VdS 3473 – Cyber Security für kleine und mittlere Unternehmen

Cyber Seucrity nach VDS 3473

VdS 3473 ist die Sicherheitsrichtlinie für Informationssicherheit, speziell für kleine und mittlere Unternehmen. Im Folgeden erläutern wir, warum die Einführung von VdS für Ihr Unternehmen Sinn ergeben könnte.

Kleine und mittelständische Unternehmen nicht ausreichend geschützt

Kleine und mittlere Unternehmen (KMU) geraten immer mehr ins Visier der Cyberkriminalität. „Warum sollten sich Hacker ausgerechnet für meine Daten interessieren?“ ist eine Frage, die uns immer wieder aus dem Mittelstand gestellt wird. Diese Unternehmensgrößen bilden die Säule der deutschen Wirtschaft. Der Wert der eigenen Unternehmensdaten, und somit auch des Unternehmens-Knowhows, wird leider häufig unterschätzt. Die Folge ist mangelnde Sorgfalt im Schutz vor ungewollten Abfluss von Unternehmensdaten durch Mitarbeiter oder Dritte (Vertraulichkeit), der Schutz vor Manipulation (Integrität) oder die Verfügbarkeit der Daten. Dies macht KMU für Cyberkriminelle so besonders interessant.

Der Wert eines Unternehmens ist lang nicht mehr nur an physische Objekte messbar (Immobilien, Maschinen, Werkzeuge o.ä.). Auch Daten fließen immer mehr in die Unternehmensbewertung ein. Wirtschaftsprüfer, Kreditgeber, Versicherer bewerten das Unternehmensrisiko vermehrt auch anhand der Datensicherheit. Diese Bewertung wird in Zukunft für das Unternehmen immer mehr an Bedeutung gewinnen. Bis vor einigen Jahren lautete eine der Fragen von Kreditgebern beispielsweise „Ist eine Datensicherung vorhanden?“ Inzwischen möchten Kreditgeber jedoch auch wissen, wie eine Datensicherung erfolgt, wer für ein Backup die Verantwortung trägt, welche Prozesse im Unternehmen implementiert sind.

Geschäftsführer unterliegen der Sorgfaltspflicht „eines ordentlichen Geschäftsmannes“ (§§ 43 Abs. 1 GmbHG). Verletzen sie diese, können sie privat haftbar gemacht werden.

Letztendlich muss sich jeder Geschäftsführer u.a. die Fragen stellen:

  • Wie wichtig ist die Verfügbarkeit, Vertraulichkeit und Integrität meiner Unternehmensdaten für die Aufrechterhaltung meines Betriebes?
  • Besteht Gefahr für Leib und Leben?
  • Wie lange darf meine IT teilweise oder ganz ausfallen, ohne dass dem Unternehmen bedrohlichen Schaden entsteht?
  • Entsteht ein Imageverlust im Schadensfall und welche Kosten sind mit dem Vertrauensaufbau verbunden?

VdS 3473 – Die Security-Zertifizierung für kleine und mittlere Unternehmen

VdS (Verband der Sachversicherer) gehört zu den weltweit renomiertesten Institutionen für Unternehmenssicherheit mit den Schwerpunkten Brandschutz, Security und Naturgewaltenprävention. Aufgrund der Zunahme der Bedeutung von Informationssicherheit veröffentlichte der VdS im Juli 2015 erstmals mit der Richtlinie 3473 einen Sicherheitskatalog speziell für Cyber-Security in kleinen und mittleren Unternehmen. Diese verüfgen in der Regel nicht über die erforderlichen Ressourcen, eine ISO27001-Zertifizierung umzusetzen. Die VdS-Richtlinien werden von der Industrie und Versicherungswirtschaft akzeptiert und angewendet.

Informationssicherheit ist kein Produkt, sondern ein Prozess!

Das Zertifikat zeigt Ihren Geschäftspartnern, dass Sie es ernst meinen. Mit erreichen des Zertifikats zeigen Sie, dass Sie verantwortungsvoll mit Ihren Unternehmensdaten umgehen. Sie haben Prozesse implementiert, die eine Betriebsunterbrechung auf ein Minimum reduzieren. Sie erhöhen Sie das Vertrauen in Ihr Unternehmen.

VdS 3473 wurde bewusst kurz gehalten. Es umfasst aktuell 28 Seiten. Es beinhaltet keine konkreten technischen Vorgaben und ist für jede Organisation / Branche anwendbar. Die Richtlinie ist zu ISO27001 kompatibel. Einmal eingeführt, kann jederzeit auf ISO27001 erweitert werden, ohne mit VdS eingeführte Prozesse ändern zu müssen.

VdS 3473 Pyramide

Ein wesentlicher Bestandteil der Richtlinie ist das „Mitnehmen“ der Mitarbeiter. Sie müssen für das Thema Informationssicherheit sensibilisiert / geschult werden. Der obligatorische „verlorene“ USB-Stick auf dem Unternehmensparkplatz, ist immer noch ein gutes Beispiel dafür, wie leicht Schadcode ins Unternehmen eingeschleust werden kann. Ein weiterer Baustein ist die Klärung von Verantwortlichkeiten. Wie sind die Zuständigkeiten im Unternehmen verteilt?

Es gilt, ein Katalog zu entwickeln der bei einer Störung oder bei einem Ausfall folgende Schritte begleitet:

  • Reaktion
  • Überblick
  • Gegenmaßnahmen
  • Beweissicherung
  • Schadenbehebung
  • Nachbereitung
0 Kommentare

Ihr Kommentar

Möchten Sie an der Diskussion teilnehmen?
Tragen Sie gern dazu bei!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.