Informationssicherheit für KMUs

Anders als bei "den Großen" sind die verfügbaren Ressourcen eng begrenzt. Allerdings werden auch kleine Unternehmen angegriffen, wobei viele Angriffe gar nicht gegen konkrete Unternehmen gerichtet sind, sondern "nur" darauf abzielen, bekannte Sicherheitslücken zu identifizieren und auszunutzen.

Einfach gesagt: Eine Tür sollte nicht gleich zusammenbrechen, nur weil jemand anklopft und ein Einbrecher dringt durch ein offenes Fenster leichter ein, als durch eine stabile Tür mit einem Sicherheitsschloss.

Was andere Unternehmen mit Informationssicherheit erreichen wollen (und auch erreicht haben)

Es geht schlicht um die Frage, "warum" sich das Top Management zu diesen Schritt, Informatonssicherheit systematisch anzugehen, entschieden hat:

  • "… das Geschäft muss laufen …"
  • "… Kontrolle behalten …" und auch "… mehr Verantwortung delegieren …"
  • "Besseres Verständnis der eigenen Risiken" (persönliche Haftung)
  • "Vermeidung von Betriebsunterbrechungen, da wir ein wichtiger Teil der Lieferkette sind" (Automobilzulieferer)
  • "Das Vertrauen unserer Kunden behalten" (Reputationsverlust, Wettbewerbsvorteile, Existenzsicherung)
  • "… als Konsequenz aus unserem Datenschutzprojekt." (geteilte Verantwortlichkeit zwischen Fachbereich und IT-Team)
  • "CyberSecurity ist für uns ein relevanter Teil der Produktqualität" (IoT Anbieter)
  • "Wir wollen das Cloud-Angebotes des Marktes für uns verantwortlich nutzbar machen." (Geschwindigkeit der Entwicklung, Verfügbarkeit, kontinuierliche Weiterentwicklung der eigenen Prozesse, Kostenreduktion).

Genau hier greift der methodische Ansatz der VdS 10000 für die Informationssicherheit.

Mit den Cyber-Richtlinien VdS 10000 können Unternehmen genau das Schutzniveau erreichen, das sie benötigen, ohne dass die Umsetzung der Maßnahmen das Unternehmen finanziell oder organisatorisch überfordert.

Die Richtlinie basiert auf den anerkannten Standards ISO 27001 und BSI-Grundschutz. Sie konzentrieren jedoch die umzusetzenden Maßnahmen auf das technisch und organisatorisch Wesentliche für den Mittelstand und führen mit rund 20 Prozent des Aufwandes zu einer zertifizierungsfähigen Informationssicherheit.

Abbildung: VdS10000 zu anderen ISMS Modellen

 

Abbildung (VdS): Vertrauen und unabhängige Zertifizierung

 

Abbildung (VdS): Bereits der VdS Quick-Check zeigt die Breite des Themas

Wo liegen die Ursprünge der VdS 10000?

Jedes Unternehmen hat Brandschutzvorkehrungen. Die meisten haben sich gegen Brandschäden versichert (Betriebsunterbrechungsversicherung, Inhaltsversicherungen, Gebäudeversicherungen, …). Damit kam die Frage auf, ob sich die Idee auch auf CyberGefahren (z.B. Hackerangriff) übertragen lässt.

  • Wie lässt sich das Risiko einschätzen, dass ein Unternehmen Opfer eines Hackerangriffs wird?
  • Wir lässt sich das Restrisiko auf ein akzeptables Niveau senken (um "nur" Restrisiken zu versichern)?
  • Wie könnten Mindeststandards zur Informationssicherheit formuliert werden?
  • Wie könnte ein Nachweis erbracht werden?
  • Und - ganz wichtig - wie müssen die Anforderungen formuliert werden, damit möglichst vielen Unternehmen mit überschaubarem Aufwand eine Umsetzung ermöglicht wird?

Die ursprüngliche Bezeichnung war VdS 3473. Um weitere Inhalte thematisch zusammenfassen zu können, wurde die Richtlinie in VdS 10000 umbenannt. Damit wird bereits aufgrund des Namens die Nähe zur VdS 10010 Datenschutzrichtlinie deutlich.

Welche Ziele unterstützt die VdS 10000?

Die Methode unterstützt zertifizierbare Mindestanforderungen an die Informationssicherheit für kleine und mittlere Unternehmen, ohne diese finanziell oder organisatorisch zu überfordern oder anders gesagt:
Messbare CyberSecurity mit Augenmaß.

Der Herausgeber ist die VdS Schadenverhütung GmbH, einer 100%igen Tochter des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. GDV.

Die ISO27001, der aktuelle Datenschutz und die VdS 10000 verfolgen die gleichen Ziele:

  • Vertraulichkeit (Confidentiality). Informationen stellen für die Unternehmen einen Wert dar. Denken Sie an Ihre Kundenbeziehungen, Ihre Angebote oder Ihre Forschungsergebnisse. Die Erfüllung der Vertraulichkeit stellt sicher, dass nur die berechtigten Personen oder Personengruppen Zugriff auf die für sie relevanten Informationen bekommen. Vertraulichkeit steht in engem Zusammenhang mit lesendem Zugriff.
  • Integrität (Integrity). Sie treffen Entscheidung auf Basis von Informationen. Die Erfüllung der Integrität stellt sicher, dass Sie sich auf diese Informationen verlassen können. Wenn sie Ihren Daten nicht mehr vertrauen können, sind diese wertlos. Vertraulichkeit steht in engem Zusammenhang mit schreibendem Zugriff.
  • Verfügbarkeit (Availability). Viele Informationen und Arbeitsabläufe werden heute durch IT-Dienste unterstützt. Die Erfüllung der Verfügbarkeit stellt sicher, dass insbesondere die notwendigen IT-Dienste erreichbar sind, die Performance Ihren Erwartungen entspricht und die Unterbrechung im Fehlerfall auf das notwendige Minimum reduziert werden.

In jedem meine bisherigen Projekte waren diese Ziele mit den Zielen des Unternehmens und des Top Managements im Einklang.

Neben den Kernanforderungen der CyberSecurity (Vertraulichkeit, Integrität und Verfügbarkeit) haben sich zwei weitere Anforderungen bzw. Rahmenbedingen herausgearbeitet, die ich optional gerne mit unterstütze:

  • Nachvollziehbarkeit/Transparenz (Traceability). Falls Sie schon einmal auditiert wurden, mussten Sie möglicherweise mit Frage rechnen, die mit folgenden Worten begannen: "Wie stellen Sie sicher, dass ...". Die Antwort ist einfach: Mit geeigneten Methoden, Dokumentation und technischer Unterstützung bzw. Automatisierung.
  • Agilität (Agility). Projektmethoden nach dem Wasserfallmodell (Analyse, Design, Realisierung und Betrieb) und das allseits bekannte Projektdreieck Kosten, Qualität und Zeit werden mehr und mehr in Frage gestellt. Die Forderungen lauten heute: Schnelleres Time to Market, bessere Qualität, zu deutlich reduzierten Kosten. Und ich setze noch einen Punkt dazu: Höhere Mitarbeiterzufriedenheit. Die Agilität hat massive Auswirkungen, wie die Informationssicherheit heute und zukünftig bei der Erstellung neuer Dienste integriert werden muss.

Was bedeutet Mindestanforderungen?

  • Die gesamte Methode ist extrem schlank, deutlich unter 50 Seiten, inkl. Glossar. Trotzdem werden organisatorische und technische Maßnahmen berücksichtigt.
  • Die Anforderungen basieren auf einer sehr verständlichen und klaren Sprache (MUSS/DARF NICHT/SOLLTE/SOLLTE NICHT/KANN).
  • Nur eine MUSS-Anforderung ist für die mögliche Zertifizierung von Bedeutung (SOLLTE oder KANN werden nicht geprüft).
  • Der Aufwand für die Analyse- und Dokumentation ist ungewöhnlich niedrig. Im Kern handelt es sich um eine Leitlinie, eine Richtlinie und wenige Verfahren.
  • Die Definition von Zielen anstelle von Maßnahmen eröffnet ein hohes Maß an Freiheit bei der Implementation.
  • Der kontinuierliche Verbesserungsprozess (KVP oder PDCA) wurde als sinnvoller methodischer Ansatz von anderen Methoden übernommen.
  • Die Methode erwartet im Kern nur zwei Rollen: Den ISB (Informationssicherheitsbeauftragten) und das IST (Informationssicherheitsteam).
  • Minimalisierter Aufwand ("so viel wie nötig, so wenig wie möglich").
  • Auch die Maßnahmen des Basisschutzes müssen nur umgesetzt werden, sofern dies technisch möglich ist. Falls Maßnahmen nicht umgesetzt werden obwohl dies möglich wäre, muss das Unternehmen eine entsprechende Risikoanalyse und -behandlung durchführen (Dokumentation der Ausnahmen).
  • Die VdS 10000 definiert Mindeststandards. Trotzdem sind die Maßnahmen aufwärtskompatibel zu ISO 27001 und den BSI Grundschutznormen.
  • IT-Ressourcen werden nur in "kritisch" und "alle" unterschieden. Für "alle" IT-Ressourcen wird ein einfacher Basisschutz definiert (auch hier das Minimalprinzip).

Was ist eine "kritische" IT-Ressourcen?

Die VdS 10000 Methode unterscheidet nur zwischen "Alle IT-Systeme" und "kritische IT-Systeme", wobei die Messlatte für kritisch IT-Ressourcen, die einen katastrophaler Schaden nach sich ziehen könnte, bewusst sehr hoch liegt:

  • Auswirkungen auf Leib und Leben von Personen: Es werden Menschen schwer verletzt oder kommen ums Leben.
  • Auswirkung auf zentrale Prozesse: Zentrale Prozesse der Organisation werden zum Erliegen gebracht und die Rückkehr zum Regelbetrieb ist (innerhalb eines akzeptablen Zeitraums) nicht möglich.
  • Auswirkung auf zentrale Werte: Zentrale Werte der Organisation gehen verloren oder werden zerstört und ihre Wiederherstellung ist (mit den Ressourcen der Organisation) nicht mehr möglich.
  • Auswirkungen auf die Rechtskonformität: Gesetze, Verträge oder Normen werden gebrochen und die daraus resultierende Haftung ist für die Organisation oder für die Verantwortlichen ruinös.

Es wird sehr deutlich, dass die kritischen IT-Systeme sind eng mit den Kronjuwelen des Unternehmens verknüpft sind.

Beispiele für kritische IT-Systeme:

  • Einwohnermeldeamt, weil es u.a. die Daten aus dem Zeugenschutzprogramm enthält
  • Krankenhäuser, weil es u.a. die Medikamenten Anreichung verwaltet

Sie haben nach dieser Definition keine kritischen IT-Ressourcen? Glückwunsch! Dann wird die Umsetzung noch schneller erfolgen.

Die Anforderungen an "Alle IT-Systeme" sind einfach und klar formuliert, beschreiben eine Basisabsicherung und entspringen schlicht dem gesunden Menschenverstand. Ein Administrator wird sich sofort zurechtfinden und die Fachbereiche profitieren durch klare Mindeststandards.

ISMS Einführung nach VdS 10000

Der erste Schritt ist eine Standortbestimmung. Dies kann auf Basis einer Selbsteinschätzung, eines Quick-Checks oder mit Hilfe eines Interviews erfolgen.

Phasen

Einzelschritte zur Einführung ISMS

Organisation der
Informationssicherheit

  • Festlegung von Verantwortlichkeiten, Bereitstellung von Ressourcen, Ernennung Informationssicherheitsbeauftragten, Etablieren des Informationssicherheitsteams
  • Erstellung der Informationssicherheitsleitlinie
  • Erstellung von Richtlinien zur Informationssicherheit

Identifikation von
kritischen IT-Ressourcen

  • Identifikation zentraler Geschäftsprozesse und Prozesse mit hohem Schadenspotential
  • Identifikation besonders schützenswerter Informationen
  • Identifikation der kritischen IT-Systeme, mobile Datenträger und Verbindungen sowie weiteren kritischen Teilen der IT-Infrastruktur

Implementierung des
Basisschutzes

  • Implementierung einfacher Maßnahmen, z. B. Updates, Beschränkung des Netzwerkverkehrs, Protokollierung, ...

Implementierung
Maßnahmen für
kritische IT-Ressourcen
(falls vorhanden)

  • individuelle Risikoanalyse und -behandlung
  • Umsetzung von erhöhten Anforderungen an die Datensicherung, Robustheit

 

In welchen Brachen ist die VdS 10000 erfolgreich?

  • Produzierendes Gewerbe/Industrie
  • Anlagen- und Maschinenbau
  • Banken- und Versicherungswirtschaft
  •  Ver- und Entsorgungsunternehmen
  • Stadtverwaltungen, Gemeinden, Kommunen
  • Transport & Logistik
  • Gesundheitswesen

Mit welchem Aufwand ist zu rechnen?

Bei der Einführung:

  • 5 - 50 (externe) Beratertage zur Einführung
  • 10 – 60 (interne) Personentage für ISB
  • 3 - 18 Monate Umsetzungszeit

Zusätzliche Aufwände können bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, weitere Lokationen, Internationalisierung, etc.) entstehen.

Im Betrieb:

  • 3 - 5 Personentage pro Monat für ISB
  • 1 - 2 Personentage pro Monat für IST

Worauf sollte man achten?

Auch wenn die gesamte Methode darauf abzielt, dass KMUs Schritt für Schritt an die Informationssicherheit heran zu führen, ist es kein Spaziergang und kein 100 Meter Sprint, sondern eher ein Dauerlauf (vielleicht sogar ein Halb-Marathon).

Nachfolgend sind ein paar Punkte aufgeführt, auf die geachtet bzw. auf die reagiert werden sollte.

Fähigkeiten des Unternehmens:

  • Engagement bzw. Commitment des Topmanagements
  • Fähigkeiten im Change- bzw. Projektmanagement
  • Wahrgenommene Verantwortlichkeiten (Zusammenspiel von IT-Team und Business bzw. Prozessverantwortlichem)
  • Steuerung und Kommunikation von Dokumenten, Verfahren, etc.

Fähigkeiten der Mitarbeiter:

  • Führung durch das Topmanagement und die Personalverantwortlichen
  • Kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen und/oder (designierten) ISB)
  • Fachkompetenz

Herangehensweise:

  • Initialen Reifegrad richtig einschätzen
  • Übernehmen von Templates nur mit den notwendigen Anpassungen an ihre Situation
  • Integration der Informationssicherheit in bestehende Abläufe (Betrieb und Projekte)
  • Ausreichende Ressourcen (Tagesgeschäft beachten)
  • Beachtung interner (politischer) Gegebenheiten
  • Nicht zu viel auf einmal, sondern kleiner und dafür kontinuierlicher Fortschritt