Richtlinie VdS 10000

Informationssicherheit managen statt Katastrophen verwalten

02.02.2022 von Peter Marwan
Mittelständischen Unternehmen fällt es oft schwer zu entscheiden, wofür sie das begrenzte IT-Security-Budget ausgeben sollen. Auch Dienstleister haben es bei ihnen mit ihrer Argumentation nicht leicht. Für die Versicherungswirtschaft entwickelte Richtlinien könnten Abhilfe schaffen.
KMU irren bei der Auswahl von IT-Security-Produkte oft unsicher und orientierungslos umher - können aber auch mit den umfassenden Regelwerken zu Cyber-Security-Strategien nichts anfangen. Die VdS 10000 könnte einen Ausweg aus dem Chaos bieten.
Foto: Sergey Nivens - shutterstock.com

Die Diskussionen um Trends, Produkte, Services und Neuerungen im Bereich IT-Sicherheit werden in der Regel von den Bedürfnissen von Konzernen bestimmt. Ein Großteil der neu in den Markt drängenden Anbieter richtet sich mit ihren – meist sehr teuren – Angeboten an diese Zielgruppe. Der Großteil der Analysten und Marktforscher richtet sein Augenmerk verständlicherweise ebenfalls auf die neuesten Trends und ist bei Studien auf Großunternehmen fixiert.

Auch die Berichterstattung in den Medien sucht das Neue und Spektakuläre. Ihr Augenmerk liegt daher ebenfalls mehr auf High-End-Angeboten als dem Brot- und Buttergeschäft. Untersucht man, wer die Diskussion über Schlagworte der vergangenen Jahre wie SOC, SIEM, DLP, XDR, CASB oder nun SASE bestimmt hat, lässt sich das leicht nachvollziehen.

Allerdings zählen über 99 Prozent der Unternehmen in Deutschland zu den kleinen und mittelgroßen Unter-nehmen (KMU). Das Bundesministerium für Wirtschaft und Energie ließ aus diesem Grund eine Studie zur Rolle von IT-Dienstleistern bei der Stärkung der IT-Sicherheit von KMU in Deutschland erstellen und präsentierte die Ergebnisse im Frühjahr 2021. Demnach sind KMU oft damit überfordert, wie sie IT-Sicherheit für ihr Unternehmen herstellen sollen, weil sie „nicht einschätzen können, welche Angebote für sie von Relevanz sind.“ Sie können „zwar den Preis, nicht aber die Qualität erkennen“. Daher fehle es ihnen auch an der Zahlungsbereitschaft.

Die Autoren der Studie weisen darauf hin, dass laut BSI nur eine Minderheit der KMU Cybersicherheits-Monitorings durchführt, dass laut der Initiative Deutschland sicher im Netz (DsiN) viele KMU (rund 40 Prozent) das Patchmanagement immer noch nicht im Griff haben, dass laut Bitkom nur eine Minderheit der Unternehmen Penetrationstests macht (oder machen lässt) oder Intrusion Detection Systeme einsetzt. Dadurch entstehe eine „Umsetzungslücke in Bezug auf IT-Sicherheit“.

Umsetzungslücke bei IT-Sicherheit schließen

„Aus der Diskrepanz zwischen der Bedeutung von IT-Sicherheit für KMU und der tatsächlichen Umsetzung lässt sich eine Unsicherheit von KMU über bestehende Risiken und angemessene Lösungen ablesen“, schlussfolgern die Autoren der Studie des Wirtschaftsministeriums. Diese Lücke lässt sich inzwischen aber schließen. Beispielsweise ermöglichen Anbieter aus den Bereichen „Security Posture Management“ und „Cyber Risk Management“, mit automatisierten Tools – inzwischen auch als Managed Service und für kleinere Unternehmen – das eigene Unternehmen so zu sehen, wie Angreifer es sehen würden.

Daraus lässt sich dann ableiten, wo der größte Handlungsbedarf besteht und gezielt dort investieren. Damit bieten diese Tools auch IT-Dienstleistern gute Möglichkeiten, in Zusammenarbeit mit ihren Kunden gezielt Investitionsprojekte auszuwählen und vielleicht sogar eine Verbesserung des Sicherheitsniveaus sichtbar zu machen.

Mit dieser Frage hat sich im vergangenen Jahr auch das DIN Deutsches Institut für Normung e. V. im Rah-men einer Konferenz beschäftigt. Nach der Feststellung, dass KMU bei Digitalisierung und IT-Sicherheit oft auf Dienstleister angewiesen sind stellten sich die Konferenzteilnehmer die Frage, wie KMU die für ihren Fall passende Leistung bekommen und alle wichtigen IT-Sicherheitsbedarfe abgedeckt werden.

Martin Schaletzky, Vorstand der Softline AG, Mitglied im Bundeswirtschaftssenat und Mitglied in der Kommission „Internet und Digitales“ des Bundesverbands Mittelständische Wirtschaft (BVMW), erklärte dazu in seinem Vortrag: „Eine Norm für eine einheitliche Analyse des IT-Sicherheitsbedarfs würde eine deutliche Erleichterung für KMU und deren IT-Dienstleister bedeuten. Eine standardisierte Analyse der Ausgangssituation von KMU in Bezug auf ihre IT-Sicherheit würde die Beratung vereinfachen und gleichzeitig zu mehr Vertrauen und Vergleichbarkeit auf Seiten der KMU führen.“

ISMS zu sperrig für Mittelstand und KMU

Unter dem sperrigen Begriff „Informationssicherheitsmanagementsystem“ (ISMS) stehen eigentlich Werkzeuge zur Verfügung, die vieles können, was von der Norm erwartet wird. Der Haken: Sie sind in der Regel nicht KMU-gerecht, oft nicht einmal mittelstandsgerecht. Das gilt sowohl für die Norm ISO 27001 als auch für den BSI IT-Grundschutz. Der TÜV Nord empfiehlt daher die Richtlinie VdS 10000 (früher VdS 3473) und bezeichnet sie als „kleine Schwester des ISMS“. Sie könne dazu beitragen, Risikofaktoren im Unternehmen aufzudecken und zu minimieren.

Entwickelt wurde die VdS 10000 von der VdS Schadenverhütung in Zusammenarbeit mit externen Experten. Die VdS Schadenverhütung ist eine hundertprozentige Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Sie ist in zahlreichen Bereichen tätig – nicht nur in der IT-Sicherheit – und hat zum Beispiel auch die beim Brandschutz geltenden Richtlinien entwickelt. Diese VdS-Richtlinien sind sozusagen die Hausaufgaben, die ein Unternehmen erledigen muss, damit sich ein Versicherungsunternehmen bereit erklärt, das dann kalkulierbare Restrisiko zu versichern.

Die VdS-10000-Richtlinien

Die VdS-10000-Richtlinien basieren auf den Standards ISO 27001 und dem BSI Grundschutz, sind aber bei weitem nicht so komplex. Dennoch bezeichnet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie als „einen geregelten Prozess zur Einführung eines ISMS“ und „eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.“ Beobacter bezeichnen das als "Ritterschlag" für die Richtinie.

Auch die beschriebenen Handlungsfelder ähneln sich. Allerdings erklärt der VdS: „Mit zirka 20 Prozent des Aufwandes im Vergleich zu ISO 27001 können KMU aus den VdS-Richtlinien Maßnahmen und Prozesse ableiten, mit denen sie im IT-Bereich ein angemessenes Schutzniveau erreichen.“ Und genau damit ist VdS 10000 auch ein geeignetes Mittel für IT-Dienstleister, um sich mit ihren Kunden gezielt damit zu beschäftigen, welche Maßnahmen ergriffen, welche Produkte gekauft und welche Services genutzt werden sollen.

Ob dann auch noch eine Zertifizierung angestrebt oder eine Cyberversicherung abgeschlossen wird, ist dabei zunächst zweitrangig. Wichtig ist, dass sich Reseller mit ihren Kunden auf einer gemeinsamen Basis strategisch über IT-Sicherheit unterhalten können.

Mehr zum Thema

Video: Vortrag zur VdS 10000 auf der it-sa

Die IT-Security scheint überfordert

So gelingt die Neuausrichtung zum MSP