Unser CyberRisikoCheck:
Klein und wirksam!

… Sie haben sich mal wieder im Dschungel der Cybersecurity Best-Practices verirrt und wissen einfach nicht, welche Maßnahmen Sie zu welchem Zeitpunkt und auf welche Weise für die Sicherheit Ihres Unternehmens umsetzen müssen und können? ? ISO 27001 oder IT-Grundschutz? In einer Welt, in der die Bedrohungslage so hoch wie nie ist, brauchen viele kleine und mittelständische Unternehmen (KMU) einen klaren Wegweiser durch die IT-Sicherheitslandschaft. Hier kommt unser CyberRisikoCheck ins Spiel. Er bietet eine durchdachte Antwort mit großer Wirkung – und das auch für Betriebe mit kleineren Portemonnaies.

Es ist bedenklich, dass unter Geschäftsführer: innen von kleineren Unternehmen noch immer der Irrglaube herrscht, dass sie aufgrund ihrer Unternehmensgröße für Cyberangriffe uninteressant seien. Doch noch bedenklicher ist, dass einige dieser Unternehmen resignieren und akzeptieren, dass sie ein bis zwei Mal im Jahr gehackt werden – und verlassen sich ausschließlich auf ihre Backup-Strategie.

Fakt ist: die Bedrohungslage ist wesentlich komplexer, als die öffentliche Berichterstattung manchmal vermuten lässt.
Die Angriffsmethoden sind technologisch fortschrittlich, durchdacht und vielfältig – und die daraus resultierenden Risiken können und werden Ihr Unternehmen existenziell gefährden.

Nur fürs Gefühl: Angreifende befinden sich meist bereits seit Wochen oder Monaten – im Schnitt 180 Tage – im Netz ihrer Opfer, spähen diese aus und verschlüsseln auch Backups.

Dabei sind Malware, Ransomware, Sypware, Scareware, Spoofing, Phishing und Social Engineering nur einige nennenswerte Angriffsformen, welche aufgrund von Künstlicher Intelligenz (KI) an zusätzlicher Komplexität und Qualität gewinnen – und so immer unberechenbarer werden.

Angriffe werden inzwischen oft automatisiert und KI-gestützt durchgeführt, denn mithilfe neuester Technologien können Angriffsflächen problemlos erweitert und Informationen einfacher beschafft werden, während die Angreifenden Kosten und Mühen sparen.

Aufgrund von Remote und Mobile Working Konzepten verfügen Unternehmen über immer mehr Schnittstellen nach außen und erweitern so ihre eigene Angriffsfläche für Hacker.
Die Schwachstelle Mensch spielt dabei eine nicht ganz unwesentliche Rolle, immerhin ist der Mensch nach wie vor Sicherheitslücke Nr. 1.

• Wenn sie eine eigene IT-Abteilung haben, ist sie nicht groß.
• Wenn sie keine haben, sind sie besonders gefährdet. Denn so vielfältig wie die Angriffsarten sind, so mannigfaltig sind die direkten und indirekten Folgen und Nachwirkungen erfolgreicher Angriffe.
• Die Investition in Security Awareness Trainings für die Mitarbeitenden kosten Geld, Zeit und erfordern zumindest ein grundlegendes IT-Sicherheitsverständnis.
• Zertifizierungen und Standards übersteigen oft die personellen, zeitlichen und finanziellen Ressourcen dieser Betriebe.
• Allein die Aufgabe, auf dem Laufenden zu bleiben, was in der Bedrohungslandschaft passiert, ist für kleinere Unternehmen eine größere Aufgabe.

Somit sind die Schäden, die durch Sicherheitsvorfälle entstehen, für KMU meist existenzbedrohend.

Eine vollständige Verschlüsselung von Daten kann zu einer Betriebsstörung und Produktionsunterbrechung führen. Verschlüsselte Daten ziehen zudem meist eine Erpressung von Lösegeld mit sich. Eine Situation, die sich ohne Sicherheitsstrategie so gut wie gar nicht mehr lösen lässt. (Aber: Auf keinen Fall Lösegeld zahlen und sofort die Behörden informieren!)

Konkrete und häufige Folgen von Angriffen sind vor allem der Verlust von Daten und Fachwissen, die darauffolgenden Reputationsschäden sowie Kundenverluste, das Erlöschen des Versicherungsschutzes, ungewollte Gesetzesverstöße (StGB, SGB, DSGVO, GeschGehG) sowie untragbare Folgekosten (IT-Support, Rechtlicher Beistand, Bußgelder, Schadensersatzforderungen) – und auch Insolvenz.

Hinzu kommt, dass eine so gravierende und negative Erfahrung in der Regel auch nicht spurlos an den Verantwortlichen und der Belegschaft eines Unternehmens vorbeigeht. Auch wenn es irgendwie gelingt, den eigenen Betrieb nach 2-4 Wochen wieder aufzunehmen, ist der vollständige Normalbetrieb und eine „normale“ Stimmung im Team eine eher nicht so leicht umzusetzende Aufgabe.

Das bedeutet: Als kleines oder mittelständisches Unternehmen (KMU) müssen Sie sicherstellen, dass Ihre IT-Infrastruktur bestmöglich geschützt ist –  hierbei hilft unser CyberRisikoCheck gemäß DIN SPEC 27076.

• wurde zeit- und kosteneffizient konzipiert
• bietet Orientierung, Vergleichbarkeit und Transparenz
• ist bedarfsgerecht, verständlich und praxistauglich
• kann als Interview im Rahmen einer IT-Sicherheitsberatung betrachtet werden
• ermittelt Risiken und konkrete Handlungsempfehlungen
• für eine verbesserte Informationssicherheit in Ihrem Unternehmen

• bietet Ihnen einen Überblick über Cyber-Risiken in Ihrem Betrieb
• stellt ein durchdachtes Punktesystem zur Messbarkeit Ihres Risikos bereit
• liefert Ihnen einen verständlichen Ergebnisbericht mit errechnetem Risiko-Status-Wert
• gibt Ihnen individuelle, konkrete Handlungsempfehlungen zur Verbesserung Ihrer Cybersecurity
• zeigt Ihnen Fördermöglichkeiten auf, auch für zukünftige Sicherheitsmaßnahmen
• stellt Ihnen kompetente, fachkundige Ansprechpersonen der Com-Sys bereit 😊
• bietet mehr Wissen, mehr Schutz und weniger Risiko!

Vorgespräch

• Online, telefonisch oder in Präsenz möglich
• Erhebung der Unternehmensdaten
• Sichtung der bisherigen Sicherheitsmaßnahmen
• Bestimmung der teilnehmenden Personen aus dem Betrieb

Aufnahme des IST-Zustands (Termin von maximal 3 Stunden)

• Durchführung des CyberRsikoCheck nach DIN SPEC 27076
• Interview mit vorgefertigten, leicht verständlichen Fragen
• Abfrage und Besprechung von 27 Anforderungen
• Rückfragen oder Missverständnisse können jederzeit geklärt werden

Auswertung und Report

• Com-Sys fertigt individuellen Ergebnisbericht an
• Ergebnisse werden kompakt und verständlich dargestellt
• Präsentation der Ergebnisse und Empfehlungen
• Tipps zu Fördermöglichkeiten und zum weiteren Vorgehen

Habe ich das richtig gelesen: 27 Anforderungen? Was sind das für Anforderungen?

Genau, denn der neue Standard macht den Sicherheitsstand von Unternehmen anhand eines Risiko-Statuswerts messbar. Hierfür wird anhand 27 Fragen aus sechs Themenbereichen überprüft, ob das Unternehmen bestimmte Anforderungen erfüllt. Für diese Antworten werden nach den Vorgaben der DIN-Norm Punkte vergeben. Als Ergebnis erhält das Unternehmen einen Bericht mit entsprechendem Risiko-Statuswert.

Über welche Themenbereiche sprechen wir hier?

Die sechs Themenbereiche des Checks sind

1. Organisation & Sensibilisierung
2. IT-Systeme und Netzwerke
3. Strategien und Verfahren zur Datensicherung
4. Identitäts- und Berechtigungsmanagement
5. Patch- und Änderungsmanagement
6. Schutz vor Schadprogrammen

Habe ich das richtig verstanden: Der Check wird finanziell gefördert?

Ja, zumindest häufig.
Der CyberRisikoCheck wurde von einem Konsortium unter der Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und dem Bundesverband mittelständische Wirtschaft (BVMW) entwickelt. Dies ermöglicht die staatliche Förderung der standardisierten Beratung nach DIN SPEC 27076. Eine Auswahl der Fördermöglichkeiten ist hier zu finden: www.mit-standard-sicher.de – zudem beraten wir Sie ebenfalls gerne zu möglichen Förderungen.

Ihnen ist natürlich nicht damit geholfen, die Handlungsempfehlungen mit dem Ergebnisbericht lediglich auf Papier zu haben.

Vielmehr unterstützen wir Sie natürlich dabei, die empfohlenen Maßnahmen in Ihrem Unternehmen umzusetzen. Zudem sollten Sie zeitnah weitere Schutz- und Abwehrmaßnahmen in Betracht ziehen, da Sie mit dem ersten Check wahrscheinlich vorrangig das Minimum an Anforderungen an die IT-Sicherheit erfüllt haben.

Grundsätzlich gilt, dass die Umsetzung von IT-Sicherheit ein Weg, also ein Prozess ist, der langfristig zu verfolgen ist. Denn aufgrund der sich stetig verändernden Bedrohungslage sind Anpassungen ebenso stetig notwendig. Als KMU sind Sie also dazu aufgerufen, am Ball zu bleiben, aktuelle Risiken zu verfolgen und Zertifizierungen anzugehen!

Der Bedarf nach Orientierung, Entlastung und Sicherheit ist vor allem bei KMU sehr groß.
Dazu möchten wir Ihnen sagen: wir haben viel zu geben!
Als Navigatoren der IT-Sicherheitslandschaft bieten wir Ihnen Orientierung in der komplexen Cybersecurity-Welt, begleiten Sie in die digitale Transformation – und kämpfen gemeinsam mit Ihnen gegen Cyberangriffe. Als vom BSI anerkanntes Unternehmen bieten wir diesen Service sehr gerne an und stehen Ihnen mit Rat und Tat zur Seite!

Ihr direkter Ansprechpartner zu diesem Thema ist Jens Binnewies (Manager Governance, Risk & Compliance Consulting) aus unserem Bereich Strategic Consulting und freut sich, wenn Sie sich melden: jens.binnewies@com-sys.de 

Schützen Sie Ihr Unternehmen und machen Sie noch heute unseren CyberRisikoCheck!