CyberRisikoCheck nach DIN SPEC 27076
Schnelle Ergebnisse – niedrigschwelliger Ansatz – nach BSI-Vorgaben
Um auch kleine und mittlere Unternehmen noch besser bei der Cyberabwehr zu unterstützen, hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) im Rahmen eines Konsortiums die DIN SPEC 27076 erarbeitet. Hintergrund war die Erkenntnis, dass die großen, klassischen Ansätze in der Informationssicherheit oft als zu mächtig und umfassend wahrgenommen wurden. Im Ergebnis unterblieb vielfach der erste wichtige Schritt bei der systematischen Erfassung und Behandlung von Cyber-Risiken; die bereits vorher vom Staat bereitgestellten Hilfen wurden nicht angenommen – und das in weiten Teilen der deutschen Wirtschaft.
Informationssicherheit ist leider nicht nur ein Modethema. Die Zahl der Angriffe steigt. Die geschätzte Summe der Schäden umfasst derzeit jährlich rund 150 Mrd. Euro allein in Deutschland (Bitkom Research 2023).
Die Entwicklung des CyberRisikoCheck wurde durch das Bundesministerium für Wirtschaft und Klimaschutz unterstützt. Der CyberRisikoCheck ist letztlich eine staatliche Initiative und wird mit Unterstützung des BSI durchgeführt und ausgewertet. Cybersicherheit geht uns alle an. Unnötige Risiken gefährden mittelständische Existenzen und die Wirtschaft als Ganzes.
Was ist der CyberRisikoCheck genau?
Der CyberRisikoCheck ist eine schnelle und strukturierte Bestandsaufnahme, wo Ihr Unternehmen in Puncto Cybersicherheit steht.
Die Durchführung ist strikt standardisiert, um trotz des kompakten Umfangs zu belastbaren und vergleichbaren Ergebnissen zu kommen. Das Ergebnis wird in Form eines formellen Berichts bereitgestellt. Wurden Defizite ermittelt, enthält der Bericht konkrete Handlungsempfehlungen des BSI.
Sofern der CyberRisikoCheck mithilfe des vom BSI bereitgestellten Framework durchgeführt wird, dürfen nur erfahrene und vom BSI geschulte Berater den Check vornehmen. Wir sind für diese Durchführung vom BSI zugelassen.
Wie genau läuft der Check?
Ein Check nach DIN SPEC 27076 muss strikt nach den in der Norm* beschriebenen Regeln erfolgen. Die Fragen sind genau vorgegeben; sie müssen konsequent abgearbeitet werden; Einschätzungen, Bestätigungen oder Beratungen dürfen während der Erhebung nicht erfolgen. Hierdurch versprechen sich die Autoren der DIN SPEC 27076 am ehesten objektive und vergleichbare Ergebnisse. Dieser strikte Ablauf ermöglicht zudem eine gute Abschätzung, wie lange die Erhebung dauert.
Nach einer Erstinformation wird durch die eng vorgegebene Befragung der IST-Zustand ermittelt. Diese Erhebung dauert ein bis zwei Stunden maximal. Eine Vor-Ort-Anwesenheit ist nicht erforderlich; die DIN SPEC sieht ausdrücklich auch Video-Erhebungen vor. Die Erstinformation vor der Erhebung erklärt im Wesentlichen das, was hier bereits auf der Website steht – kostet also nicht viel zusätzliche Zeit.
Im Anschluss an die Erhebung erfolgt eine Auswertung durch den Berater. Das BSI stellt den zugelassenen Beratern ein Tool zur Verfügung, mit dessen Hilfe die Überleitung in einen standardisierten Ergebnisbericht erfolgt. Der Ablauf ist schlank und ermöglicht auch eine taggleiche Fertigstellung.
Der Ergebnisbericht wird dem untersuchten Unternehmen in einem Folgetermin vorgestellt; bei eventuellen Defiziten enthält der Bericht Handlungsempfehlungen. Der Bericht wird sowohl vom Unternehmen als auch vom Berater unterzeichnet, um dem Dokument Verbindlichkeit zu verleihen. Der Bericht kann z.B. bei Banken, Versicherungen oder Geschäftspartnern vorgelegt werden.
*) Die DIN SPEC 27076 ist noch keine offizielle DIN Norm, aber derzeit auf dem Weg dorthin. Der Inhalt ist jedoch bereits heute gewissermaßen offiziell; die Anwendung wird vom BSI begleitet und unterstützt.
Was leistet der Check und was leistet er nicht?
Der Check vermittelt mithilfe einheitlicher Fragen eine gezielte Einschätzung, wo ein Unternehmen in Puncto Cybersicherheit steht. Die Fragen können natürlich nicht alles abdecken, aber doch das, was das BSI (und die an der DIN SPEC 27076 beteiligten Experten) für besonders wichtig halten. Sofern sich Defizite ergeben, zeigen die BSI-Handlungsempfehlungen Wege auf, diese abzustellen.
Der Ergebnisbericht ist ein offizielles Dokument, aber nicht mit einem formellen Zertifikat vergleichbar (z.B. ISO 27001 Zertifizierung). Die Erhebung ist eine Befragung, aber kein klassisches Audit. Bei einem Audit müssten die Aussagen der befragten Unternehmen durch vertiefte Nachforschungen überprüft werden. Das würde aber den zeitlichen Rahmen sprengen und der Idee eines niederschwelligen Angebots zuwiderlaufen. Gibt ein Unternehmen unzutreffend Auskunft, wird der Bericht eventuell ein attraktives und beruhigendes Ergebnis liefern – die tatsächlichen Risiken bleiben aber verborgen. Der CyberRisikoCheck will helfen, mit kleinem Aufwand systematisch besonders relevante Risiken zu identifizieren und Tipps zur Abhilfe bereitzustellen. Der CyberRisikoCheck soll mit wenig Aufwand für die betroffenen Unternehmen einen Beitrag zur Verbesserung der Cybersicherheit in Deutschland liefern, keine zusätzliche Bürokratie aufbauen.
Was passiert mit meinen Daten?
Sie sollten den CyberRisikoCheck natürlich nur von Beratern durchführen lassen, denen Sie in Puncto Verschwiegenheit vertrauen.
Wir nutzen für den CyberRisikoCheck die vom BSI bereitgestellte Softwarelösung. Hierbei handelt es sich um eine browserbasierte Software. Die erfassten Daten werden von der Software in den Ergebnisbericht umgesetzt. Die Software wird von einem vom BSI beauftragten Unternehmen bereitgestellt und betrieben. Das BSI erhält von jeder Befragung eine Zusammenfassung, aus der die wesentlichen Ergebnisse, die Branche und die Regionen der untersuchten Unternehmen hervorgehen. Vor der Datenweitergabe werden die Daten verdichtet und anonymisiert. Das BSI hat also keinen Zugriff auf die konkreten Ergebnisse Ihrer Befragung oder Ihren Namen. Das beauftragte Unternehmen wiederum löscht nach der Durchführung die Daten wieder.
Das BSI nutzt die anonymisierten und verdichteten Daten, um präzisere Lagebilder zeichnen zu können. Etwa: Welche Defizite sind in welchen Branchen oder Regionen besonders präsent? Welche angenommenen Risiken sind offensichtlich gar kein Thema mehr, weil wirksame Maßnahmen sie begrenzen? Mit diesen Informationen will das BSI künftige Maßnahmen und Angebote aktuell und zielgruppengerecht gestalten.
Im Ergebnis verbleibt von der Befragung somit nur der Ergebnisbericht. Ob Sie als betroffenes Unternehmen diesen Bericht Dritten zur Verfügung stellen, bleibt Ihnen überlassen.
Was bedeutet es, wenn ich volle Punktzahl erreiche?
Das BSI berichtet, dass nur sehr wenige Unternehmen bei ihrem ersten Check eine hohe Punktzahl erreichen.
Es ist übrigens zulässig – und sogar erwünscht – dass der Check nach Umsetzung ggf. empfohlener Maßnahmen wiederholt durchgeführt wird. Die Initiatoren des CyberRisikoChecks wollen nicht möglichst viele Risiken vorfinden, sondern im Idealfall feststellen, dass die ursprünglich als Basisrisiken identifizierten Themenfelder zunehmend weniger Unternehmen in Deutschland bedrohen.
Volle Punktzahl bedeutet leider nicht, dass das Thema Cybersicherheit damit als erfolgreich erledigt betrachtet werden kann. Zum einen ist Cybersicherheit eine Daueraufgabe (um ein Auto fit zu halten, muss man sich auch kontinuierlich kümmern); zum anderen sind die vom CyberRisikoCheck erfassten Themenbereiche lediglich die absolute Basis. Nachlassen wäre also der falsche Ansatz. Das Tolerieren eventuell identifizierter Basisrisiken wäre (ggf. grob) fahrlässig.
Gibt es eine Pflicht, den CyberRisikoCheck durchzuführen?
Ja und nein.
Eine formelle gesetzliche Pflicht, den “CyberRisikoCheck” durchzuführen, gibt es nicht. Je nach Branchenzugehörigkeit können ggf. andere gesetzliche Pflichten für Sie gelten. Das gesetzliche Regelwerk wächst. Gerade kleine und mittlere Unternehmen werden vielfach indirekt durch die Umsetzung der NIS-2 Richtlinie betroffen sein, wenn sie in der Lieferkette eines betroffenen Unternehmens sind. Die Anlässe, Cybersicherheit aktiv und nachweisbar zu betreiben, nehmen insofern zu.
Sollten Sie sich bereits z.B. eine ISO 27001 Zertifizierung erarbeitet haben, ist der CyberRisikoCheck sicherlich nicht mehr angemessen. Sofern es bisher keine strukturierte und systematische Bestandsaufnahme gibt, ist der CyberRisikoCheck mit seinem niedrigschwelligen Ansatz aber ein sehr guter Weg.
Die NIS-2 Richtlinie nimmt ausdrücklich die Unternehmensleitung beim Thema Cybersicherheit in die persönliche Verantwortung. Unabhängig davon, riskiert man als Unternehmen oder Unternehmer auch heute schon, bei Schäden für Defizite in der Cybersicherheit in die Haftung genommen zu werden. Problematisch wird es vor allem dann, wenn Defizite bei den Basics der Cybersicherheit vernachlässig wurden. Es gibt zwar keine Legaldefinition dafür, was genau diese Basics sind. Im Haftungsfall bietet es sich aber für Gerichte an, hier auf den CyberRisikoCheck zu schauen – immerhin kommt er vom BSI. Der CyberRisikoCheck wird insofern indirekt formelle Standards schaffen noch bevor die DIN SPEC 27076 als offizielle Norm verabschiedet wird – so unsere Einschätzung.
In unserem Nachbarland Österreich sind die Banken dazu übergegangen, von ihren Kunden eine mit dem CyberRisikoCheck vergleichbare Prüfung zu verlangen. Wahrscheinlich ist es nur eine Frage der Zeit, bis sich ähnliche Ansätze auch bei uns erkennen lassen.
Man mag einwenden, dass der Ergebnisbericht letztlich nur auf Aussagen des Unternehmens beruht. Das ist richtig. Allerdings wurden die Aussagen durch einen geschulten Berater aufgenommen und auf Plausibilität geprüft. Jeder Ergebnisbericht wird zudem durch die Geschäftsleitung des untersuchten Unternehmens und den Berater unterschrieben. Der Bericht hat insofern durchaus eine gewisse Verbindlichkeit, auch wenn es ‘nur’ eine kritisch und sachkundig ermittelte Selbstauskunft ist.
Eine Selbstauskunft könnte zudem gezielt durch stichprobenartige Audits auf ihre Wertigkeit geprüft werden (etwa durch Geschäftspartner). Solche Audits können vor allem dann effizient durchgeführt werden, wenn alle Lieferanten einen Ergebnisbericht aus einem Guss verwenden. Wir denken, dass sich der CyberRisikoCheck auch im Lieferantenmanagement als Quasi-Standard etablieren könnte.
Wie weiter?
Machen Sie einen Termin mit uns aus. Kontakt