VdS 10000 ist der pragmatische ISMS-Standard für KMU – entwickelt von der VdS Schadenverhütung, anerkannt von Cyberversicherern, aufwärtskompatibel zu ISO 27001.
VdS 10000 ist ein deutscher Informationssicherheitsstandard, der speziell für kleine und mittlere Unternehmen entwickelt wurde. Er bietet einen strukturierten, deutlich schlankeren Einstieg ins ISMS als ISO 27001 und ist aufwärtskompatibel zum internationalen Standard.
VdS 10000 ist der Informationssicherheitsstandard, der für KMU gemacht wurde. Er gibt dir einen klaren Rahmen, mit dem du ein funktionierendes ISMS (Informationssicherheits-Managementsystem, also ein dokumentiertes System aus Richtlinien und Maßnahmen zum Schutz deiner Unternehmensdaten) aufbauen kannst. Ohne den Aufwand, den ISO 27001 mit sich bringt.
VdS 10000 ist eine Richtlinie der VdS Schadenverhütung GmbH, einer Tochter des Gesamtverbands der deutschen Versicherungswirtschaft (GDV). Sie definiert Mindestanforderungen an die Informationssicherheit und beschreibt ein ISMS, das für KMU organisatorisch und finanziell tragbar ist.
Die aktuelle Version stammt aus dem Jahr 2025. Sie löst die Vorgängerversion ab und enthält aktualisierte Maßnahmen zu Themen wie Backup-Strategien, Authentifizierung und Netzsegmentierung (die gezielte Trennung von Netzwerkbereichen, um Angreifern den Zugriff zu erschweren).
VdS 10000 gliedert sich in zwei Bereiche: das eigentliche ISMS und einen Katalog konkreter Basisanforderungen an die Informationssicherheit. Zusammen decken sie die wichtigsten Handlungsfelder ab: Organisation, Technik, Prävention und Management.
Der Standard richtet sich an Unternehmen mit begrenzten Ressourcen für Informationssicherheit. Das sind vor allem:
VdS 10000 ist branchenübergreifend einsetzbar. Es gibt keine Pflicht zur Anwendung. Unternehmen wählen den Standard freiwillig, weil sie Informationssicherheit strukturiert aufbauen und gegebenenfalls nachweisen wollen.
Beide Standards adressieren das gleiche Ziel: ein funktionierendes ISMS. Der entscheidende Unterschied liegt im Aufwand.
ISO 27001 ist ein internationaler Standard mit einem umfangreichen Anforderungskatalog. Er beinhaltet 93 Controls (Sicherheitsmaßnahmen) im Annex A und setzt eine vollständige Dokumentation aller Sicherheitsprozesse voraus. Der Aufwand für Einführung und Zertifizierung ist erheblich.
VdS 10000 orientiert sich an ISO 27001 und dem BSI IT-Grundschutz (dem deutschen Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik), ist aber deutlich schlanker. VdS selbst gibt an, dass der Umsetzungsaufwand bei etwa 20 Prozent des ISO-27001-Aufwands liegt.
Bei ISO 27001 dauert der Weg zur Zertifizierung typischerweise 12 bis 18 Monate oder länger. VdS 10000 lässt sich in KMU oft innerhalb weniger Monate einführen.
ISO 27001 ist weltweit anerkannt. Wenn du internationale Kunden bedienst oder in stark regulierten Branchen wie Finanzen oder Gesundheit tätig bist, ist ISO 27001 die richtige Wahl.
VdS 10000 ist in Deutschland gut etabliert und wird von Cyberversicherern, Banken und Wirtschaftsprüfern anerkannt. International ist die Bekanntheit jedoch deutlich geringer.
VdS 10000 wurde von Anfang an aufwärtskompatibel zu ISO 27001 entwickelt. Das bedeutet: Wer mit VdS 10000 startet, schafft eine solide Grundlage, auf der später eine ISO-27001-Zertifizierung aufbauen kann. Der Schritt ist möglich, ohne das Vorhandene wegzuwerfen.
VdS 10000 gewinnt an Bedeutung. Dafür gibt es konkrete Gründe.
Viele Cyberversicherer erkennen VdS 10000 ausdrücklich an. Ein gültiges Zertifikat kann zu günstigeren Prämien, einem erleichterten Versicherungsabschluss oder höheren Deckungssummen führen. Das ist kein Nebeneffekt, sondern ein handfester wirtschaftlicher Vorteil.
Die NIS-2-Richtlinie (Network and Information Security 2, seit Dezember 2025 in deutsches Recht umgesetzt als NIS2UmsuCG) verpflichtet betroffene Unternehmen zu konkreten Sicherheitsmaßnahmen. VdS 10000 deckt viele dieser Anforderungen bereits ab. Wer nach VdS 10000 zertifiziert ist, verkürzt den Weg zur NIS-2-Compliance erheblich. Eine neue Ergänzungsrichtlinie (VdS 10100), die sich direkt auf NIS-2-Anforderungen fokussiert, befindet sich derzeit in Entwicklung.
Größere Auftraggeber und Konzerne fordern zunehmend Nachweise zur Informationssicherheit von ihren Zulieferern und Dienstleistern. VdS 10000 liefert genau diesen Nachweis, ohne dass du dafür monatelang in ein ISO-27001-Projekt investieren musst.
Das Zertifizierungsverfahren nach VdS 10000 ist klar strukturiert und besteht aus drei Schritten.
Du beantwortest online 39 Fragen zu den Handlungsfeldern Organisation, Technik, Prävention und Management. Das Ergebnis ist eine Kurzanalyse mit einem Ampelsystem und einem ausführlichen Statusbericht. So siehst du, wo dein Unternehmen steht und wo Handlungsbedarf besteht. Den VdS Quick-Check findest du direkt auf der VdS-Website (kostenpflichtig).
Ein unabhängiger, von VdS zugelassener Auditor prüft die Umsetzung vor Ort. Er vergleicht die Angaben aus der Selbstauskunft mit der tatsächlichen Situation im Unternehmen und erstellt einen formellen Auditbericht. Das Audit dauert für ein typisches KMU etwa zwei Werktage.
Wenn noch nicht alles vollständig umgesetzt ist, erhältst du konkrete Korrekturmaßnahmen und in der Regel zwei Monate Zeit, diese zu beheben. Danach wird das Ergebnis neu bewertet.
Nach erfolgreichem Audit stellt die VdS-Zertifizierungsstelle das Zertifikat aus. Es hat eine Laufzeit von drei Jahren. In dieser Zeit finden zwei Überwachungsaudits statt, um sicherzustellen, dass das Sicherheitsniveau erhalten bleibt. Vor Ablauf der drei Jahre kannst du die Rezertifizierung beauftragen.
Der Weg zur VdS-10000-Zertifizierung folgt einem logischen Ablauf.
Definiere, welche Bereiche deines Unternehmens in den Scope fallen. VdS 10000 erlaubt es, den Geltungsbereich einzuschränken. Das reduziert den Aufwand gezielt dort, wo es sinnvoll ist.
Du benötigst eine verantwortliche Person für Informationssicherheit. Das kann ein interner Mitarbeitender sein oder ein externer Informationssicherheitsbeauftragter (ISB). Die aktuelle VdS-10000-Version von 2025 macht diese Benennung verbindlich.
Ermittle, welche Informationen und IT-Systeme in deinem Unternehmen schützenswert sind. Bewerte, welche Bedrohungen existieren und wie wahrscheinlich und schwerwiegend ein Schadensfall wäre. Das ist die Grundlage für alle weiteren Maßnahmen.
Setze die technischen und organisatorischen Anforderungen aus VdS 10000 um. Typische Maßnahmen sind: Passwort-Richtlinien mit Mehrfaktor-Authentifizierung (MFA), automatisierte Backups, Notfall- und Wiederanlaufpläne sowie eine klare Regelung für Zugriffsrechte.
Halte alle Maßnahmen, Prozesse und Verantwortlichkeiten dokumentiert fest. Ohne Dokumentation gibt es im Audit keinen Nachweis.
Füll die webbasierte Selbstauskunft auf der VdS-Website aus. Beauftrage danach das Quick-Audit direkt bei VdS oder über einen zugelassenen Berater. Wenn du dabei Unterstützung willst, begleiten wir dich durch den gesamten Prozess. Vereinbare ein Strategiegespräch.
VdS 10000 ist kein Gesetz und keine Pflicht. Es gibt keine Behörde, die das Zertifikat verlangt. Du wählst den Standard freiwillig, weil er dir und deinem Unternehmen nützt.
VdS 10000 ist außerdem kein Allheilmittel. Informationssicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Das Zertifikat ist ein Meilenstein, kein Endpunkt.
VdS 10000 ist der pragmatische Weg zu einem dokumentierten ISMS für KMU. Du bekommst Struktur, einen klaren Maßnahmenkatalog und am Ende einen anerkannten Nachweis. Mit deutlich weniger Aufwand als bei ISO 27001 und ohne auf spätere Erweiterungen verzichten zu müssen.
Wer Informationssicherheit ernstnimmt, aber nicht sofort den vollen ISO-27001-Apparat auffahren kann oder will, findet in VdS 10000 einen soliden Einstieg.
Mehr zur Grundlage dahinter: Was ist ein ISMS?
Den nächsten Schritt besprechen: Strategiegespräch vereinbaren
