IT-Sicherheit nach VdS 10000

IT-Sicherheit nach VdS 10000: Technische Massnahmen im Ueberblick

Die technischen Sicherheitsmassnahmen bilden einen wesentlichen Bestandteil der VdS 10000. Die Richtlinie definiert konkrete Anforderungen an die IT-Infrastruktur, die dein Unternehmen umsetzen muss, um ein angemessenes Sicherheitsniveau zu erreichen. Waehrend organisatorische Massnahmen den Rahmen vorgeben, sorgen die technischen Controls dafuer, dass Bedrohungen auf Systemebene abgewehrt werden.

Dieser Leitfaden gibt dir einen strukturierten Ueberblick ueber alle technischen Sicherheitsbereiche, die VdS 10000 abdeckt. Die vollstaendige Liste aller 75 Controls findest du in den VdS-10000-Massnahmen. Die uebergeordneten Anforderungen stellen den Gesamtkontext her.

Netzwerksicherheit: Firewalls und Segmentierung

Die Netzwerksicherheit ist die erste Verteidigungslinie deiner IT-Infrastruktur. VdS 10000 verlangt, dass der Uebergang zwischen internem Netzwerk und externen Netzwerken (insbesondere dem Internet) durch geeignete Schutzmechanismen abgesichert ist.

Firewall-Anforderungen

• Perimeter-Firewall: Jede Verbindung zum Internet muss durch eine konfigurierte Firewall geschuetzt sein. Default-Deny-Prinzip: Nur explizit freigegebener Datenverkehr wird zugelassen.
• Regelwerk-Dokumentation: Alle Firewall-Regeln muessen dokumentiert sein. Jede Regel benoetigt eine Begruendung und einen Verantwortlichen.
• Regelmaessige Pruefung: Das Firewall-Regelwerk ist mindestens halbjaehrlich auf Aktualitaet und Notwendigkeit zu pruefen. Veraltete Regeln sind zu entfernen.

Netzwerksegmentierung

VdS 10000 fordert eine Trennung von Netzwerkbereichen nach Sicherheitsbedarf. Typische Segmente:

• Produktivnetzwerk (Server, Dienste)
• Bueronetzwerk (Arbeitsplaetze)
• Gaeste-WLAN (separiert vom Produktivnetz)
• Demilitarisierte Zone (DMZ) fuer extern erreichbare Dienste
• Management-Netzwerk fuer Administrationsaufgaben

Die Segmentierung begrenzt den moeglichen Schaden bei einem erfolgreichen Angriff. Selbst wenn ein Angreifer in ein Segment eindringt, hat er keinen direkten Zugriff auf andere Bereiche.

Zugriffsschutz: Authentifizierung und Berechtigungskonzept

Der Zugriffsschutz stellt sicher, dass nur autorisierte Personen auf Systeme und Daten zugreifen koennen. VdS 10000 definiert klare Anforderungen an die Authentifizierung und das Berechtigungskonzept.

Authentifizierung

• Individuelle Benutzerkonten: Jeder Mitarbeiter erhaelt ein persoenliches Benutzerkonto. Geteilte Konten sind nicht zulaessig.
• Starke Passwoerter: Mindestlaenge, Komplexitaetsanforderungen und regelmaessiger Wechsel oder alternativ Einsatz eines Passwort-Managers.
• Multi-Faktor-Authentifizierung (MFA): Fuer den Zugriff auf kritische Systeme, Fernzugriff und administrative Konten wird MFA dringend empfohlen.
• Kontosperrung: Automatische Sperrung nach mehreren fehlgeschlagenen Anmeldeversuchen.

Berechtigungskonzept

• Prinzip der minimalen Berechtigung: Jeder Mitarbeiter erhaelt nur die Zugriffsrechte, die fuer seine Taetigkeit erforderlich sind.
• Regelmaessige Ueberpruefung: Berechtigungen werden mindestens jaehrlich geprueft und bei Rollenwechseln oder Austritt sofort angepasst.
• Administrative Konten: Separate Konten fuer Administrationsaufgaben. Administratoren nutzen fuer den Arbeitsalltag ein normales Benutzerkonto.
• Dokumentation: Alle Berechtigungen sind dokumentiert und nachvollziehbar.

Verschluesselung

VdS 10000 fordert den Einsatz von Verschluesselung zum Schutz sensibler Daten. Dies umfasst zwei Bereiche:

• Verschluesselung bei der Uebertragung: Alle Verbindungen, ueber die sensible Daten transportiert werden, muessen verschluesselt sein (z. B. TLS/HTTPS, VPN). Dies gilt insbesondere fuer Fernzugriffe, E-Mail-Kommunikation und Cloud-Anbindungen.
• Verschluesselung im Ruhezustand: Sensible Daten auf mobilen Geraeten (Laptops, Smartphones, USB-Sticks) muessen verschluesselt gespeichert werden. Bei Verlust oder Diebstahl ist so ein Zugriff auf die Daten nicht moeglich.

Die eingesetzten Verschluesselungsverfahren muessen dem aktuellen Stand der Technik entsprechen. Veraltete Protokolle (z. B. SSL 3.0, TLS 1.0) sind zu deaktivieren.

Patch-Management

Ein strukturiertes Patch-Management ist eine der wirkungsvollsten Sicherheitsmassnahmen. Viele erfolgreiche Cyberangriffe nutzen bekannte Schwachstellen aus, fuer die bereits Patches verfuegbar sind.

VdS 10000 verlangt:

• Zeitnahe Installation: Sicherheitsupdates fuer Betriebssysteme, Anwendungen und Netzwerkkomponenten muessen zeitnah eingespielt werden. Sicherheitskritische Patches innerhalb von Tagen, nicht Wochen.
• Testverfahren: Vor dem Ausrollen auf Produktivsysteme sind Patches in einer Testumgebung zu pruefen, um Kompatibilitaetsprobleme zu vermeiden.
• Ueberblick ueber Softwarestand: Ein aktuelles Inventar aller installierten Software mit Versionsnummern ist zu fuehren.
• End-of-Life-Software: Software, die vom Hersteller nicht mehr unterstuetzt wird, ist durch aktuelle Alternativen zu ersetzen oder durch kompensierende Massnahmen abzusichern.

Backup und Recovery

Die Datensicherung ist fuer viele KMU die letzte Verteidigungslinie gegen Ransomware und Datenverlust. VdS 10000 stellt klare Anforderungen an das Backup-Konzept:

• Regelmaessige Sicherung: Alle geschaeftsrelevanten Daten muessen regelmaessig gesichert werden. Die Haeufigkeit richtet sich nach der Aenderungsrate und dem akzeptablen Datenverlust.
• Raeumliche Trennung: Mindestens eine Backup-Kopie muss raeumlich getrennt vom Originaldatenbestand aufbewahrt werden (z. B. externes Rechenzentrum, Cloud-Backup).
• Regelmaessige Wiederherstellungstests: Backups, die nicht getestet werden, sind wertlos. Die Wiederherstellungsfaehigkeit ist regelmaessig zu pruefen.
• Dokumentation: Backup-Zeitplaene, Aufbewahrungsfristen, Verantwortlichkeiten und Testergebnisse sind zu dokumentieren.

Eine bewaeaehrte Strategie ist die 3-2-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine an einem anderen Standort.

Monitoring und Logging

Ohne Ueberwachung und Protokollierung bleiben Sicherheitsvorfaelle unentdeckt. VdS 10000 verlangt, dass sicherheitsrelevante Ereignisse erfasst und ausgewertet werden.

• Protokollierung sicherheitsrelevanter Ereignisse: Anmeldeversuche (erfolgreich und fehlgeschlagen), Zugriffe auf sensible Daten, Aenderungen an Systemkonfigurationen, Firewall-Ereignisse.
• Zentrale Log-Sammlung: Logs aus verschiedenen Systemen sollten zentral gesammelt werden, um Zusammenhaenge erkennen zu koennen.
• Aufbewahrung: Log-Daten muessen fuer einen definierten Zeitraum aufbewahrt werden (typischerweise 3-12 Monate), um nachtraegliche Analyse zu ermoeglichen.
• Alarmierung: Bei kritischen Ereignissen (z. B. mehrere fehlgeschlagene Logins, ungewoehnliche Zugriffszeiten) soll eine automatische Benachrichtigung erfolgen.

Mobile Device Management

Mobile Geraete stellen ein besonderes Sicherheitsrisiko dar, weil sie das Unternehmensnetzwerk verlassen und leicht verloren gehen oder gestohlen werden koennen. VdS 10000 fordert:

• Geraetverschluesselung: Alle mobilen Geraete mit Unternehmensdaten muessen vollstaendig verschluesselt sein.
• Bildschirmsperre: Automatische Bildschirmsperre mit PIN, Passwort oder biometrischer Authentifizierung.
• Fernloeschung (Remote Wipe): Die Moeglichkeit, Unternehmensdaten bei Verlust oder Diebstahl aus der Ferne zu loeschen.
• BYOD-Regelung: Falls private Geraete dienstlich genutzt werden, muessen klare Regeln fuer die Trennung von privaten und geschaeftlichen Daten existieren.
• App-Management: Nur freigegebene Apps duerfen auf dienstlichen Geraeten installiert werden.

Cloud-Sicherheit

Immer mehr KMU nutzen Cloud-Dienste fuer E-Mail, Dateiablage, Fachanwendungen und Infrastruktur. VdS 10000 adressiert die besonderen Sicherheitsanforderungen der Cloud-Nutzung:

• Sorgfaeltige Anbieterauswahl: Cloud-Anbieter muessen hinsichtlich Sicherheitsmassnahmen, Zertifizierungen und Datenschutz bewertet werden.
• Vertragliche Regelungen: Service Level Agreements (SLAs) mit klaren Verfuegbarkeits-, Sicherheits- und Datenschutzklauseln.
• Datenlokalisierung: Wissen, wo deine Daten gespeichert werden, insbesondere im Hinblick auf EU-DSGVO-Anforderungen.
• Zugriffskontrollen: MFA fuer Cloud-Zugaenge, rollenbasierte Berechtigungen, Ueberwachung der Zugriffsaktivitaeten.
• Exit-Strategie: Sicherstellung, dass du deine Daten jederzeit migrieren und den Anbieter wechseln kannst.

Malware-Schutz

Der Schutz vor Schadsoftware ist eine grundlegende Anforderung von VdS 10000. Dies umfasst mehr als nur die Installation eines Virenscanners:

• Aktuelle Schutzsoftware: Auf allen Endgeraeten und Servern muss aktuelle Anti-Malware-Software installiert sein, die regelmaessig aktualisiert wird.
• E-Mail-Schutz: Eingehende E-Mails muessen auf Schadsoftware und Phishing-Links geprueft werden. Ausfuehrbare Dateianhaenge sind zu blockieren.
• Web-Filter: Zugriff auf bekannt schaedliche Webseiten sollte blockiert werden.
• Ausfuehrungskontrollen: Einschraenkung der Ausfuehrung von Programmen auf freigegebene Anwendungen (Application Whitelisting) ist fuer kritische Systeme zu pruefen.
• Wechselmedien: USB-Sticks und andere Wechselmedien sind auf Schadsoftware zu pruefen oder deren Nutzung einzuschraenken.

Zusammenfassung: Technische Massnahmen nach Prioritaet

Integration in das Risikomanagement

Technische Massnahmen stehen nicht isoliert. Jede Massnahme ist das Ergebnis der Risikoanalyse nach VdS 10000. Jede technische Massnahme sollte einem konkreten Risiko zugeordnet sein. So stellst du sicher, dass du in die richtigen Bereiche investierst und keine Massnahmen ohne Bezug zum tatsaechlichen Risikoprofil umsetzt.

Ein GRC-Tool wie Kopexa macht diese Zuordnung transparent: Du siehst auf einen Blick, welche technischen Massnahmen welche Risiken adressieren, wo noch Luecken bestehen und wie der Umsetzungsstand jeder Massnahme ist.