VdS-10000-Anforderungen: Alle 19 Kapitel

VdS 10000: Alle Anforderungen im Ueberblick

Die VdS-Richtlinie 10000 (VdS 10000) ist der Nachfolger der VdS 3473 und definiert ein Informationssicherheits-Managementsystem (ISMS) speziell fuer kleine und mittlere Unternehmen (KMU). Der Standard umfasst insgesamt 75 Controls in 16 thematischen Kapiteln (Kapitel 4 bis 19). Damit bietet VdS 10000 einen pragmatischen Einstieg in die Informationssicherheit, ohne den Umfang und die Komplexitaet der ISO 27001 mit ihren 93 Controls.

Auf dieser Seite findest du eine detaillierte Uebersicht aller 16 Anforderungsbereiche. Wenn du bereits ISO 27001 kennst, hilft dir unser Vergleich VdS 10000 vs. ISO 27001 beim Einordnen der Unterschiede.

Die 16 Anforderungsbereiche im Detail

Kapitel 4: Organisation der Informationssicherheit

Das Fundament jedes ISMS: Du musst eine klare Organisationsstruktur fuer die Informationssicherheit schaffen. Dazu gehoert die Benennung eines Informationssicherheitsbeauftragten (ISB), die Definition von Rollen und Verantwortlichkeiten sowie die Einbindung der Geschaeftsfuehrung. Die Geschaeftsleitung muss die Informationssicherheit aktiv unterstuetzen und ausreichend Ressourcen bereitstellen.

Kapitel 5: Leitlinie zur Informationssicherheit

Die Geschaeftsfuehrung muss eine Informationssicherheitsleitlinie verabschieden. Dieses Dokument definiert die Sicherheitsziele, den Geltungsbereich des ISMS und die grundsaetzliche Ausrichtung der Sicherheitsstrategie. Die Leitlinie ist regelmaessig zu ueberpruefen und bei Bedarf zu aktualisieren. Sie dient als uebergeordnetes Rahmenwerk, aus dem sich alle weiteren Richtlinien und Massnahmen ableiten.

Kapitel 6: Risikomanagement

VdS 10000 verlangt eine systematische Risikoanalyse und -bewertung. Du identifizierst Bedrohungen und Schwachstellen, bewertest die Eintrittswahrscheinlichkeit und potenzielle Auswirkungen und leitest daraus Massnahmen zur Risikobehandlung ab. Der Prozess muss dokumentiert und regelmaessig wiederholt werden. Im Vergleich zur ISO 27001 ist der Ansatz bewusst vereinfacht und KMU-tauglich gehalten.

Kapitel 7: Personalsicherheit

Mitarbeiter sind ein zentraler Faktor der Informationssicherheit. Kapitel 7 fordert Massnahmen vor, waehrend und nach der Beschaeftigung: Sicherheitsueberpruefungen bei der Einstellung, regelmaessige Sensibilisierungen und Schulungen, klare Regelungen bei Austritt und Abteilungswechsel. Jeder Mitarbeiter muss seine Rolle in der Informationssicherheit kennen und verstehen.

Kapitel 8: Asset Management

Alle Informationswerte (Assets) muessen identifiziert, inventarisiert und klassifiziert werden. Dazu gehoeren Hardware, Software, Daten, Dienste und Infrastrukturkomponenten. Fuer jedes Asset muss ein Verantwortlicher benannt werden. Die Klassifizierung nach Schutzbedarf (Vertraulichkeit, Integritaet, Verfuegbarkeit) bildet die Grundlage fuer alle weiteren Schutzmassnahmen.

Kapitel 9: Zugangs- und Zugriffssteuerung

VdS 10000 fordert eine restriktive Zugangs- und Zugriffskontrolle nach dem Least-Privilege-Prinzip. Benutzerkonten muessen individuell zugeordnet, Berechtigungen regelmaessig ueberprueft und nicht mehr benoetigte Zugaenge zeitnah deaktiviert werden. Passwortrichtlinien, Multi-Faktor- Authentifizierung und die Trennung von administrativen und normalen Konten sind zentrale Anforderungen.

Kapitel 10: Kryptografie

Der Standard verlangt den sachgerechten Einsatz kryptografischer Verfahren zum Schutz von Daten bei Uebertragung und Speicherung. Du musst eine Kryptografie-Richtlinie erstellen, die festlegt, wann und wie Verschluesselung eingesetzt wird. Schluesselmanagement, die Verwendung aktueller Algorithmen und die sichere Speicherung von Schluesseln sind wesentliche Bestandteile.

Kapitel 11: Physische und umgebungsbezogene Sicherheit

IT-Systeme und sensible Bereiche muessen vor unbefugtem physischem Zugang, Umweltgefahren (Feuer, Wasser, Strom) und Diebstahl geschuetzt werden. VdS 10000 fordert Zutrittskontrollsysteme fuer Serverraeume, Schutz vor Umwelteinwirkungen und Regelungen fuer den sicheren Umgang mit Geraeten ausserhalb der Geschaeftsraeume.

Kapitel 12: Betriebssicherheit

Dieses umfangreiche Kapitel adressiert den sicheren IT-Betrieb: dokumentierte Betriebsverfahren, Change Management, Kapazitaetsplanung, Trennung von Entwicklungs- und Produktionsumgebungen, Schutz vor Schadsoftware, Datensicherung (Backup), Protokollierung und Ueberwachung sowie Schwachstellenmanagement. Regelmaessige Backups und deren Wiederherstellungstests sind besonders wichtig.

Kapitel 13: Kommunikationssicherheit

Die Sicherheit von Netzwerken und Datenuebertragungen steht im Fokus. VdS 10000 fordert eine Netzwerksegmentierung, sichere Netzwerkdienste und Regelungen fuer den Informationsaustausch. Firewalls, VPN- Verbindungen, E-Mail-Sicherheit und der Schutz von Netzwerkuebergaengen sind typische Umsetzungsthemen.

Kapitel 14: Systementwicklung und -wartung

Falls du Software entwickelst oder beschaffst, muessen Sicherheitsanforderungen von Anfang an beruecksichtigt werden (Security by Design). Der Standard fordert sichere Entwicklungsprozesse, Testverfahren fuer Sicherheitsfunktionen und ein kontrolliertes Aenderungsmanagement fuer bestehende Systeme.

Kapitel 15: Lieferantenbeziehungen

VdS 10000 verlangt eine systematische Steuerung der Informationssicherheit in Lieferantenbeziehungen. Du musst Sicherheitsanforderungen vertraglich vereinbaren, Lieferanten hinsichtlich ihrer Sicherheitspraktiken bewerten und die Einhaltung ueberwachen. Besonders wichtig: Cloud-Dienste und IT-Dienstleister, die Zugang zu sensiblen Daten haben.

Kapitel 16: Incident Management

Sicherheitsvorfaelle muessen erkannt, gemeldet, bewertet und behandelt werden. Du brauchst klare Prozesse fuer die Vorfallsbehandlung: Wer meldet was an wen? Wie werden Vorfaelle eskaliert? Wie erfolgt die Nachbereitung? Erkenntnisse aus Vorfaellen muessen zurueckfliessen in das Risikomanagement und die Verbesserung der Schutzmassnahmen.

Kapitel 17: Business Continuity Management

Die Aufrechterhaltung des Geschaeftsbetriebs bei Sicherheitsvorfaellen oder Ausfaellen ist ein zentrales Thema. VdS 10000 fordert Notfallplaene, definierte Wiederherstellungszeiten (RTO) und Wiederherstellungspunkte (RPO) sowie regelmaessige Tests der Notfallplaene. Der Fokus liegt auf pragmatischen, fuer KMU umsetzbaren Massnahmen.

Kapitel 18: Compliance

Du musst gesetzliche, regulatorische und vertragliche Anforderungen an die Informationssicherheit identifizieren und einhalten. Dazu gehoeren Datenschutzgesetze (DSGVO), branchenspezifische Regulierungen und vertragliche Verpflichtungen gegenueber Kunden und Partnern. Regelmaessige Compliance-Pruefungen sind erforderlich.

Kapitel 19: Dokumentation und Aufzeichnungen

Alle relevanten Prozesse, Entscheidungen und Massnahmen muessen nachvollziehbar dokumentiert werden. VdS 10000 definiert Anforderungen an die Erstellung, Lenkung, Aufbewahrung und Vernichtung von Dokumenten. Eine strukturierte Dokumentation ist nicht nur fuer das Audit wichtig, sondern bildet die Grundlage fuer ein funktionierendes ISMS im Tagesgeschaeft.

Uebersicht aller Anforderungsbereiche

Was unterscheidet VdS 10000 von ISO 27001?

VdS 10000 deckt mit 75 Controls die gleichen Themenbereiche ab wie die ISO 27001, ist aber bewusst schlanker und praxisnaeher gestaltet. Der Standard verzichtet auf die umfangreiche Dokumentationspflicht der ISO 27001 und setzt auf pragmatische Umsetzung statt formaler Vollstaendigkeit. Das macht ihn ideal als Einstieg in die zertifizierte Informationssicherheit und als Vorbereitung auf ein spaeteres ISO-27001-Upgrade. Einen ausfuehrlichen Vergleich findest du auf unserer Seite VdS 10000 vs. ISO 27001.

So setzt du die Anforderungen um

Die Umsetzung aller 75 Controls erfordert einen strukturierten Ansatz. Starte mit einer Gap-Analyse gegen die 16 Anforderungsbereiche und priorisiere nach Risiko und Aufwand. Unsere VdS-10000-Checkliste bietet dir einen 10-Schritte-Plan von der ersten Analyse bis zur Zertifizierung. Konkrete technische und organisatorische Umsetzungshinweise findest du auf unserer Seite zu den VdS-10000-Massnahmen.

Ein typisches KMU mit 50 bis 250 Mitarbeitern kann die VdS-10000-Zertifizierung in 3 bis 6 Monaten erreichen. Die Zertifizierungskosten beginnen ab 3.599 EUR und sind damit deutlich geringer als bei der ISO 27001 (ab ca. 15.000 EUR). Das macht VdS 10000 zur wirtschaftlichsten Option fuer den Einstieg in die zertifizierte Informationssicherheit.