Die Richtlinien VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne sie organisatorisch oder finanziell zu überfordern. Die VdS 10000 ist der Nachfolger der VdS 3473.

Die VdS 10000 sind aufwärtskompatibel zu ISO/IEC 27001 sowie zum IT-Grundschutz. Sie sind 43 Seiten lang, 29 Seiten davon beinhalten konkrete Maßnahmen und Empfehlungen. Sie besitzen eine eindeutige Sprachregelung für die Verbindlichkeit von Maßnahmen („muss“ / „darf nicht“ / „sollte“ / „sollte nicht“ / „kann“). Um den Analyseaufwand zu minimieren, unterscheiden die VdS 10000 nur zwischen „nicht kritischen“ und „kritischen“ IT-Ressourcen. Darüber hinaus sind die Kriterien, die zur Einstufung einer IT-Ressource als "kritisch" führen sehr hoch. Für die nicht kritischen IT-Ressourcen ist ein einfacher Basisschutz definiert, der – sofern technisch möglich – umgesetzt werden muss. Wenn sich die umsetzende Organisation gegen die Implementierung einzelner Maßnahmen entscheidet, muss sie eine entsprechende Risikoanalyse und -behandlung vornehmen, um die dadurch entstehenden Risiken zu erfassen und zu behandeln. Für kritische IT-Ressourcen fordern die VdS 10000 erweiterte Sicherheitsmaßnahmen sowie eine individuelle Risikoanalyse und -behandlung.

Die VdS 10000 empfiehlt bei verschiedenen Themen (Identifizieren kritischer IT-Ressourcen, Umgebung, Datensicherung und Archivierung, Verfahren und Risikomanagement) die Implementierung etablierter Normen aus den Bereichen Business Continuity Management, physische IT-Sicherheit, Qualitäts- und Risikomanagement. Allerdings können Unternehmen eigene Vorgehensweisen definieren. Diese müssen jedoch einige wenige Kernaspekte der etablierten Normen umsetzen. Bestandteil der VdS 10000 ist die Etablierung einer Sicherheitsleitlinie, entsprechender Richtlinien und Verfahren sowie die Etablierung eines kontinuierlichen Verbesserungsprozesses.

Im Zuge der Überarbeitung wurden Fehler der VdS 3473 behoben und die Implementation durch Detailverbesserungen weiter erleichtert, insbesondere durch einen weiter reduzierten Analyseaufwand.

Die VdS 10000 sind die Nachfolger der VdS 3473. Auch ihre Entwicklung erfolgte durch ein Projektteam aus VdS- und externen Experten mit öffentlicher Beteiligung. Die erfolgten Arbeitsschritte wurden während der gesamten Entwicklungsphase in kurzen zeitlichen Abständen veröffentlicht und so Interessenten die Möglichkeit gegeben, eigene Optimierungen und Änderungswünsche einzubringen. Die VdS-Richtlinien liegen seit November 2018 vor und stehen der Öffentlichkeit kostenlos zur Verfügung.^[1]

Die VdS 3473 (Vorgänger der VdS 10000) diente als Vorlage für die am 15. Dezember 2017 veröffentlichte VdS 10010 ("VdS-Richtlinien zur Umsetzung der DSGVO"). So sind z. B. die Kapitel 1 bis 8 beider Richtlinien nahezu deckungsgleich.

Die CFPA Europe, der europäische Zusammenschluss von mehr als 20 nationalen Sicherheitsorganisationen hat im März 2019 ihre Richtlinie CFPA-E Guideline No 11:2018 S, „Guideline on Cyber Security for Small and Medium-sized Enterprises“ veröffentlicht. Die CFPA-E Guideline No 11:2018 S basiert auf der VdS 10000 und ist ebenfalls kostenfrei erhältlich.^[2] Der europäische Versicherungsverband Insurance Europe hat die neuen Richtlinien offiziell über ein sogenanntes „Endorsement“ befürwortet.^[3]

Für die Umsetzung der VdS 10000 kann ein VdS-Zertifikat erlangt werden. Um Organisationen, die ihre Informationssicherheit auf der Basis von VdS 10000 zertifizieren lassen möchten, den Einstieg zu erleichtern, hat VdS zwei vorgeschaltete Instrumente entwickelt.

• In einer webbasierten Selbstauskunft^[4] können Unternehmen einen ersten Überblick über den aktuellen Status ihrer Informationssicherheit gewinnen und sich eventuellen Handlungsbedarf verdeutlichen. Die Selbstauskunft besteht aus 39 Fragen zu den Handlungsfeldern Organisation, Technik, Prävention und Management. Sie schließt mit einer Kurzanalyse inklusive Ampelsystem sowie einem ausführlichen Statusbericht zur Informationssicherheit des ausfüllenden Unternehmens ab. Ein derselben Systematik folgender Quick-Check speziell für Prozessautomatisierungstechnik ist seit der CeBIT 2016 ebenfalls online.^[5]
• Auf den Ergebnissen der Selbstauskunft können Unternehmen in einem optionalen zweiten Schritt ein Audit durchführen lassen.^[6] Das meist eintägige Audit wird vor Ort von einem Auditor der VdS Schadenverhütung GmbH durchgeführt, welcher den Status der Informationssicherheit testiert und ggf. weiteren Verbesserungsbedarf ermittelt.

Die VdS 3473 wurden 2016 mit dem als „Branchenoscar“ des Sicherheitssektors bekannten „Security Innovation Award“^[7] der Weltleitmesse für Schadenverhütung, der „Security“ in Essen, ausgezeichnet.

• vds.de/... – PDF-Download VdS-Richtlinien für die Informationsverarbeitung (VdS 10000)
• Der auf VdS 3473 basierende BIEG-Leitfaden für Informationssicherheit in kleinen und mittleren Unternehmen

1. ↑ VdS-Richtlinie 10000 Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) (PDF; 275K)
2. ↑ Webseite der CFPA Europe
3. ↑ Presseerklärung der CFPA Europe
4. ↑ Webseite des VdS-Quick-Check
5. ↑ Webseite des VdS-Quick-Check für ICS
6. ↑ Webseite des VdS Quick-Audit
7. ↑ Webseite des „Security Innovation Award“