VdS-10000-Maßnahmen: 75 Controls

VdS-10000-Maßnahmen: 75 Controls im Überblick

Die VdS 10000 definiert insgesamt 75 konkrete Maßnahmen, die kleine und mittlere Unternehmen (KMU) umsetzen muessen, um ein angemessenes Niveau der Informationssicherheit zu erreichen. Diese Maßnahmen sind in vier Kategorien gegliedert: organisatorische, technische, personelle und physische Sicherheitsmaßnahmen. Jede Massnahme hat eine Prioritaetsstufe, die dir hilft, die Umsetzung sinnvoll zu planen.

Im Vergleich zur ISO 27001 mit über 90 Controls im Annex A ist VdS 10000 bewusst schlanker gehalten. Der Fokus liegt auf Praxistauglichkeit fuer den Mittelstand, ohne wesentliche Sicherheitsaspekte auszulassen. Eine detaillierte Gegenuberstellung findest du in unserem Anforderungsüberblick.

Prioritaetsstufen verstehen

VdS 10000 ordnet jeder Massnahme eine von drei Prioritaetsstufen zu. Diese helfen dir, die Reihenfolge der Umsetzung zu bestimmen und Ressourcen gezielt einzusetzen:

• Prioritaet 1 (Muss): Grundlegende Maßnahmen, die zwingend umgesetzt werden muessen. Ohne diese ist keine Zertifizierung moeglich. Sie bilden das Fundament deines ISMS.
• Prioritaet 2 (Soll): Wichtige Maßnahmen, die im Regelfall umgesetzt werden sollen. Eine Abweichung ist moeglich, muss aber begruendet und dokumentiert werden.
• Prioritaet 3 (Kann): Empfohlene Maßnahmen fuer ein höheres Sicherheitsniveau. Sie sind optional, aber erhoehen die Reife deines ISMS und bereiten den Weg fuer ein spaeteres Upgrade auf ISO 27001.

Fuer die Zertifizierung muessen alle Prioritaet-1-Maßnahmen vollständig und alle Prioritaet-2-Maßnahmen weitgehend umgesetzt sein. Eine praktische Übersicht der Schritte findest du in unserer VdS-10000-Checkliste.

Organisatorische Maßnahmen

Organisatorische Maßnahmen bilden das Rueckgrat deines Informationssicherheits-Managementsystems (ISMS). Sie stellen sicher, dass Verantwortlichkeiten definiert, Prozesse etabliert und Richtlinien dokumentiert sind.

Informationssicherheitspolitik

Die Geschäftsleitung muss eine Leitlinie zur Informationssicherheit verabschieden, die Ziele, Geltungsbereich und Verantwortlichkeiten festlegt. Diese Leitlinie ist die Grundlage aller weiteren Maßnahmen und muss allen Mitarbeitern bekannt sein.

Rollen und Verantwortlichkeiten

Ein Informationssicherheitsbeauftragter (ISB) muss benannt werden. Der ISB koordiniert alle Maßnahmen, berichtet an die Geschäftsleitung und ist zentraler Ansprechpartner fuer Audits. In KMU kann diese Rolle auch in Teilzeit wahrgenommen werden.

Risikomanagement

Ein strukturierter Risikomanagementprozess ist Pflicht: Informationswerte identifizieren, Bedrohungen und Schwachstellen bewerten, Risiken einstufen und Behandlungsoptionen festlegen. VdS 10000 verlangt eine jährliche Risikoanalyse sowie Aktualisierungen bei wesentlichen Aenderungen.

Dokumentation und Richtlinien

Alle sicherheitsrelevanten Prozesse muessen dokumentiert werden. Dazu gehoeren Richtlinien fuer Zugangssteuerung, Datensicherung, Vorfallsbehandlung und Lieferantenmanagement. Die Dokumentation muss aktuell gehalten, versioniert und fuer Berechtigte zugaenglich sein.

Weitere organisatorische Maßnahmen

• Asset-Management: Inventar aller Informationswerte fuehren und Verantwortliche benennen
• Lieferantenmanagement: Sicherheitsanforderungen in Vertraegen mit Dienstleistern verankern
• Notfallmanagement: Notfallplaene erstellen und regelmaessig testen
• Interne Audits: Regelmaessige Überprüfung der Wirksamkeit aller Maßnahmen
• Managementbewertung: Jährliches Review des ISMS durch die Geschäftsleitung

Technische Maßnahmen

Technische Maßnahmen schuetzen IT-Systeme, Netzwerke und Daten vor unbefugtem Zugriff, Manipulation und Verlust. Sie bilden die technische Absicherung deines ISMS.

Netzwerksicherheit

Das Netzwerk muss durch Firewalls, Segmentierung und Zugriffskontrollen geschuetzt werden. VdS 10000 verlangt eine dokumentierte Netzwerkarchitektur, getrennte Netzsegmente fuer unterschiedliche Sicherheitszonen und regelmaessige Überprüfung der Firewall-Regeln.

Zugriffsschutz und Authentifizierung

Zugriffe auf Systeme und Daten muessen nach dem Need-to-Know-Prinzip vergeben werden. Die Richtlinie umfasst Passwortpolicies, Berechtigungskonzepte und regelmaessige Überprüfung von Zugriffsrechten. Fuer privilegierte Konten wird eine verstaerkte Authentifizierung empfohlen.

Datensicherung und Wiederherstellung

Regelmaessige Backups aller geschaeftskritischen Daten sind Pflicht. Die Backups muessen getestet, verschluesselt aufbewahrt und raeumlich getrennt vom Primaersystem gelagert werden. VdS 10000 fordert dokumentierte Wiederherstellungstests mindestens jährlich.

Weitere technische Maßnahmen

• Malware-Schutz: Aktuelle Antivirenloesung auf allen Endgeraeten und Servern
• Patch-Management: Zeitnahe Installation sicherheitsrelevanter Updates
• Verschluesselung: Transportverschluesselung (TLS) und Verschluesselung sensibler Daten im Ruhezustand
• Protokollierung: Sicherheitsrelevante Ereignisse protokollieren und auswertbar machen
• Mobile Geraete: Richtlinien fuer BYOD und firmeneigene Mobilgeraete, Remote-Wipe ermöglichen
• WLAN-Sicherheit: WPA3-Verschluesselung, Gastnetz getrennt vom Firmennetz

Personelle Maßnahmen

Der Mensch ist häufig das schwaechste Glied in der Sicherheitskette. Personelle Maßnahmen stellen sicher, dass Mitarbeiter Sicherheitsrisiken erkennen und richtig reagieren.

Schulung und Sensibilisierung

Alle Mitarbeiter muessen regelmaessig in Informationssicherheit geschult werden. VdS 10000 fordert eine Erstunterweisung bei Einstellung sowie jährliche Auffrischungsschulungen. Themen umfassen Phishing-Erkennung, Passworthandhabung, Social Engineering und den Umgang mit vertraulichen Informationen.

Personalmanagement

Sicherheitsaspekte muessen im gesamten Mitarbeiterlebenszyklus beruecksichtigt werden: bei der Einstellung (Vertraulichkeitsvereinbarung), während der Beschaeftigung (Rollen und Berechtigungen) und beim Ausscheiden (Rueckgabe von Assets, Entzug der Zugriffsrechte).

Weitere personelle Maßnahmen

• Vertretungsregelungen: Sicherheitsrelevante Rollen muessen vertreten werden können
• Verpflichtungserklaerungen: Schriftliche Verpflichtung aller Mitarbeiter auf Vertraulichkeit
• Disziplinarmaßnahmen: Klare Konsequenzen bei Verstoessen gegen Sicherheitsrichtlinien

Physische Maßnahmen

Physische Sicherheitsmaßnahmen schuetzen Raeumlichkeiten, Hardware und Datentraeger vor unbefugtem Zutritt, Diebstahl und Umwelteinwirkungen.

Zutrittskontrolle

Serverraeume und andere sicherheitskritische Bereiche muessen zugangsbeschraenkt sein. VdS 10000 fordert ein dokumentiertes Zutrittskonzept mit unterschiedlichen Sicherheitszonen. Besucher muessen begleitet und registriert werden.

Infrastrukturschutz

Technische Infrastruktur muss gegen Brand, Wasser, Stromausfall und Überhitzung geschuetzt werden. Dazu gehoeren USV-Anlagen, Klimatisierung im Serverraum und Brandschutzeinrichtungen.

Weitere physische Maßnahmen

• Entsorgung von Datentraegern: Sichere Vernichtung nach DIN 66399 oder vergleichbarem Standard
• Schutz mobiler Endgeraete: Laptops und Datentraeger bei Transport verschluesseln und sichern
• Clean-Desk-Policy: Vertrauliche Unterlagen bei Abwesenheit wegschliessen

Maßnahmen-Übersicht nach Kategorie

Umsetzungsempfehlung

Gehe bei der Umsetzung der 75 Maßnahmen strukturiert vor:

• Phase 1 (Monat 1-2): Alle Prioritaet-1-Maßnahmen umsetzen. Beginne mit der Leitlinie, der Benennung des ISB und dem Risikomanagement.
• Phase 2 (Monat 2-4): Prioritaet-2-Maßnahmen angehen. Fokus auf technische Haertung, Schulungsprogramm und Lieferantenmanagement.
• Phase 3 (Monat 4-6): Prioritaet-3-Maßnahmen prüfen und gezielt umsetzen. Internen Audit durchfuehren und Audit-Readiness herstellen.

Detaillierte Informationen zur Timeline und zum Budget findest du auf unserer Seite Kosten und Ablauf. Tipps zur optimalen Audit-Vorbereitung helfen dir, typische Stolperfallen zu vermeiden.

Maßnahmen effizient verwalten

75 Maßnahmen manuell in Excel-Tabellen zu tracken ist fehleranfaellig und zeitaufwaendig. Eine GRC-Plattform wie Kopexa bildet alle VdS-10000-Maßnahmen als vorgeladenen Katalog ab. Du siehst auf einen Blick, welche Maßnahmen umgesetzt, in Arbeit oder offen sind. Nachweise werden direkt an der jeweiligen Massnahme hinterlegt, und bei einem spaeteren Upgrade auf ISO 27001 werden bestehende Nachweise automatisch gemappt.