DIN SPEC 27076
Die DIN SPEC 27076 ist eine DIN Spezifikation zur IT-Sicherheitsberatung von Klein- und Kleinstunternehmen (KMU). Sie bietet externen Dienstleistern einen standardisierten Beratungsprozess, den „Cyber Risiko Check“. Durch die Beratung soll die Sensibilisierung für IT-Sicherheitsrisiken bei KMU und somit mittelfristig das dortige Informationssicherheitsniveau angehoben werden.
Motivation[Bearbeiten | Quelltext bearbeiten]
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erscheint die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) wie der IT Grundschutz oder die ISO/IEC 27001 für kleine Unternehmen mit weniger als 50 Mitarbeitern als nicht praktikabel[1]. In der Spezifikation wird von einem Umfang des IT Grundschutzkompendiums von über 800 Seiten an Anforderungen an die Informationssicherheit eines Unternehmens gesprochen. Ferner wird dort auch beschrieben, dass die Zielgruppe sich meist noch nicht bzw. nur in sehr geringem Umfang mit ihrer eigenen Informationssicherheit auseinandergesetzt hat. Den Klein- und Kleinstunternehmen ihr eigener Gefährdungsgrad kaum bekannt und sie sind nur gering hinsichtlich der Risiken sensibilisiert. Man will mit der DIN SPEC 27076 erreichen, so wörtlich in der Spezifikation, dass zumindest „das vertretbare absolute Minimum an Informationssicherheit“ nachgewiesen werden kann.
Geschichte[Bearbeiten | Quelltext bearbeiten]
Die DIN SPEC 27076 wurde in einem Konsortium bestehend aus BSI und Bundesverband mittelständische Wirtschaft (BVMW) und 20 weiteren Partnern wie das Deutsche Institut für Normung (DIN), Datenschutz Experten und IT-Security Experten entwickelt. Sie entstand im Projekt „ mIT Standard sicher“ („Entwicklung und Verbreitung eines Standards für KMU-geeignete IT-Sicherheitsberatung/KMU SEC“). Der Geschäftsplan zur Spezifikation wurde im Mai 2022 vom DIN veröffentlicht[2]. Die Spezifikation wurde nach 8-monatiger Konsortiumsarbeit im Mai 2023 zur Veröffentlichung freigegeben.
Staatliche Förderung[Bearbeiten | Quelltext bearbeiten]
Die Umsetzung des Cyber Risiko Checks nach DIN SPEC 27076 ist staatlich förderfähig. So fördert das bis 2025 laufende Programm Go-Digital KMU bis 100 Mitarbeiter mit bis zu 16.500 € pro Unternehmen bei der Umsetzung von Maßnahmen der „Digitalisierungsstrategie“ und mehr „IT-Sicherheit“.
Inhalt[Bearbeiten | Quelltext bearbeiten]
Die Spezifikation macht feste Vorgaben den Ablauf der Beratungsdienstleistung incl. Vorbereitung des Beraters und der zu beratenden Firma. So muss in einem ersten Schritt ein Gespräch zur Erhebung des Ist-Zustands stattfinden, dort werden folgende Themenbereiche in Form von Leitfragen erhoben:
| Thema | Inhalte |
|---|---|
| Organisation & Sensibilisierung | Gesamtverantwortung, Zuständigkeit bei IT Notfällen, Definition von Regeln, Kenntnisstand im Umgang mit IT und Netzwerken |
| Identitäts- und Berechtigungsmanagement | Passwortrichtlinie, Zugriff und Zugang |
| Datensicherung | Zugriff, Zugang, Ablageort und Häufigkeit von Datensicherung |
| Patch- und Änderungsmanagement | Häufigkeit und Zeitpunkt von Updates |
| Schutz vor Schadprogrammen sowie IT-Systeme und Netzwerk | Vertrauenswürdigkeit, Netzwerk Security, Zugriffsberechtigungen, Firewall, VPN, WLAN und Homeoffice Regeln |
Im Anschluss wird ein zweiseitiger Ergebnisbericht erstellt. Dieser beinhaltet Informationen zum Unternehmen, wie auch die errechnete Punktzahl aus den Antworten des Unternehmens. Auf der ersten Seite werden ferner die Ergebnisse in Form eines Spinnennetzdiagramms dargestellt. Auf der zweiten Seite folgen die konkreten Handlungsempfehlungen aus der DIN SPEC 27076 für die Antworten des Unternehmens, die als unzureichend bewertet worden sind. Dem Ergebnisbericht folgt ein Anhang mit einer tabellarischen Detailübersicht der Ergebnisse, gegliedert nach
- Themenbereich
- Anforderung
- Risiko-Status
- Handlungsempfehlung.
In einem zweiten Anhang sind die konkreten, meist Bundesland spezifischen, Fördermöglichkeiten für die Minimierung der festgestellten Risiken angegeben.
Weblinks[Bearbeiten | Quelltext bearbeiten]
- Übersicht relevanter Förderprogramme zum Cyber Risiko Check. Der Mittelstand, BVMW e.V., abgerufen am 15. September 2023.
- Sammlung von Informationsmaterialien zur Umsetzung des Cyber Risiko Checks. Der Mittelstand, BVMW e.V., abgerufen am 15. September 2023.
- Wie wendet man die DIN Spec 27076 an? Sentiguard Datenschutz GmbH & Co.KG, abgerufen am 15. September 2023.
- IT-Sicherheit für KMU: Jetzt einsteigen – mit CyberRisikoCheck nach DIN SPEC 27076. Beuth Verlag, abgerufen am 15. September 2023.
- DIN SPEC 27076:2023-05. Beuth Verlag, abgerufen am 15. September 2023.
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ Cyber Risiko Check - 2023-04 Bundesamt für Sicherheit in der Informationstechnik. Abgerufen am 15. September 2023.
- ↑ Geschäftsplan für ein DIN SPEC-Projekt nach dem PAS-Verfahren zum Thema „IT-Sicherheitsberatung für Klein- und Kleinstunternehmen“. Abgerufen am 15. September 2023.