Die 3. Version nach 2015 und 2018
7 Jahre sind in der IT eine Ewigkeit – trotzdem ist auch die VdS 10000 von 2018 immer noch praktikabel umzusetzen, da sie die Informationssicherheit nach wie vor enorm steigert. Der generische Ansatz, die Maßnahmen zu beschreiben, aber nicht strikt vorzugeben, machts möglich. Dennoch war eine Aktualisierung überfällig. Insbesondere bei Themen, wie Datensicherung oder Multi-Faktor-Authentifizierung, hat sich der Stand der Technik weiterentwickelt.
Gerade für uns als Beratende, die sich sehr auf die VdS 10000 als Richtlinie zur systemischen Umsetzung der Informationssicherheit in mittelständischen Organisationen fokussieren, ist die aktualisierte Richtlinie zu vergleichen mit einer neuen iOS- oder Windows-Version. Es gibt viele neue Features und Möglichkeiten, die in der Praxis ausprobiert werden und hoffentlich Verbesserungen mit sich bringen. Es macht einfach Spaß, sich mit den Neuerungen auseinanderzusetzen.
Besonders positiv ist, dass die VdS 10000 nicht nur von Menschen weiterentwickelt wurde, die mittelständische Organisationen kennen und deren spezifische Anforderungen und Herausforderungen verstehen, sondern auch, dass ein öffentliches Konsultationsverfahren stattgefunden hat. Dort hatte jeder die Möglichkeit, den Entwurf zu lesen und zu kommentieren. Der Entwurf der Richtlinie ist zu vergleichen mit einer Beta-Version einer neuen Software.
Die SIEVERS-GROUP hat sich natürlich umfangreich am Konsultationsverfahren beteiligt.
Die VdS 10000 ist auch in der aktualisierten Version praktisch orientiert, trotzdem ist es ratsam, bei der Umsetzung von erfahrenen Beratern unterstützt zu werden.
Die VdS 10000 ist als Grundlage für die VdS 10100 zu verstehen. Die VdS 10100 als erweiterte Version der VdS 10000 ist die Richtlinie, die zukünftig die konkrete Umsetzung der NIS-2-Anforderungen anhand des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) für Unternehmen beschreibt. Die VdS 10100 ist noch in der Entwicklung; Erkenntnisse daraus sind aber auch in die aktualisierte VdS 10000 eingeflossen.
Organisationen, die bereits nach VdS 10000 in Version 2018 zertifiziert sind, werden in Überwachungsaudits weiter nach dieser Version auditiert. Erst bei einem Rezertifizierungsaudit wird die neue Version verbindlich. Für zukünftige Zertifizierungen wird immer die aktualisierte Version VdS 10000-2025 verwendet.
What’s new? (Auszug)
- Grundsätzlich: An vielen Stellen wurde die Formulierung überarbeitet, um für mehr Klarheit zu sorgen.
- Verantwortlichkeiten: Sowohl der oder die Informationssicherheitsbeauftragte wie auch das Informationssicherheitsteam müssen jetzt offiziell bestellt und nicht mehr nur zugewiesen werden.
- Personalprozesse: Hier wird beispielsweise beim Onboarding neuer Mitarbeitender nicht nur auf die ordnungsgemäße Übergabe der IT-Ressourcen, sondern auch auf die physischen Zugänge, wie beispielsweise Schlüssel und Transponder, Wert gelegt.
- Interner Wissensaustausch: In der aktualisierten VdS 10000 ist ein regelmäßiger Austausch innerhalb der Organisation zu betrieblichen und vertraglichen Anforderungen aus dem Bereich der Informationssicherheit Pflicht.
- Multi-Faktor-Authentifizierung: Fernzugänge müssen nun verpflichtend per MFA abgesichert werden.
- Administrator-Zugänge: Nun wird deutlich, dass administrative Tätigkeiten nur mit speziell dafür vorgesehenen Zugängen ausgeführt werden dürfen. Man kann diese Anforderung auch als Aufforderung dazu verstehen, ein Admin-Tiering-Modell (3-Schichten-Modell) umzusetzen.
- Archivierung: Wurde gestrichen.
- Datensicherung: Die Anforderungen an die Datensicherung wurden vergleichsweise umfangreich erweitert. Das Mehr-Generationen-Prinzip wird nun vorausgesetzt, und Datensicherungen müssen zudem an unterschiedlichen Orten und auf unterschiedlichen Medien vorliegen. Auch die IT-Systeme, die für die Datensicherung benötigt werden, werden in der neuen VdS-10000-Version stärker in den Fokus genommen. Sie müssen besonders vor unbefugtem Zugang geschützt sein, beispielsweise durch Netzwerk-Segmentierung, MFA und Trennung von der produktiven Domäne.
- Störungen – Ausfälle – Sicherheitsvorfälle: Wurde in ein Kapitel „Sicherheitsvorfälle“ konsolidiert und dadurch vereinfacht.
- Risikomanagement: Die Anforderungen an das Risikomanagement wurden angepasst. Die Verständlichkeit wurde dadurch verbessert, und durch die nun geforderten festgelegten Bewertungskriterien sowie Risikoakzeptanzgrenzen wird die „Aufwärtskompatibilität“ zur VdS 10100 gewährleistet.