Für kleine und Kleinstunternehmen („KKU“) ist nun ein Best-Pratice-Ansatz für die Informationssicherheit vorhanden, welcher ein absolutes Minimum an Informationssicherheit für KKU darstellt.
Dieser Best-Pratice-Ansatz für den Beratungsprozess durch IT-Sicherheitsdienstleister und Berater ist die DIN SPEC 27076 [Link zum Beuth-Verlag]. Auf der Basis dieser DIN können KKU einen IT-Sicherheitscheck, den „CyberRisikoCheck“ durchführen lassen. Die Kosten für einen CyberRisikoCheck entsprechen den Kosten eines Beratertages. Eine Förderung durch „go-digital“ oder andere Fördermöglichkeiten kann beantragt werden. Für die Beantwortung der Fragen aus der DIN SPEC 27076 werden Statuspunkte vergeben. Die Punktevergabe folgt nach dem folgenden Schema:
- Reguläre Anforderungen
- 1 Punkt bei Erfüllung
- 0 Punkte bei Nicht-Erfüllung
- TOP-Anforderungen (Also wichtige Anforderungen)
- 3 Punkte bei Erfüllung
- -3 Punkte bei Nicht-Erfüllung
Auch wenn ein Unternehmen alle Statuspunkte erhalten hat und somit alle Anforderungen aus der DIN SPEC 27076 umgesetzt hat, so ist dies nur als vertretbares absolutes Minimum an Informationssicherheit zu verstehen.
Information des Unternehmens
Zunächst informiert das beratende Unternehmen das KKU über den groben Ablauf des Beratungsprozesses, den zeitlichen und personellen Aufwand, die Teilnehmer am Prozess, hier sind Geschäftsführung und der IT-Dienstleister (sofern vorhanden) verpflichtend, die groben Themenbereiche, die abgefragt werden, die Kosten der Beratung, die Eckdaten des KKU werden aufgenommen.
Erhebungsgespräch
Im Anschluss wird das Gespräch zur Erhebung Ist-Zustand in einem 2-3-stündigen Termin entweder Vor-Ort oder in einer Online-Videokonferenz bzw. hybrid durchgeführt. Dabei ist die Teilnahme der gesamten Geschäftsführung, des IT-Verantwortlichen und ggf. des IT-Dienstleisters notwendig. Die notwendigen Dokumente, sofern vorhanden, müssen im Gespräch zur Verfügung gestellt werden.
Dann erfolgt die Erhebung auf Grundlage des Anforderungskatalogs, hier werden die Anforderungen aus den Themenbereichen der DIN SPEC 27076 abgefragt. Hierbei erfolgt die Erhebung der Anforderungen mittels Leitfragen. Die Bewertung erfolgt nach der o.g. Punktevergabe. Daraufhin werden die Handlungsempfehlungen erkannt.
Erstellung des Ergebnisberichtes
Im Anschluss des Gesprächs erfolgt die Erstellung des Ergebnisberichtes, welcher sich streng nach den Vorgaben der DIN SPEC 27076 richtet. Der Bericht umfasst maximal 2 DIN-A4-Seiten plus einem Anhang A und einem Anhang B. Im Anhang A wird eine Tabelle mit den 27 Anforderungen dargestellt, ihrer Komponenten, einschließlich dem erreichten Punkte-Wert. Die Begründungen und die Handlungsempfehlungen sowie der Risiko-Status werden ebenfalls in die Tabelle miteinfließen. Im Anhang B wird eine Auflistung mit relevanten Förderprogrammen für die Verbesserung der IT- und Informationssicherheit ausgegeben.
Präsentation des Berichtes
Im Anschluss an die Erstellung des Berichtes erfolgt die Präsentation des Ergebnisberichts. Hier wird ebenfalls eine genaue Vorgabe durch die DIN vorgegeben, wie dieser Vor-Ort-, Online oder hybrider Termin aussehen muss. Der Termin umfasst die detaillierte Erläuterung der Ergebnisse, die Erläuterung des Ergebnisberichts, das Aufzeigen und die Erklärung der priorisierten Handlungsempfehlungen (TOP-Anforderungen), das Aufzeigen und die Erklärung der weiteren Handlungsempfehlungen, die Sensibilisierung zu den gängigsten Gefahren auf Basis des ermittelten individuellen Risikoprofils, die restlose Klärung der Fragen zum Bericht, sowie Aufzeigen von relevanten Möglichkeiten zur weiteren Förderung für die individuellen Bedarfe (sofern vorhanden).
Eine Wiederholung des Prozesses durch das Unternehmen ist möglich. Wir haben den vollen Prozess zum Sicherheitscheck nach DIN SPEC 27076 in der folgenden Prozessgrafik dargestellt.
Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.