VdS-10000-Zertifizierungsstellen

VdS-10000-Zertifizierung: Wer prüft und zertifiziert?

Die Zertifizierung nach VdS 10000 wird von der VdS Schadenverhuetung GmbH durchgefuehrt, einer Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). VdS ist die primaere und bekannteste Zertifizierungsstelle fuer diesen Standard und verfügt über jahrzehntelange Erfahrung in der Pruefung und Zertifizierung von Sicherheitsstandards. Im Gegensatz zu ISO 27001, wo zahlreiche akkreditierte Zertifizierungsstellen zur Auswahl stehen, ist die VdS-10000-Zertifizierung eng an VdS selbst gebunden.

VdS Schadenverhuetung GmbH: Die primaere Zertifizierungsstelle

VdS ist seit über 100 Jahren im Bereich der Schadenverhuetung taetig und hat den Standard VdS 10000 selbst entwickelt. Das bringt Vorteile:

• Tiefes Fachwissen: Die Pruefer kennen die Norm im Detail und verstehen den Kontext, in dem die Anforderungen entstanden sind.
• Pragmatischer Ansatz: VdS prüft mit Blick auf den Mittelstand. Die Auditoren verstehen, dass KMU andere Rahmenbedingungen haben als Grosskonzerne.
• Anerkanntes Pruefsigel: Das VdS-Zertifikat geniesst bei Versicherungen, Geschaeftspartnern und Aufsichtsbehoerden hohes Ansehen.
• Beratung und Pruefung aus einer Hand: VdS bietet neben der Zertifizierung auch Schulungen und Vorbereitungsseminare an.

Akkreditierte Pruefer

Die Audits werden von akkreditierten VdS-Pruefern durchgefuehrt, die speziell fuer die Pruefung nach VdS 10000 geschult und zugelassen sind. Diese Pruefer verfügen über:

• Nachgewiesene Fachkompetenz in Informationssicherheit und IT-Risikomanagement
• Ausbildung und Zulassung durch VdS als Pruefstelle
• Regelmaessige Weiterbildung und Kalibrierung durch VdS
• Branchenerfahrung, häufig mit Schwerpunkt auf KMU

Darüber hinaus können auch anerkannte Beratungsunternehmen bei der Vorbereitung auf das Audit unterstuetzen, wobei die eigentliche Zertifizierungspruefung durch VdS oder von VdS zugelassene Pruefer erfolgt.

Der Audit-Prozess im Detail

Die VdS-10000-Zertifizierung folgt einem klar strukturierten Prozess in vier Phasen:

Phase 1: Antragstellung

Du stellst einen formellen Antrag bei VdS. Dabei gibst du Unternehmensdaten, den Geltungsbereich (Scope) der Zertifizierung und den gewuenschten Zeitrahmen an. VdS erstellt daraufhin ein Angebot mit Kosten und Zeitplan. Typischerweise betraegt die Vorlaufzeit 4-8 Wochen zwischen Antragstellung und dem ersten Audit-Termin.

Phase 2: Dokumentenpruefung (Stage 1)

Der Pruefer sichtet deine Dokumentation vorab: Leitlinie, Risikoanalyse, Maßnahmenkatalog, Schulungsnachweise und weitere Dokumente. Ziel ist es, die grundsaetzliche Audit-Reife festzustellen. Bei erheblichen Luecken kann der Pruefer empfehlen, das Vor-Ort-Audit zu verschieben. Bereite dich mit unserer Audit-Vorbereitungsseite optimal vor.

Phase 3: Vor-Ort-Audit (Stage 2)

Im Vor-Ort-Audit prüft der Auditor die tatsaechliche Umsetzung der dokumentierten Maßnahmen. Das umfasst:

• Gespraeche mit Verantwortlichen: Der Auditor spricht mit der Geschäftsführung, dem ISB, IT-Verantwortlichen und Mitarbeitenden, um die gelebte Praxis zu bewerten.
• Stichproben und Nachweispruefung: Konfigurationen, Protokolle und Nachweise werden stichprobenartig geprüft.
• Begehung der Raeumlichkeiten: Physische Sicherheit, Serverraeume und Arbeitsplaetze werden in Augenschein genommen.
• Pruefung der Prozesse: Incident Management, Risikomanagement, Change Management und Schulungsprozesse werden auf Funktionstuechtigkeit geprüft.

Die Dauer des Vor-Ort-Audits haengt von der Unternehmensgroesse und dem Geltungsbereich ab. Fuer ein typisches KMU mit 20-100 Mitarbeitenden ist mit 1-2 Tagen zu rechnen.

Phase 4: Zertifikatsvergabe

Nach einem erfolgreichen Audit erhältst du das VdS-10000-Zertifikat. Bei Abweichungen kann der Pruefer Korrekturmaßnahmen verlangen, die innerhalb einer definierten Frist (in der Regel 3 Monate) umgesetzt und nachgewiesen werden muessen. Bei schwerwiegenden Abweichungen ist ein Nachaudit erforderlich.

Kosten der Zertifizierung

Die VdS-10000-Zertifizierung ist bewusst kostenguenstiger als ISO 27001 und damit fuer KMU erreichbar:

Die genauen Kosten haengen von der Unternehmensgroesse, dem Geltungsbereich und der Komplexitaet der IT-Landschaft ab. Detaillierte Informationen zu Budget und Timeline findest du auf unserer Seite Kosten und Ablauf.

Zertifikatslaufzeit und Überwachungsaudits

Das VdS-10000-Zertifikat ist drei Jahre gueltig. Waehrend dieser Zeit finden jährliche Überwachungsaudits statt, um die fortlaufende Konformitaet sicherzustellen. Diese Überwachungsaudits sind weniger umfangreich als das Erstzertifizierungsaudit, prüfen aber:

• Umsetzung der Korrekturmaßnahmen aus dem letzten Audit
• Fortlaufende Wirksamkeit des Informationssicherheits-Managementsystems
• Behandlung von Sicherheitsvorfaellen seit dem letzten Audit
• Aktualitaet der Dokumentation und Risikobewertung
• Durchfuehrung der geplanten Schulungen und Sensibilisierungsmaßnahmen

Re-Zertifizierung nach drei Jahren

Nach Ablauf der drei Jahre ist eine Re-Zertifizierung erforderlich. Diese umfasst ein erneutes vollständiges Audit, bei dem alle Anforderungen von VdS 10000 erneut geprüft werden. Der Vorteil: Da du bereits ein funktionierendes System etabliert hast, ist der Aufwand fuer die Re-Zertifizierung in der Regel geringer als fuer die Erstzertifizierung. Plane die Re-Zertifizierung mindestens 3 Monate vor Ablauf des Zertifikats, um eine lueckenlose Zertifizierung sicherzustellen.

Auswahlkriterien: Die richtige Vorbereitung wählen

Da VdS die primaere Zertifizierungsstelle ist, liegt die Entscheidung weniger bei der Wahl des Zertifizierers als bei der Wahl der richtigen Unterstuetzung fuer die Vorbereitung. Achte auf folgende Kriterien:

• Erfahrung mit VdS 10000: Nicht jedes Beratungsunternehmen kennt den Standard im Detail. Frage nach Referenzen und erfolgreichen Zertifizierungsprojekten.
• KMU-Verstaendnis: VdS 10000 ist ein KMU-Standard. Berater, die primaer Grossprojekte betreuen, übertragen häufig überdimensionierte Prozesse.
• Toolgestuetzte Vorbereitung: GRC-Tools wie Kopexa mit VdS-10000-Vorlagen reduzieren den manuellen Aufwand erheblich und stellen die Vollstaendigkeit sicher.
• Klare Kostenstruktur: Serioeese Anbieter können dir vor Projektstart einen verbindlichen Kostenrahmen nennen.
• Nachhaltigkeit: Die Zertifizierung ist kein einmaliges Projekt. Waehle Partner, die dich auch über die Erstzertifizierung hinaus unterstuetzen.

Häufig gestellte Fragen

Kann ich VdS 10000 auch ohne externe Beratung schaffen?

Ja, besonders mit GRC-Tooling und den VdS-eigenen Vorbereitungsseminaren ist eine Zertifizierung ohne externen Berater moeglich. Unternehmen mit vorhandener IT-Sicherheitskompetenz können die Vorbereitung intern stemmen. Unsere Checkliste hilft dabei, nichts zu vergessen.

Wie unterscheidet sich das VdS-Audit von einem ISO-27001-Audit?

Das VdS-Audit ist kuerzer, pragmatischer und staerker auf die tatsaechliche Umsetzung fokussiert. ISO-27001-Audits prufen staerker die Prozessreife und das Managementsystem. Beide folgen dem Stage-1/Stage-2-Ansatz mit Dokumentenpruefung und Vor-Ort-Audit.

Was passiert bei Nichtbestehen?

Bei Abweichungen erhältst du eine Frist zur Nachbesserung (typischerweise 3 Monate). Nach erfolgreicher Umsetzung der Korrekturmaßnahmen wird das Zertifikat erteilt. Bei schwerwiegenden Abweichungen ist ein Nachaudit erforderlich, das zusaetzliche Kosten verursacht.

Naechste Schritte

Bereite dich strukturiert auf das VdS-10000-Audit vor. Nutze unsere Audit-Vorbereitungsseite fuer den detaillierten Ablauf, unsere Kosten-und-Ablauf-Seite fuer die Budgetplanung und unsere Checkliste fuer die vollständige Anforderungsübersicht.