Newsletter

CyberRisikoCheck für kleine Unternehmen (KKUs) nach DIN 27076

Geposted von Felix Allgeier am 22. Mai 2024
Allgemein

Was ist DIN SPEC 27076?

DIN SPEC 27076 ist ein Standard für den Beratungsprozess zwischen IT-Sicherheitsdienstleister und KKU (Kleinst- und Kleinunternehmen), welcher durch den CyberRisikoCheck umgesetzt wird. Der CyberRisikoCheck ist speziell für Unternehmen geeignet, die sich kaum oder gar nicht mit dem Thema Informationssicherheit auseinandergesetzt haben.


Was sind die Ziele des CyberRisikoChecks?

Mit dem CyberRisikoCheck wurde ein niedrigschwelliges Angebot für KKUs eingeführt, um den Ist-Zustand der IT- und Informationssicherheit zu bestimmen und geeignete Handlungsempfehlungen zu geben. So soll die Sicherheit von kleinen Unternehmen auf ein Mindestmaß angehoben und Risiken minimiert werden. Dabei ist anzumerken, dass die Durchführung eines CyberRisikoChecks keine Zertifizierung für das Unternehmen darstellt.

Die Beratung erfolgt an insgesamt drei Terminen, die eine Gesamtdauer von einem Personentag nicht überschreiten. Somit wird ein schneller und kostengünstiger Prozess gewährleistet. Unternehmen können zudem eine Förderung von Bund und Länder beantragen.


Wie läuft der CyberRisikoCheck ab?

Der CyberRisikoCheck unterteilt sich in vier Phasen, dem Erstgespräch, einem Interview mit Auswertung und die abschließende Präsentation. Die Meetings finden an drei Terminen statt, die zusammen ungefähr einen Personentag umfassen.

Das Erstgespräch

Im Erstgespräch werden Informationen zum Beratungsprozess bereitgestellt, Unternehmensdaten aufgenommen und die weiteren Termine festgelegt. Als Vorbereitung auf das Interview werden zudem alle benötigten Dokumente zur Verfügung gestellt.

Das Interview

Im Interview wird der Ist-Zustands des Unternehmens anhand von Fragen aus 27 Anforderungen ermittelt. Die Fragen sind leicht verständlich formuliert, sodass auch Unternehmen ohne eigene IT-Abteilung diese beantworten können.

Die Evaluation

In dieser Phase ist nur der IT-Sicherheitsdienstleiter gefragt. Hier wird der Fragenkatalog aus dem Interview ausgewertet und eine Punkteskala erstellt. In einem Bericht wird die Sicherheitssituation des Unternehmens visuell dargestellt und konkrete Handlungsempfehlungen übersichtlich aufbereitet.

Die Präsentation

Schließlich präsentiert der Dienstleister die Ergebnisse des CyberRisikoChecks und übergibt den Bericht. Dabei wird auf die Handlungsempfehlungen eingegangen und ausstehende Fragen beantwortet.

Welche Anforderungen werden an mein Unternehmen gestellt?

Die Anforderungen basieren auf dem IT-Grundschutzgesetz des BSIs (Bundesamt für Sicherheit in der Informationstechnik) und bilden ein Mindestmaß an Sicherheit, um die Risiken von Cyberangriffe zu minimieren. Die 27 Anforderungen lassen sich in sechs Kategorien einteilen:

  1. Organisation und Sensibilisierung
  2. Datensicherung
  3. Schutz vor Schadprogramme
  4. Identitäts- und Berechtigungsmanagement
  5. Patch- und Änderungsmanagement
  6. IT-Systeme und Netzwerke

Beispielsweise muss die Anforderung „Verwendete Passwörter müssen möglichst lang und komplex sein“ aus der Kategorie „Identitäts- und Berechtigungsmanagement“ erfüllt sein.


Vorteile im Überblick

Der CyberRisikoCheck bietet ein niedrigschwelliges Angebot für KKUs mit folgenden Vorteilen:

  • Kostengünstig
  • Schnell
  • Übersicht über den Ist-Zustand der IT- und Informationssicherheit
  • Bericht für konkrete Handlungsempfehlungen


Weiterführende Informationen

Für detailliertere Informationen können Sie die offiziellen Dokumente auf der Webseite von mIT Standard sicher downloaden. Gerne können Sie uns auch für weitere Rückfragen kontaktieren.