Der Cyber Risiko Check des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein standardisierter Prozess, der speziell für kleine und mittelständische Unternehmen (KMU) entwickelt wurde. Er basiert auf der DIN SPEC 27076 und bietet eine strukturierte Bewertung der IT-Sicherheit eines Unternehmens. Er bietet die Basis, den Aufbau eines Informationssicherheitsmanagement-System nach ISO 27001, NIS 2, TISAX etc. zu initieren und Bewusstsein bei der Unternehmensführung für das Thema Informationicherheit zu schaffen.

Um auch kleine und mittlere Unternehmen zu unterstützen, wurde in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leitete das Konsortium, der BVMW übernahm die stellvertretende Leitung. Insgesamt waren fast 20 weitere Partner beteiligt, u. a. das Deutsche Institut für Normung (DIN), Wirtschaftsförderungen, eine Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft, IT-Grundschutz-Expertinnen und -Experten, -Auditorinnen und -Auditoren sowie Fachkundige zum Thema Datenschutz und IT-Dienstleister. Finanziert wurde das Projekt durch das Bundesministerium für Wirtschaft und Klimaschutz im Rahmen des Programmes „Mittelstand Digital“.

Die DIN SPEC 27076 ist eine Spezifikation zur IT-Sicherheitsberatung für kleine und Kleinstunternehmen (KMU). Sie bietet einen standardisierten Beratungsprozess, den sogenannten  CyberRisikoCheck.

Dieser Check hilft Unternehmen dabei, ihren aktuellen Stand der IT-Sicherheit zu bewerten und Schwachstellen zu identifizieren.

  • Der CyberRisikoCheck umfasst 27 Anforderungen aus sechs Themenbereichen
  • Organisation & Sensibilisierung
  • Identitäts- und Berechtigungsmanagement
  • Datensicherung
  • Patch- und Änderungsmanagement
  • Schutz vor Schadprogrammen
  • IT-Systeme und Netzwerk
Anforderungskatalog DIN SPEC 27076 1

Prozess der IT Sicherheitsberatung nach DIN SPEC 27076

Der Ablauf einer Sicherheitsberatung nach DIN SPEC 27076 gliedert sich wie folgt.

Prozess DIN Spec 27076

Schritt 1 – Erstinformation zum Cyber Risiko Check

Im ersten Schritt muss ein Informationsgespräch zwischen dem IT-Dienstleister und dem zu beratenden Klein-  oder Kleinstunternehmen erfolgen. Dies kann ein Präsenztreffen, ein Online-Meeting oder ein Telefongespräch sein. Der IT-Dienstleister informiert das Unternehmen über folgende Aspekte:

  • Den groben Ablauf des Beratungsprozesses.
  • Den zeitlichen und personellen Aufwand, den das Unternehmen bei der Umsetzung erwarten kann.
  • Die Personen, die seitens des Unternehmens am Prozess teilnehmen sollten, einschließlich der Geschäftsführung und gegebenenfalls externer Dienstleister.
  • Die groben Themenbereiche, die im Beratungsprozess abgefragt werden.
  • Die Kosten der Beratung und mögliche Fördermöglichkeiten zur Kostensenkung.
  • Zusätzlich kann der IT-Dienstleister nach dem Gespräch eine Checkliste an das Unternehmen aushändigen.

Schritt 2 – Erhebung des Ist-Zustands im Rahmen der DIN SPEC 27076

Für die Erhebung des IST-Zustandes muss ein mindestens dreistündiger Termin vereinbart werden. Der Anforderungskatalog wurde so entwickelt, dass das Gespräch zur Erhebung des IST-Zustandes in der Regel nicht länger als zwei Stunden beansprucht. Diese Zeit kann jedoch je nach Situation des Unternehmens kürzer oder länger ausfallen.

Das Gespräch muss als Präsenztermin oder als Online-Videokonferenz bzw. hybride Online-Videokonferenz stattfinden. Die gesamte Geschäftsführung des zu beratenden Unternehmens muss an dem Gespräch zur Erhebung des IST-Zustandes teilnehmen.

Falls eine gesonderte Person im Unternehmen für das Thema IT- und Informationssicherheit zuständig ist, muss diese am Evaluationsgespräch teilnehmen. Falls ein externes Dienstleistungsunternehmen mit der Wahrnehmung von Aufgaben im Bereich Informationssicherheit beauftragt ist, muss dieses am Evaluationsgespräch teilnehmen.

Darüber hinaus sollten Personen, welche nicht mit dem Thema Informationssicherheit betraut sind, nicht am Gespräch teilnehmen. Personen, welche nicht auskunftsfähig sind, sollten nicht am Gespräch teilnehmen.

Schritt 3 – Auswerung der Erhebungsdaten und Ergebnisbericht

Für die Antworten im Rahmen der Befragung werden Punkte vergeben, die nach den Vorgaben der DIN SPEC 27076 bewertet werden. Der Risiko-Status ist der zentrale Wert, der am Ende der IT-Sicherheitsberatung das Gefährdungsrisiko des Unternehmens, auf Basis der in diesem Dokument verankerten Anforderungen, quantifiziert abbildet. Für jede nicht erfüllte Anforderungen werden Handlungsempfehlungen gegeben.

Schritt 4- Präsentation der Ergebnisse

Die Ergebnisse und Handlungsempfehlungen werden der Geschäftsführung in einem Termin präsentiert. Dieser kann ebenfalls als Präsenz oder Online-Videokonferenz bzw. hybrider Online-Videokonferenz stattfinden. Während des Termins müssen folgende Elemente behandelt werden:

  • detaillierte Erläuterung des Ergebnisses sowie des Ergebnisberichts für das beratene Unternehmen,
  • Aufzeigen und Erklärung der priorisierten Handlungsempfehlungen, sofern TOP-Anforderungen nicht erfüllt wurden
  • Aufzeigen und Erklärung der weiteren Handlungsempfehlungen
  • Sensibilisierung des beratenen Unternehmens zu den gängigsten Gefahren auf Basis des ermittelten individuellen Risikoprofils
  • restlose Klärung der Fragen des Unternehmens zum Bericht
  • Aufzeigen von relevanten Möglichkeiten zur weiteren Förderung der IT- und Informationssicherheit für die individuellen Bedarfe des Unternehmens (sofern vorhanden). Dies können bspw. Hinweise auf kommunale, regionale, Bundes- oder EU-Förderprogramme sein.

Umsetzung

Für die Umsetzung der Handlungsempfehlungen steht Trigonum Ihnen zur Verfügung. Sprechen Sie uns gerne an oder informieren Sie sich hier

Weitere Informationen zum Cyber Risiko Check finden Sie hier:

BSI – CyberRisikoCheck nach DIN SPEC 27076