Wie steht es um die Cyber-Security in meinem Unternehmen? Der CyberRisikoCheck gibt einen Überblick und deckt Lücken auf.
Adobe Stock
Begriffe wie Ransomware, CEO-Fraud, Hacking und Social Engineering sind immer häufiger in der Presse zu lesen. Insbesondere, wenn große Unternehmen und staatliche Organisationen angegriffen wurden, werden diese Themen ausgiebig diskutiert. Es kann der Eindruck entstehen, dass gerade diese Organisationen die typischen Ziele von Angreifern sind.
Der Eindruck trügt! Die meisten Angriffe sind breit gestreut. Daher ist es auch für kleine Unternehmen keine Frage, ob sie Ziel eines Angriffs werden, sondern wann ein Cyber-Angriff auch bei ihnen erfolgreich sein wird. Welche Rolle der sogenannte CyberRisikoCheck bei der Vorbeugung spielt, erfahren Interessierte im folgenden Beitrag.
Bewusstsein für Informationssicherheit fehlt in vielen kleinen Unternehmen
Ärzte, Steuerberater, Rechtsanwälte, Finanzberater, Versicherungsmakler und so weiter kennen seit vielen Jahren die Pflicht zur Geheimhaltung, die sich aus dem Strafrecht ergibt. Insofern ist die Wahrung der Vertraulichkeit von anvertrauten Daten für sie kein neues Thema. Soweit dies die Verpflichtung der Mitarbeiter auf Vertraulichkeit und den physischen Schutz der Büroräume vor Einbruch betrifft, gibt es häufig einen – mehr schlechten als rechten – Basisschutz.
Mit fortschreitender Digitalisierung, mit dem Einsatz mobiler Endgeräte und der Möglichkeit, von zuhause zu arbeiten, stehen Unternehmer vermehrt vor der Frage, wie es um den Schutz ihrer Infrastruktur, von Servern und Endgeräten und der darauf gespeicherten Daten steht? Sind die Daten auf diesen Geräten weiterhin geheim und damit vor Verlust der Vertraulichkeit ausreichend geschützt? Wie steht es um den Schutz vor versehentlicher Löschung von Patientenakten oder vor ungewollter Verfälschung der Steuerakten? Wovor muss ich meine Systeme schützen und welche Investition ist erforderlich, um ein angemessenes Schutzniveau zu erreichen?
Dies sind Fragen, für deren Beantwortung gerade bei den vielen kleinen Unternehmen in Deutschland weder das Wissen noch die Mittel vorhanden sind. Oft fehlt auch das Bewusstsein dafür, dass es sich bei dem Thema „Informationssicherheit“ um eine genauso wichtige Aufgabe im Unternehmen handelt, wie dies beispielsweise beim Thema „Buchhaltung“ der Fall ist.
CyberRisikoCheck deckt Handlungsempfehlungen auf
Das Bundesministerium für Wirtschaft und Klimaschutz hat daher zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik ein Verfahren zur Überprüfung entworfen, das kleinen und kleinsten Unternehmen (KKU, bis 50 Mitarbeiter) helfen soll, ein Bild über das sie betreffende Informationssicherheitsrisiko zu erhalten. Der sogenannte CyberRisikoCheck basiert auf einem festgelegten Ablauf, der mit Hilfe von bis zu 54 Fragen aus 6 Themenbereichen eine objektive Risikoeinstufung ermöglicht.
Um den Check auch für geringe Budgets attraktiv zu machen, ist der Ablauf so gestaltet, dass er mit wenig externer Hilfe durchgeführt werden kann. Ganz kann man allerdings nicht auf die Unterstützung durch einen Spezialisten verzichten, der die Unternehmer/-innen in Form eines Interviews durch die Fragen führt und letztendlich die Auswertung erstellt. Das Verfahren, dass in der DIN SPEC 27076 vorgegeben ist, regelt auch die Tätigkeit des Beraters, sodass dessen Leistung nicht mehr als einen Tag in Anspruch nehmen soll, wofür zudem noch Fördermittel beantragt werden können.
Ohnehin ist eine der vom Standard vorgegebenen Aufgaben des Beraters die Nennung von staatlichen Förderprogrammen, die für die Durchführung der Prüfung einerseits und für die Umsetzung von Handlungsempfehlungen, die sich aus dem CyberRisikoCheck ergeben, andererseits in Anspruch genommen werden können.
Als Ergebnis soll der Unternehmer oder die Unternehmerin am Ende des CyberRisikoChecks objektiv einschätzen können, wie es um das Informationssicherheitsrisiko steht. Er oder sie bekommt Empfehlungen an die Hand, mit welchen Maßnahmen die Informationssicherheit verbessert werden kann, und welche Förderprogramme für die Umsetzung der Maßnahmen in Anspruch genommen werden können.
Dabei ist allerdings zu beachten, dass die Handlungsempfehlungen nur die Mindestanforderungen adressieren. Werden die Handlungsempfehlungen umgesetzt oder stellt sich bei der Überprüfung heraus, dass die volle Punktzahl erreicht wurde, kann daraus nicht geschlossen werden, dass ein hohes Maß an Informationssicherheit vorliegt. Es liegen in dem Fall allerdings die Voraussetzungen vor, um die Informationssicherheit strukturiert weiterentwickeln zu können.
Mit dem CyberRisikoCheck soll den KKU ein Werkzeug an die Hand gegeben werden, dass Informationssicherheit erschwinglich macht.