Für kleine und mittlere Unternehmen (KMU) sind die omnipräsenten Standards der Informationssicherheit ISO/IEC 27001 oder BSI IT-Grundschutz oft prozessual und monetär nicht zu stemmen. Um KMU dahingehend nicht zu überfordern, hat sich eine weitere, speziell auf KMU angepasste Norm in Deutschland etabliert: die VdS 10000.

Inhalt der Norm

Die Richtlinie wurde von der VdS Schadenverhütung GmbH entwickelt und löste im Jahr 2018 den Vorgänger VdS 3473 ab. Im Gegensatz zu dem Vorgänger wurde die VdS 10000 nochmals schlanker gestaltet. Als zusätzliche Erweiterung gibt es die VdS 10020, welche einen Leitfaden zur Umsetzung und Interpretation der Richtlinie für industrielle Automatisierungssysteme darstellt.

Wie bei der ISO/IEC 27001 kann auch bei der VdS 10000 der Geltungsbereich von der Organisation frei definiert werden. Durch Einschränkung des Scopes ist es möglich den Aufwand für die Einführung weiter zu minimieren. Durch die Gestaltung der VdS 10000 hat man bei der Umsetzung einige Freiheiten, da häufig Ziele statt konkreter Maßnahmen formuliert sind. Außerdem wird bei der VdS 10000 nur zwischen zwei Arten von IT-Ressourcen unterschieden. Zum einen die Gruppe „alle IT-Ressourcen“ und die Gruppe „kritische IT-Ressourcen“, welche bei nur wenigen Organisationen zu finden sind.

Bei den Maßnahmen unterscheidet die Norm zwischen drei unterschiedlichen Typen. Der erste Typ sind die „Grundanforderungen“, welche immer und ohne Ausweichmöglichkeit umgesetzt werden müssen. Der zweite Typ von Maßnahmen nennt sich „Basisschutz“. Dieser muss nur dann umgesetzt werden, wenn es mit der vorhandenen IT-Infrastruktur zu ermöglichen ist. Sollte dies nicht der Fall sein, ist eine Risikoanalyse und -behandlung in Bezug auf diese Maßnahme durchzuführen. Auch ein Ablehnen von Basis-Maßnahmen aus anderen Gründen ist in der VdS 10000 möglich. In diesen Fällen wird ebenfalls die Durchführung einer Risikoanalyse und -behandlung verlangt. Der dritte Typ von Maßnahmen betrifft nur kritische IT-Ressourcen der Organisation. Diese zusätzlichen Maßnahmen für kritische IT-Ressourcen müssen umgesetzt werden, auch wenn dies mit der vorhandenen IT-Infrastruktur nicht möglich ist und möglicherweise Anpassungen vorgenommen werden müssen. ABER: Auch an dieser Stelle kann sich gegen die Umsetzung von bestimmten Maßnahmen entschieden werden und eine Risikoanalyse und -behandlung durchgeführt werden.

Was sagt das BSI zur VdS 10000?

Im Jahr 2019 schrieb der Leitstab des Bundesamts für Sicherheit in der Informationstechnik folgende Stellungnahme zu dem Standard:

„Das Regelwerk VdS 10000 “Informationssicherheitsmanagementsystem für KMU” stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder. Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001.“ (vgl. hier)

Fazit

Die VdS 10000 bietet ein geringeres Schutzniveau als die ISO/IEC 27001 oder der BSI IT-Grundschutz, definiert aber dennoch ein vollständiges ISMS und ist durch viele Freiheiten in der Umsetzung mit einem deutlich geringeren Aufwand implementierbar. Somit ist die Norm speziell für kleine und mittlere Unternehmen attraktiv, da diese organisatorisch oder aber finanziell nicht überfordert werden. Falls sich eine Organisation zu einem späteren Zeitpunkt doch für die Implementierung der ISO/IEC 27001 oder des BSI IT-Grundschutz entscheiden sollte, kann ohne Probleme auf den vorhandenen Maßnahmen und Richtlinien der VdS 10000 aufgebaut werden.

Falls Sie Fragen zu der Thematik haben, stehen wir Ihnen gerne zur Verfügung.