Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems, wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen nicht optimal geeignet.

Konsortium zur Erarbeitung einer DIN SPEC

Um auch kleine und mittlere Unternehmen zu unterstützen, wurde in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leitete das Konsortium, der BVMW übernahm die stellvertretende Leitung. Insgesamt waren fast 20 weitere Partner beteiligt, u. a. das Deutsche Institut für Normung (DIN), Wirtschaftsförderungen, eine Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft, IT-Grundschutz-Expertinnen und -Experten, -Auditorinnen und -Auditoren sowie Fachkundige zum Thema Datenschutz und IT-Dienstleister. Finanziert wurde das Projekt durch das Bundesministerium für Wirtschaft und Klimaschutz im Rahmen des Programmes "Mittelstand Digital".

Ergebnis der achtmonatigen Arbeit des Konsortiums ist die DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und der darauf basierende CyberRisikoCheck. Durch diesen können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen für KMU standardisiert. Dadurch wissen sowohl Auftraggeber als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist.

Durchführung des CyberRisikoChecks

Beim CyberRisikoCheck befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt. Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben. Als Ergebnis erhält das Unternehmen einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält. Die Handlungsempfehlungen sind nach Dringlichkeit gegliedert und erhalten Hinweise darauf, welche staatlichen Fördermaßnahmen (auf Bundes-, Landes- und kommunaler Ebene) das jeweilige Unternehmen in Anspruch nehmen kann. Der CyberRiskoCheck ist keine IT-Sicherheitszertifizierung. Er ermöglicht einem Unternehmen jedoch eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.

Schulung für die Nutzung der Software zur Durchführung des CyberRisikoChecks

Angesprochen werden mit der Schulung IT-Dienstleister/Beratende, welche den CyberRisikoCheck bei Kunden durchführen möchten. Erste Schulungsveranstaltungen für IT-Dienstleister/Beratende für die Nutzung der Software zur Durchführung des CyberRisikoChecks haben bereits stattgefunden.

Folgende weitere Schulungen sind terminiert:

• +++ ausgebucht, Anmeldung nicht mehr möglich +++ Mittwoch, 15. Mai 2024, 10:00 - 12:00 Uhr, per Videokonferenz
• Donnerstag, 06. Juni 2024, im Rahmen einer Veranstaltung der Transferstelle-Cybersicherheit im Mittelstand, Berlin (Anmeldung unter: CYBERsicher Zukunftstag)
• Dienstag, 02. Juli 2024, 16:00 - 18:00 Uhr, per Videokonferenz, Anmeldeschluss: 18.06.2024

Weitere Schulungsveranstaltungen befinden sich in Vorbereitung, die Termine werden hier veröffentlicht.

Die Schulungen sind kostenfrei. Anmeldungen zur Schulung können unter crc@bsi.bund.de erfolgen. Nach der formlosen Anmeldung senden wir ein Antragsformular zu. Nach Rücksendung des ausgefüllten und unterschriebenen Formulars erhalten Teilnehmende nach Prüfung der Qualifikation eine Bestätigung mit weiteren Informationen für die jeweilige Veranstaltung.

Anforderungen an die durchführenden IT-Dienstleister/Beratenden

Es muss sichergestellt sein, dass die Beraterinnen und Berater über eine ausreichende fachliche Qualifikation verfügen. Hierzu zählt sowohl akademisches als auch praxisbezogenes Wissen. Die Kompetenz zur Beratung sollte durch nachweisbare Qualifikationen belegt werden können, wie beispielsweise:

• mindestens ein Jahr Erfahrung in der Durchführung von IT-Sicherheitsberatungen/Audits;
• mindestens drei Referenzprojekte der Durchführung von IT-Sicherheitsberatungen/Audits mit Klein- oder Kleinstunternehmen;
• Nachweis des für die Beratung notwendigen methodischen Wissens zur Gesprächsmethode des semistrukturierten Leitfadeninterviews (→ wird durch die Teilnahme an der oben genannten. Schulung erbracht).

Die vorliegenden Qualifikationen sind im Antragsformular anzugeben.

Die DIN SPEC 27076 kann von IT-Dienstleistern und weiteren Interessierten bei DIN Media nach vorhergehender Anmeldung kostenfrei heruntergeladen werden.