VdS-10000-Zertifizierungsstellen

VdS-10000-Zertifizierung: Wer prueft und zertifiziert?

Die Zertifizierung nach VdS 10000 wird von der VdS Schadenverhuetung GmbH durchgefuehrt, einer Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). VdS ist die primaere und bekannteste Zertifizierungsstelle fuer diesen Standard und verfuegt ueber jahrzehntelange Erfahrung in der Pruefung und Zertifizierung von Sicherheitsstandards. Im Gegensatz zu ISO 27001, wo zahlreiche akkreditierte Zertifizierungsstellen zur Auswahl stehen, ist die VdS-10000-Zertifizierung eng an VdS selbst gebunden.

VdS Schadenverhuetung GmbH: Die primaere Zertifizierungsstelle

VdS ist seit ueber 100 Jahren im Bereich der Schadenverhuetung taetig und hat den Standard VdS 10000 selbst entwickelt. Das bringt Vorteile:

• Tiefes Fachwissen: Die Pruefer kennen die Norm im Detail und verstehen den Kontext, in dem die Anforderungen entstanden sind.
• Pragmatischer Ansatz: VdS prueft mit Blick auf den Mittelstand. Die Auditoren verstehen, dass KMU andere Rahmenbedingungen haben als Grosskonzerne.
• Anerkanntes Pruefsigel: Das VdS-Zertifikat geniesst bei Versicherungen, Geschaeftspartnern und Aufsichtsbehoerden hohes Ansehen.
• Beratung und Pruefung aus einer Hand: VdS bietet neben der Zertifizierung auch Schulungen und Vorbereitungsseminare an.

Akkreditierte Pruefer

Die Audits werden von akkreditierten VdS-Pruefern durchgefuehrt, die speziell fuer die Pruefung nach VdS 10000 geschult und zugelassen sind. Diese Pruefer verfuegen ueber:

• Nachgewiesene Fachkompetenz in Informationssicherheit und IT-Risikomanagement
• Ausbildung und Zulassung durch VdS als Pruefstelle
• Regelmaessige Weiterbildung und Kalibrierung durch VdS
• Branchenerfahrung, haeufig mit Schwerpunkt auf KMU

Darueber hinaus koennen auch anerkannte Beratungsunternehmen bei der Vorbereitung auf das Audit unterstuetzen, wobei die eigentliche Zertifizierungspruefung durch VdS oder von VdS zugelassene Pruefer erfolgt.

Der Audit-Prozess im Detail

Die VdS-10000-Zertifizierung folgt einem klar strukturierten Prozess in vier Phasen:

Phase 1: Antragstellung

Du stellst einen formellen Antrag bei VdS. Dabei gibst du Unternehmensdaten, den Geltungsbereich (Scope) der Zertifizierung und den gewuenschten Zeitrahmen an. VdS erstellt daraufhin ein Angebot mit Kosten und Zeitplan. Typischerweise betraegt die Vorlaufzeit 4-8 Wochen zwischen Antragstellung und dem ersten Audit-Termin.

Phase 2: Dokumentenpruefung (Stage 1)

Der Pruefer sichtet deine Dokumentation vorab: Leitlinie, Risikoanalyse, Massnahmenkatalog, Schulungsnachweise und weitere Dokumente. Ziel ist es, die grundsaetzliche Audit-Reife festzustellen. Bei erheblichen Luecken kann der Pruefer empfehlen, das Vor-Ort-Audit zu verschieben. Bereite dich mit unserer Audit-Vorbereitungsseite optimal vor.

Phase 3: Vor-Ort-Audit (Stage 2)

Im Vor-Ort-Audit prueft der Auditor die tatsaechliche Umsetzung der dokumentierten Massnahmen. Das umfasst:

• Gespraeche mit Verantwortlichen: Der Auditor spricht mit der Geschaeftsfuehrung, dem ISB, IT-Verantwortlichen und Mitarbeitenden, um die gelebte Praxis zu bewerten.
• Stichproben und Nachweispruefung: Konfigurationen, Protokolle und Nachweise werden stichprobenartig geprueft.
• Begehung der Raeumlichkeiten: Physische Sicherheit, Serverraeume und Arbeitsplaetze werden in Augenschein genommen.
• Pruefung der Prozesse: Incident Management, Risikomanagement, Change Management und Schulungsprozesse werden auf Funktionstuechtigkeit geprueft.

Die Dauer des Vor-Ort-Audits haengt von der Unternehmensgroesse und dem Geltungsbereich ab. Fuer ein typisches KMU mit 20-100 Mitarbeitenden ist mit 1-2 Tagen zu rechnen.

Phase 4: Zertifikatsvergabe

Nach einem erfolgreichen Audit erhaeltst du das VdS-10000-Zertifikat. Bei Abweichungen kann der Pruefer Korrekturmassnahmen verlangen, die innerhalb einer definierten Frist (in der Regel 3 Monate) umgesetzt und nachgewiesen werden muessen. Bei schwerwiegenden Abweichungen ist ein Nachaudit erforderlich.

Kosten der Zertifizierung

Die VdS-10000-Zertifizierung ist bewusst kostenguenstiger als ISO 27001 und damit fuer KMU erreichbar:

Die genauen Kosten haengen von der Unternehmensgroesse, dem Geltungsbereich und der Komplexitaet der IT-Landschaft ab. Detaillierte Informationen zu Budget und Timeline findest du auf unserer Seite Kosten und Ablauf.

Zertifikatslaufzeit und Ueberwachungsaudits

Das VdS-10000-Zertifikat ist drei Jahre gueltig. Waehrend dieser Zeit finden jaehrliche Ueberwachungsaudits statt, um die fortlaufende Konformitaet sicherzustellen. Diese Ueberwachungsaudits sind weniger umfangreich als das Erstzertifizierungsaudit, pruefen aber:

• Umsetzung der Korrekturmassnahmen aus dem letzten Audit
• Fortlaufende Wirksamkeit des Informationssicherheits-Managementsystems
• Behandlung von Sicherheitsvorfaellen seit dem letzten Audit
• Aktualitaet der Dokumentation und Risikobewertung
• Durchfuehrung der geplanten Schulungen und Sensibilisierungsmassnahmen

Re-Zertifizierung nach drei Jahren

Nach Ablauf der drei Jahre ist eine Re-Zertifizierung erforderlich. Diese umfasst ein erneutes vollstaendiges Audit, bei dem alle Anforderungen von VdS 10000 erneut geprueft werden. Der Vorteil: Da du bereits ein funktionierendes System etabliert hast, ist der Aufwand fuer die Re-Zertifizierung in der Regel geringer als fuer die Erstzertifizierung. Plane die Re-Zertifizierung mindestens 3 Monate vor Ablauf des Zertifikats, um eine lueckenlose Zertifizierung sicherzustellen.

Auswahlkriterien: Die richtige Vorbereitung waehlen

Da VdS die primaere Zertifizierungsstelle ist, liegt die Entscheidung weniger bei der Wahl des Zertifizierers als bei der Wahl der richtigen Unterstuetzung fuer die Vorbereitung. Achte auf folgende Kriterien:

• Erfahrung mit VdS 10000: Nicht jedes Beratungsunternehmen kennt den Standard im Detail. Frage nach Referenzen und erfolgreichen Zertifizierungsprojekten.
• KMU-Verstaendnis: VdS 10000 ist ein KMU-Standard. Berater, die primaer Grossprojekte betreuen, uebertragen haeufig ueberdimensionierte Prozesse.
• Toolgestuetzte Vorbereitung: GRC-Tools wie Kopexa mit VdS-10000-Vorlagen reduzieren den manuellen Aufwand erheblich und stellen die Vollstaendigkeit sicher.
• Klare Kostenstruktur: Serioeese Anbieter koennen dir vor Projektstart einen verbindlichen Kostenrahmen nennen.
• Nachhaltigkeit: Die Zertifizierung ist kein einmaliges Projekt. Waehle Partner, die dich auch ueber die Erstzertifizierung hinaus unterstuetzen.

Haeufig gestellte Fragen

Kann ich VdS 10000 auch ohne externe Beratung schaffen?

Ja, besonders mit GRC-Tooling und den VdS-eigenen Vorbereitungsseminaren ist eine Zertifizierung ohne externen Berater moeglich. Unternehmen mit vorhandener IT-Sicherheitskompetenz koennen die Vorbereitung intern stemmen. Unsere Checkliste hilft dabei, nichts zu vergessen.

Wie unterscheidet sich das VdS-Audit von einem ISO-27001-Audit?

Das VdS-Audit ist kuerzer, pragmatischer und staerker auf die tatsaechliche Umsetzung fokussiert. ISO-27001-Audits prufen staerker die Prozessreife und das Managementsystem. Beide folgen dem Stage-1/Stage-2-Ansatz mit Dokumentenpruefung und Vor-Ort-Audit.

Was passiert bei Nichtbestehen?

Bei Abweichungen erhaeltst du eine Frist zur Nachbesserung (typischerweise 3 Monate). Nach erfolgreicher Umsetzung der Korrekturmassnahmen wird das Zertifikat erteilt. Bei schwerwiegenden Abweichungen ist ein Nachaudit erforderlich, das zusaetzliche Kosten verursacht.

Naechste Schritte

Bereite dich strukturiert auf das VdS-10000-Audit vor. Nutze unsere Audit-Vorbereitungsseite fuer den detaillierten Ablauf, unsere Kosten-und-Ablauf-Seite fuer die Budgetplanung und unsere Checkliste fuer die vollstaendige Anforderungsuebersicht.