VdS-Richtlinien 3473 – Informationssicherheit für KMU

Cyber-Versicherungen sind für die Versicherungswirtschaft ein Markt mit beträchtlichem Potential. Im angelsächsischen Raum bereits weit verbreitet, wird die Versicherung von Cyber-Risiken inzwischen auch in Deutschland verstärkt nachgefragt. Dabei werden Schäden abgedeckt, die zum Beispiel durch einen Hackerangriff, ungewollten Datenabfluss oder digitale Erpressung entstehen. Grundlage für die Kosten einer Police ist neben der gewünschten Deckungssumme insbesondere die Wahrscheinlichkeit, ob ein Schaden eintritt, was maßgeblich davon abhängt, welche Sicherheitsmaßnahmen ein Unternehmen umgesetzt hat. Um das Risiko zu ermitteln, greifen Versicherer aktuell noch auf eigene Methoden zur Risikoeinschätzung, beispielsweise mittels Fragebögen oder Audits, zurück. Da dieses Vorgehen jedoch sehr intransparent ist und die Vergleichbarkeit der Angebote erschwert, wurde im Jahr 2014 durch den Gesamtverband der Deutschen Versicherungswirtschaft (GDV) die Entwicklung entsprechender Richtlinien durch die VdS Schadenverhütung beauftragt. Sie entwickelte daraufhin die VdS-Richtlinien 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU).

(Artikel als PDF)

VdS Schadenverhütung

Die VdS Schadenverhütung ist eine 100%ige Tochter des GDV und technischer Arm der Versicherungswirtschaft. Bekannt ist sie hauptsächlich durch Richtlinien und Zertifizierungen in den Bereichen Brandschutz, klassische Sicherheitstechnik und Naturgefahren. Cyber-Security ist für die VdS der „Brandschutz des 21. Jahrhunderts“ und dieser Vergleich ist durchaus passend. Denn obwohl Unternehmen Vorkehrungen zur Vermeidung und schnellen Eindämmung von Bränden treffen müssen, besitzen sie meist trotzdem eine Versicherung gegen Brandschäden. Auf die Informationssicherheit übertragen ist die logische Konsequenz also eine Cyber-Versicherung.

Bewertung von Risiken

Die VdS-Richtlinien 3473 definieren Mindestanforderungen an die Informationssicherheit in kleinen und mittleren Unternehmen und ermöglichen hier eine einheitliche Bewertung der Risiken. Gleichzeitig sollen die Risiken, die durch die Nutzung von Informationstechnik entstehen, durch technische und organisatorische Maßnahmen auf ein akzeptables Niveau gesenkt werden; denn in der Regel sind nur diese Restrisiken überhaupt versicherbar. Überprüft wird dies durch ein Mehrstufiges Audit-Programm mit einer Zertifizierung als Nachweis über die Einhaltung und Wirksamkeit der geforderten Maßnahmen.

Kleine und mittlere Unternehmen (KMU)

Warum kleine und mittlere Unternehmen im Fokus der Versicherer und damit der VdS-Richtlinien stehen, wird klar, wenn man sich die Definition von KMU und deren Anteil an der Gesamtwirtschaft betrachtet. Die Europäische Kommission definiert diese in der EU-Empfehlung 2003/361 als Unternehmen mit maximal 249 Beschäftigte und einen Jahresumsatz von höchstens 50 Millionen Euro. Das Institut für Mittelstandsforschung in Bonn (IfM) schließt hier Unternehmen bis zu 499 Mitarbeiter ein. Folgt man dieser Definition, sind 99,7% aller umsatzsteuerpflichtigen Unternehmen in Deutschland dem KMU-Bereich zuzuordnen. Der Markt für die Cyber-Produkte der Versicherer ist hier also dementsprechend groß.

Anwendbarkeit

Im Geltungsbereich der 3473 heißt es „Diese Richtlinien legen Mindestanforderungen an die Informationssicherheit fest und können für kleine und mittlere Unternehmen (KMU), den gehobenen Mittelstand, Verwaltungen, Verbände und sonstige Organisationen angewendet werden“. Es obliegt daher der jeweiligen Organisation zu prüfen, ob sie passen oder nicht. Aus den Erfahrungen des letzten Jahres lässt sich bereits jetzt feststellen, dass die VdS-Richtlinien 3473 auch für größere Unternehmen geeignet sind. Insbesondere dann, wenn diese mittelständig geprägt sind, was in der Regel flache Hierarchien und kurze, unbürokratische Wege, bedeutet.

Das Rad neu erfinden?

Stellt sich die Frage, warum nicht auf bestehende Standards für Informationssicherheit zurückgegriffen wird. Mit dem IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der internationalen Norm ISO 27001 existieren bereits seit langem anerkannte und gut funktionierende Rahmenwerke. Insbesondere die ISO-Norm hat auf Grund ihres generischen Ansatzes den Anspruch, für Organisationen jeder Größenordnung anwendbar zu sein. Und hier genau liegt das Problem, denn dadurch ist sie für KMU nicht wirklich greifbar. Es fehlt an konkreten Maßnahmenempfehlungen und einem Leitfaden, an dem sich die Sicherheitsverantwortlichen in KMU orientieren können. Betrachtet man die komplette Normenfamilie 27000 gibt es hier zwar umfangreiches Zusatzmaterial, eine Umsetzung in die Praxis fällt den meisten KMU jedoch schwer. Dies bestätigt auch der Blick auf die Anzahl der ausgestellten Zertifikate. Diese liegen beim Grundschutz und bei ISO 27001 in Deutschland unterhalb Einhundert, respektive unterhalb Eintausend. Durch die angekündigte Reform des IT-Grundschutzes und der Einführung einer minimalisierten Basisabsicherung rückt dieser zwar mehr in den Fokus von KMU, dieser „Grundschutz light“ wird jedoch voraussichtlich nicht zertifizierbar sein, so dass eine wichtige Anforderung der Versicherer und vieler Unternehmen fehlt.

ISMS mit kontinuierlicher Verbesserung

Jeder dieser Standards und auch die VdS 3473 beschreibt die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS), welchem der PDCA-Zyklus oder auch „Demingkreis“ zu Grunde liegt. PDCA steht hierbei für Plan-Do-Check-Act und beschreibt eine strukturierte Herangehensweise, die auf eine stetige Verbesserung der Prozesse hinwirkt. Konkret bedeutet dies, dass ein Prozess zunächst geplant werden muss (Plan), bevor er anschließend zunächst im Kleinen implementiert wird (Do). Ist dieser Testlauf erfolgreich (Check), kann der Prozess organisationsweit ausgerollt werden (Act), was auch eine regelmäßige Überprüfung auf Einhaltung und Wirksamkeit beinhaltet. PDCA beschreibt also einen kontinuierlichen Verbesserungsprozess (KVP), der dafür sorgt, dass ein Managementsystem nachhaltig funktioniert und ständig optimiert beziehungsweise den sich ändernden Gegebenheiten angepasst wird.

Eckdaten

Die VdS-Richtlinien 3473 wurden am 1. Juli 2015 veröffentlicht und sind daher noch ein sehr junger Mitspieler im Bereich der Informationssicherheitsmanagementsysteme. Sie können kostenfrei von der Homepage der VdS Schadenverhütung heruntergeladen werden und umfassen 38 Seiten, wovon lediglich 28 Seiten die Anforderungen beinhalten. Unternehmen können sie nutzen, um ein neues ISMS zu implementieren oder bestehende Prozesse anzupassen und gegebenenfalls zu ergänzen. Dies erlaubt es, bereits nach kurzer Zeit ein zertifizierungsfähiges  ISMS zu betreiben, sofern bereits grundlegende Prozesse vorhanden sind. Das erste Zertifikat konnte daher bereits im Dezember 2015 an ein Unternehmen ausgestellt werden, das bis dato keine Berührungspunkte zur VdS 3473 hatte.

Zertifizierung

Um die Zertifizierung zu erlangen muss ein Unternehmen sämtliche Anforderungen der VdS 3473 erfüllen, was durch ein vor Ort Audit überprüft wird. Wie von anderen Zertifizierungen bekannt, beträgt die Gültigkeit zunächst drei Jahre und muss jährlich durch ein Überwachungsaudit bestätigt werden. Geht es dem Unternehmen zunächst nur um eine erste Standortbestimmung in Bezug auf Informationssicherheit, kann dies durch den online verfügbaren VdS Quick-Check erfolgen. Anhand 39 Fragen aus unterschiedlichen Gebieten wird ein erster Status-Quo ermittelt, der auf Wunsch auch durch ein Quick-Audit der VdS Schadenverhütung testiert wird.

Eigenschaften

Die VdS 3473 legt besonderen Wert auf eine klare und eindeutige Sprache. So sind zwingend benötigte Anforderungen immer mit groß geschriebenem „MUSS“ oder „DARF NICHT“ formuliert. Einige wenige Punkte sind mit „SOLLTE“ gekennzeichnet und können als Empfehlungen verstanden werden, ohne dass diese für eine Zertifizierung relevant sind. Die geforderten technischen und organisatorischen Maßnahmen sind nach Ansicht der VdS absolute Minimalanforderungen für ein Mindestmaß an Informationssicherheit und folgen dem Paretoprinzip. Dies besagt, dass bereits mit 20% des Aufwands 80% des Ergebnisses erreicht werden kann. Das Ziel ist also, ein gesundes Maß an Informationssicherheit mit einem vertretbaren Aufwand zu erreichen. Der Geltungsbereich erstreckt sich hierbei immer über das komplette Unternehmen beziehungsweise über den jeweiligen Standort. Weitere Eingrenzungen, wie bei ISO 27001 (Scope) oder IT-Grundschutz (Informationsverbund) sind nicht vorgesehen.

Organisation der Informationssicherheit

Grundvoraussetzung für die strukturierte Schaffung von Informationssicherheit ist die Organisation der selbigen. Die VdS-Richtlinien fordern daher klar definierte Verantwortlichkeiten und die Bereitstellung der notwendigen Ressourcen (Geld, Personal, Wissen, etc.). An diesem Punkt offenbart sich bereits die größte Herausforderung, denn dies kann nur durch das Topmanagement, also der „oberste Leitungsebene“, der Geschäftsführung beziehungsweise dem Vorstand erfolgen. Die Gesamtverantwortlichkeit für Informationssicherheit liegt immer beim Topmanagement und kann auch nicht delegiert werden. Sollte das Verständnis hier nicht vorhanden sein, ist das Vorhaben Informationssicherheit zum Scheitern verurteilt. Es bedarf also einer klaren Bekennung und Verpflichtung des Topmanagements zur Informationssicherheit, erst dann können die nächsten Schritte folgen.

Rollen und Verantwortlichkeiten

Die zentrale Rolle im ISMS nach VdS 3473 ist die des Informationssicherheitsbeauftragten (ISB). Er initiiert, plant, überwacht und steuert sämtliche Tätigkeiten in diesem Bereich und unterstützt das Topmanagement in zentralen Fragen der Informationssicherheit. Gleichsam ist er Ansprechpartner für alle Mitarbeiter und ist für deren Sensibilisierung verantwortlich. Ihm zur Seite gestellt ist das Informationssicherheitsteam (IST). Dieses Gremium, das neben einem Vertreter des Topmanagements, dem ISB und dem IT-Verantwortlichen auch aus weiteren Vertretern des Personals und – sofern vorhanden – dem Datenschutzbeauftragten besteht, unterstützt den ISB bei seinen Aufgaben und ist für die Erstellung der Richtlinien zur Informationssicherheit (IS-Richtlinien) verantwortlich. Durch diese Zusammensetzung wird erreicht, dass möglichst viele Interessen im Unternehmen ausreichend Beachtung finden und umgekehrt das Thema Informationssicherheit in alle Bereiche des Unternehmens getragen wird. Informationssicherheit steht und fällt mit der Akzeptanz bei der Belegschaft, daher ist dieser Punkte von großer Bedeutung.

Leitlinie und Richtlinien zur Informationssicherheit

Nachdem die organisatorischen Voraussetzungen geschaffen wurden, gilt es diese schriftlich zu fixieren. Das zentrale Dokument ist hierbei die Leitlinie zur Informationssicherheit (IS-Leitlinie). In ihr bekennt und verpflichtet sich das Topmanagement zur Informationssicherheit und es werden die zu erreichenden Ziele mit den jeweiligen Verantwortlichkeiten definiert. Auch müssen Konsequenzen bei der Nichtbeachtung festgelegt werden.
Zur Unterstützung und Konkretisierung der IS-Leitlinie ist es erforderlich, weitere Vorgaben zu verabschieden und in einzelnen Dokumenten zu sammeln. Was in diesen Richtlinien zur Informationssicherheit (IS-Richtlinien) behandelt wird, kann je nach Unternehmen variieren. Die VdS 3473 fordert jedoch mindestens Regelungen für Nutzer, Lieferanten, mobile IT-Systeme, mobile Datenträger, Datensicherung, Störungen und Ausfälle sowie Sicherheitsvorfälle.

Regelungen für Nutzer und Lieferanten

Die Nutzer der Unternehmens-IT müssen wissen, was sie dürfen und was nicht. Generell muss die missbräuchliche oder gesetzeswidrige Nutzung verboten werden, dies betrifft insbesondere das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten. Die Nutzung der Unternehmens-IT zu privaten Zwecken impliziert eine Reihe rechtlicher Konsequenzen, die insbesondere Arbeits- und Datenschutzrechtliche Punkte betreffen. Das Für und Wider einer Privatnutzung sollte daher ausgiebig mit den Bedarfsträgern diskutiert und anschließend schriftlich fixiert werden. Grundlegende Verhaltensregeln, wie das Verbot nicht freigegebener Hard- oder Software oder das Verbot der Weitergabe von Zugangsdaten sowie der Hinweis auf die Kontrollmöglichkeiten dieser Vorgaben müssen verständlich und unmissverständlich geregelt sein. Ähnliche Regelungen werden auch für Lieferanten und sonstige Auftragnehmer gefordert. Denn diese stellen oft ein nicht zu unterschätzendes Risiko für die Informationsverarbeitung in einem Unternehmen dar.

Personal ist ein zentraler Faktor für Informationssicherheit. Es muss daher geregt werden, welche Tätigkeiten und insbesondere welche sicherheitsrelevanten Tätigkeiten bei der Einstellung, einem möglichen Wechsel und der Beendigung einer Anstellung erfolgen müssen. Die Vermittlung von Wissen in Bezug auf Informationssicherheit ist dabei wesentlich. So muss geregelt werden, dass das Personal über die Sicherheitsvorgaben des Unternehmens informiert wird und die IS-Leitlinie und die IS-Richtlinien kennt und versteht. Bei dem Wechsel einer Anstellung, zum Beispiel in eine andere Abteilung, muss sichergestellt werden, dass nicht mehr benötigte Zugriffsrechte entzogen werden, bei der Beendigung der Anstellung müssen Zugänge gesperrt oder gelöscht werden.

Kritische IT-Ressourcen

Um die Kritikalität von IT-Ressourcen, wie zum Beispiel IT-Systeme, mobile Datenträger oder Verbindungen zu bestimmen, müssen die potentiellen Auswirkungen einer Störung oder eines Ausfalls auf die Geschäftsprozesse eines Unternehmens  untersucht werden. Etablierte Vorgehensweisen sind hier die Schutzbedarfsfeststellung des BSI-Standards 100-2 oder die Business Impact Analyse (BIA) des BSI-Standards 100-4. Für kleine und mittlere Unternehmen sind diese wiederum meist zu aufwändig und komplex.

Der Minimalansatz der 3473 sieht nun vor, dass nur die zentralen Geschäftsprozesse und Prozesse mit hohem Schadenspotential untersucht werden müssen. Zu diesem Zweck muss zunächst ermittelt werden, welche Geschäftsprozesse für das Unternehmen unerlässlich sind. Diese Aufstellung ist von besonderer Bedeutung, da durch sie aus „Business-Sicht“ festgelegt wird, wie lange der entsprechende Geschäftsprozess ausfallen darf, bis es zu einem katastrophalen Schaden kommt. Dies wird auch als „Maximal tolerierbare Ausfallzeit“ (MTA) bezeichnet. Katastrophale Schäden sind beispielsweise, wenn Menschen verletzt werden oder ums Leben kommen, wenn zentrale Werte des Unternehmens zerstört werden, Gesetze gebrochen werden oder die Schadenshöhe den Fortbestand des Unternehmens gefährdet.

Im nächsten Schritt wird die Kritikalität der Informationen des Unternehmens bestimmt. „Kritisch“ kann für jedes Unternehmen unterschiedlich definiert werden. In jedem Fall sollten Informationen als kritisch gelten, wenn eine Verletzung der Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit wiederum zu katastrophalen Schäden für das Unternehmen führt. Gemeinhin werden diese Informationen als die „Kronjuwelen“ des Unternehmens bezeichnet.

Sind kritische Geschäftsprozesse und kritische Informationen identifiziert, wird ermittelt, welche IT-Systeme diese Informationen verarbeiten, über welche Netzwerke die Informationen übertragen und auf welchen mobilen Datenträgern diese Informationen gespeichert werden. Alle diese Komponenten sowie die unterstützende IT-Infrastruktur sind letztendlich als kritisch einzustufen.

Sicherheitsmaßnahmen

Diese Unterscheidung in kritische und unkritische Informationen und IT-Systeme erlaubt nun eine effiziente Absicherung, denn je nach ihrer Kritikalität müssen mehr oder weniger Sicherheitsvorkehrungen ergriffen werden. Grundanforderungen, die in jedem Fall umgesetzt werden müssen, bilden dabei den technischen und organisatorischen Rahmen. Für unkritische IT-Systeme, Netzwerke und weitere Komponenten wird ein sogenannter „Basisschutz“ gefordert, der jedoch durch eine Risikoanalyse und -behandlung kompensiert werden kann. Für kritische IT-Systeme, mobile Datenträger und Verbindungen werden grundsätzlich Risikoanalysen und zusätzliche Maßnahmen gefordert, die weit über den Basisschutz herausgehen. Dieser Mehrstufige risikobasierte Ansatz ermöglicht insbesondere KMU einen einfachen Einstieg und führt zu schnellen Ergebnissen.

Kompatibilität

Die VdS-Richtlinien 3473 sind kompatibel zu den anerkannten Standards. Dies macht die Implementierung auch für Unternehmen interessant, die zukünftig beispielsweise eine Zertifizierung nach ISO 27001 anstreben oder nur in Teilbereichen eine Zertifizierung benötigen. Zudem empfehlen sie regelmäßig den Einsatz anerkannter Standards, wie zum Beispiel ISO 9001 für die Steuerung von Verfahren, ISO 31000 für Risikoanalysen oder BSI 100-4 für die Durchführung von Business Impact Analysen. Werden diese nicht genutzt, können die Verfahren der VdS 3473 genutzt werden, die wiederum einen Minimalansatz darstellen.

Resümee und Ausblick

Die VdS 3473 tritt bei vielen Informationssicherheitsverantwortlichen offene Türen ein, da nun erstmals eine mit überschaubarem Aufwand umsetzbare Alternative zum IT-Grundschutz und der ISO 27001 verfügbar ist. Die seit der Veröffentlichung durchgeführten Projekte, Audits und Zertifizierungen bestätigen den Bedarf und die Praxistauglichkeit. Bereits drei Monate nach der Veröffentlichung erreichten die VdS-Richtlinien bei einer Umfrage der Allianz für Cyber-Sicherheit Platz drei bei den geplanten ISMS. Eine englische und türkische Übersetzung zeigen, dass sie auch international Beachtung findet.
Aktuell führt die VdS Schadenverhütung eine erste Revision der Richtlinien durch, die jedoch lediglich kleinere Fehler bereinigt und keine inhaltlichen Änderungen erwarten lässt. Parallel wird bereits an der Weiterentwicklung gearbeitet, wo auch erste Rückmeldungen der Versicherer aus regulierten Schadensfällen einfließen. Rund um die VdS-Richtlinien 3473 ist ein Ökosystem aus VdS-anerkannten Beratern, Implementierungssoftware, und dem 3473 Wiki mit kompletter Kommentierung und Umsetzungshilfen entstanden. Weitere Angebote sind bereits in der Planung.

Dieser Artikel ist erschienen in Wirtschaftsinformatik & Management 4/2016 (Springer Professional).