Kleinstunternehmen: Neue VdS-Richtlinien für Informationsverarbeitung

Da auch Unternehmen mit weniger als 10 Mitarbeitern Informationsverarbeitungssysteme für ihre Geschäftsprozesse nutzen, unterliegen sie vielfältigen Cyber-Risiken.

Allerdings sind gerade diese Klienten meist hoch preissensibel und können sich eine umfangreiche Absicherung kaum leisten.

Die Erfahrungen mit dem Cyber-Security-Standard VdS 10000 haben gezeigt, dass die formulierten Anforderungen und Handlungsvorgaben für mittelständische Unternehmen eine praktikable Grundlage sind, um ein angemessenes Sicherheitsniveau im Bereich der Informationssicherheit zu erreichen. Jedoch sind die Vorgaben der VdS 10000 für Klein- und Kleinstunternehmen immer noch zu komplex. Vor diesem Hintergrund hat VdS die Richtlinien VdS 10005 entwickelt, um Unternehmen mit weniger als 10 Mitarbeitern einen kostengünstigen Weg zur Absicherung ihrer IT-Systeme aufzuzeigen und mit wirkungsvollen Maßnahmen zu fundieren.

Markus Edel, VdS-Abteilungsleiter Cyber-Security und Managementsysteme, erläutert:

„Wie können wir Klein- und Kleinst-Unternehmen ein Angebot machen, das einerseits die technisch-organisatorischen Maßnahmen (TOMs) verantwortungsvoll skaliert und dennoch ein angemessenes Schutzniveau bietet, andererseits aber die Ressourcensituation und last but not least die Investitionsbereitschaft der Zielgruppe nicht aus den Augen verliert? Wieviel darf Informationssicherheit heute „kosten“? Indem wir den Managementsystemaspekt aus den Anforderungen herausdividieren. Denn dadurch, dass die TOMs in ein Managementsystem eingebettet sind, das den sogenannten kontinuierlichen Verbesserungsprozess als zentralen Bestandteil hat, bedarf es einer Reihe von Maßnahmen, die ressourcenintensiv sind.“

Das Ziel, den beschriebenen Aufwand für Kleinstunternehmen zu reduzieren, wurde mit der VdS 10005 erreicht. Für unter 1.000 Euro bietet VdS interessierten Unternehmen damit ein Verfahren, das eine angemessene Absicherung ihrer IT-Landschaft ermöglicht. Da der Managementsystemaspekt allerdings wegfällt, ist dieses nicht mehr zertifizierungsfähig.

Vielmehr zielt die Richtlinie auf ein remoteauditbasiertes Testat ohne zwingende, jährliche Überwachung ab, so dass auf kostenintensive Vor-Ort-Audits verzichtet werden kann.

Darüber hinaus stellen VdS 10005 eine Teilmenge der VdS 10000 dar und sind damit aufwärtskompatibel. Eine Option, wenn beispielsweise durch eine Geschäftsvergrößerung oder Veränderungen des Risikoumfeldes auch die Anforderungen an die Informationssicherheit steigen.