VdS-Richtlinie 3473 – Der neue IT-Sicherheitsstandard

Im Zuge zunehmender Cyber-Kriminalität gewinnt die IT-Sicherheit an immer größerer Bedeutung. Dabei gilt die VdS-Richtlinie 3473 als neuer Sicherheitsstandard. 


Die Motivation für die Erarbeitung des Standards VdS 3473 ist die Unterstützung der Versicherungswirtschaft im Bereich der Absicherung von IT-Sicherheitsrisiken. Eine erfolgreiche Zertifizierung nach VdS 3473 stellt sicher, dass ein Unternehmen ein praktikables  IT-Sicherheitsmanagement eingeführt hat und die Versicherung von (immer existenten) Restrisiken auf einer definierten Basis erfolgen kann. Ähnlich wie für bestimmte Bauten der Einbau einer Sprinkler-Anlage als Voraussetzung für die Brandschutzversicherung gefordert wird, legt die VdS-Richtlinie 3473 ein auch für KMU finanzierbares und umsetzbares Sicherheitsniveau fest.

 

Die VdS-Systematik im Überblick

VdS Schadenverhütung GmbH

VdS Schadenverhütung GmbH

Der neue Standard VdS 3473 richtet sich vornehmlich an kleine und mittlere Unternehmen und Behörden. Eine Zertifizierung nach ISO27001 oder BSI-Grundschutz ist für KMU einfach nicht leistbar, weder finanziell, auf Grund hoher Kosten für externe Berater, noch durch das interne Personal der IT-Abteilung.

Zur Verdeutlichung:

Der Gesamtausdruck der BSI-Grundschutz-Richtlinie umfasst circa 4.500 DIN A4-Seiten.
Die Definition des VdS 3473 umfasst 36 DIN A4-Seiten.

Trotzdem kann auch ein KMU mit der konsequenten Umsetzung der VdS-Richtlinie 3473 bereits ein hohes Maß an IT-Sicherheit erlangen. Die VdS-Richtlinie 3473 ist mit Absicht abwärtskompatibel zur ISO27001 ausgelegt worden. Eine evtl. spätere Zertifizierung nach ISO27001 wird somit unterstützt.

Die meisten Unternehmen und Behörden haben bereits Maßnahmen zur Erhöhung der IT-Sicherheit getroffen, beispielsweise durch die Installation von Firewalls, Virenscannern, SPAM-Filtern, Intrusion-Detection Systemen und Proxys.

Die Erfahrung zeigt aber, dass es häufig bei den weichen Faktoren mangelt:

Verankerung der
IT-Sicherheit auf Vorstands bzw. Geschäftsführungs-Ebene
(
klare Festlegungen zu Zielen, Verantwortlichkeiten und Berichtswegen)
Festlegung von internen Prozessen für den Umgang mit Daten
(
Überwachung der Systeme, Backup und Recovery, Notfallpläne, Verhalten der Mitarbeiter im Umgang mit der IT)

Analog zum Aufbau der ISO27001 betrachtet die VdS-Richtlinie 3473 die folgenden Bereiche

  • Organisation der IT-Sicherheit (Leitlinien und Richtlinien)
  • Personal und Wissen
  • Identifizierung kritischer IT-Ressourcen
  • IT-Systeme
  • Netzwerke und Verbindungen
  • Mobile Datenträger
  • IT-Outsourcing und Cloud Computing
  • Zugänge und Zugriffsrechte
  • Datensicherung und Archivierung
  • Störungen und Ausfälle
  • Umgang mit Sicherheitsvorfällen

Titelbild Bildquelle: LeoWolfert/Shutterstock