CyberRisikoCheck: BSI will IT-Sicherheit in kleinen Unternehmen stärken
Das BSI hat gemeinsam mit Branchenverbänden ein Sicherheits-Interview erarbeitet, das geschulte Dienstleister durchführen. Finanzielle Hilfen gibt es auch.
Eine Firewall, wenn auch nicht aus Backsteinen, ist auch Bestandteil des CyberRisikoChecks vom BSI.
(Bild: iX)
Das Bundesamt für Sicherheit in der Informationstechnik zeigt sich alarmiert: Die Anzahl der Angriffe auf Wirtschaftsunternehmen steige stetig an, sagt die Behörde – und auch kleine Firmen stünden im Fadenkreuz der Angreifer. Um deren Widerstandsfähigkeit zu stärken, hob das BSI den CyberRisikoCheck aus der Taufe. Das Versprechen: Nach einem ein- bis zweistündigen Interview mit einem Fachdienstleister erhält das teilnehmende Unternehmen eine Einschätzung seiner IT-Sicherheit nebst Handlungsempfehlungen.
Beim BSI hat man erkannt, dass die hauseigenen IT-Grundschutzkataloge oder die Forderung nach einer ISO27001-Zertifizierung für viele Unternehmen und Behörden schlicht nicht umsetzbar sind. Daher bemühen sich die Bonner seit einiger Zeit um niedrigschwellige Angebote. Speziell für Kommunen hat das Bundesamt die "Wege in die Basis-Absicherung" mit IT-Checklisten konzipiert, nun folgt mit dem CyberRisikoCheck ein Programm für kleine Firmen.
Basis des Sicherheits-Checks ist die neue DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen". Den Standard, gleichsam eine "DIN-Norm light", haben BSI, Wirtschaftsministerium und fast 20 Partner, darunter Auditoren und IT-Dienstleister, in etwas mehr als einem halben Jahr entwickelt. Wie alle DIN SPEC steht er kostenlos nach Registrierung zum Download zur Verfügung.
Kern des Dokuments ist ein Anforderungskatalog mit 54 Fragen aus 27 Themenbereichen, die Compliance-Erfahrenen bekannt vorkommen dürften. Neben der Organisation und Sensibilisierung geht es da um Netzwerke, Malware-Schutz, Patch-Management und Datensicherung. Erfüllt das Unternehmen die Anforderung, erhält es Punkte – am Ende steht ein Risiko-Statuswert zwischen 0 bei Nichterfüllung jeglicher Anforderungen und 37 bei voller Konformität mit dem Fragenkatalog. Auch wenn der eine oder andere IT-Alleinverantwortliche im Kleinunternehmen ob der Anforderungen ins Schwitzen geraten könnte, mahnen die Autoren: Selbst volle Punktzahl stehe nur für die Erfüllung der Mindest-Sicherheitsanforderungen.
Schulung für Interviewer in Bonn
Nun fanden sich über 60 Sicherheitsdienstleister in Bonn ein, um sich in der Durchführung des CyberRisikoChecks schulen zu lassen. Die Schulung ist Voraussetzung für die Nutzung der Interview-Software, die das BSI für das Frage-Antwort-Gespräch vorschreibt. Das Programm leitet die Antworten anonymisiert an die Behörde weiter, die sie für ein Lagebild der IT-Sicherheit in KMU zu nutzen gedenkt.
Die Präsidentin des BSI lobt die Initiative in den höchsten Tönen: "Der CyberRisikoCheck ist ein echtes Win-Win-Win-Produkt", lässt sich Claudia Plattner in einer Pressemitteilung zitieren – neben den Unternehmen profitieren auch die beteiligten Dienstleister und das BSI. Zudem hätten bereits weitere 120 Dienstleister ihr Interesse bekundet, CyberRisikoChecks in Unternehmen durchzuführen.
Unternehmen können zudem finanzielle Unterstützung für den voraussichtlich etwa 1000 Euro teuren Check beantragen. Im Förderprogramm "go-digital" des Wirtschaftsministeriums erhalten Firmen mit weniger als 100 Mitarbeitern und 20 Millionen Euro Jahresumsatz eine fünfzigprozentige Förderung für Beratungsleistungen. Diese, sagt das BSI, umfasst nicht nur die erstmalige Überprüfung, sondern auch die Beratung zu daraus folgenden Handlungsempfehlungen
Unklar bleibt jedoch, wie und wann Interessierte starten können. Auf der Projekt-Webseite des BSI ist derzeit weder eine Dienstleisterliste noch eine konkrete Ankündigung zum Starttermin des CyberRisikoChecks zu finden.
(cku)
