Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

VdS 3473: Cyber-Security für KMU

4.75 4 Beurteilungen
IT-Sicherheitslücke | Urheber: valerybrozhinsky - Fotolia

Von Sebastian Tausch,

Die zunehmende Zahl an Cyberattacken machen deutlich, dass IT-Sicherheit für den Datenschutz eine entscheidende Rolle spielt; insbesondere in Zeiten, in denen die Digitalisierung immer mehr Einzug in die Unternehmen hält.

Während große Unternehmen oft Sicherheitsbeauftragte haben, die manchmal sogar durch sehr spezialisierte IT-Sicherheitsexperten unterstützt werden, fehlen kleinen und mittleren Unternehmen hierfür die zeitlichen und finanziellen Ressourcen. Große Unternehmen haben noch dazu die Kapazitäten, sich nach ISO 27001 oder BSI-Grundschutz zertifizieren zu lassen, KMU scheitern oft schon an der Komplexität dieser Regelwerke.

Das kann aber zum Problem werden, vor allem wenn Ihr Unternehmen die großen und zertifizierten Unternehmen beliefert. Denn dann kann es zukünftig durchaus sein, dass neben einer QM-Zertifizierung auch Nachweise zur IT-Sicherheit erbracht werden müssen. Mit der VdS 3473 können KMU ein Informationssicherheitssystem in ihrem Unternehmen implementieren und dies auf Wunsch auch zertifizieren lassen. Nach eigenen Aussagen auf www.vds.de/cyber ist dies mit etwa 20 % des Aufwands im Vergleich zur ISO 27001 möglich.

IT-Sicherheit: Meist fehlt es an Dokumentation und Nachweisen

Vor knapp 2 Jahren erhielt einer meiner Kunden den Auftrag eines großen Unternehmens. Dieses Unternehmen verlangte Nachweise zur IT-Sicherheit und schickte ein Auditoren-Team, das so groß war, dass auf jeden Auditor 2 Mitarbeiter des Auftragnehmers kamen. Einen Tag lang wurden vor Ort die Sicherheitsmaßnahmen abgefragt und geprüft. Das größte Problem am Ende: Es fehlte sowohl Dokumentation als auch Nachweise, dass die Regelungen eingehalten werden.

Diese Situation finde ich bei vielen KMU vor. Viele Sicherheitsvorkehrungen, wie z. B. eine zentrale Benutzerverwaltung via Active Directory, sind eigentlich bereits vorhanden. Die Vorgehensweise bei der Anlage von neuen Benutzern ist aber nicht dokumentiert, die Anlage und Rechtezuweisung erfolgt auf Zuruf von Führungskräften und wird im Regelfall auch nicht protokolliert. Ist der IT-Administrator dann auch noch im Urlaub, nutzt der neue Mitarbeiter „einfach“ die Zugangsdaten seines Vorgängers. Alles Punkte, die Sie möglicherweise auch schon oft in Ihrem Unternehmen angemahnt haben. Nach und nach geht dann der Überblick verloren, womit Sie auch als Datenschutzbeauftragter ein großes Problem haben. Ebenso wird es schwierig, wenn ein Überblick der getroffenen Sicherheitsvorkehrungen fehlt. Denn einerseits müssen Sie dann jeweils Ihren IT-Verantwortlichen danach fragen und andererseits sind diese oft auch nicht dokumentiert, was meist zusätzliche Arbeit für Sie bedeutet.

Information Security Management System (ISMS)

Mit der Etablierung eines Informationssicherheitssystems können diese Probleme vermieden werden. Denn ein ISMS bringt einen Gesamtüberblick und eine fortlaufende Verbesserung des Systems. Hierfür gibt es Regelwerke, wie z. B. den bekannten BSI-Grundschutz oder die ISO 27001. Allerdings scheuen viele Unternehmen aufgrund der komplexen Anforderungen die Einführung eines ISMS auf Basis dieser Regelungen. Hier könnte dann alternativ die VdS 3473 zum Einsatz kommen.

Das zeichnet die VdS 3473 aus

Mit der VdS 3473 haben auch kleine und mittlere Unternehmen die Möglichkeit, ein Informationssicherheitssystem im Unternehmen zu implementieren. Das gesamte Anforderungsdokument umfasst lediglich 40 Seiten. Trotzdem werden viele Themengebiete abgedeckt. Zudem ist der Beschreibung durch MUSS und SOLL klar zu entnehmen, ob es sich um eine MUSS-Vorgabe oder ob es sich um eine Empfehlung handelt. Die Richtlinien der VdS basieren auf den Standards von ISO 27001/2 und dem BSI-Grundschutz. Zudem verweist die VdS auch z. B. an manchen Stellen auf die BSI-Regelungen. Um möglichen Missverständnissen vorzubeugen: auch ein ISMS auf Basis der VdS-Regelungen erfordert Zeit und Kosten. Der Invest lohnt sich aber spätestens dann, wenn dadurch ein Sicherheitsvorfall vermieden wird. Gerade wenn Sie Daten im Auftrag verarbeiten, ist ein zertifiziertes ISMS sogar verkaufsfördernd.

VdS 3473-Zertifizierung möglich

Ob eine Zertifizierung nach VdS 3473 für Ihr Unternehmen sinnvoll ist, muss natürlich Ihre Unternehmensleitung entscheiden. Zum Stand der Artikel-Erstellung waren lediglich 3 Unternehmen auf der vds-Webseite aufgeführt, die sich nach VdS 3473 zertifizieren ließen.

Zudem kann Ihr Unternehmen sich die Zertifizierung als Option offenhalten und hat bei Einhaltung der Richtlinien trotzdem einen Nachweis, dass die IT-Sicherheit im Unternehmen ernst genommen wird. Viel wichtiger als die Zertifizierung ist, dass Ihr Unternehmen mit einem ISMS einen Nachweis über die getroffenen Sicherheitsmaßnahmen erbringen kann. Denn selbst wenn Ihr Unternehmen sehr sicherheitsbewusst ist, bleibt immer ein gewisses Restrisiko. Eine saubere Dokumentation ist im Schadenfall dann sicherlich hilfreich.

VdS 3473: Der Vorteil für Datenschutzbeauftragte

Auch wenn die Richtlinie den Datenschutzbeauftragten nur einmal erwähnt, ist sie für den DSB hilfreich. Denn einerseits muss die Organisation nach Punkt 4 „Organisation der Informationssicherheit“ Verantwortlichkeiten festlegen und andererseits sieht die Richtlinie eine jährliche Überprüfung vor. Zudem ist der Informationssicherheitsbeauftragte (ISB) Ansprechpartner bei Projekten mit Auswirkung auf die Informationsverarbeitung sowie bei der Einführung neuer Software und IT-Systeme.

Damit haben Sie als DSB mehrere Vorteile: 

  • Werden die Sicherheitsmaßnahmen im Rahmen eines ISMS dokumentiert, können Sie darauf verweisen und sich vermutlich auch viele Rückfragen ersparen.
  • Durch die regelmäßige Prüfung der Regelungen haben Sie die Möglichkeit, Verbesserungsvorschläge an festgelegte Ansprechpartner zu kommunizieren. Gerade in KMU wird der Informationssicherheitsbeauftragte (ISB) froh über Zuarbeit sein.
  • Mit dem ISB haben Sie zudem einen zusätzlichen Ansprechpartner, der bei der Einführung neuer Anwendungen involviert werden sollte, sodass Sie dadurch hoffentlich vor der Einführung Ihre Prüfungen vornehmen können. 

VdS 3473: Start via Quick-Check mit 39 Fragen

Auf der Seite www.VdS-quick-check.de finden Sie einen Online-Quick-Check, um den Ist-Zustand Ihres Unternehmens ermitteln zu können. Sie können die Eingaben auch ohne die Angabe Ihres Unternehmensnamens durchführen und erhalten am Ende trotzdem Ihre Ergebnis-Matrix. Sofern Sie im Anschluss weitere Angaben zu Ihrem Unternehmen eintragen, z. B. Name, Anschrift, Anzahl der Mitarbeiter, usw., erhalten Sie im Anschluss 2 PDF-Dateien.

Im Kompaktbericht finden Sie neben der Ergebnis-Matrix eine kurze Maßnahmenliste. Die Datei „Ergebnisbericht“ enthält alle Fragen und Antworten sowie empfohlene Maßnahmen und Hinweise.

Nach dem Vds 3473-Check

Nach dem Quick-Check haben Sie eine grobe Übersicht über den Ist-Zustand Ihres Unternehmens. Auf Basis des Ergebnisses und der Anforderungen der VdS 3473 könnten Sie dann in Ihrem Unternehmen entweder selbst tätig werden und die Empfehlungen umsetzen oder sich durch einen VdS-Berater unterstützen lassen. 

Fazit: Bevor Ihr Unternehmen sich für die Implementierung eines ISMS auf Basis der VdS 3473 entscheidet, sollte im Vorfeld geprüft werden, ob in Ihrer Branche bzw. Kundengruppe eine Regelung bevorzugt wird oder es sogar branchenspezifische Regelungen gibt, wie z.B. beim Verband der Automobilindustrie. Sofern vorhanden, sollten auch die Vertriebsmitarbeiter Ihres Unternehmens gefragt werden, ob ihnen etwas über entsprechende Anforderungen von Kunden bekannt ist. Wenn Ihr Unternehmen hier keine Abhängigkeiten hat, bietet die VdS 3473 die Möglichkeit, ein Informationssicherheitssystem im Unternehmen zu etablieren, das bei Bedarf auch zertifiziert werden kann.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs