Erkenntnisse aus zwei Jahren VdS 3473

Im Juli feierten die VdS-Richtlinien 3473 ihren zweiten Geburtstag. Seitdem konnten viele Erfahrungen gesammelt werden, die ich in einem Workshop auf der LeetCon 2017 in Hannover präsentiert habe. Hier nun noch einmal zusammenfassend die wichtigsten Erkenntnisse aus zwei Jahren VdS 3473.

Unternehmen

  • Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz
  • Funktioniert jedoch auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (internationalen) Standorten
  • Wird als „Baseline“ genutzt und durch ergänzende Maßnahmen angepasst (z.B. bei Teilbereichen mit ISO 27001-Anforderung)

Branchen

Die Richtlinien funktionieren branchenübergreifend.  z.B.

  • Produzierendes Gewerbe/ Industrie
  • Anlagen- und Maschinenbau
  • Banken- und Versicherungswirtschaft
  • Ver- und Entsorgungsunternehmen
  • Stadtverwaltungen, Gemeinden, Kommunen
  • Transport & Logistik
  • Gesundheitswesen

Aufwand für die Einführung

  • 5 – 30 (externe) Beratertage zur Einführung
  • 10 – 60 (interne) Personentage für ISB
  • 1 – 18 Monate Umsetzungszeit
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …

Aufwand für den Betrieb

  • 1 – 3 Personentage pro Monat für ISB
  • 0,5 – 1 Personentag pro Monat für IST
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …)

Probleme

Fähigkeiten des Unternehmens

  • Mangelndes Engagement des Topmanagements
  • Unzureichende Fähigkeiten im Change- bzw. Projektmanagement
  • Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten
  • Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc.

Fähigkeiten der Mitarbeiter

  • Führungsschwäche bei Topmanagement oder Personalverantwortlichen
  • Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB)
  • Mangelnde Fachkompetenz

Herangehensweise

  • Initialer Reifegrad wird zu hoch angesetzt
  • Unreflektiertes Übernehmen von Templates
  • Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe
  • Unzureichende Ressourcen (Tagesgeschäft)
  • Unzureichende Beachtung interner (politischer) Gegebenheiten

Entwicklungen

Richtlinien

  • Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen
  • Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO)
  • Integration in Umsetzungs-Tools (z.B. DocSetMinder, verinice)
  • Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen

VdS Schadenverhütung

  • Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme
  • Mapping-Projekt mit BSI IT-Grundschutz
  • Synopse-Projekt VdS 3473 – ISO 27001
  • VdS 10010 zur Umsetzung der DSGVO, basierend auf 3473-Struktur

Versicherer

  • Musterbedingungen für Cyber-Versicherungen
  • VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police
  • Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung

Ausblick

  • Weitere Leitfäden zur Umsetzung (z.B. Gesundheitswesen, Kommunen)
  • Revision und Überführung in 10000er-Reihe (2018?)
  • Anerkannter Stand der Technik?

Die Folien zum Workshop können hier abgerufen werden. Weiterführende Informationen für eine erfolgreiche Umsetzung der VdS 3473 gibt es im VdS 3473 Wiki.

VdS 3473 Wiki ist online!

Das Wiki zu den VdS-Richtlinien 3473 ist am 1. Juli 2016 – exakt ein Jahr nach der Veröffentlichung der Richtlinien – online gegangen. Es ist jedoch noch nicht komplett fertig, so dass in den nächsten Monaten noch viel Arbeit investiert werden muss, um alle versprochenen Inhalte zur Verfügung zu stellen. Deshalb gibt es ein Einführungsangebot, das bis zum 01.10.2016 gültig ist. Weitere Infos unter www.3473-wiki.de.

Channel Trends and Visions 2016

Die 3473 Gurus und die VdS Schadenverhütung sind am 15. April 2016 mit einem Stand (Bereich A4) auf der diesjährigen ALSO Channel Trends and Visions in der Jahrhunderthalle in Bochum vertreten. Die VdS, Mark Semmler und ich werden hier über die VdS 3473 informieren und das 3473 Wiki vorstellen. Die Channel Trends and Visions ist mit mehr als 150 Ausstellern die wohl größte Channel-Messe im deutschsprachigen Raum (Link zum Hallenplan).