Home » Fachbeiträge » Security Management » Cyberrisiko-Check nach SPEC 27076

So packen kleine und Kleinstunternehmen ihre Cybersicherheit an: Cyberrisiko-Check nach SPEC 27076

In der Ära der Digitalisierung wird es für kleine Betriebe immer wichtiger, ihre Wettbewerbsfähigkeit zu bewahren. Dabei spielt die fortschreitende Bedrohung durch Cyberangriffe, insbesondere Ransomware, eine zunehmend besorgniserregende Rolle. Doch wie können sich diese Unternehmen gegen die Gefahren der Cyberwelt schützen? Eine Antwort bietet der innovative CyberRisiko-Check.

4 Min. Lesezeit
Foto: ©AdobeStock/anttoniart

Die Erkenntnis ist unumgänglich – kleine Betriebe müssen sich digitalisieren, um in der heutigen Geschäftswelt konkurrenzfähig zu bleiben. Von Onlinepräsenzen über E-Commerce bis hin zu Cloud-Lösungen – die Anforderungen an die Digitalisierung sind vielfältig. Doch während der Digitalisierungsschub neue Möglichkeiten eröffnet, ist auch die Gefahr von Cyberangriffen stark angestiegen. Unternehmer müssen sich bewusst machen, dass Cybersicherheit ein zentraler Aspekt ihrer Geschäftsstrategie sein muss.

Die DIN SPEC 27076, auch als „CyberRisiko-Check“ bekannt, ist ein innovativer Standard, der das Ziel verfolgt, die IT- und Informationssicherheit in kleinen Unternehmen auf effiziente und zeitsparende Weise zu verbessern. Insbesondere für Unternehmen mit bis zu 50 Mitarbeitern wurde dieser Beratungsstandard entwickelt, und er wird von verschiedenen IT-Dienstleistern eingesetzt.

Der CyberRisiko-Check besteht aus insgesamt 27 spezifischen Anforderungen, die von kleinen Unternehmen erfüllt werden müssen, um die relevantesten Risiken zu minimieren und potenzielle Schwachstellen für Angreifer zu schließen. Um diese Anforderungen zu erfassen und zu bewerten, führen die IT-Dienstleister kurze, leicht verständliche Beratungssitzungen durch, die sogar digital abgehalten werden können.

Die Evaluierung der Unternehmen basiert auf den gesammelten Daten und liefert wertvolle Handlungsempfehlungen zur Verbesserung der IT-Infrastruktur-Sicherheit. Ein besonderes Merkmal der DIN SPEC 27076 ist ihr bedarfsgerechter und praxistauglicher Ansatz im Vergleich zu bisherigen, meist sehr umfangreichen, zeitaufwendigen und kostspieligen Standards.

Dieser Beratungsstandard wurde geschaffen, um kleinen und Kleinstunternehmen sowie IT-Dienstleistungsunternehmen eine klare Orientierung, Vergleichbarkeit und Transparenz im Bereich der IT- und Informationssicherheit zu bieten.

Vorteile des Cyberrisiko-Checks

Eine Beratung nach DIN SPEC 27076 bietet kleinen Betriebe zahlreiche Vorteile: Schneller Überblick: Der auf diesem Standard basierende CyberRisiko-Check ermöglicht es kleinen Unternehmen, innerhalb kürzester Zeit einen umfassenden Überblick über ihre aktuelle Cybersicherheitssituation zu erhalten.

Strukturierte Anforderungen: Die 27 Anforderungen sind in reguläre und besonders wichtige Top-Anforderungen unterteilt. Dadurch erhalten Unternehmen klare Hinweise darauf, welche Handlungsempfehlungen zuerst umgesetzt werden sollten. Verständliche Empfehlungen: Die Handlungsempfehlungen sind leicht verständlich formuliert und beinhalten konkrete Maßnahmen, um mit aktuellen Schwachstellen angemessen umzugehen.

Ergebnisbericht: Die ermittelten Ergebnisse werden in einem übersichtlichen Bericht zusammengefasst. Dieser enthält den eigenen Risiko-Statuswert samt Visualisierung der
Schwachpunkte, die priorisierten Handlungsempfehlungen, die sofort umgesetzt werden sollten, sowie weitere empfohlene Maßnahmen und eine Übersicht über relevante Förderprogramme, die das Unternehmen bei weiteren IT-Sicherheitsmaßnahmen unterstützen können.

Grundlage für weitere Schritte: Der Bericht dient als solide Grundlage für mögliche Beauftragungen zur Umsetzung der Maßnahmen oder für eine anschließende Folgeberatung durch ein IT-Dienstleistungsunternehmen.

Der CyberRisiko-Check wurde im Rahmen eines DIN SPEC-Konsortiums entwickelt, welches vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und „Der Mittelstand. BVMW e.V.“ geleitet wurde. Das Konsortium setzte sich aus verschiedenen IT-Sicherheitsdienstleistern und Förderinitiativen zusammen, um sicherzustellen, dass der Standard praxisnah und relevant ist. Die Arbeit an der DIN SPEC 27076 begann im Juli 2022, und der Standard wurde im April 2023 veröffentlicht.

Ablauf einer Beratung nach DIN SPEC 27076

Kleine und Kleinstunternehmen durchlaufen bei einer Cybersicherheitsberatung nach DIN SPEC 27076 vier einfache Schritte:

Schritt 1: Das Gespräch zur Erstinformation

Zu Beginn informiert das IT-Dienstleistungsunternehmen das zu beratende Unternehmen über den Ablauf der Beratung. Dies kann entweder über ein Onlinemeeting, ein Telefongespräch oder persönlich vor Ort erfolgen. In diesem Gespräch werden bereits erste Unternehmensdaten erfasst, die später in die Berichterstattung einfließen.

Schritt 2: Die Aufnahme des IST-Zustandes

Im zweiten Schritt führt das IT-Dienstleistungsunternehmen den CyberRisiko-Check nach DIN SPEC 27076 durch. Die Durchführung kann entweder persönlich vor Ort, als Onlinemeeting oder in einem hybriden Format erfolgen. Die Geschäftsführung und für Informationssicherheit zuständige Personen nehmen an dem Gespräch teil. Der IT-Dienstleister erfragt die 27 Anforderungen des CyberRisiko-Checks und dokumentiert transparent in einem Punktesystem, ob diese erfüllt wurden oder nicht.

Schritt 3: Die Auswertung und Erstellung des Ergebnisberichts

Der IT-Dienstleister wertet die erhobenen Daten aus und erstellt einen individuellen Bericht gemäß den Vorgaben der DIN SPEC 27076. Dieser Bericht enthält eine kompakte Darstellung der Ergebnisse inklusive Visualisierung in Form eines Spinnennetzdiagramms und wichtige Handlungsempfehlungen.

Schritt 4: Die Präsentation der Ergebnisse

Im letzten Schritt präsentiert der IT-Dienstleister dem Unternehmen die Ergebnisse des Checks, erläutert den Bericht und beantwortet Fragen. Dabei geht er auf die erfüllten und nicht-erfüllten Anforderungen ein und zeigt die priorisierten sowie alle weiteren Handlungsempfehlungen auf. Im Anhang des Berichts befinden sich die detaillierten Ergebnisse inklusive aller Handlungsempfehlungen sowie Informationen zu Fördermöglichkeiten für die weitere Umsetzung von IT- und Informationssicherheitsmaßnahmen. Der Bericht bietet eine solide Grundlage für die Umsetzung der vorgeschlagenen Maßnahmen zur Verbesserung der Cybersicherheit.

Weitere Informationen und Unterstützung

Weitere Informationen, geplante Informationsveranstaltungen, Infomaterialien sowie ein Dienstleisterverzeichnis finden Interessierte unter www.mit-standard-sicher.de. Das Dienstleisterverzeichnis ermöglicht es kleinen Unternehmen, Anbieter der DIN SPEC 27076 zu finden.

Für IT-Dienstleister, die den CyberRisiko-Check nutzen möchten, ist eine mindestens einjährige Erfahrung in der Durchführung von IT-Sicherheitsaudits sowie drei Referenzprojekte mit kleinen oder Kleinstunternehmen empfehlenswert.

Eine spezielle Zertifizierung zum Einsatz des Standards ist nicht erforderlich. Die DIN SPEC 27076 kann kostenfrei über die Webseite des Beuth-Verlags heruntergeladen werden, der Link dazu ist auf https://mit-standard-sicher.de/informationsmaterialien zu finden.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.