Sie wollen die IT-Sicherheit Ihrer internen Abläufe und Kundenkontakte erhöhen? Möglicherweise haben Sie daher bereits darüber nachgedacht, Ihre IT zertifizieren zu lassen. Ein Zertifikat im hier ausgeführten Sinne stellt zunächst grundsätzlich einen Nachweis dar, dass ein Betrieb bestimmte Anforderungen erfüllt und Prozesse umgesetzt hat, die von externen Gutachtern überprüft und bestätigt wurden. Dazu sind die Anforderungen und Abläufe entsprechend normiert und wissenschaftlich fundiert, um eine allgemeine Qualitätsaussage und Vergleichbarkeit zu gewährleisten.

Was bringt ein Zertifikat?

Zertifikate werden für bestimmte Zwecke erteilt. Weithin bekannt ist beispielsweise die Zertifizierung nach ISO 9001, mit der die Einhaltung festgelegter Kriterien des Qualitätsmanagements bestätigt wird.  In vielen Industrie-Lieferketten ist diese Zertifizierung Voraussetzung für Kunden-Lieferanten-Beziehungen. Auch die Zulassung bestimmter Produkte ist an entsprechende Zertifikate geknüpft.

Wir wollen an dieser Stelle eine genaueren Blick auf die Zertifikate werfen, die eine Einhaltung bestimmter Anforderungen und Abläufe in der IT-Sicherheit sicherstellen.

Als Einstieg in die Strukturierung des internen Vorgehens zur Verbesserung Ihrer IT-Sicherheit kann es sinnvoll sein, zunächst die VdS 10000 als Leitfaden heranzuziehen. Als erster Ansatz und Basis für spätere Zertifizierungen, kann dieser erste Schritt dabei helfen, den Blick dafür zu schärfen, wo Handlungsbedarf bestehen könnte.

Welcher Aufwand steckt dahinter?
Die im Rahmen einer Zertifizierung abgefragten Kriterien weisen eine unterschiedliche Tiefe auf. Diese korrespondiert auch mit dem begleitenden Aufwand für den Betrieb. Dazu zählt unter anderem, die internen sowie die kundenbezogenen Prozesse und Abläufe zu identifizieren und zu dokumentieren. Wichtig hierbei: Sollte nicht bereits ein gewisser Überblick im Betrieb bestehen, kann dieser Schritt einigen Arbeitsaufwand mit sich bringen.

Der Vorteil normierter Zertifikate

Womit kann ich schon jetzt beginnen?

Als Einstieg lohnt sich ein Blick auf die VdS 10000. Kern ist hier die Einführung eines IT-Sicherheitsmanagementsystems (ISMS), das auf kleine und mittelständische Unternehmen zugeschnitten ist. Gewöhnlich lässt sich ein solcher Schritt im Betrieb innerhalb von drei bis sechs Monaten umsetzen. Der Prozess sieht unter anderem die Benennung von Verantwortlichkeiten, die Rollenvergabe, IT-Sicherheitsrichtlinien, die Identifizierung schützenswerter Güter und ihr Schutz sowie die Datensicherung. Auch unabhängig von der zugehörigen Zertifizierung helfen diese Schritte schon immens, IT-sichere Abläufe im Betrieb zu etablieren und die Beschreibungen in der VdS 10000 können hierzu den Leitfaden stellen. Noch tiefergehend ist die Orientierung am BSI-Grundschutz, welcher auf eine Zertifizierung nach ISO 27001 vorbereitet. Hierbei kann schon die Unterstützung externer Expertise sinnvoll und hilfreich finden. Entsprechende Anbieter finden Sie beispielsweise auf unserer Beratungsmap.

Es kann es sich für diese ersten Schritte schon lohnen, Partner mit IT-Sicherheits- und Datenschutzexpertise mit an Bord zu nehmen. Dafür bietet sich ein Blick auf die Lösungsanbieter auf unserer Map an.

Quick-Checks der VdS

Welche Zertifizierung passt zu meinem Unternehmen?

Welche Anforderungen an eine Zertifizierung haben Sie oder Ihre Kunden? Die folgende Grafik unterstützt Sie bei der Entscheidungsfindung.