Firewallchannel

Wissenswertes und Interessantes

e-Trado GmbH

VdS-Richtlinie 3473

VdS-Richtlinie 3473

(2016) Das Thema Cyber-Sicherheit ist jedem ein Begriff. Dennoch wirft der Umgang damit Fragen auf. Die VdS 3473 beinhalten Informationen zu 'Cyber-Security für kleine und mittlere Unternehmen (KMU)'. Kein Unternehmen kommt im Zeitalter der Digitalisierung, ohne Einsatz moderner IT und digitaler Vernetzung aus. Diese sind für das Bestehen im weltweiten Wettbewerb unverzichtbar. Neben den Vorteilen birgt das digitale Zeitalter Risiken in Sachen Informationssicherheit. Jeder Unternehmer ist verpflichtet, ein Risikomanagement zu betreiben, welches die IT-Sicherheit berücksichtigt. Inzwischen hat der VdS mit den VdS 3473 ein standardisiertes Verfahren für 'kleine und mittlere Unternehmen (KMU)' festgelegt.

Wie funktionieren die Richtlinien?

Jedes Unternehmen muss die Mindestanforderungen in Sachen Cyber-Security, die in den VdS 3473 festgelegt sind, erfüllen. Diese bilden die Grundlage für die Zertifizierung durch den VdS. Zur Umsetzung der Maßnahmen sind Fachkenntnisse erforderlich in vielen Fällen von Fremdanbietern eingeholt werden. Der VdS empfiehlt, qualifizierte Dienstleister gemäß VdS 3477 einzusetzen. Neben diesem Hinweis bietet der VdS zahlreiche Verweise und Dokumente.

Wie werden die VdS 3473 angewendet?

Unter Punkt 2, 'Normative Verweise', ist ein Merkblatt zur Schadenverhütung aufgeführt. Das hat Priorität und ist ein erster Schritt. Daneben verweisen die Richtlinien auf drei Standards des 'Bundesamt für Sicherheit in der Informationstechnik' (BSI-Standard 100-2, 100-3 und 100-4). Diese beinhalten die Grundschutz-Vorgehensweise, die Risikoanalyse auf der Basis von IT-Grundschutz sowie Informationen zum Notfallmanagement. Damit hat das Bundesamt die Vorgaben zur Herangehensweise geschaffen, um alle Punkte der Richtlinie zur 'Cyber-Security für kleine und mittlere Unternehmen (KMU)' abzudecken.

Welche Bereiche eines Unternehmens sind für die Informationssicherheit relevant?

Prinzipiell sind alle Bereiche eines Unternehmens, alleine oder im Zusammenspiel mitverantwortlich für die Informationssicherheit. Ein entscheidender und nicht zu unterschätzender Faktor ist das Personal. Der VdS weist unter Punkt 7 der Richtlinien VdS 3473 auf die Notwendigkeit hin, auch im Personalmanagement die Anforderungen zur Informationssicherheit zu erfüllen. Vorschrift ist, dass ein Bewerber, der eine für die Informationssicherheit vorgesehene Stelle besetzen wird, die notwendige Eignung und Vertrauenswürdigkeit mitbringt. Hervorzuheben ist entsprechendes Wissen über mögliche Gefahren in Sachen Informationssicherheit, worauf der VdS unter Punkt 8 in den Richtlinien verweist. Auf den Risikofaktor von Datei-Outsourcing und Cloud-Systemen wird ebenfalls eingegangen.

Welche Momente und Vorkommnisse werden als besonders kritisch behandelt?

Im Falle von IT-Störungen wird empfohlen, einen der anerkannten Standards, BSI-Standard 100-4 oder DIN EN ISO 22301, anzuwenden. Unterschieden wird zwischen Störungen und Ausfällen. Gerade 'kleine und mittlere Unternehmen', insbesondere, wenn Produktionsmaschinen IT-gesteuert sind, können schnell in eine finanzielle Schieflage geraten. Durch eine IT-Störung kann eine Produktion anders ausfallen als vom Auftraggeber gewünscht. Bei einem Ausfall über einen längeren Zeitraum ist die Produktion stillgelegt. Das kann gegebenenfalls zu Kundenverlusten führen. Deshalb und aus zahlreichen weiteren Gründen empfiehlt sich die Einhaltung des VdS-Verfahrens. Besonders kritisch wird es dann, wenn durch eine Systemstörung im eigenen Unternehmen, die IT bei Vertragspartnern beeinträchtigt wird. Hier muss ein Unternehmen der Versicherung nachweisen, dass dieser Fehler trotz Umsetzung aller Regeln passiert ist.

Hilfreiche Services

Der VdS macht es den Unternehmen einfach. Der Unterpunkt 'Hintergrundartikel' beinhaltet Dokumente zur Umsetzung. Darüber hinaus werden VdS-Seminare angeboten. Eine Einsicht in die Schulungsunterlagen ist vorab möglich.