CyberRisikoCheck nach DIN SPEC 27076

Icon Monitoring, © NESEC GmbH

Das Ziel eines CyberRisikoChecks nach der neuen Norm DIN SPEC 27076:2023-05 ist, Kleinstunternehmen sowie kleinen Unternehmen und Organisationen mit bis zu 50 Beschäftigten eine IT-Sicherheitsberatung mit überschaubar geringem Aufwand zu ermöglichen. Dabei stehen drei Ziele im Vordergrund:

  1. Die Ermittlung des IST-Zustands der Informationssicherheit mit den wichtigsten Informationssicherheitsrisiken.
  2. Die Identifizierung von Handlungsempfehlungen für das Unternehmen. Sofern staatliche Fördermaßnahmen in Frage kommen, sollen diese in den Ergebnisbericht aufgenommen werden.
  3. Die Sensibilisierung der Geschäftsleitung und verantwortlicher Mitarbeiter in Hinblick auf die Informationssicherheit.

Ein CyberRisikoCheck nach DIN SPEC 27076 ist ausschließlich Interview-basiert und dauert in der Regel maximal 2-3 Stunden. Als Ergebnis des CyberRisikoChecks erhalten Sie einen Bericht, der u.a. die erreichte Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält.

Der Ablauf eines CyberRisikoChecks besteht deshalb aus folgenden Schritten:

  1. Erstinformation und Beauftragung
  2. Durchführung des Interviews
  3. Auswertung der vorliegenden Informationen und Erstellung des Berichts
  4. Präsentation des Berichts und der abgeleiteten Empfehlungen

Verpflichtend ist die Teilnahme der Geschäftsführung am gesamten Prozess.

Ablauf des Interviews

Im eigentlichen Interview fragen wir 27 Anforderungen aus 6 Themenbereichen ab um zu prüfen, ob und wie weit Ihre Organisation diese erfüllt. Für die Umsetzung werden nach den Vorgaben der DIN SPEC 27076 Punkte vergeben. Das Gespräch zur Erhebung des IST-Zustands kann als Präsenztermin, Videokonferenz oder Hybrid durchgeführt werden. Sofern vorhanden, sollten Konzepte und Sicherheitsrichtlinien, z.B. zum Virenschutz und zur Datensicherung oder ein Notfallkonzept während des Gesprächs vorliegen.

Themenbereiche des CyberRisikoChecks:

  1. Organisation & Sensibilisierung
  2. Identitäts- und Berechtigungsmanagement
  3. Datensicherung
  4. Patch- und Änderungsmanagement
  5. Schutz vor Schadprogrammen
  6. IT-Systeme und Netzwerke

Die Erhebung des IST-Zustands ist ausdrücklich nicht als Beratung konzipert sondern als reine Bestandsaufnahme. Aus den Handlungsempfehlungen des Berichts kann sich für die geprüfte Organisation jedoch weiterer Beratungsbedarf ergeben.

Welche weiteren Informationen gibt es?

Der CyberRisikoCheck und die IT-Sicherheitsberatung für kleine- und Kleinstunternehmen entstand im Projekt mIT Standard sicher mit Förderung des Bundeswirtschaftsministeriums. Eine Beschreibung der Ziele und der verwendeten Methodik enthält die Broschüre "Der CyberRisiko-Check: IT-Sicherheit einfach anpacken (PDF)".

Die DIN SPEC 27076 IT-Sicherheitsberatung für Klein- und Kleinstunternehmen kann wie alle DIN-Normen ausschließlich über den Beuth-Verlag bezogen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Januar 2023 die Broschüre "Cyber-Sicherheit für KMU" veröffentlicht. In dieser Broschüre werden 14 zentrale Fragen zur Informationssicherheit gestellt und mögliche Lösungen aufgezeigt. Außerdem enthält die Broschüre zahlreiche Querverweise zu weiterführenden Informationen.

Unsere Leistung

Wir prüfen Ihre IT-Infrastruktur nach den Vorgaben und dem Fragebogen der DIN SPEC 27076. Mit unserem Bericht erhalten Sie konkrete Empfehlungen zur Verbesserung und Optimierung Ihrer Informationssicherheit. Auf Wunsch beraten wir Sie anschließend bei der Umsetzung der notwendigen Maßnahmen.

Neben dem CyberRisikoCheck bieten wir auch den Cyber-Sicherheits-Check nach ISACA-Richtlinien für mittelständische und größere Unternehmen an.