IT-Sicherheit

CyberRisiko-Check

Mit der DIN SPEC 27076 packen kleine Unternehmen IT-Sicherheit an

von 15.01.2024
Zu sehen ist eine Meeting-Szene. So könnte es aussehen, wenn ein CyberRisiko-Check durchgeführt wird. Bild: Pexels/fauxels
Mit dem CyberRisiko-Check sollen kleine Unternehmen ihre Cybersicherheit verbessern können. Bild: Pexels/fauxels

Cyberrisiken lauern überall und sind für kleine Unternehmen ein Problem. Sie müssen sicherstellen, dass ihre IT-Infrastruktur bestmöglich geschützt ist. Der CyberRisiko-Check soll jetzt dabei helfen.

Wir erklären, was die DIN SPEC 27076 ist, wie der CyberRisiko-Check abläuft und welche Vorteile Unternehmen daraus gewinnen.

Cyberrisiken: ein großes Thema für kleine Unternehmen

Cyberkriminelle fokussieren sich mit ihren Attacken längst nicht mehr auf große, zahlungskräftige Unternehmen; vielmehr sind zunehmend auch kleine Unternehmen und Kleinstunternehmen mit bis zu 50 Mitarbeitern das Ziel von Cyberangriffen. Umso wichtiger ist es daher, dass sich diese Zielgruppe für die zunehmenden Gefahren von Cyberangriffen wappnet und ihren Fokus verstärkt auf die Sicherheit ihrer Daten und Systeme richtet. Es gilt, geeignete Maßnahmen zu ergreifen, um sich vor den potenziellen Bedrohungen zu schützen und den Geschäftsbetrieb abzusichern.

Aber wie lässt sich das Thema Cybersicherheit am besten stemmen – vor allem angesichts der begrenzten personellen, zeitlichen und finanziellen Ressourcen, die kleinen Unternehmen meist nur zur Verfügung stehen? Unser Tipp: Mit dem CyberRisiko-Check (auch: CyberRisikoCheck) packen kleine Unternehmen dieses große Thema an!

Zu sehen ist eine Büroszene; kleine Unternehmen können durch den CyberRisiko-Check ihre IT-Sicherheit verbessern. Bild: Pexels/fauxels

Kleine Unternehmen rücken ins Visier von Cyberkriminellen – und sollten ihre IT-Sicherheit verbessern. Bild: Pexels/fauxels

Was ist der CyberRisiko-Check?

Der CyberRisiko-Check – auch bekannt als DIN SPEC 27076 „IT-Sicherheitsberatung für kleine und Kleinstunternehmen“ – ist ein neuer Beratungsstandard, der die IT- und Informationssicherheit in kleinen Unternehmen kosten- und zeiteffizient verbessern soll. Er wird durch IT-Dienstleister durchgeführt und zeigt in kürzester Zeit die gefährlichsten Schwachstellen auf.

Dazu geht der IT-Dienstleister einen Fragebogen mit 27 Anforderungen durch, die kleine Betriebe erfüllen müssen, um die relevantesten Risiken zu minimieren und Einfallstore für Angreifer zu schließen. Es geht hier um Maßnahmen, die kleine Betriebe mit wenigen Beschäftigten auch realistisch umsetzen können. Im Anschluss erhalten die Unternehmen einen Ergebnisbericht inklusive eines Risiko-Statuswerts und konkreten Handlungsempfehlungen. Der neue Standard macht somit den Sicherheitsstand von Unternehmen messbar und soll Unternehmen mit bis zu 50 Mitarbeitern zu mehr Cybersicherheit führen.

Der CyberRisiko-Check ist von einem Konsortium unter der Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und dem Bundesverband mittelständische Wirtschaft (BVMW) entwickelt worden. Eine standardisierte Beratung nach DIN SPEC 27076 lässt sich zudem fördern.

CyberRisiko-Check: Themenbereiche im Überblick

Die 27 formulierten Anforderungen des CyberRisiko-Checks decken sechs zentrale Themenbereiche ab. Unsere Übersicht verschafft einen ersten Einblick:

  • Organisation und Sensibilisierung:
    Dieser Bereich fokussiert sich auf das Engagement des Managements in Bezug auf IT-Sicherheit, die Kompetenzverteilung im Unternehmen und die Sensibilisierung der Mitarbeiter für Sicherheitsthemen.
  • Identitäts- und Berechtigungsmanagement:
    Hier wird die Verwaltung von Nutzeridentitäten und Zugriffsberechtigungen behandelt, um sicherzustellen, dass nur autorisierte Personen Zugang zu kritischen Systemen und Daten haben. Es geht hier sowohl um physische als auch virtuelle Räumlichkeiten.
  • IT-Systeme und Netzwerke:
    In diesem Bereich erfolgt eine Überprüfung der Sicherheitsmechanismen, die hinter der eingesetzten Informations- und Kommunikationstechnologie des Unternehmens stehen.
  • Patch- und Änderungsmanagement:
    Hier wird die eingesetzte Hardware und Software auf ihre Aktualität und Verfügbarkeit geprüft. Es geht dabei unter anderem um die Verwaltung und den Einsatz von Software-Updates und Patches, um bekannte Sicherheitslücken zu schließen.
  • Schutz vor Schadprogrammen:
    Hier geht es um die Abwehr von Malware und anderen schädlichen Programmen, die ein großes Risiko für die IT-Sicherheit darstellen. Haupteinfallstore sollen damit geschlossen werden.
  • Datensicherung:
    Auch die Strategien und Verfahren zur Datensicherung werden im Zuge des CyberRisiko-Checks einer Prüfung unterzogen. In den Blick genommen werden Zuständigkeiten, Umfang, Häufigkeit und Verfügbarkeit von Daten und deren Backups.

Die vorgestellten Themenbereiche sind dabei  so konzipiert, dass sie eine umfassende Überprüfung und Verbesserung der IT- und Informationssicherheit in kleinen Unternehmen ermöglichen.

Zu sehen sind zwei Männer in einem Meeting. Möglicherweise führen sie einen CyberRisiko-Check durch. Bild: Pexels/Thirdman

Beim CyberRisiko-Check werden 27 Anforderungen durchgegangen. Bild: Pexels/Thirdman

So läuft der CyberRisiko-Check nach DIN SPEC 27076 ab

Damit der Aufwand bei den Unternehmen so gering wie möglich ist, wird der CyberRisiko-Check durch spezialisierte IT-Dienstleister durchgeführt. Der zuständige IT-Dienstleister führt dazu durch vier einfache Schritte:

  1. Gespräch zur Erstinformation:
    Zuerst informiert der IT-Dienstleister in einem Erstgespräch über den Ablauf. Bei diesem Schritt werden Unternehmen darüber informiert, welche Informationen und Dokumente sie für den CyberRisiko-Check vorbereiten sollten. Dazu gehören unter anderem Ergebnisberichte bereits durchgeführter Audits, BackUp-Konzepte, Sicherheitsrichtlinien, Vertraulichkeitserklärungen und Notfallpläne. Zudem nennt der IT-Dienstleister die Personen, die an dem Prozess beteiligt werden sollten – nämlich die Geschäftsführung und ein/der IT-Verantwortliche/r. Außerdem werden in diesem Gespräch erste Unternehmensdaten aufgenommen.
  2. Aufnahme des Ist-Zustands:
    In diesem Schritt erfolgt zu einem vereinbarten Termin – online, offline oder hybrid – die tatsächliche Aufnahme des Ist-Zustands. Für diesen Termin sollten sich alle Beteiligten drei Stunden blocken. In dem Gespräch geht der IT-Dienstleister zusammen mit der Geschäftsführung und dem IT-Verantwortlichen die 27 Anforderungen des Cyberrisiko-Checks durch. Dabei dokumentiert der IT-Dienstleister transparent und sorgfältig, inwieweit die Anforderungen erfüllt werden – oder eben nicht.
  3. Auswertung & Erstellung des Ergebnisberichts:
    Im Anschluss an den Termin erfolgt die Auswertung der erhobenen Daten durch den IT-Dienstleister. Dabei erstellt er einen Bericht und errechnet den sogenannten Risiko-Statuswert. Je mehr Anforderungen bereits erfüllt werden, desto höher ist die Punktzahl. In diesem Bericht stellt der Experte auch Handlungsempfehlungen zusammen.
  4. Präsentation der Ergebnisse:
    In einem weiteren Termin präsentiert der IT-Dienstleister abschließend die in dem Bericht aufgeführten Ergebnisse. Dabei erläutert er, welche Anforderungen erfüllt beziehungsweise nicht erfüllt sind und stellt die Handlungsempfehlungen inklusive einer Priorisierung vor.

Am Ende dieses Prozesses liegt den Unternehmen ein umfassender Ergebnisbericht vor. Er stellt eine optimale Grundlage dar, um potenzielle Schwachstellen zu schließen und Cyberangriffe dadurch zu verhindern.

Wie geht es nach dem CyberRisiko-Check weiter?

Es hilft natürlich nicht, mit dem Ergebnisbericht die Handlungsempfehlungen lediglich auf Papier zu haben. Vielmehr sollten sich Unternehmen im Anschluss an die Beratung nach DIN SPEC 27076 daran machen, die empfohlenen Maßnahmen auch umzusetzen. Dies geschieht am besten in Zusammenarbeit mit einem professionellen IT-Dienstleister. Unser Tipp: Nach der Umsetzung lohnt sich durchaus eine Wiederholung des CyberRisiko-Checks, um zu prüfen, ob sich der eigene Statuswert tatsächlich verbessert hat.

Zu bedenken ist, dass der CyberRisiko-Check ganz bewusst nur das absolute Minimum an Anforderungen an die IT-Sicherheit abprüft. Das bedeutet, dass auch das Erreichen des Maximalwerts keine vollumfängliche Sicherheit gewährleistet. Es handelt sich beim CyberRiskoCheck auch um keine IT-Sicherheitszertifizierung. Dennoch hilft er Unternehmen dabei, das eigene IT-Sicherheitsniveau zu bewerten und sich durch konkrete Maßnahmen besser zu schützen. Es gibt hinsichtlich der Absicherung gegen Cyberangriffe dementsprechend noch Luft nach oben.

Grundsätzlich gilt auch, dass die Umsetzung von IT-Sicherheit ein Prozess ist, der langfristig zu verfolgen ist. Denn: Aufgrund der sich stetig verändernden Bedrohungslage sind immer wieder Anpassungen notwendig. Unternehmen sind also dazu aufgerufen, am Ball zu bleiben, aktuelle Risiken zu verfolgen und weiterführende Zertifizierungen anzugehen.

Zu sehen sind zwei Kollegen, die zusammenarbeiten. Bild: Pexels/ MART PRODUCTION

Durch den CyberRisiko-Check nach DIN SPEC 27076 erhalten Unternehmen konkrete Handlungsempfehlungen. Bild: Pexels/MART PRODUCTION

DIN SPEC 27076: Das sind die Vorteile

Für Unternehmen, die sich dazu entschließen, den CyberRisiko-Check durchzuführen, ergibt sich eine ganze Reihe an Vorteilen. Für eine bessere Übersicht listen wir diese nachfolgend einmal auf:

  • Im Gegensatz zu anderen Sicherheitsstandards, die oft umfangreich und teuer sind, bietet die DIN SPEC 27076 einen praxisnahen Ansatz, der speziell auf die Bedürfnisse von Klein- und Kleinstunternehmen zugeschnitten ist.
  • Der Check ermöglicht es, innerhalb kurzer Zeit einen umfassenden Überblick über die aktuelle Cybersicherheitssituation des Unternehmens zu erhalten. Dies ist besonders wertvoll für Unternehmen, die wenig oder keine Erfahrung im Bereich IT-Sicherheit haben.
  • Die im Ergebnisbericht aufgeführten Handlungsempfehlungen sind leicht verständlich formuliert und enthalten konkrete Maßnahmen sowie Empfehlungen, wie mit vorhandenen Schwachstellen umzugehen ist.
  • Der Prozess ist kostengünstig gestaltet, was insbesondere für kleine Unternehmen von Vorteil ist. Zusätzlich gibt es Möglichkeiten, die Anwendung des Checks durch Förderprogramme mitfinanzieren zu lassen, was die finanzielle Belastung weiter reduziert.
  • Durch die Umsetzung der empfohlenen Maßnahmen sind Unternehmen besser geschützt. Das Risiko, einem Cyberangriff zum Opfer zu fallen, reduziert sich. Aber: Auch dann ist nur ein Mindestmaß an IT-Sicherheit gegeben!
  • Firmen, die sich aktiv um ihre Sicherheit kümmern, bauen dadurch das Vertrauen ihrer Kunden und Geschäftspartner aus. Dieses erworbene Vertrauen ist nicht nur ein Schlüsselelement im geschäftlichen Umfeld, sondern trägt auch maßgeblich zur Stärkung des Ansehens und der Authentizität des Unternehmens bei.

Insgesamt ist der CyberRisiko-Check nach DIN SPEC 27076 ein wertvolles Instrument für kleine Unternehmen, um ihre IT-Sicherheit effektiv zu verbessern und sich gegen Cyber-Bedrohungen zu schützen

Fördergelder unterstützen beim neuen Standard

Wie bereits erwähnt, können kleine Unternehmen für die Beratung nach DIN SPEC 27076 Fördermittel erhalten. Zur Kofinanzierung stehen verschiedenen Fördertöpfe bereit. Hier die Förderprogramme des Bundes:

  • Das Programm „go-digital“ fördert unter anderem Maßnahmen für eine „Digitalisierungsstrategie“ und mehr „IT-Sicherheit“. Unternehmen erhalten dabei einen Zuschuss, der maximal 50 Prozent der Gesamtinvestition abdeckt. Das Programm läuft noch bis 2025, die Beantragung erfolgt über lizensierte Berater.
  • Bei der „Förderung von Unternehmensberatung für KMU“ handelt es sich um ein neues Programm des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Hiermit lassen sich Beratungsleistungen zur Digitalisierung bezuschussen. Das Programm läuft bis 2026, die Beantragung erfolgt über die BAFA.

Auch die Bundesländer bieten verschiedene Förderprogramme an. Eine Auswahl der Fördermöglichkeiten hält die Webseite www.mit-standard-sicher.de bereit. Auch die durchführenden IT-Dienstleister sind dazu angehalten, im Ergebnisbericht über passende Fördermittel für die Durchführung des CyberRisiko-Checks zu informieren.

IT-Dienstleister übernehmen den Cyberrisiko-Check!

Sie finden, dass der CyberRisiko-Check nach einer interessanten Möglichkeit klingt, das Thema IT-Sicherheit auch für Ihr Unternehmen endlich anzupacken? Dann sollten Sie sich am besten direkt auf die Suche nach einem passenden IT-Dienstleister begeben, der die Beratung nach DIN SPEC 26076 anbietet. Kleiner Spoiler: Bei vielen der IT-Systemhäuser, die sich unserem Netzwerk angeschlossen haben, werden Sie sogleich fündig!

Die Experten aus dem IT-SERVICE.NETWORK sind nämlich perfekt darauf vorbereitet, den CyberRisiko-Check in kleinen Unternehmen durchzuführen und das Projekt zur Verbesserung der IT-Sicherheit gemeinsam anzugehen. Sie stehen auch gerne bereit, um im Anschluss an den Check die empfohlenen Maßnahmen direkt durchzuführen und dadurch das Cybersicherheitsniveau in Ihrem Unternehmen zu verbessern.

Sie wollen noch eine Schüppe drauflegen und nicht nur die Mindestanforderungen an die IT-Sicherheit erfüllen? Auch dann sind unsere Fachleute genau die richtigen Ansprechpartner. Nehmen Sie Kontakt zu einem unserer IT-Dienstleister in Ihrer Nähe auf und lassen Sie sich zunächst einmal völlig unverbindlich beraten!


Weiterführende Informationen:
mIT Standard sicher, mIT Standard sicher, BSI, BSI, BEUTH
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Quishing ist neue Gefahr

Wie Cyberkriminelle QR-Codes für sich nutzen

von • 12.06.2024

Mit Quishing haben Cyberkriminelle eine neue Methode gefunden, um ihre Opfer in die Falle zu locken. Zum Einsatz kommen dabei QR-Codes. Wir erklären, was Quishing ist, wie es funktioniert und wie ...

Weiterlesen
IT-Sicherheit

Datenleck bei Dell

Daten von 49 Millionen Kunden im Dark Web?

von • 15.05.2024

Jetzt hat es Dell getroffen: Der PC-Hersteller ist offenbar zum Ziel einer Cyberattacke geworden. Die Daten von 49 Millionen Kunden könnten potenziell von dem Datenleck bei Dell betroffen sein.  ...

Weiterlesen
IT-Sicherheit

Ladesäulen als Cyberrisiko

Weshalb Unternehmen bei Elektro-Firmenwagen vorsichtig sein müssen

von • 08.05.2024

Viele Unternehmen, die auf ihren CO2-Fußabdruck achten, setzen auf E-Autos in ihrem Fuhrpark. Wichtig zu wissen: Das Laden an öffentlichen Ladesäulen kann ein Cyberrisiko darstellen. Wir erklär...

Weiterlesen