CyberRisiko-Check nach der neuen DIN SPEC 27076
Die Digitalisierung bietet enorme wirtschaftliche Potenziale für den Mittelstand. Doch erfolgreiche Digitalisierung kann nur gelingen, wenn sie keine neuen Verwundbarkeiten schafft. Dafür muss die IT- und Informationssicherheit von vornherein mitgedacht werden – keine leichte Aufgabe für kleine Unternehmen. Gerade Betriebe mit bis zu 50 Beschäftigten sind hier oft auf externe Beratungsdienstleistungen angewiesen. Dazu kommt, dass bestehende Zertifizierungen und Standards oft die personellen, zeitlichen und finanziellen Ressourcen dieser Betriebe übersteigen.
Das ändert sich mit dem neuen Beratungsstandard DIN SPEC 27076: Dieser wird durch IT-Sicherheitsdienstleister wie der keepbit IT-SOLUTIONS GmbH angeboten, um den branchenübergreifend zu beratenden Unternehmen in kürzester Zeit die gefährlichsten Schwachstellen aufzeigen, den Sicherheitsstand messbar machen und Handlungsempfehlungen auszugeben. Der Standard wurde mit besonderem Fokus auf Zeit- und Kosteneffizienz für kleine Betriebe entwickelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Der Mittelstand BVMW e.V. leiteten das Konsortium.
1. Zusammenfassung der wichtigsten Punkte:
- Laut einer Analyse des Statistischen Bundesamtes waren schon über 50 % der Unternehmen in Deutschland von einem Cyberrisiko betroffen
- Hacker versuchen dabei, an sensible Daten des Unternehmens oder seiner Kunden zu kommen
- Die Folgen sind oft schwere finanzielle oder Imageschäden
- Typische Bedrohungen sind Malware, Phishing und Social Engineering
- Mit einem Cyberrisiko-Check können individuelle Sicherheitslücken aufgedeckt werden
- Wir führen diesen Check nach der neuen DIN SPEC 27076 durch
2. Definition: Was ist ein Cyber-Risiko?
Ein Cyber-Risiko beschreibt die Gefahr von negativen Auswirkungen, die durch eine Cyberattacke, eine Datenverletzung, Compliance-Verstöße oder andere Cyberbedrohungen entstehen können. Diese Risiken existieren sowohl im privaten als auch im beruflichen Umfeld durch die Nutzung von Informationstechnologien, der Vernetzung von Systemen und der Speicherung von Daten in digitaler Form.
3. Die Auswirkungen von Cyberangriffen sind vielfältig:
- Durch Datenschutzverletzungen & Co. können erhebliche finanzielle Schäden Nicht selten kommt es zu Umsatzeinbußen aufgrund von Betriebsunterbrechungen, Kosten für die Bewältigung von Zwischenfällen, rechtliche Ausgaben, Verzögerungen von Projekten und Geldstrafen
- Imageschäden entstehen eher schleichend im Hintergrund und wiegen häufig sogar noch schwerer. Es dauert sehr oft lange, bis sie erkannt und quantifiziert werden können. Unternehmen bemerken die Beschädigung der Markenreputation nach und nach durch einen Rückgang der Kunden und Umsatzeinbußen.
4. Warum ist das Thema der Cyber-Risiken so relevant?
Laut dem Statistischen Bundesamt ergab eine Umfrage unter ca. 5000 Unternehmen, dass 58 % der Befragten schon einmal Opfer eines Cyberangriffs waren. Nach Irland ist Deutschland damit auf dem zweiten Platz dieser Statistik. Auch Privatpersonen sind immer häufiger dieser Bedrohung ausgesetzt. Der Schwerpunkt liegt bei diesen Angriffen auf dem Phishing vertraulicher Daten. Außerdem haben es Hacker auf die Schwachstellen im Bereich der Datensicherheit von Unternehmen abgesehen. Sie stehlen Kundendaten und verkaufen diese zu Werbezwecken, was für die Betroffenen häufig mit einem erheblichen Imageschaden einhergeht.
Prof. Igor Podebrad ist Honorarprofessor für IT-Forensik und Cyber-Kriminalität und Industry Representative in der Cyber Expert Group bei der G7, äußert sich zur Bedrohungslage in einem Interview:
„Bedurfte es früher entsprechender detaillierter Kenntnisse, Angriffe im Digitalen Raum durchführen zu können, hat sich dieses Gebiet ebenfalls zu Gunsten einer breiteren Auftraggeberschaft weiterentwickelt. Insbesondere für die ersten beiden Ausprägungen findet sich eine erhebliche Menge von Ready-to-Use-Lösungen, die hochgradig illegal, aber dennoch im Darknet verfügbar sind. Man spricht in diesem Zusammenhang von Cybercrime-as-a-Service. Dies erhöht die Zahl von Angreifern signifikant.“
Angriffe auf sensible Daten sind zu einem eigenen Business geworden. Unternehmen, die sich davor schützen wollen, sollten lieber gestern als heute handeln.
5. Fallbeispiel: Unterschätztes Cyberrisiko & Hacker-Angriff auf Facebook & Raisin DS Startup
Im September 2018 wurde das soziale Netzwerk Facebook Opfer eines Hacker-Angriffs. Cyberkriminelle hatten sich Zugriff zu über 30 Millionen Nutzerdaten verschafft und brachten sensible Daten wie Adressen, Beziehungsstatus und Details zur Arbeitsstelle in Umlauf. Wenige Tage nach Bekanntwerden dieses Lecks gaben 10 bis 20 % der Nutzer an, ihren Account zu löschen – für Facebook sowohl ein erheblicher Image- als auch finanzieller Schaden.
Nicht immer sind es derart große Firmen, die solche Angriffe erleben. Theoretisch kann jeder Opfer solcher Szenarien werden. Das beweist ein Cyberangriff auf das Investment-Startup Raisin DS. Hier wurden 2021 Personenstammdaten, Bankdaten und Vertragsdaten von Kriminellen geklaut und für die Kontaktaufnahme über Spam-E-Mails oder Telefonanrufe genutzt. Ursache war ein Sicherheitsleck.
Während Facebook in Sachen Datenschutz sicher eine ganze Armee an Experten aufgestellt hat, müssen gerade kleine Unternehmen hier nachlegen. Cyber-Security-Checks helfen ihnen, Cyberrisiken zu identifizieren und auch die Mitarbeiter dafür zu sensibilisieren, wo die Gefahren überall lauern.
6. Cyberkriminalität im Netz: das sind typische Bedrohungen
Es gibt für Cyberkriminelle unterschiedliche Möglichkeiten, an sensible Daten zu gelangen.
- Malware: Zur sogenannten Malware gehören Viren, Trojaner und Spyware, die zu den häufigsten Bedrohungen zählen. Diese Software wird dazu verwendet, um Daten zu stehlen, Systeme zu beschädigen oder zu kontrollieren. Oft verbreitet sie sich unbemerkt über infizierte Dateien oder Links.
- Phishing: Phishing-Angriffe zielen darauf ab, sensible Informationen wie Benutzernamen, Passwörter und Finanzdaten durch gefälschte E-Mails, Websites oder Nachrichten zu stehlen. Die Opfer werden dazu verleitet, persönliche Informationen preiszugeben und sind in dem Glauben, diese Informationen an vertrauenswürdige Quellen zu senden.
- Ransomware: Dabei handelt es sich um eine Art von Malware, die die Dateien oder Systeme eines Opfers verschlüsselt und dann Lösegeld verlangt, um sie wieder freizugeben. Diese Angriffe können erhebliche finanzielle Verluste und Betriebsunterbrechungen auslösen.
- DDoS-Angriffe: Distributed Denial-of-Service (DDoS)-Angriffe zielen darauf ab, die Verfügbarkeit von Online-Diensten oder Websites zu beeinträchtigen, indem sie diese mit einer großen Menge von Traffic überfluten. Dies kann zu Betriebsunterbrechungen und finanziellen Verlusten führen.
- Social Engineering: Nicht immer sind es Software und Viren, die in Teile eines Systems eingeschleust wird. Unter Social Engineering versteht man die Manipulation von Menschen, um an vertrauliche Informationen zu gelangen oder Zugang zu bestimmten Infrastrukturen zu erhalten. Beispielsweise geben sich Kriminelle per Mail oder Telefonanruf als Kollegen aus und versuchen so an die Informationen zu kommen.
- Zero-Day-Exploits: Die sogenannten Zero-Day-Exploits sind Schwachstellen in einer Software oder Systemen, für die es noch keine Patches oder Sicherheitsupdates gibt. Cyberkriminelle nutzen diese Schwachstellen aus, um unbefugten Zugriff zu erlangen oder Schaden zu verursachen, bevor die Hersteller eine Lösung bereitstellen können.
7. Wie kann man die Cybersicherheit in einem Unternehmen erhöhen?
In Anbetracht der steigenden Cyberrisiken und der erheblichen Auswirkungen, die damit für Unternehmen verbunden sind, sollten Themen wie Informationssicherheit, Vertraulichkeit und die Integrität der Mitarbeiter ganz oben auf der Agenda jeder Firma stehen. Um überhaupt die eigenen Risiken zu kennen, lohnt es sich, einen Cyberrisiko-Check von Experten durchführen zu lassen. Diese nehmen eine erste Risikobewertung vor, um potenzielle Bedrohungen und Schwachstellen in der eigenen IT-Infrastruktur und auch dem Team zu identifizieren. Basierend auf den Ergebnissen werden dann klare Handlungsempfehlungen ausgesprochen, um die Informationssicherheit zu erhöhen.</p
8. Was ist die DIN SPEC 27076?
Die DIN SPEC 27076 ist ein neuer Beratungsstandard zur kosten- und zeiteffizienten Verbesserung der IT- und Informationssicherheit in kleinen Unternehmen. Dieser CyberRisiko-Check wird durch IT-Dienstleister eingesetzt und schafft ein Angebot für eine branchenunabhängige und bedarfsgerechte Beratung von Betrieben mit bis zu 50 Beschäftigten. Der CyberRisiko-Check definiert 27 Anforderungen, die kleine Betriebe erfüllen müssen, um die relevantesten Risiken zu minimieren und offene Einfallstore für Angreifer zu schließen. Diese werden in kurzen Sitzungen, die auch remote stattfinden können, durch IT-Dienstleister in verständlicher Weise abgefragt und anschließend ausgewertet. Auf dieser Basis erhält das Unternehmen Handlungsempfehlungen, mit denen es die Verbesserung der IT-Sicherheit initiieren kann.
Während bisherige Standards oft zu umfangreich und teuer in der Umsetzung waren, verfolgt die DIN SPEC 27076 einen besonders bedarfsgerechten und praxistauglichen Ansatz. Sie bietet Orientierung, Vergleichbarkeit und Transparenz gleichermaßen für Klein- und Kleinstunternehmen sowie für IT-Dienstleistungsunternehmen.
8.1 Die sechs Themenbereiche der DIN SPEC 27076
Organisation und Sensibilisierung
Betrachtet das managementseitige Engagement, sowie die Kompetenzverteilung und Sensibilisierung von Mitarbeitenden.
Identitäts- und Berechtigungsmanagement
Regelt die Zugangs- und Zutrittsberechtigungen für physische und virtuelle Räumlichkeiten.
Datensicherung
Beschreibt Zuständigkeit, Umfang, Häufigkeit und Verfügbarkeit von Daten und deren Backups.
Patch- und Änderungsmanagement
Prüft die Verfügbarkeit und Aktualität von eingesetzter Hard- und Software.
Schutz vor Schadprogramme
Behandelt die Haupteinfallstore für Schadsoftware.
IT-Systeme und Netzwerke
Definiert die Sicherheitsmechanismen hinter der eingesetzten Informations- und Kommunikationstechnik.
8.2. Welche Vorteile bietet eine Beratung nach DIN SPEC 27076?
Der auf dem Standard basierende CyberRisiko-Check bietet kleinen Betrieben in kürzester Zeit einen Überblick über
die IST-Situation der Cybersicherheit des eigenen Unternehmens. Die hierzu entwickelten 27 Anforderungen sind in
reguläre sowie die besonders wichtigen Top-Anforderungen aufgeteilt. Durch letztere erfahren Unternehmen,
welche Handlungsempfehlungen sie zuerst umsetzen sollten. Diese sind leicht verständlich formuliert und
enthalten konkrete Maßnahmen sowie Empfehlungen, wie mit aktuellen Schwachstellen umgegangen werden
sollte. Die Handlungsempfehlungen werden in Form eines Ergebnisberichtes ausgegeben.
8.3 Mit welchen Aufwänden muss ich bei einer Beratung nach DIN SPEC 27076 rechnen?
Der Beratungsstandard ist in der Form konzipiert, als dass der Prozess so schlank wie möglich bleibt und
vollständig online durchgeführt werden kann. Ein kurzes Vorgespräch durch den IT-Dienstleister ist nötig, um die
IST-Aufnahme vorzubereiten, erste Daten aufzunehmen und zu klären, wer am Prozess teilnehmen sollte. Die IST-Aufnahme
selbst soll – wie auch die Präsentation des Ergebnisberichts – jeweils nicht mehr als drei Stunden Zeit in
Anspruch nehmen.
Die Kosten der Beratung nach DIN SPEC 27076 können zudem gefördert werden. Eine Übersicht der
Fördermöglichkeiten finden Sie auf www.mit-standard-sicher.de.
8.4 Unser Angebot
Wir führen den CyberRisiko-Check gemäß der neuen DIN SPEC 27076 mit Ihnen gemeinsam durch. Vom
Vorgespräch bis zum Ergebnisbericht stehen wir Ihnen zur Seite.
Kontaktieren Sie uns gerne für weitere Informationen und ein unverbindliches Angebot.
9. FAQ: Ihre Fragen zur Cybersicherheit
Warum ist es für Unternehmen so wichtig, Cyberrisiken zu kennen?
Cyberrisiken können erhebliche finanzielle Verluste verursachen, den Ruf eines Unternehmens schädigen, zu Betriebsunterbrechungen führen und rechtliche Konsequenzen haben. Unternehmen müssen sich der Bedrohung bewusst sein und angemessene Sicherheitsmaßnahmen auf den Weg bringen, um sich davor zu schützen.
Wie können Unternehmen Cyberrisiken minimieren?
Unternehmen können Cyberrisiken minimieren, indem sie Sicherheitsrichtlinien und Verfahren implementieren, Mitarbeiter schulen, Software und Systeme regelmäßig aktualisieren, Firewalls und Intrusion Detection/Prevention-Systeme einsetzen, Datenschutz und Verschlüsselung anwenden, Zugriffskontrollen implementieren und eine Incident-Response-Strategie entwickeln.
Was ist eine Risikobewertung im Zusammenhang mit Cybersicherheit?
<p>Eine Risikobewertung im Zusammenhang mit Cybersicherheit beinhaltet die Identifizierung und Bewertung potenzieller Cyberrisiken für ein Unternehmen. Dabei werden Bedrohungen, Schwachstellen, Auswirkungen von Sicherheitsvorfällen und die Wirksamkeit bestehender Sicherheitsmaßnahmen bewertet.</p>
Wie kann sich ein Unternehmen auf einen Cyberangriff vorbereiten?
Ein Unternehmen kann sich auf einen Cyberangriff vorbereiten, indem es einen Notfallwiederherstellungsplan und eine Incident-Response-Strategie entwickelt, regelmäßige Sicherheitsübungen durchführt, Sicherheitsbewusstseinsschulungen für Mitarbeiter anbietet und einen umfassenden Sicherheitsansatz verfolgt. Bieten wir Ihnen dafür auch entsprechende Lösungen an.