Das BSI hat eine Security-Beratung für kleine und mittlere Unternehmen nach der DIN SPEC 27076 spezifiziert. Der sogenannte CyberRisikoCheck gibt fachfremden Kunden bzw. KMUs die Gewissheit, dass ihre Cybersicherheit auch wirklich Standards erfüllt.
Immer mehr Verantwortliche in kleinen und mittleren Unternehmen (KMU) erkennen, dass sie ohne ihre IT-Systeme nicht mehr arbeitsfähig sind und sie diese daher angemessen schützen müssen. Oftmals wissen sie aber weder, wie gut oder schlecht es um ihre Informationssicherheit konkret bestellt ist, noch welche Wege sinnvollerweise zu gehen sind, um das Schutzniveau zu erhöhen.
CyberRisikoCheck – 27 Anforderungen aus sechs Bereichen
Unternehmen können sich nach der DIN SPEC 27076 prüfen lassen (Bild: BSI).
Abhilfe schafft nun ein neuer Standard für IT-Sicherheitsberatungen, der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) sowie rund 20 weiteren Partnern entwickelt wurde. Damit wird insbesondere KMU der Einstieg in die Informationssicherheit weiter erleichtert.
Der CyberRisikoCheck nach DIN SPEC 27076 dient der IT-Sicherheitsberatung für kleine Unternehmen. Die Spezifikation gibt vor, wie die Beratung durchzuführen ist und welche Inhalte der Beratungsbericht enthalten muss. Insgesamt müssen im Gespräch mit dem jeweiligen Unternehmen 27 Anforderungen aus sechs Bereichen durch einen IT-Sicherheitsdienstleister auf Erfüllung geprüft werden. Für jede dieser Anforderungen ist zudem definiert, wie sie erfüllt werden kann und welche staatlichen Förderprogramme für die Umsetzung dieser Handlungsempfehlung in Anspruch genommen werden können. Das BSI wird qualifizierten Dienstleistern ein webbasiertes Tool zur Verfügung stellen, um den CyberRisikoCheck durchzuführen.
BSI stellt webbasiertes Tool für den Check
Finanziert wurde die Entwicklung der DIN SPEC durch das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) im Rahmen seines Programmes „Mittelstand Digital“. Neben dem BSI, das die Leitung des Konsortiums innehatte, und dem BVMW, der die stellvertretende Leitung des Konsortiums übernahm, waren fast 20 weitere Partner beteiligt, u. a. das Deutsche Institut für Normung (DIN), Wirtschaftsförderungen, eine Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft, IT-Grundschutz-Expertinnen und -Experten, -Auditorinnen und -Auditoren sowie Fachkundige zum Thema Datenschutz und IT-Dienstleister.
Check ist keine Sicherheitszertifizierung
Als Ergebnis erhält das Unternehmen einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält. Die Handlungsempfehlungen sind nach Dringlichkeit gegliedert und erhalten Hinweise darauf, welche staatlichen Fördermaßnahmen (auf Bundes-, Landes- und kommunaler Ebene) das jeweilige Unternehmen in Anspruch nehmen kann. Der CyberRiskoCheck ist keine IT-Sicherheitszertifizierung. Er ermöglicht einem Unternehmen jedoch eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.