VdS-10000-Maßnahmen: 75 Controls

VdS-10000-Massnahmen: 75 Controls im Ueberblick

Die VdS 10000 definiert insgesamt 75 konkrete Massnahmen, die kleine und mittlere Unternehmen (KMU) umsetzen muessen, um ein angemessenes Niveau der Informationssicherheit zu erreichen. Diese Massnahmen sind in vier Kategorien gegliedert: organisatorische, technische, personelle und physische Sicherheitsmassnahmen. Jede Massnahme hat eine Prioritaetsstufe, die dir hilft, die Umsetzung sinnvoll zu planen.

Im Vergleich zur ISO 27001 mit ueber 90 Controls im Annex A ist VdS 10000 bewusst schlanker gehalten. Der Fokus liegt auf Praxistauglichkeit fuer den Mittelstand, ohne wesentliche Sicherheitsaspekte auszulassen. Eine detaillierte Gegenuberstellung findest du in unserem Anforderungsueberblick.

Prioritaetsstufen verstehen

VdS 10000 ordnet jeder Massnahme eine von drei Prioritaetsstufen zu. Diese helfen dir, die Reihenfolge der Umsetzung zu bestimmen und Ressourcen gezielt einzusetzen:

• Prioritaet 1 (Muss): Grundlegende Massnahmen, die zwingend umgesetzt werden muessen. Ohne diese ist keine Zertifizierung moeglich. Sie bilden das Fundament deines ISMS.
• Prioritaet 2 (Soll): Wichtige Massnahmen, die im Regelfall umgesetzt werden sollen. Eine Abweichung ist moeglich, muss aber begruendet und dokumentiert werden.
• Prioritaet 3 (Kann): Empfohlene Massnahmen fuer ein hoeheres Sicherheitsniveau. Sie sind optional, aber erhoehen die Reife deines ISMS und bereiten den Weg fuer ein spaeteres Upgrade auf ISO 27001.

Fuer die Zertifizierung muessen alle Prioritaet-1-Massnahmen vollstaendig und alle Prioritaet-2-Massnahmen weitgehend umgesetzt sein. Eine praktische Uebersicht der Schritte findest du in unserer VdS-10000-Checkliste.

Organisatorische Massnahmen

Organisatorische Massnahmen bilden das Rueckgrat deines Informationssicherheits-Managementsystems (ISMS). Sie stellen sicher, dass Verantwortlichkeiten definiert, Prozesse etabliert und Richtlinien dokumentiert sind.

Informationssicherheitspolitik

Die Geschaeftsleitung muss eine Leitlinie zur Informationssicherheit verabschieden, die Ziele, Geltungsbereich und Verantwortlichkeiten festlegt. Diese Leitlinie ist die Grundlage aller weiteren Massnahmen und muss allen Mitarbeitern bekannt sein.

Rollen und Verantwortlichkeiten

Ein Informationssicherheitsbeauftragter (ISB) muss benannt werden. Der ISB koordiniert alle Massnahmen, berichtet an die Geschaeftsleitung und ist zentraler Ansprechpartner fuer Audits. In KMU kann diese Rolle auch in Teilzeit wahrgenommen werden.

Risikomanagement

Ein strukturierter Risikomanagementprozess ist Pflicht: Informationswerte identifizieren, Bedrohungen und Schwachstellen bewerten, Risiken einstufen und Behandlungsoptionen festlegen. VdS 10000 verlangt eine jaehrliche Risikoanalyse sowie Aktualisierungen bei wesentlichen Aenderungen.

Dokumentation und Richtlinien

Alle sicherheitsrelevanten Prozesse muessen dokumentiert werden. Dazu gehoeren Richtlinien fuer Zugangssteuerung, Datensicherung, Vorfallsbehandlung und Lieferantenmanagement. Die Dokumentation muss aktuell gehalten, versioniert und fuer Berechtigte zugaenglich sein.

Weitere organisatorische Massnahmen

• Asset-Management: Inventar aller Informationswerte fuehren und Verantwortliche benennen
• Lieferantenmanagement: Sicherheitsanforderungen in Vertraegen mit Dienstleistern verankern
• Notfallmanagement: Notfallplaene erstellen und regelmaessig testen
• Interne Audits: Regelmaessige Ueberpruefung der Wirksamkeit aller Massnahmen
• Managementbewertung: Jaehrliches Review des ISMS durch die Geschaeftsleitung

Technische Massnahmen

Technische Massnahmen schuetzen IT-Systeme, Netzwerke und Daten vor unbefugtem Zugriff, Manipulation und Verlust. Sie bilden die technische Absicherung deines ISMS.

Netzwerksicherheit

Das Netzwerk muss durch Firewalls, Segmentierung und Zugriffskontrollen geschuetzt werden. VdS 10000 verlangt eine dokumentierte Netzwerkarchitektur, getrennte Netzsegmente fuer unterschiedliche Sicherheitszonen und regelmaessige Ueberpruefung der Firewall-Regeln.

Zugriffsschutz und Authentifizierung

Zugriffe auf Systeme und Daten muessen nach dem Need-to-Know-Prinzip vergeben werden. Die Richtlinie umfasst Passwortpolicies, Berechtigungskonzepte und regelmaessige Ueberpruefung von Zugriffsrechten. Fuer privilegierte Konten wird eine verstaerkte Authentifizierung empfohlen.

Datensicherung und Wiederherstellung

Regelmaessige Backups aller geschaeftskritischen Daten sind Pflicht. Die Backups muessen getestet, verschluesselt aufbewahrt und raeumlich getrennt vom Primaersystem gelagert werden. VdS 10000 fordert dokumentierte Wiederherstellungstests mindestens jaehrlich.

Weitere technische Massnahmen

• Malware-Schutz: Aktuelle Antivirenloesung auf allen Endgeraeten und Servern
• Patch-Management: Zeitnahe Installation sicherheitsrelevanter Updates
• Verschluesselung: Transportverschluesselung (TLS) und Verschluesselung sensibler Daten im Ruhezustand
• Protokollierung: Sicherheitsrelevante Ereignisse protokollieren und auswertbar machen
• Mobile Geraete: Richtlinien fuer BYOD und firmeneigene Mobilgeraete, Remote-Wipe ermoeglichen
• WLAN-Sicherheit: WPA3-Verschluesselung, Gastnetz getrennt vom Firmennetz

Personelle Massnahmen

Der Mensch ist haeufig das schwaechste Glied in der Sicherheitskette. Personelle Massnahmen stellen sicher, dass Mitarbeiter Sicherheitsrisiken erkennen und richtig reagieren.

Schulung und Sensibilisierung

Alle Mitarbeiter muessen regelmaessig in Informationssicherheit geschult werden. VdS 10000 fordert eine Erstunterweisung bei Einstellung sowie jaehrliche Auffrischungsschulungen. Themen umfassen Phishing-Erkennung, Passworthandhabung, Social Engineering und den Umgang mit vertraulichen Informationen.

Personalmanagement

Sicherheitsaspekte muessen im gesamten Mitarbeiterlebenszyklus beruecksichtigt werden: bei der Einstellung (Vertraulichkeitsvereinbarung), waehrend der Beschaeftigung (Rollen und Berechtigungen) und beim Ausscheiden (Rueckgabe von Assets, Entzug der Zugriffsrechte).

Weitere personelle Massnahmen

• Vertretungsregelungen: Sicherheitsrelevante Rollen muessen vertreten werden koennen
• Verpflichtungserklaerungen: Schriftliche Verpflichtung aller Mitarbeiter auf Vertraulichkeit
• Disziplinarmassnahmen: Klare Konsequenzen bei Verstoessen gegen Sicherheitsrichtlinien

Physische Massnahmen

Physische Sicherheitsmassnahmen schuetzen Raeumlichkeiten, Hardware und Datentraeger vor unbefugtem Zutritt, Diebstahl und Umwelteinwirkungen.

Zutrittskontrolle

Serverraeume und andere sicherheitskritische Bereiche muessen zugangsbeschraenkt sein. VdS 10000 fordert ein dokumentiertes Zutrittskonzept mit unterschiedlichen Sicherheitszonen. Besucher muessen begleitet und registriert werden.

Infrastrukturschutz

Technische Infrastruktur muss gegen Brand, Wasser, Stromausfall und Ueberhitzung geschuetzt werden. Dazu gehoeren USV-Anlagen, Klimatisierung im Serverraum und Brandschutzeinrichtungen.

Weitere physische Massnahmen

• Entsorgung von Datentraegern: Sichere Vernichtung nach DIN 66399 oder vergleichbarem Standard
• Schutz mobiler Endgeraete: Laptops und Datentraeger bei Transport verschluesseln und sichern
• Clean-Desk-Policy: Vertrauliche Unterlagen bei Abwesenheit wegschliessen

Massnahmen-Uebersicht nach Kategorie

Umsetzungsempfehlung

Gehe bei der Umsetzung der 75 Massnahmen strukturiert vor:

• Phase 1 (Monat 1-2): Alle Prioritaet-1-Massnahmen umsetzen. Beginne mit der Leitlinie, der Benennung des ISB und dem Risikomanagement.
• Phase 2 (Monat 2-4): Prioritaet-2-Massnahmen angehen. Fokus auf technische Haertung, Schulungsprogramm und Lieferantenmanagement.
• Phase 3 (Monat 4-6): Prioritaet-3-Massnahmen pruefen und gezielt umsetzen. Internen Audit durchfuehren und Audit-Readiness herstellen.

Detaillierte Informationen zur Timeline und zum Budget findest du auf unserer Seite Kosten und Ablauf. Tipps zur optimalen Audit-Vorbereitung helfen dir, typische Stolperfallen zu vermeiden.

Massnahmen effizient verwalten

75 Massnahmen manuell in Excel-Tabellen zu tracken ist fehleranfaellig und zeitaufwaendig. Eine GRC-Plattform wie Kopexa bildet alle VdS-10000-Massnahmen als vorgeladenen Katalog ab. Du siehst auf einen Blick, welche Massnahmen umgesetzt, in Arbeit oder offen sind. Nachweise werden direkt an der jeweiligen Massnahme hinterlegt, und bei einem spaeteren Upgrade auf ISO 27001 werden bestehende Nachweise automatisch gemappt.