Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems, wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 75 Beschäftigen nicht optimal geeignet.
Um auch kleine und mittlere Unternehmen zu unterstützen, wurde in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leitete das Konsortium, der BVMW übernahm die stellvertretende Leitung. Insgesamt waren fast 20 weitere Partner beteiligt, u. a. das Deutsche Institut für Normung (DIN), Wirtschaftsförderungen, eine Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft, IT-Grundschutz-Expertinnen und -Experten, -Auditorinnen und -Auditoren sowie Fachkundige zum Thema Datenschutz und IT-Dienstleister.
Ergebnis der achtmonatigen Arbeit des Konsortiums ist die DIN SPEC 27076 „IT-Sicherheitsberatung für kleine und Kleinstunternehmen“ und der darauf basierende CyberRisikoCheck. Durch diesen können Sie eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen für KMU standardisiert. Dadurch wissen Sie als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist.
Beim CyberRisikoCheck befragen wir Sie in einem ca. zweistündigen Interview zur IT-Sicherheit im Unternehmen.
Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt.
Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben.
Als Ergebnis erhalten Sie einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält.
Die Handlungsempfehlungen sind nach Dringlichkeit gegliedert und erhalten Hinweise darauf, welche staatlichen Fördermaßnahmen (auf Bundes-, Landes- und kommunaler Ebene) Sie in Anspruch nehmen können.
Der CyberRiskoCheck ermöglicht Ihnen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen Sie umsetzen bzw. beauftragen sollte.
Die Kosten für einen CyberRisikoCheck entsprechen den Kosten nur eines Beratertages.
Auf Bundesebene werden der Check und insbes. sich daran anschließende Handlungsempfehlungen bereits jetzt 50-80 Prozent bezuschusst!
Da das BSI die anonymisierten Erhebungsdaten der CyberRisikoChecks erhalten wird, kann das Nationale IT-Lagezentrum zukünftig erstmals auf valide Daten zur Cyber-Sicherheit von KMU zurückgreifen und in die BSI-Berichte zur Cyber-Sicherheitslage mit aufnehmen.
Der CyberRisikoCheck trägt damit zusätzlich zur Weiterentwicklung präventiver Angebote von Bund, Ländern und Kommunen bei.
