Die Din Spec 27076 wurde speziell für kleine Unternehmen entwickelt, die weniger als 50 Beschäftigte haben, sich aber auf Grund des hohen Aufwands die Einführung eines Informationssicherheits-Managementsystems wie die DIN ISO/IEC 27001 nicht leisten können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht hier auch von Cyber Risiko Check.
Die Entstehung der DIN Spec 27076
Ein Konsortium bestehend aus BSI und Bundesverband mittelständische Wirtschaft (BVMW) und 20 weiteren Partnern wie das Deutsche Institut für Normung (DIN), Datenschutz Experten und IT-Security Experten entwickelten innerhalb von 8 Monaten ein praktische Werkzeug zur Ermittlung des Handlungsbedarfes in Sachen IT Sicherheit in kleinen Unternehmen. Das Bundesministerium für Wirtschaft und Klimaschutz finanzierte das Projekt im Rahmen des Programmes Mittelstand Digital. Es wurden laut Geschäftsplan der ISO 27001, ISO 27002, VdS 10000 und VdS 10005 bei der Erarbeitung miteinbezogen.
Einordnung der DIN Spec 27076
Interessanterweise bildet die VdS 10005 bereits ein ähnliches Spektrum ab, speziell für Betriebe bis 20 Mitarbeiter. Bei der DIN Spec 27076 finden sich jedoch etwas andere Themen vor. So fehlen z.B. die Themen rund um Mitarbeiterverpflichtungen und Arbeitsverhältnisse. Dafür scheint der Fokus aber vielmehr auf Praktikabilität zu liegen. Die Spezifikation und der Leitfaden sind anders als bei VdS umsonst verfügbar und ähnlich umfangreich. Es ist davon auszugehen, dass die kostenlos verfügbare DIN Spec 27076 daher eher Anwendung finden wird, als die kostenpflichtigen Alternativen VdS 10000 und VdS 10005.
Themen im Cyber Risiko Check
In der Handlungsempfehlung werden die Themen- Organisation & Sensibilisierung
- Identitäts- und Berechtigungsmanagement
- Datensicherung
- Patch- und Änderungsmanagement
- Schutz vor Schadprogrammen sowie IT-Systeme und Netzwerk
behandelt, wobei insgesamt 27 Gliederungspunkte abzuarbeiten sind und einen Gewichtung der einzelnen Fragen für eine Ergebnisauswertung vorgegeben wird. Es wird vor allem auf IT Themen in Form von technischen Maßnahmen eingegangen. Organisatorische Maßnahmen machen ungefähr ein Viertel der Fragen aus. Die Ausrichtung der Themen erscheint dabei so ausgerichtet, dass vor allem Entscheider wie Geschäftsführer die Hauptzielgruppe des Fragebogens sein werden.
Durchführung und Auswertung des Cyber Risiko Checks
Die Abarbeitung der Themen soll in Form von Leitfragen gestellt werden, die von einem IT Security und/oder Datenschutz Experten in Form eines ca. 90 minütigen Interviews mit der Geschäftsführung abzuhalten.
Anschließend erfolgt eine Auswertung des Interviews durch den IT Experten, indem eine Punkteskala mit dem aktuellen Umsetzungsstand verglichen wird. Die Leitfragen, die mit einer Markierung TOP als besonders wichtig zu sehen sind, sollten auf jeden Fall vom Unternehmer angegangen werden, da sonst ein gravierendes Risiko besteht.
Mit der Auswertung der Punkteskala ist ein Abschlussbericht zu erstellen, der bereits vorgegebene Handlungsempfehlungen beinhaltet. Diese werden nur dann genannt, wenn bestimmte Bereiche einen hohen Risiko Status Wert haben. Die Ausarbeitung und das Interview zusammen sollten insgesamt mit einem Zeitaufwand von ca. drei Stunden verbunden sein und so formuliert sein, dass Sie auch von Nichttechnikern verstanden werden können.
Umsetzung als Selbsttest
Den Fragebogen haben wir für Interessierte Unternehmen als Selbsttest implementiert. Da die Handlungsemfpehlungen aber Erklärungsbedarf durch IT Experten beinhalten haben wir diesen Teil bewusst weggelassen. Dennoch vermittelt der im folgenden als IT Security Selbsttest verlinkte Fragebogen eine grobe Einschätzung, ob Handlungsbedarf besteht.