Von VdS 3473 zu VdS 10000

VdS 3473 zu VdS 10000: Was sich geaendert hat

Die Richtlinie VdS 3473 war der Vorgaenger der heutigen VdS 10000 und richtete sich insbesondere an kleine und mittlere Unternehmen (KMU), die einen pragmatischen Einstieg in die Informationssicherheit suchten. Im Jahr 2018 wurde VdS 3473 durch die deutlich umfassendere VdS 10000 abgeloest. Die neue Richtlinie erweitert den Anwendungsbereich, fuehrt neue Themenfelder ein und erhoet den Detailgrad der Anforderungen. Wenn dein Unternehmen noch auf Basis von VdS 3473 arbeitet, ist jetzt der richtige Zeitpunkt fuer die Migration.

Warum wurde VdS 3473 abgeloest?

VdS 3473 war als Einstiegsstandard konzipiert und bewusst schlank gehalten. Mit der zunehmenden Bedrohungslage und den wachsenden regulatorischen Anforderungen (DSGVO, NIS2, IT-Sicherheitsgesetz 2.0) reichten die Anforderungen nicht mehr aus. VdS 10000 schliesst diese Luecken und bietet einen Standard, der:

• Breitere Themenabdeckung: Neue Kapitel zu Incident Management, Business Continuity und Lieferantenmanagement
• Staerkere Prozessorientierung: Nicht nur technische Massnahmen, sondern auch Managementprozesse und Governance werden abgedeckt
• Bessere Anschlussfahigkeit: VdS 10000 ist als Vorstufe zu ISO 27001 konzipiert und erleichtert den spaeteren Umstieg
• Internationale Akzeptanz: Durch die Naehe zu ISO 27001 wird VdS 10000 auch ausserhalb Deutschlands verstanden

Neue Bereiche in VdS 10000

VdS 10000 erweitert VdS 3473 um mehrere wesentliche Themenfelder, die in der alten Richtlinie nicht oder nur am Rande behandelt wurden:

Incident Management

VdS 3473 enthielt nur rudimentaere Anforderungen an den Umgang mit Sicherheitsvorfaellen. VdS 10000 fordert einen strukturierten Incident-Management-Prozess mit Vorfallklassifizierung, Eskalationsstufen, Dokumentationspflichten und Lessons-Learned-Verfahren. Unternehmen muessen nachweisen, dass sie Vorfaelle erkennen, analysieren und daraus lernen koennen.

Business Continuity Management

VdS 3473 adressierte Datensicherung und Wiederherstellung nur auf technischer Ebene. VdS 10000 verlangt ein umfassenderes Business Continuity Management (BCM) mit Business-Impact-Analyse, Notfallplaenen, Wiederanlaufszenarien und regelmaessigen Tests der Notfallprozeduren.

Lieferantenmanagement

In VdS 3473 war der Umgang mit externen Dienstleistern nur knapp beschrieben. VdS 10000 fordert eine systematische Bewertung der Informationssicherheit bei Lieferanten und Dienstleistern, vertragliche Sicherheitsanforderungen und regelmaessige Ueberpruefungen. Das betrifft insbesondere Cloud-Anbieter, IT-Dienstleister und Auftragsverarbeiter.

Erweiterte Governance-Anforderungen

VdS 10000 stellt hoehere Anforderungen an die Organisationsstruktur: klare Rollen und Verantwortlichkeiten, ein Informationssicherheitsbeauftragter (ISB), Managementreview und die Einbindung der Geschaeftsleitung sind nun explizit gefordert.

Mapping: VdS 3473 zu VdS 10000

Die folgende Tabelle zeigt, wie die Kapitel von VdS 3473 den Anforderungen in VdS 10000 zugeordnet werden:

Eine detaillierte Uebersicht aller 19 Kapitel findest du auf unserer Seite zu den VdS-10000-Anforderungen.

Was bleibt gleich?

Gute Nachrichten fuer Unternehmen mit VdS-3473-Zertifizierung: Viele Grundlagen bleiben bestehen und koennen direkt uebernommen werden:

• Grundprinzipien der Informationssicherheit: Vertraulichkeit, Integritaet und Verfuegbarkeit bleiben die Schutzziele.
• Technische Basismassnahmen: Firewall, Antivirenschutz, Patch-Management und Datensicherung sind weiterhin gefordert.
• Passwortrichtlinien und Zugriffsschutz: Die grundlegenden Anforderungen an Authentifizierung und Autorisierung bleiben vergleichbar.
• Dokumentationspflicht: Beide Richtlinien verlangen eine nachvollziehbare Dokumentation der Sicherheitsmassnahmen.
• KMU-Tauglichkeit: VdS 10000 bleibt grundsaetzlich auf die Beduerfnisse von KMU zugeschnitten, auch wenn der Umfang gestiegen ist.

Migrationsstrategie: Schritt fuer Schritt

Fuer Unternehmen, die von VdS 3473 auf VdS 10000 umsteigen, empfehlen wir ein strukturiertes Vorgehen in vier Phasen:

Phase 1: Gap-Analyse (2-4 Wochen)

Vergleiche deine bestehende VdS-3473-Dokumentation mit den Anforderungen von VdS 10000. Identifiziere alle Luecken, insbesondere in den neuen Kapiteln (Incident Management, BCM, Lieferantenmanagement). Nutze unsere VdS-10000-Checkliste als Ausgangspunkt fuer die Gap-Analyse.

Phase 2: Priorisierung (1-2 Wochen)

Ordne die identifizierten Luecken nach Risiko und Aufwand. Beginne mit den Bereichen, die das groesste Risiko darstellen oder fuer die Zertifizierung zwingend erforderlich sind:

• Hoechste Prioritaet: ISB benennen, Leitlinie aktualisieren, Risikomanagement formalisieren
• Hohe Prioritaet: Incident-Management-Prozess aufbauen, Notfallplaene erstellen
• Mittlere Prioritaet: Lieferantenbewertung einfuehren, Schulungsprogramm ausbauen
• Langfristig: Internes Auditprogramm etablieren, kontinuierliche Verbesserung verankern

Phase 3: Umsetzung (2-6 Monate)

Setze die identifizierten Massnahmen in der festgelegten Reihenfolge um. Dokumentiere jeden Schritt von Anfang an, um spaeter im Audit keine Nachweise nachholen zu muessen. Besonders wichtig: Etabliere die neuen Prozesse (Incident Management, BCM) nicht nur auf dem Papier, sondern fuehre sie praktisch durch und teste sie.

Phase 4: Validierung und Audit-Vorbereitung (2-4 Wochen)

Fuehre ein internes Audit durch, um die Vollstaendigkeit deiner Umsetzung zu pruefen. Stelle sicher, dass alle Dokumentationen aktuell und auffindbar sind. Bereite dich auf das externe VdS-Audit vor.

Zeitplan: Wie lange dauert die Migration?

Die Migrationsdauer haengt vom Reifegrad deiner bestehenden Informationssicherheit ab:

Mit GRC-Tooling wie Kopexa laesst sich die Migrationsdauer typischerweise um 30-40 Prozent verkuerzen, da Vorlagen, Mappings und Dokumentationstools den Aufwand reduzieren.

Haeufige Stolpersteine bei der Migration

• Unterschaetzung der neuen Kapitel: Incident Management und BCM erfordern nicht nur Dokumentation, sondern gelebte Prozesse. Plane genuegend Zeit fuer praktische Uebungen und Tests ein.
• Dokumentation nicht migriert: Vorhandene VdS-3473-Dokumente muessen an die neue Struktur angepasst werden. Ein einfaches Umbenennen reicht nicht aus.
• Risikomanagement zu oberflächlich: VdS 10000 erwartet eine strukturierte Risikoanalyse mit Bewertungsskalen. Eine einfache Liste von Risiken genuegt nicht mehr.
• Lieferanten vergessen: Viele Unternehmen uebersehen das neue Kapitel zum Lieferantenmanagement. Starte fruehzeitig mit der Lieferantenbewertung.
• Kein internes Audit vor der Zertifizierung: VdS 10000 fordert interne Audits. Fuehre mindestens ein internes Audit durch, bevor du das externe Zertifizierungsaudit beantragst.
• Schulungsnachweise fehlen: Die erweiterten Schulungspflichten erfordern lueckenlose Dokumentation. Beginne sofort mit der Erfassung.

VdS 10000 als Sprungbrett zu ISO 27001

Ein Vorteil der Migration auf VdS 10000: Du baust bereits Strukturen auf, die spaeter den Umstieg auf ISO 27001 erleichtern. VdS 10000 deckt viele ISO-27001-Anforderungen ab, allerdings in geringerem Detailgrad. Unser Vergleich VdS 10000 vs. ISO 27001 zeigt dir, wo die Unterschiede liegen und welchen Mehraufwand der Upgrade bedeutet. Die Kosten fuer eine VdS-10000-Zertifizierung starten ab 3.599 EUR, waehrend ISO 27001 ab ca. 15.000 EUR kostet.

Naechste Schritte

Beginne mit einer Gap-Analyse gegen die VdS-10000-Anforderungen. Nutze unsere Checkliste fuer einen strukturierten Ueberblick und pruefe, ob der spaetere Upgrade auf ISO 27001 fuer dein Unternehmen sinnvoll ist.