In diesem Beitrag möchte ich Ihnen die DIN SPEC 27076, den sogenannten CyberRisiko-Check kurz vorstellen, und zwar: Was beinhaltet der Standard, wie ist der Ablauf der CyberRisiko-Checks und wie können Unternehmen davon profitieren? In einem Video erhalten Sie einen praxisnahen Einblick und Tipps & Tricks für eine strukturierte Umsetzung der IT-Sicherheitsmaßnahmen. Hier ein Link zum Video auf Vimeo.
Was ist die DIN SPEC 27076?
Es ist ein Beratungsstandard: der u. a. vom Bundesamt für Sicherheit in der Informationstechnik entwickelte wurde; Der Prozess ist auf das notwendigste reduziert und effizient gestaltet, dass kleine Betriebe egal welcher Branche schnell und kostengünstig eine erste Einschätzung zur Cybersicherheit in ihrem Unternehmen erhalten.
Unternehmen können so ihre Schwachstellen aufdecken, erhalten klare Handlungsempfehlungen und es hilft ihnen damit das Cybersicherheits-Risiko deutlich zu senken. Beleuchtet werden 27 Anforderungen, die aus dem BSI IT-Grundschutz stammen, hier die Hauptthemengebiete:
Organisation & Sensibilisierung: geht auf Anforderungen ein, die die GF-Leitung im Fokus haben muss, u.a. Regelungen bzgl. Verantwortlichkeiten und notwendige Schulungsmaßnahmen für Mitarbeiter.
Identitäts- und Berechtigungsmanagement: Stellt Anforderungen für die Zugangs- und Zutrittsberechtigung für physische Räume und IT-Anwendungen und Systeme.
Datensicherung: hier werden Anforderungen an ein Datensicherungskonzept gestellt: wer ist verantwortlich? Wie, wann und wo werden Daten gesichert? Können Datensicherungen wiederhergestellt werden?
Patch-Management: Wer kümmert sich um die Fragen, welche Hard- und Software wird eingesetzt und wie ist der Update-Stand?
Schutz vor Schadprogrammen: stellt Anforderungen an die Basics für den Schutz gegen Schadsoftware wie der Einsatz eines Anti-Virenschutzprogrammes.
IT-Systeme und Netzwerke: stellt wiederum Anforderungen an Basis-Schutzmaßnahmen für die technische IT-Sicherheit, also der Einsatz von Firewalls, sichere WLAN-Zugänge und VPNs etc.
Wie ist der Ablauf des Checks?
- Es werden Rahmendaten des Unternehmens für die Berichterstattung erhoben. Zudem wird geklärt, welche Dokumente vorbereitet und welche Personen aus dem Betrieb am Prozess teilnehmen sollten. Die Geschäftsleitung muss an dem Termin teilnehmen, u.a. IT-Leiter ggf. Administratoren oder externe IT-Dienstleister. Dies kann via Online-Meeting, Telefongespräch oder in Präsenz erfolgen.
- In einem weiteren Termin erfolgt der Beratungsprozess zur Aufnahme des IST-Zustandes der Informationssicherheit im Unternehmen. Es werden Schritt für Schritt die 27 Anforderungen des CyberRisiko- Checks abgefragt. Bei Erfüllen der Anforderungen werden jeweils Punkte vergeben, die sich später zum Risiko-Statuswert des Unternehmens summieren. Die Entscheidung, ob eine Anforderung erfüllt oder nicht erfüllt ist, kann nur durch einen Sachverständigen beurteilt werden und ist im Interviewverfahren mit den Verantwortlichen im Unternehmen zu ermitteln.
- Nach dem Termin wird ein individueller Bericht nach Vorgabe der DIN SPEC 27076 erstellt (Der Ergebnisbericht steht durch ein Webtool sofort zur Verfügung. Somit kann der Bericht auch am gleichen Tag präsentiert werden).
- Der Ergebnisbericht wird erläutert und auf die einzelnen erfüllten und nicht-erfüllten Anforderungen eingegangen. Es werden priorisiert Handlungsempfehlungen und Fördermöglichkeiten zur weiteren Umsetzung von IT- und Informationssicherheitsmaßnahmen aufgezeigt.
Welche Vorteile hat der CyberRisiko-Check?
- Eine Beurteilung des Cyber-Risikos durch einen unabhängigen Sachverständigen.
- Bedarfsgerechte Cyber-Sicherheit, sinnvolle und verständliche Handlungsempfehlungen nach Priorität.
- Der Nachweis eines Qualitätsstandards der nach einer Norm durchgeführt wurde: Kommunikation auch an Kunden, Auftraggeber, Versicherer, etc.
- Es reduziert den Prozess auf das notwendigste und damit zeit- und kostengünstig;
- Förderungen sind für den Beratungsprozess und für IT-Sicherheitsmaßnahmen möglich.
In diesem Link finden Sie aktuelle Förderprogramme von Bund und Länder und noch weiteres Informationsmaterial rund um die DIN SPEC 27076.
Haben Sie noch Fragen?
Dann zögern Sie nicht und sprechen Sie mich an. Meine Kontaktdaten finden Sie ganz unten auf der Seite. Vielen Dank und bleiben Sie sicher!