VdS-10000-Checkliste: Schritt für Schritt

VdS-10000-Checkliste: In 10 Schritten zur Zertifizierung

Die VdS-Richtlinie 10000 definiert 75 Controls in 16 Kapiteln. Eine strukturierte Vorgehensweise ist entscheidend, um die Zertifizierung effizient zu erreichen. Diese Checkliste fuehrt dich in zehn konkreten Schritten von der ersten Analyse bis zur bestandenen Zertifizierung. Jeder Schritt enthaelt eine Beschreibung, den Bezug zu den relevanten VdS-10000-Kapiteln und eine realistische Zeitschaetzung.

Die Gesamtdauer fuer die VdS-10000-Zertifizierung liegt typisch bei 3 bis 6 Monaten mit einem GRC-Tool und bei 6 bis 12 Monaten ohne Tool-Unterstuetzung. Die Zertifizierungskosten beginnen ab 3.599 EUR.

Schritt 1: Gap-Analyse durchfuehren

Ziel: Den Ist-Zustand gegen alle 75 VdS-10000-Controls bewerten und die groessten Luecken identifizieren.

Relevante Kapitel: Kap. 4-19 (gesamte Richtlinie)

Zeitrahmen: 1-2 Wochen

Arbeite systematisch jedes der 16 Kapitel durch und dokumentiere fuer jeden Anforderungsbereich, ob und in welchem Umfang eine Umsetzung bereits erfolgt ist. Priorisiere die Luecken nach Kritikalitaet und Aufwand. Kopexa bietet hierfuer einen vorgeladenen VdS-10000-Anforderungskatalog, der dir sofort zeigt, wo Handlungsbedarf besteht.

Schritt 2: Organisationsstruktur aufsetzen

Ziel: Einen Informationssicherheitsbeauftragten (ISB) benennen und die Geschaeftsfuehrung formal einbinden.

Relevante Kapitel: Kap. 4 (Organisation)

Zeitrahmen: 1 Woche

VdS 10000 verlangt einen benannten ISB, der die Informationssicherheit koordiniert. In KMU kann diese Rolle in Teilzeit wahrgenommen werden. Entscheidend ist, dass die Geschaeftsfuehrung ihre Verantwortung fuer die Informationssicherheit formell anerkennt und ausreichend Ressourcen bereitstellt. Dokumentiere die Rollenverteilung und Berichtslinien.

Schritt 3: Informationssicherheitsleitlinie erstellen

Ziel: Eine Sicherheitsleitlinie verabschieden, die Ziele, Geltungsbereich und Verantwortlichkeiten definiert.

Relevante Kapitel: Kap. 5 (Leitlinie)

Zeitrahmen: 1 Woche

Die Leitlinie ist das uebergeordnete Dokument deines ISMS. Sie muss von der Geschaeftsfuehrung genehmigt und allen Mitarbeitern bekannt gemacht werden. Halte sie praxisnah und verstaendlich. Vermeide Fachsprache, die nicht jeder Mitarbeiter versteht. Die Leitlinie ist mindestens jaehrlich zu ueberpruefen.

Schritt 4: Risikoanalyse durchfuehren

Ziel: Informationssicherheitsrisiken systematisch identifizieren, bewerten und Behandlungsmassnahmen definieren.

Relevante Kapitel: Kap. 6 (Risikomanagement)

Zeitrahmen: 2-3 Wochen

Identifiziere Bedrohungen und Schwachstellen fuer deine kritischen Assets. Bewerte die Risiken nach Eintrittswahrscheinlichkeit und Auswirkung. Entscheide fuer jedes Risiko, ob du es minderst, akzeptierst, transferierst oder vermeidest. VdS 10000 bietet einen vereinfachten Ansatz im Vergleich zur ISO 27001, der fuer KMU gut umsetzbar ist. Mehr dazu auf unserer Seite zum Massnahmen.

Schritt 5: Asset-Inventar aufbauen

Ziel: Alle Informationswerte inventarisieren, klassifizieren und Verantwortliche zuordnen.

Relevante Kapitel: Kap. 8 (Asset Management)

Zeitrahmen: 2-3 Wochen

Erfasse alle relevanten Assets: Server, Arbeitsplaetze, Mobilgeraete, Software, Cloud-Dienste, Datenbanken und Netzwerkkomponenten. Ordne jedem Asset einen Verantwortlichen zu und klassifiziere nach Schutzbedarf. Dieses Inventar bildet die Grundlage fuer die Risikoanalyse und alle technischen Schutzmassnahmen.

Schritt 6: Technische Schutzmassnahmen implementieren

Ziel: Die technischen Anforderungen aus den Kapiteln 9-14 umsetzen.

Relevante Kapitel: Kap. 9 (Zugangssteuerung), Kap. 10 (Kryptografie), Kap. 11 (Physische Sicherheit), Kap. 12 (Betriebssicherheit), Kap. 13 (Kommunikationssicherheit), Kap. 14 (Systementwicklung)

Zeitrahmen: 3-6 Wochen

Dies ist der umfangreichste Schritt. Implementiere Massnahmen in allen technischen Bereichen: Berechtigungskonzept, Passwortrichtlinien, Verschluesselung, Backup-Strategie, Patch-Management, Netzwerksegmentierung und Protokollierung. Viele KMU haben bereits Basismassnahmen umgesetzt. Die Gap-Analyse aus Schritt 1 zeigt dir, wo noch Handlungsbedarf besteht. Detaillierte Umsetzungshinweise findest du auf unserer Seite zu den VdS-10000-Massnahmen.

Schritt 7: Lieferantenmanagement aufsetzen

Ziel: Sicherheitsanforderungen fuer Lieferanten und Dienstleister definieren und vertraglich verankern.

Relevante Kapitel: Kap. 15 (Lieferantenbeziehungen)

Zeitrahmen: 1-2 Wochen

Identifiziere alle Lieferanten und IT-Dienstleister, die Zugang zu sensiblen Daten haben oder kritische Dienste erbringen. Pruefe bestehende Vertraege auf Sicherheitsklauseln und ergaenze fehlende Anforderungen. Definiere ein Verfahren zur regelmaessigen Bewertung der Lieferantensicherheit.

Schritt 8: Incident Management und Notfallplaene erstellen

Ziel: Prozesse fuer die Erkennung, Behandlung und Nachbereitung von Sicherheitsvorfaellen sowie Notfallplaene definieren.

Relevante Kapitel: Kap. 16 (Incident Management), Kap. 17 (Business Continuity)

Zeitrahmen: 2-3 Wochen

Definiere klare Meldewege und Eskalationsstufen fuer Sicherheitsvorfaelle. Erstelle Notfallplaene fuer die wichtigsten Szenarien (Ransomware, Datenverlust, Serverausfall). Lege Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) fest. Plane mindestens eine jaehrliche Notfalluebung ein.

Schritt 9: Mitarbeiter schulen und sensibilisieren

Ziel: Alle Mitarbeiter in Informationssicherheit schulen und das Sicherheitsbewusstsein staerken.

Relevante Kapitel: Kap. 7 (Personalsicherheit)

Zeitrahmen: 1-2 Wochen

Fuehre eine Grundschulung fuer alle Mitarbeiter durch: Umgang mit Passwoertern, Phishing-Erkennung, Clean-Desk-Policy, Meldewege bei Vorfaellen. Die Geschaeftsfuehrung muss ebenfalls geschult werden. Dokumentiere alle Schulungen mit Inhalten, Teilnehmern und Datum. Plane regelmaessige Auffrischungsschulungen ein.

Schritt 10: Audit-Vorbereitung und Zertifizierung

Ziel: Nachweisfaehigkeit sicherstellen und das Zertifizierungsaudit erfolgreich bestehen.

Relevante Kapitel: Kap. 18 (Compliance), Kap. 19 (Dokumentation)

Zeitrahmen: 2-3 Wochen

Fuehre ein internes Audit gegen alle VdS-10000-Anforderungen durch. Stelle sicher, dass fuer jedes der 75 Controls ausreichend Nachweise vorliegen: genehmigte Richtlinien, Risikoanalyse, Asset-Inventar, Schulungsnachweise und technische Konfigurationsbelege. Korrigiere identifizierte Schwachstellen vor dem externen Audit. Tipps zur optimalen Vorbereitung findest du auf unserer Seite zur Audit-Vorbereitung.

Zeitvergleich: Mit Kopexa vs. ohne Tool

Die Zeitersparnis mit Kopexa resultiert aus vorgeladenen Anforderungskatalogen, integrierten Vorlagen fuer Richtlinien und Risikoanalysen, automatisiertem Evidence-Management und Echtzeit-Fortschrittstracking. Besonders bei der Gap-Analyse und dem Asset-Inventar macht die Plattform den groessten Unterschied.

Haeufige Fehler vermeiden

• Zu frueh mit Technik starten: Implementiere erst die organisatorischen Grundlagen (Schritte 1-4), bevor du in technische Massnahmen investierst. Ohne Risikoanalyse weisst du nicht, wo die groessten Risiken liegen.
• Dokumentation vernachlaessigen: Der VdS-Auditor prueft nicht nur, ob Massnahmen existieren, sondern ob sie dokumentiert sind. Fuehre die Dokumentation von Anfang an parallel zur Umsetzung.
• Geschaeftsfuehrung nicht einbinden: Ohne aktive Unterstuetzung der Geschaeftsfuehrung scheitern ISMS-Projekte regelmaessig. Stelle sicher, dass die Leitung informiert und engagiert ist.
• Mitarbeiterschulung vergessen: Die beste Technik nuetzt nichts, wenn Mitarbeiter Phishing-Mails oeffnen oder Passwoerter teilen. Schulungen sind keine Kuer, sondern Pflicht.
• Notfallplaene nicht testen: Ein Notfallplan, der nie getestet wurde, ist im Ernstfall wertlos. Plane mindestens eine jaehrliche Uebung ein.