Digitalisierung bietet Chancen, birgt allerdings auch enorme Risiken. Das kann gerade für kleinere Unternehmen schnell zu einem Problem werden. Um IT- und Informationssicherheit für mittelständische Unternehmen zu gewähren, wurde der Standard DIN SPEC 27076 ins Leben gerufen. In diesem Beitrag erfahrt ihr, wie eine Beratung abläuft und wie ihr davon profitieren könnt.
Themen in diesem Beitrag
Was hat es mit der DIN SPEC 27076 auf sich?
Gerade Unternehmen mit weniger als 50 Beschäftigten haben schnell Schwierigkeiten damit, für ausreichend IT-Sicherheit zu sorgen. Oft sind sie dafür auf externe Beratungsdienstleistungen angewiesen und verfügen teilweise nicht über die nötigen finanziellen, personellen und zeitlichen Ressourcen für bestehende Zertifizierungen. Um dem entgegenzuwirken gibt es die DIN SPEC 27076, einen Standard für IT- und Informationssicherheit von Klein- und Kleinstunternehmen, der ab Ende März 2023 verfügbar sein wird.
Der Cyberrisiko-Check wurde vor allem mit Fokus auf Zeit- und Kosteneffizienz für kleine Betriebe entwickelt und soll durch IT-Sicherheitsdienstleister angeboten werden. Ziel ist es, durch den Beratungsstandard Schwachstellen in Unternehmen aufzudecken – und das branchenübergreifend. Außerdem soll der Sicherheitsstand messbar gemacht werden.
Zu folgenden Themen wird beraten bzw. werden Unternehmen untersucht:
- Organisation und Sensibilisierung,
- Datensicherung,
- Schutz vor Schadprogrammen,
- Identitäts- und Berechtigungsmanagement,
- Patch- und Änderungsmanagement,
- IT-Systeme und Netzwerke.
Wer hat die DIN SPEC 27076 entwickelt?
Die DIN SPEC 27076 wurde von 27 Mitgliedern des DIN SPEC-Konsortiums entwickelt. Das Konsortium besteht aus diversen IT-Dienstleistern und Transferstellen. Geleitet wird es vom Mittelstand BVMW e.V. und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Beim BSI handelt es sich um eine deutsche Bundesbehörde mit Sitz in Bonn, deren Kernaufgabe die Abwehr von Gefahren für die IT des Bundes ist. In diesem Beitrag gehen wir genauer auf den Aufgabenbereich des BSI ein.
Wie genau läuft die Beratung ab?
Durch die DIN SPEC 27076 werden Anforderungen definiert, die kleine Unternehmen erfüllen müssen, um Risiken zu minimieren. Diese werden abgefragt, anschließend werden die Ergebnisse ausgewertet und Handlungsempfehlungen ausgesprochen. Außerdem wird ein Ergebnisbericht erstellt. Konkret gliedert sich die Beratung in die Erstinformation, die Aufnahme des Ist-Zustandes, die Auswertung und die Präsentation der Ergebnisse.
Gespräch zur Erstinformation
Zuerst werdet ihr von dem Dienstleistungsunternehmen über den Ablauf informiert. Das Gespräch kann entweder in Präsenz oder in Form eines Telefonats beziehungsweise Online-Meetings erfolgen. In dem Gespräch werden Unternehmensdaten erhoben und ihr erhaltet Informationen darüber, welche Dokumente benötigt werden und welche Personen aus eurem Betrieb am Prozess teilnehmen sollten. Dann wird ein Termin für die Aufnahme des Ist-Zustandes vereinbart.
Aufnahme des Ist-Zustandes
Die Aufnahme des Ist-Zustandes dauert etwa drei Stunden. Hier wird der Cyberrisiko-Check nach DIN SPEC 27076 durchgeführt. Das Gespräch kann per Videokonferenz, als hybrides Format oder in Präsenz erfolgen. Wie schon erwähnt, habt ihr im Vorfeld bereits festgelegt, welche Parteien anwesend sind – in jedem Fall solltet jedoch ihr als Geschäftsführer*innen sowie Personen mit dem Themenschwerpunkt Informationssicherheit teilnehmen.
Schritt für Schritt werden dann die 27 Anforderungen des Cyberrisiko-Checks abgefragt. Hierfür werden euch auf verständliche Weise verschiedene Fragen gestellt. Ziel ist allerdings, dass daraus ein Gespräch entsteht. Wichtig ist auch, dass im Laufe des Gesprächs alle Rückfragen geklärt werden. Für Anforderungen, die euer Unternehmen erfüllt, vergibt der IT-Dienstleister Punkte, aus denen sich euer Statuswert ergibt. Für jedes Erfüllen oder Nicht-Erfüllen der Anforderung wird außerdem immer auch der Grund notiert.
Der Statuswert ergibt sich, indem jeder der 27 Anforderungen ein Punktwert zugeordnet wird. Die Top-Anforderungen erhalten dabei drei Punkte und die regulären Anforderungen einen Punkt oder null Punkte. Je nachdem, ob eine Anforderung erfüllt wird oder nicht, wird die Punktzahl addiert bzw. subtrahiert.
Auswertung und Erstellung des Ergebnisberichts
Die Auswertung des Cyberrisiko-Checks übernimmt der IT-Dienstleister. Nachdem er die Daten ausgewertet hat, erstellt er einen Bericht nach Vorgaben der DIN SPEC 27076.
Folgende Aspekte werde in dem Bericht aufgelistet:
- die Ergebnisse des Checks,
- der Risiko-Statuswert und die Visualisierung der Schwachpunkte,
- Handlungsempfehlungen mit hoher Priorität sowie alle weiteren zu ergreifenden Maßnahmen,
- relevante Förderprogramme, die bei weiteren Maßnahmen hilfreich sein können.
Präsentation der Ergebnisse
Zuletzt präsentiert euch der IT-Dienstleister die Ergebnisse, erläutert den Bericht und beantwortet eventuelle Fragen. Er geht auf die Anforderungen ein, die euer Unternehmen erfüllt bzw. nicht erfüllt und spricht Handlungsempfehlungen aus.
Was passiert nach einer Beratung?
Wenn ihr Handlungsempfehlungen für euer Unternehmen erhalten habt, könnt ihr damit beginnen, sie umzusetzen. Wenn ihr alle nötigen Maßnahmen ergriffen habt, empfiehlt es sich, den Cyberrisiko-Check noch einmal zu wiederholen. Das ist deshalb sinnvoll, weil ihr dadurch prüfen könnt, ob die Cyberrisiken in eurem Unternehmen tatsächlich gemindert wurden und sich euer Statuswert verbessert hat.
Doch auch danach solltet ihr die Risiken im Blick behalten. Selbst wenn euer Unternehmen den Maximalwert erreicht hat, ist es nicht völlig risikofrei, denn einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht. Beachtet außerdem immer, dass IT-Sicherheit ein Prozess ist, den ihr langfristig verfolgen solltet.
Welche Vorteile bietet die Beratung?
Die Sicherheits- und IT-Beratung durch die DIN SPEC 27076 kann die Cybersicherheit in kleinen Unternehmen ohne hohen Kostenaufwand erhöhen. In nur kurzer Zeit erhaltet ihr einen Überblick über die aktuelle Cybersicherheits-Situation in eurem Unternehmen. Durch die Unterteilung in Top und reguläre Anforderungen bekommt ihr mitgeteilt, welche Aspekte am dringendsten angegangen werden müssen.
Doch nicht nur dem eigenen Unternehmen kommt der Cyberrisiko-Check zugute. Auch Banken, Versicherungen, Investoren und Auftraggeber*innen profitieren davon, wenn euer Unternehmen möglichst risikoarm ist, was auch gleichzeitig euer Image vor diesen Parteien stärkt. Mit der DIN SPEC 27076 weist ihr nämlich auch einen Qualitätsstandard nach.
Cybersicherheit auch für kleine Unternehmen – mit Smart Data Center
Einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht. Jedoch lassen sich Cyberrisiken durch Prävention deutlich eindämmen. Neben der Beratung nach DIN SPEC 27076 spielt auch die Gefährdungsbeurteilung für IT- und Cybersicherheit eine wichtige Rolle. Die Gefährdungsbeurteilung könnt ihr bei Smart Data Center kostenlos durchführen. Damit könnt ihr ganz leicht prüfen, ob euer Unternehmen ausreichend gegen Angriffe geschützt ist und es vor schwerwiegenden Schäden bewahren.
Findet jetzt smarte Lösungen für die Arbeitswelt 4.0!
Beitragsbild: © Shutterstock, Ground Picture