitionsbereitschaft der Zielgruppe nicht aus den Augen verliert? Wieviel darf Informationssicherheit heute „kosten“?“, erläutert Markus Edel, VdS-Abteilungsleiter Cyber-Security und Managementsysteme, den gedanklichen Ansatz zur Entwicklung der Richtlinien VdS 10005. „Indem wir den Managementsystemaspekt aus den Anforderungen herausdividieren. Denn dadurch, dass die TOMs in ein Managementsystem eingebettet sind, das den sogenannten kontinuierlichen Verbesserungsprozess als zentralen Bestandteil hat, bedarf es einer Reihe von Maßnahmen, die ressourcenintensiv sind“, fährt er fort.
Zu den Richtlinien VdS 10005 wurde außerdem ein webbasierter Leitfaden entwickelt, der die Kunden Schritt für Schritt durch die Anforderungen führt. Neben dem Text der Richtlinien gibt der Leitfaden wertvolle Hinweise zur Interpretation und zeigt konkrete Umsetzungsbeispiele aus der unternehmerischen Praxis auf. Der Leitfaden ist unter vds.de/leitfaden-vds-10005 als Online-Tool in einem kostenpflichtigen, geschlossenen Bereich verfügbar und ermöglicht den Usern zusätzliche komfortable Features – beispielsweise die Möglichkeit, den Umsetzungsstatus der Richtlinie VdS 10005 aktuell abzubilden, um so die Testat-Fähigkeit exakt bestimmen zu können.
Mit dem Gesamtpaket aus Richtlinie und Leitfaden konnte das Ziel, den Aufwand für Kleinstunternehmen zu reduzieren, optimal erreicht werden. So bietet VdS interessierten Unternehmen für unter 650 Euro ein Verfahren, das eine angemessene Absicherung ihrer IT-Landschaft ermöglicht, aufgrund des Wegfalls des Managementsystemaspekts allerdings nicht mehr zertifizierungsfähig ist. Vielmehr zielt die Richtlinie auf ein remoteauditbasiertes Testat ohne zwingende, jährliche Überwachung ab, so dass auf kostenintensive Vor-Ort-Audits verzichtet werden kann. Darüber hinaus stellen VdS 10005 eine Teilmenge der VdS 10000 dar und sind damit aufwärtskompatibel. Eine interessante Option, wenn beispielsweise durch eine Geschäftsvergrößerung oder Veränderungen des Risikoumfeldes auch die Anforderungen an die Informationssicherheit steigen.
Mehr Infos unter: www.vds.de/cyber
