+49 541 9493 0
Kontaktformular
Newsletter

Blog

VdS 10000-2025

Autor:in Stefan Ohlmeyer Team Lead Security & Network
Stefan Ohlmeyer

Die 3. Version nach 2015 und 2018

7 Jahre sind in der IT eine Ewigkeit – trotzdem ist auch die VdS 10000 von 2018 immer noch praktikabel umzusetzen, da sie die Informationssicherheit nach wie vor enorm steigert. Der generische Ansatz, die Maßnahmen zu beschreiben, aber nicht strikt vorzugeben, machts möglich. Dennoch war eine Aktualisierung überfällig. Insbesondere bei Themen, wie Datensicherung oder Multi-Faktor-Authentifizierung, hat sich der Stand der Technik weiterentwickelt.

Gerade für uns als Beratende, die sich sehr auf die VdS 10000 als Richtlinie zur systemischen Umsetzung der Informationssicherheit in mittelständischen Organisationen fokussieren, ist die aktualisierte Richtlinie zu vergleichen mit einer neuen iOS- oder Windows-Version. Es gibt viele neue Features und Möglichkeiten, die in der Praxis ausprobiert werden und hoffentlich Verbesserungen mit sich bringen. Es macht einfach Spaß, sich mit den Neuerungen auseinanderzusetzen.

Besonders positiv ist, dass die VdS 10000 nicht nur von Menschen weiterentwickelt wurde, die mittelständische Organisationen kennen und deren spezifische Anforderungen und Herausforderungen verstehen, sondern auch, dass ein öffentliches Konsultationsverfahren stattgefunden hat. Dort hatte jeder die Möglichkeit, den Entwurf zu lesen und zu kommentieren. Der Entwurf der Richtlinie ist zu vergleichen mit einer Beta-Version einer neuen Software.

Die SIEVERS-GROUP hat sich natürlich umfangreich am Konsultationsverfahren beteiligt.

Die VdS 10000 ist auch in der aktualisierten Version praktisch orientiert, trotzdem ist es ratsam, bei der Umsetzung von erfahrenen Beratern unterstützt zu werden.

https://vds.de/kompetenzen/cyber-security/zertifizierungen/personenzertifizierung/vds-10003-berater-fuer-informationssicherheits-management

Die VdS 10000 ist als Grundlage für die VdS 10100 zu verstehen. Die VdS 10100 als erweiterte Version der VdS 10000 ist die Richtlinie, die zukünftig die konkrete Umsetzung der NIS-2-Anforderungen anhand des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) für Unternehmen beschreibt. Die VdS 10100 ist noch in der Entwicklung; Erkenntnisse daraus sind aber auch in die aktualisierte VdS 10000 eingeflossen.

Organisationen, die bereits nach VdS 10000 in Version 2018 zertifiziert sind, werden in Überwachungsaudits weiter nach dieser Version auditiert. Erst bei einem Rezertifizierungsaudit wird die neue Version verbindlich. Für zukünftige Zertifizierungen wird immer die aktualisierte Version VdS 10000-2025 verwendet.

What’s new? (Auszug)

  • Grundsätzlich: An vielen Stellen wurde die Formulierung überarbeitet, um für mehr Klarheit zu sorgen.

  • Verantwortlichkeiten: Sowohl der oder die Informationssicherheitsbeauftragte wie auch das Informationssicherheitsteam müssen jetzt offiziell bestellt und nicht mehr nur zugewiesen werden.

  • Personalprozesse: Hier wird beispielsweise beim Onboarding neuer Mitarbeitender nicht nur auf die ordnungsgemäße Übergabe der IT-Ressourcen, sondern auch auf die physischen Zugänge, wie beispielsweise Schlüssel und Transponder, Wert gelegt.

  • Interner Wissensaustausch: In der aktualisierten VdS 10000 ist ein regelmäßiger Austausch innerhalb der Organisation zu betrieblichen und vertraglichen Anforderungen aus dem Bereich der Informationssicherheit Pflicht.

  • Multi-Faktor-Authentifizierung: Fernzugänge müssen nun verpflichtend per MFA abgesichert werden.

  • Administrator-Zugänge: Nun wird deutlich, dass administrative Tätigkeiten nur mit speziell dafür vorgesehenen Zugängen ausgeführt werden dürfen. Man kann diese Anforderung auch als Aufforderung dazu verstehen, ein Admin-Tiering-Modell (3-Schichten-Modell) umzusetzen.

  • Archivierung: Wurde gestrichen.

  • Datensicherung: Die Anforderungen an die Datensicherung wurden vergleichsweise umfangreich erweitert. Das Mehr-Generationen-Prinzip wird nun vorausgesetzt, und Datensicherungen müssen zudem an unterschiedlichen Orten und auf unterschiedlichen Medien vorliegen. Auch die IT-Systeme, die für die Datensicherung benötigt werden, werden in der neuen VdS-10000-Version stärker in den Fokus genommen. Sie müssen besonders vor unbefugtem Zugang geschützt sein, beispielsweise durch Netzwerk-Segmentierung, MFA und Trennung von der produktiven Domäne.

  • Störungen – Ausfälle – Sicherheitsvorfälle: Wurde in ein Kapitel „Sicherheitsvorfälle“ konsolidiert und dadurch vereinfacht.

  • Risikomanagement: Die Anforderungen an das Risikomanagement wurden angepasst. Die Verständlichkeit wurde dadurch verbessert, und durch die nun geforderten festgelegten Bewertungskriterien sowie Risikoakzeptanzgrenzen wird die „Aufwärtskompatibilität“ zur VdS 10100 gewährleistet.

Diese Artikel könnten Sie ebenfalls interessieren:

AllgemeinNews

Die Zukunft des digitalen Arbeitsplatzes: MS Azure Virtual Desktop

Die Zukunft des digitalen Arbeitsplatzes: MS Azure Virtual Desktop

Citrix hat in der Vergangenheit beeindruckende Lösungen für virtuelle Arbeitsumgebungen entwickelt und wir haben es sehr geschätzt, mit diesem innovativen Softwareunternehmen zusammenzuarbeiten.
Allgemein

Microsoft Teams schnell mal eingeführt

Microsoft Teams schnell mal eingeführt

Das Jahr 2020 war, sagen wir mal, „turbulent“ oder auch „ereignisreich“. Eines Morgens, im Juni, nach dem ersten Lockdown sitze ich bei der Firma MBIM (Maschinenbauer im Mittelstand) trinke einen sehr angenehmen Kaffee und höre zu
Kontakt

Vereinbaren Sie ein
unverbindliches Erstgespräch

*“ zeigt erforderliche Felder an

Dieses Feld wird bei der Anzeige des Formulars ausgeblendet
Newsletter
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Webcastaufzeichnung

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Whitepaper herunterladen

*“ zeigt erforderliche Felder an

Newsletteranmeldung
Dieses Feld dient zur Validierung und sollte nicht verändert werden.