Schwerpunkte

Erste Schritte in Richtung »ISO 27001«

Informationssicherheit für KMUs

16. Dezember 2015, 10:22 Uhr   |  Daniel Dubsky | Kommentar(e)


Fortsetzung des Artikels von Teil 1 .

Basis für Versicherung gegen Cyber-Schäden

Mark Semmler, Sicherheitsexperte und Projektleiter der »VdS 3473«-Entwicklung
© Mark Semmler

Mark Semmler, Sicherheitsexperte und Projektleiter der »VdS 3473«-Entwicklung

Die Richtlinien sind kostenfrei verfügbar. Nach ihrer Umsetzung besteht die Möglichkeit, sich vom VdS – einer Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft – auditieren und zertifizieren zu lassen. Das Siegel soll nicht nur ein bestimmtes Schutzniveau nachweisen, um Vertrauen bei Kunden und Geschäftspartnern zu generieren, sondern dient auch als Basis für die Versicherung möglicher Cyber-Schäden. Zwar sei das Sicherheitsniveau geringer als beim BSI Grundschutz oder bei ISO 27001, so Semmler. Doch die Maßnahmen wären »aufwärtskompatibel« und die Umsetzung der großen Normen werde an vielen Stellen explizit empfohlen. »Die 3473 ist das erste Basislager für den Gipfelsturm zur ISO 27001«, betont der Sicherheitsexperte.

VdS 3473 sieht zunächst einige organisatorische Schritte vor. So müssen Verantwortlichkeiten festgelegt werden, wozu etwa das Ernennen eines Informationssicherheitsbeauftragten und das Etablieren eines Informationssicherheitsteams zählen. Außerdem gilt es, Ressourcen für diese bereitzustellen und Leitlinien anzufertigen. Anschließend findet eine Einteilung in kritische und nicht-kritische IT-Ressourcen statt: Unternehmen müssen ihre kritischen Systeme identifizieren – für diese werden dann eine individuelle Risikoanalyse und Risikobehandlung vorgenommen sowie technische und organisatorische Maßnahmen für ihren Schutz eingeleitet. Hier geht es beispielsweise um die Umsetzung einer höheren Datensicherheit oder eine physikalische Sicherung der Räumlichkeiten. Für die nicht-kritischen Systeme wird dagegen nur ein einfacher Basisschutz definiert, etwa das Einspielen von Updates oder Beschränkungen des Netzwerkverkehrs.

Die VdS-Richtlinie sei zwar international noch nicht anerkannt, erklärt Semmler. Dafür wäre sie aber speziell für KMUs konzipiert und enthalte konkrete Vorgaben für Informationssicherheit, die nur einen minimalen Aufwand erfordern.

Seite 2 von 2

1. Informationssicherheit für KMUs
2. Basis für Versicherung gegen Cyber-Schäden

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Sysob

IT-Security

Datenschutz