ONE4 IT - News

Aktuelle Meldungen und Informationen

Cyber-Risiko-Check: Mit DIN SPEC 27076 setzen sich kleine Unternehmen mit IT-Sicherheit auseinander

Cyberrisiken lauern überall und sind ein Problem für kleine Unternehmen. Sie müssen sicherstellen, dass ihre IT-Infrastruktur optimal geschützt ist. Dabei soll nun der Cyber-Risiko-Check helfen.

Wir erklären, was die DIN SPEC 27076 ist, wie der Cyber-Risiko-Check funktioniert und welche Vorteile Unternehmen daraus ziehen.

Cyberrisiken: ein großes Problem für kleine Unternehmen

Cyberkriminelle konzentrieren ihre Angriffe nicht mehr auf große, wohlhabende Unternehmen, sondern kleine Unternehmen und Kleinstunternehmen mit bis zu 50 Mitarbeitern sind zunehmend das Ziel von Cyberangriffen. Umso wichtiger ist es, dass sich diese Zielgruppe auf die zunehmenden Risiken von Cyberangriffen vorbereitet und sich stärker auf die Sicherheit ihrer Daten und Systeme konzentriert. Es ist wichtig, geeignete Maßnahmen zu ergreifen, um sich vor potenziellen Bedrohungen zu schützen und den Geschäftsbetrieb abzusichern.

Doch wie lässt sich das Thema Cybersicherheit am besten angehen — insbesondere angesichts der begrenzten personellen, zeitlichen und finanziellen Ressourcen, die in der Regel nur kleinen Unternehmen zur Verfügung stehen? Unser Tipp: Mit dem Cyber Risk Check (auch: Cyber Risk Check) gehen kleine Unternehmen dieses große Thema an!

Zu sehen ist eine Büroszene; kleine Unternehmen können durch den CyberRisiko-Check ihre IT-Sicherheit verbessern. Bild: Pexels/fauxels

Kleine Unternehmen geraten ins Visier von Cyberkriminellen — und sollten ihre IT-Sicherheit verbessern. Bild: Pexels/Fauxels

Was ist der Cyber-Risiko-Check?

Der Cyber Risk Check — auch bekannt als DIN SPEC 27076 „IT-Sicherheitsberatung für Klein- und Kleinstunternehmen“ — ist ein neuer Beratungsstandard, der die IT- und Informationssicherheit in kleinen Unternehmen kosten- und zeiteffizient verbessern soll. Er wird von IT-Dienstleistern durchgeführt und deckt in kürzester Zeit die gefährlichsten Schwachstellen auf.

Dazu durchläuft der IT-Dienstleister einen Fragebogen mit 27 Anforderungen, die kleine Unternehmen erfüllen müssen, um die relevantesten Risiken zu minimieren und Angreifern Türen zu verschließen. Dies sind Maßnahmen, die kleine Unternehmen mit wenigen Mitarbeitern realistischerweise umsetzen können. Die Unternehmen erhalten dann einen Ergebnisbericht mit einem Risikostatuswert und spezifischen Handlungsempfehlungen. Der neue Standard macht somit das Sicherheitsniveau von Unternehmen messbar und soll Unternehmen mit bis zu 50 Mitarbeitern zu mehr Cybersicherheit führen.

Der Cyber Risk Check wurde von einem Konsortium unter der Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesverbandes der kleinen und mittleren Unternehmen (BVMW) entwickelt. Eine standardisierte Beratung gemäß DIN SPEC 27076 kann ebenfalls gefördert werden.

Cyber-Risiko-Check: Themenbereiche im Überblick

Die 27 formulierten Anforderungen des Cyber Risk Checks decken sechs zentrale Themenbereiche ab. Unser Überblick gibt einen ersten Einblick:

  • Organisation und Sensibilisierung:
    Dieser Bereich konzentriert sich auf das Engagement des Managements für IT-Sicherheit, die Verteilung der Kompetenzen innerhalb des Unternehmens und die Sensibilisierung der Mitarbeiter für Sicherheitsfragen.
  • Identitäts- und Autorisierungsmanagement:
    Dies umfasst die Verwaltung von Benutzeridentitäten und Zugriffsrechten, um sicherzustellen, dass nur autorisierte Personen Zugriff auf kritische Systeme und Daten haben. Dies umfasst sowohl physische als auch virtuelle Räume.
  • IT-Systeme und Netzwerke:
    In diesem Bereich werden die Sicherheitsmechanismen hinter der Informations- und Kommunikationstechnologie des Unternehmens überprüft.
  • Patch- und Änderungsmanagement:
    Hier wird die verwendete Hard- und Software auf Aktualität und Verfügbarkeit überprüft. Dies beinhaltet die Verwaltung und Verwendung von Softwareupdates und Patches, um bekannte Sicherheitslücken zu schließen.
  • Schutz vor Schadsoftware:
    Hier geht es um die Abwehr von Malware und anderen schädlichen Programmen, die ein großes Risiko für die IT-Sicherheit darstellen. Die Haupteingangstore sollen daher geschlossen werden.
  • Datensicherung:
    Im Rahmen des Cyber-Risiko-Checks werden auch Strategien und Verfahren zur Datensicherung überprüft. Verantwortlichkeiten, Umfang, Häufigkeit und Verfügbarkeit von Daten und deren Backups werden berücksichtigt.

Die vorgestellten Themen sind so konzipiert, dass sie eine umfassende Überprüfung und Verbesserung der IT- und Informationssicherheit in kleinen Unternehmen ermöglichen.

Zu sehen sind zwei Männer in einem Meeting. Möglicherweise führen sie einen CyberRisiko-Check durch. Bild: Pexels/Thirdman

Der Cyberrisiko-Check durchläuft 27 Anforderungen. Bild: Pexels/Thirdman

So funktioniert der Cyber-Risiko-Check nach DIN SPEC 27076

Um sicherzustellen, dass die Kosten für Unternehmen so gering wie möglich sind, wird der Cyber-Risiko-Check von spezialisierten IT-Dienstleistern durchgeführt. Der zuständige IT-Dienstleister führt Sie durch vier einfache Schritte:

  1. Interview zur ersten Information:
    Zunächst informiert der IT-Dienstleister in einem ersten Beratungsgespräch über den Ablauf. In diesem Schritt werden Unternehmen darüber informiert, welche Informationen und Dokumente sie für den Cyber-Risiko-Check vorbereiten sollten. Dazu gehören Ergebnisberichte früherer Audits, Backup-Konzepte, Sicherheitsrichtlinien, Vertraulichkeitserklärungen und Notfallpläne. Darüber hinaus benennt der IT-Dienstleister die Personen, die in den Prozess einbezogen werden sollen — nämlich das Management und einen IT-Manager. Darüber hinaus werden bei diesem Interview erste Unternehmensdaten aufgezeichnet.
  2. Erfassung der aktuellen Situation:
    In diesem Schritt wird der aktuelle Status zu einem vereinbarten Termin erfasst — online, offline oder hybrid. Alle Teilnehmer sollten sich für diesen Termin drei Stunden Zeit nehmen. Während des Interviews durchläuft der IT-Dienstleister zusammen mit der Geschäftsleitung und dem IT-Manager die 27 Anforderungen des Cyber-Risiko-Checks. Dabei dokumentiert der IT-Dienstleister transparent und sorgfältig, inwieweit die Anforderungen erfüllt werden — oder nicht.
  3. Auswertung & Erstellung des Ergebnisberichts:
    Im Anschluss an den Termin werden die erhobenen Daten durch den IT-Dienstleister ausgewertet. Dabei erstellt er einen Bericht und berechnet den sogenannten Risikostatuswert. Je mehr Anforderungen bereits erfüllt sind, desto höher ist die Punktzahl. In diesem Bericht erarbeitet der Experte auch Handlungsempfehlungen.
  4. Präsentation der Ergebnisse:
    In einem weiteren Termin wird der IT-Dienstleister abschließend die im Bericht aufgeführten Ergebnisse vorstellen. Dabei erklärt er, welche Anforderungen erfüllt sind oder nicht erfüllt wurden und präsentiert Handlungsempfehlungen inklusive Priorisierung.

Am Ende dieses Prozesses erhalten Unternehmen einen umfassenden Bericht über die Ergebnisse. Es bietet eine ideale Grundlage, um potenzielle Sicherheitslücken zu schließen und so Cyberangriffe zu verhindern.

Wie geht es nach dem Cyber-Risiko-Check weiter?

Natürlich hilft es nicht, die Handlungsempfehlungen einfach zusammen mit dem Ergebnisbericht auf Papier zu haben. Stattdessen sollten sich Unternehmen, den Ratschlägen gemäß DIN SPEC 27076 folgend, an die Umsetzung der empfohlenen Maßnahmen machen. Dies geschieht am besten in Zusammenarbeit mit einem professionellen IT-Dienstleister. Unser Tipp: Nach der Implementierung lohnt es sich auf jeden Fall, den Cyber-Risiko-Check zu wiederholen, um zu überprüfen, ob sich der eigene Status-Score tatsächlich verbessert hat.

Es sollte berücksichtigt werden, dass beim Cyber-Risiko-Check bewusst nur das absolute Minimum an IT-Sicherheitsanforderungen überprüft wird. Das bedeutet, dass selbst das Erreichen des Maximalwerts keine vollständige Sicherheit garantiert. CyberRiskoCheck ist auch keine IT-Sicherheitszertifizierung. Dennoch hilft es Unternehmen, ihr eigenes IT-Sicherheitsniveau einzuschätzen und sich durch konkrete Maßnahmen besser zu schützen. Dementsprechend besteht beim Schutz vor Cyberangriffen noch Verbesserungspotenzial.

Prinzipiell ist auch die Umsetzung der IT-Sicherheit ein Prozess, der langfristig verfolgt werden muss. Denn: Aufgrund der sich ständig ändernden Bedrohungslage sind immer wieder Anpassungen notwendig. Unternehmen sind daher aufgerufen, auf Kurs zu bleiben, aktuelle Risiken im Auge zu behalten und weitere Zertifizierungen in Angriff zu nehmen.

Zu sehen sind zwei Kollegen, die zusammenarbeiten. Bild: Pexels/ MART PRODUCTION

Der Cyber-Risiko-Check nach DIN SPEC 27076 gibt Unternehmen konkrete Handlungsempfehlungen. Bild: Pexels/MART PRODUCTION

DIN SPEC 27076: Das sind die Vorteile

Für Unternehmen, die sich für die Durchführung des Cyber-Risiko-Checks entscheiden, gibt es eine ganze Reihe von Vorteilen. Zur besseren Übersicht listen wir sie im Folgenden auf:

  • Im Gegensatz zu anderen Sicherheitsstandards, die oft umfangreich und teuer sind, bietet DIN SPEC 27076 einen praktischen Ansatz, der speziell auf die Bedürfnisse von Klein- und Kleinstunternehmen zugeschnitten ist.
  • Der Check ermöglicht es, sich innerhalb kurzer Zeit einen umfassenden Überblick über die aktuelle Cybersicherheitssituation des Unternehmens zu verschaffen. Dies ist besonders wertvoll für Unternehmen, die wenig oder keine Erfahrung im Bereich IT-Sicherheit haben.
  • Die im Ergebnisbericht aufgeführten Handlungsempfehlungen sind leicht — verständlich — formuliert und enthalten konkrete Maßnahmen und Empfehlungen zum Umgang mit bestehenden Schwachstellen.
  • Das Verfahren ist kostengünstig, was insbesondere für kleine Unternehmen von Vorteil ist. Darüber hinaus gibt es Optionen für Finanzierungsprogramme zur Kofinanzierung der Anwendung des Schecks, wodurch die finanzielle Belastung weiter verringert wird.
  • Durch die Umsetzung der empfohlenen Maßnahmen sind Unternehmen besser geschützt. Das Risiko, Opfer eines Cyberangriffs zu werden, wird reduziert. Aber: Selbst dann gibt es nur ein Mindestmaß an IT-Sicherheit!
  • Unternehmen, die sich aktiv um ihre Sicherheit kümmern, bauen so das Vertrauen ihrer Kunden und Geschäftspartner auf. Dieses gewonnene Vertrauen ist nicht nur ein Schlüsselelement im Geschäftsumfeld, sondern trägt auch maßgeblich zur Stärkung des Rufs und der Authentizität des Unternehmens bei.

Insgesamt ist der Cyber-Risiko-Check gemäß DIN SPEC 27076 ein wertvolles Instrument für kleine Unternehmen, um ihre IT-Sicherheit effektiv zu verbessern und sich vor Cyberbedrohungen zu schützen

Die Finanzierung unterstützt den neuen Standard

Wie bereits erwähnt, können kleine Unternehmen eine Förderung für die Beratung gemäß DIN SPEC 27076 erhalten. Für die Kofinanzierung stehen verschiedene Förderpools zur Verfügung. Hier sind die Förderprogramme des Bundes:

  • Das Programm „go — digital“ fördert unter anderem Maßnahmen für eine „Digitalisierungsstrategie“ und mehr „IT-Sicherheit“. Unternehmen erhalten einen Zuschuss, der maximal 50 Prozent der Gesamtinvestition abdeckt. Das Programm läuft bis 2025 und der Antrag wird von lizenzierten Beratern gestellt.
  • Die „Förderung der Unternehmensberatung für KMU“ ist ein neues Programm des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA). Dadurch können Beratungsleistungen zur Digitalisierung bezuschusst werden. Das Programm läuft bis 2026 und der Antrag wird über das BAFA eingereicht.

Die Bundesländer bieten auch verschiedene Förderprogramme an. Eine Auswahl an Fördermöglichkeiten ist auf der Website www. mit – standard – sicher. de verfügbar. Die durchführenden IT-Dienstleister sind zudem verpflichtet, im Ergebnisbericht Angaben zur geeigneten Finanzierung für die Durchführung des Cyber-Risiko-Checks zu machen.


Weitere Informationen:
mIT Standard sicher, mIT Standard sicher, BSI, BSI, BEUTH
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network