Dieser Artikel würde typischerweise mit den neuesten Auswertungen zu Cyberangriffen und deren Zuwachsraten bei kleinen und mittelständischen Unternehmen starten. Die Zahlen können in der Tat erschrecken, wir wollen aber von der anderen Seite einsteigen: Was können KMU realistischerweise tun, um sich schrittweise besser zu positionieren? Realistischerweise deshalb, weil die personellen und finanziellen Ressourcen bei KMU meist nicht ausreichen, um das ganz große Klavier zu bespielen, etwa den IT-Grundschutz nach BSI-Vorgaben. Doch es geht auch einfacher und pragmatischer.
Der IT-Grundschutz des BSI war in der Vergangenheit für kleine und mittelständische Unternehmen vorwiegend eine Nummer zu groß, also zu komplex und kompliziert, manche sagten auch zu sehr aus dem Elfenbeinturm heraus konzipiert. Das BSI hat darauf reagiert und hat nun auch Angebote für KMU entwickelt, die den Einstieg in die Materie erleichtern sollen. Als Spezialist für KMU setzen wir bei IT Works AG auf die BSI-Grundlagen und Standards auf. Diese können in der Folge zu einem IT-Grundschutz ausgebaut werden. Zwei dieser Einstiegsdienstleistungen wollen wir hier vorstellen: „Cybersicherheit für KMU – die TOP 14 Fragen“ und „CyberRisikoCheck“
Cybersicherheit für KMU – die TOP 14 Fragen
Diese Broschüre „Cybersicherheit für KMU – die TOP 14 Fragen“ bietet einen guten gedanklichen Einstieg in konkrete Fragestellungen der Cybersicherheit. Die 14 Fragen richten sich nicht unbedingt an die IT-Techniker im Unternehmen, sondern eher an die Geschäftsleitung und technisch orientierte Manager. Der Hintergrund der Fragen wird detailliert erklärt und mit Handelsempfehlungen für den jeweiligen Fall ergänzt. Trotz der guten Aufbereitung wird die Broschüre unserer Erfahrung nach von der Zielgruppe kaum genutzt, zumindest nicht ohne Unterstützung oder Anlass.
Bei unseren Kunden gehen wir daher die Fragen in einer Video-Session gemeinsam durch. Ziel ist es, im Management eine bessere Awareness für Security-Themen zu schaffen und Berührungsängste („verstehe ich eh nicht“) abzubauen. Dazu ist dieses Dokument sehr gut geeignet und es schafft gleichzeitig eine gute Grundlage für den CyberRisikoCheck, obwohl dieser nicht darauf aufbaut.
CyberRisikoCheck
Der CyberRisikoCheck (CRC) – ebenfalls für KMU – wurde vom BSI in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) erstellt, zudem waren an die 20 weitere Partner beteiligt. Ziel war es, eine DIN-Spezifikation zu erarbeiten, in der auch die Handlungsempfehlungen für KMU standardisiert werden.
Beim CRC wird das Unternehmen von einem zertifizierten Dienstleister in einem mehrstündigen Interview zur Sicherheit befragt. Es geht um 27 Anforderungen, die ein Unternehmen erfüllen sollte, um halbwegs sicher aufgestellt zu sein. Der Erfüllungsgrad wird über eine zu erreichende Punktezahl abgebildet.
Der CRC wird mithilfe einer eigens vom BSI zur Verfügung gestellten Software durchgeführt, die aufgrund der Antworten Punkte vergibt. Für jede nicht erfüllte Anforderung wird eine Handlungsempfehlung ausgegeben, priorisiert nach Dringlichkeit. Hilfreich sind auch die Hinweise, welche Aktivitäten durch staatliche Zuschüsse gefördert werden können. Das Ergebnis ist in einem Report zusammengefasst.
Keine Zertifizierung, aber der Einstieg dafür
Weder die 14 Fragen noch der CRC sind eine Sicherheitszertifizierung. In der Kombination der beiden Tools entsteht jedoch mehr Awareness für sicherheitsrelevante Themen und über die CRC-Software eine „offizielle“ Positionsbestimmung des Sicherheitsniveaus des Unternehmens.
Mit den Ergebnissen gibt es eine Liste umzusetzender Maßnahmen, deren Umsetzung typischerweise einem Dienstleister übertragen wird. Danach steht ein Unternehmen aus Security-Sicht deutlich besser da als vorher. Nehmen Sie Kontakt mit uns auf, wenn auch Sie Ihr Unternehmen besser absichern wollen.