Zeiteffizient, ressourcenschonend und verständlich – So sollte der Einstieg ins Thema Cybersicherheit für kleine Unternehmen, Handwerk und Start-ups aussehen. Der CyberRisiko-Check bietet genau das: Eine Bestandsaufnahme mit ersten Handlungsempfehlungen, um die relevantesten Einfallstore für Cyberangriffe zu schließen. In diesem Artikel erfahren Sie, was Sie dazu wissen müssen und wie Sie loslegen.
Was ist der CyberRisiko-Check?
Der CyberRisiko-Check ist ein neuer Beratungsstandard für IT-Sicherheit, der speziell für kleine Betriebe mit bis zu 50 Beschäftigten entwickelt wurde. Ziel des Checks ist es, die relevantesten Schwachstellen in der IT-Infrastruktur eines Unternehmens aufzudecken, den aktuellen Sicherheitsstand zu messen und konkrete Handlungsempfehlungen zu geben. Der Check wird von IT-Sicherheitsdienstleistern durchgeführt, die Betriebe durch den gesamten Prozess führen.
Im folgenden Video erfahren Sie alles über den Check in Kürze.
Vorteile für kleine Unternehmen
Seepferdchen statt Goldabzeichen: Der CyberRisiko-Check ist als erster Schritt zu verstehen. Sein größter Vorteil liegt in der Einfachheit und Effizienz. Unternehmen müssen keine umfangreichen Ressourcen aufwenden, um die ersten groben Einfallstore zu schließen und ihren Betrieb sicherer zu machen. Der Check bietet einen schnellen Überblick über den aktuellen Sicherheitsstatus und zeigt auf, welche Maßnahmen am dringendsten umgesetzt werden sollten. Damit wird kleinen Betrieben ein Einstieg in die Cybersicherheit ermöglicht, der ihnen hilft, sich besser vor Cyberangriffen zu schützen.
Durch die effiziente Gestaltung des Prozesses, der auch vollständig digital durchgeführt werden kann, werden die Kosten gering gehalten. Darüber hinaus lässt sich die Durchführung des Checks fördern – zum Beispiel mit der BAFA „Förderung für Unternehmensberatungen für KMU“. Mit ihr können Betriebe sich 80% der Kosten in den neuen Bundesländern bzw. 50% der Kosten in den alten Bundesländern erstatten lassen.
Wie läuft der Check ab?
Zunächst erfolgt ein Initialgespräch mit dem IT-Dienstleister, das Sie auf die kommende Erhebung des Status Quo vorbereitet. Sie erfahren, wer aus Ihrem Betrieb in den Prozess eingebunden werden muss und welche Dokumente Sie griffbereit haben sollten. Dann wird ein Termin für die Bestandsaufnahme vereinbart. Sie dauert in der Regel 2-3 Stunden. Hier werden Ihnen eine Reihe offener Fragen aus den Bereichen Organisation & Sensibilisierung, Identitäts- und Berechtigungsmanagement, Datensicherung, Patch- und Änderungsmanagement, Schutz vor Schadprogrammen sowie IT-Systeme und Netzwerke gestellt. Am Ende erhalten Sie einen kompakten Bericht mit Ihrem Risiko-Score, den wichtigsten Handlungsempfehlungen und weiteren Fördermöglichkeiten.
Was brauche ich um loszulegen?
Eigentlich nur: Der richtigen IT-Sicherheitsdienstleister. Im Verzeichnis des Bundesamts für Sicherheit in der Informationstechnik (BSI) finden Sie über 350 gelistete Dienstleister bundesweit, welche den Check anbieten. Es empfiehlt sich dennoch vorab die Informationsmaterialien zum CyberRisiko-Check zu kennen, um optimal vorbereitet zu sein. Auch ein Blick auf den Fördermittelguide ist hilfreich, um Möglichkeiten zur Finanzierung zur entdecken.
Checkliste
Vor dem CyberRisiko-Check: Optimal vorbereitet
Was muss ich sonst noch zum CyberRisiko-Check wissen?
Der CyberRisiko-Check entstand auf dem Projekt mIT Standard sicher, das vom Bundesministerium für Wirtschaft und Klimaschutz in der Initiative IT-Sicherheit in der Wirtschaft gefördert wurde. Das Projekt gründete in Kooperation mit DIN e.V. ein Konsortium unter Leitung des BSI und Der Mittelstand, BVMW e.V., das den Standard entwickelte und im April 2023 veröffentlichte. Die Förderung von mIT Standard sicher lief zwar im August 2024 aus, die Transferstelle Cybersicherheit im Mittelstand wird jedoch weiterhin über den CyberRisiko-Check informieren und über Neuigkeiten berichten.
Sie sind selbst IT-Dienstleister und möchten den Standard anwenden?
Dazu sollten Sie die DIN SPEC 27076 gut kennen. Sie finden Sie beim Beuth-Verlag zum kostenfreien Download. Um im Dienstleisterverzeichnis des BSI gelistet zu werden, müssen Sie an einer Schulung teilnehmen. Die Termine dazu werden regelmäßig auf der Seite des BSI veröffentlicht.
Verfasst von Marc Dönges
Projektleiter Transferstelle Cybersicherheit im Mittelstand
