Erkenntnisse aus zwei Jahren VdS 3473

Im Juli feierten die VdS-Richtlinien 3473 ihren zweiten Geburtstag. Seitdem konnten viele Erfahrungen gesammelt werden, die ich in einem Workshop auf der LeetCon 2017 in Hannover präsentiert habe. Hier nun noch einmal zusammenfassend die wichtigsten Erkenntnisse aus zwei Jahren VdS 3473.

Unternehmen

  • Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz
  • Funktioniert jedoch auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (internationalen) Standorten
  • Wird als „Baseline“ genutzt und durch ergänzende Maßnahmen angepasst (z.B. bei Teilbereichen mit ISO 27001-Anforderung)

Branchen

Die Richtlinien funktionieren branchenübergreifend.  z.B.

  • Produzierendes Gewerbe/ Industrie
  • Anlagen- und Maschinenbau
  • Banken- und Versicherungswirtschaft
  • Ver- und Entsorgungsunternehmen
  • Stadtverwaltungen, Gemeinden, Kommunen
  • Transport & Logistik
  • Gesundheitswesen

Aufwand für die Einführung

  • 5 – 30 (externe) Beratertage zur Einführung
  • 10 – 60 (interne) Personentage für ISB
  • 1 – 18 Monate Umsetzungszeit
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …

Aufwand für den Betrieb

  • 1 – 3 Personentage pro Monat für ISB
  • 0,5 – 1 Personentag pro Monat für IST
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …)

Probleme

Fähigkeiten des Unternehmens

  • Mangelndes Engagement des Topmanagements
  • Unzureichende Fähigkeiten im Change- bzw. Projektmanagement
  • Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten
  • Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc.

Fähigkeiten der Mitarbeiter

  • Führungsschwäche bei Topmanagement oder Personalverantwortlichen
  • Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB)
  • Mangelnde Fachkompetenz

Herangehensweise

  • Initialer Reifegrad wird zu hoch angesetzt
  • Unreflektiertes Übernehmen von Templates
  • Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe
  • Unzureichende Ressourcen (Tagesgeschäft)
  • Unzureichende Beachtung interner (politischer) Gegebenheiten

Entwicklungen

Richtlinien

  • Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen
  • Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO)
  • Integration in Umsetzungs-Tools (z.B. DocSetMinder, verinice)
  • Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen

VdS Schadenverhütung

  • Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme
  • Mapping-Projekt mit BSI IT-Grundschutz
  • Synopse-Projekt VdS 3473 – ISO 27001
  • VdS 10010 zur Umsetzung der DSGVO, basierend auf 3473-Struktur

Versicherer

  • Musterbedingungen für Cyber-Versicherungen
  • VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police
  • Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung

Ausblick

  • Weitere Leitfäden zur Umsetzung (z.B. Gesundheitswesen, Kommunen)
  • Revision und Überführung in 10000er-Reihe (2018?)
  • Anerkannter Stand der Technik?

Die Folien zum Workshop können hier abgerufen werden. Weiterführende Informationen für eine erfolgreiche Umsetzung der VdS 3473 gibt es im VdS 3473 Wiki.