Norm: DIN SPEC 27076

Zuletzt bearbeitet am 12.04.2024 um 16:29:50.
Name:
DIN SPEC 27076
Titel (Deutsch):
IT-Sicherheitsberatung für Klein- und Kleinstunternehmen
Titel (Englisch):
IT security consulting for small and micro-enterprises
letzte Aktualisierung:
:2023-05
letzte Aktualisierung:
01.05.2023
Seiten:
34
Link (Herausgeber):
https://dx.doi.org/10.31030/3419322
Dokumente:

Systematik

Änderungsvermerk

Diese DIN SPEC wurde nach dem PAS-Verfahren erarbeitet. Die Erarbeitung von DIN SPEC nach dem PAS-Verfahren erfolgt in DIN SPEC (PAS)-Konsortien und nicht zwingend unter Einbeziehung aller interessierten Kreise.

Für dieses Thema bestehen derzeit keine Normen im Deutschen Normenwerk. DIN SPEC (PAS) sind nicht Teil des Deutschen Normenwerks. Für diese DIN SPEC (PAS) wurde kein Entwurf veröffentlicht. Trotz großer Anstrengungen zur Sicherstellung der Korrektheit, Verlässlichkeit und Präzision technischer und nicht-technischer Beschreibungen kann das DIN SPEC (PAS)-Konsortium weder eine explizite noch eine implizite Gewährleistung für die Korrektheit des Dokuments übernehmen. Die Anwendung dieses Dokuments geschieht in dem Bewusstsein, dass das DIN SPEC (PAS)-Konsortium für Schäden oder Verluste jeglicher Art nicht haftbar gemacht werden kann. Die Anwendung der vorliegenden DIN SPEC (PAS) entbindet den Nutzer nicht von der Verantwortung für eigenes Handeln und geschieht damit auf eigene Gefahr.

Es wird auf die Möglichkeit hingewiesen, dass einige Elemente dieses Dokuments Patentrechte berühren können. DIN ist nicht dafür verantwortlich, einige oder alle diesbezüglichen Patentrechte zu identifizieren.

Die vorliegende DIN SPEC (PAS) ging aus dem Projekt „mIT Standard sicher“ („Entwicklung und Verbreitung eines Standards für KMU-geeignete IT-Sicherheitsberatung/KMU SEC“) im Rahmen der vom Bundesministerium für Wirtschaft und Klimaschutz geförderten Initiative „IT-Sicherheit in der Wirtschaft, Handlungsfeld 2

Beschreibung

Dieses Dokument legt Anforderungen für einen Beratungsprozess zur IT- und Informationssicherheit zwischen IT-Sicherheitsdienstleister und Unternehmen mit Beratungsbedarf und bis zu 50 Beschäftigten fest. Die Anwendung dieses Dokuments ist für ein kleines oder Kleinstunternehmen mit einem realistischen, niedrigen Aufwand verbunden.

Diese DIN SPEC wird im Zuge des PAS-Verfahrens durch ein DIN SPEC (PAS) - Konsortium (temporäres Gremium) erarbeitet. Die Erarbeitung und Verabschiedung des Dokuments erfolgt durch die im Geschäftsplan genannten Verfasser.

Inhaltsverzeichnis

Vorwort
Einleitung
1 Anwendungsbereich
2 Normative Verweisungen
3 Begriffe
4 Allgemeines
4.1 Einleitung
4.2 Ziele
4.3 Grundsätze
4.4 Angemessenheit der Informationssicherheit
5 Anforderungen an die durchführenden IT-Dienstleister
6 Durchführung der IT-Sicherheitsberatung
6.1 Gesamtprozess der IT-Sicherheitsberatung
6.2 Erstinformation des zu beratenden Unternehmens
6.3 Durchführung des Gespräches zur Erhebung des IST-Zustandes
6.3.1 Grundsätzliches zum Gespräch zur Erhebung des IST-Zustandes
6.3.2 Anforderungskatalog
6.3.3 Durchführung des Erhebungsgesprächs
6.4 Auswertung der Erhebungsdaten und Erstellung des Ergebnisberichts
6.4.1 Errechnung des Risiko-Status
6.4.2 Erstellung des Ergebnisberichts
6.5 Präsentation des Ergebnisberichts mit dem beratenen Unternehmen und Hinweis auf wichtigste Handlungsempfehlungen
6.6 Mögliche Wiederholung des Prozesses

Anhang A (normativ)
- Tabelle A.1 Anforderungskatalog
Literaturverzeichnis

Einleitung

Dieses Dokument setzt sich zum Ziel, den Beratungsprozess zwischen IT-Sicherheitsdienstleister und beratenem Unternehmen zu verbessern und somit das IT-Sicherheitsniveau im Mittelstand zu erhöhen. Es legt Anforderungen für einen standardisierten Beratungsprozess zur IT- und Informationssicherheit mit Fokus auf die Zielgruppe der kleinen und Kleinstunternehmen („KKU“) fest, die sich bisher noch nicht bzw. nur in sehr geringem Umfang mit ihrer eigenen Informationssicherheit auseinandergesetzt haben. Als KKU gelten Unternehmen mit bis zu 50 Beschäftigten.

Oft ist dieser Gruppe von Unternehmen der eigene Gefährdungsgrad kaum bekannt und die Sensibilisierung für bestehende Risiken gering. Über IT-Fachpersonal oder gar eine eigene IT-Abteilung verfügen diese Unternehmen meist nicht, weswegen sie auf die Unterstützung von externen Beratungsdienstleistern mit Fokus auf IT- und Informationssicherheit angewiesen sind. Diese sollen den für die Zielgruppe handhabbaren, standardisierten Beratungsprozess des vorliegenden Dokuments anwenden und die KKU in der Folge zeit- und kosteneffizient auf ein höheres IT- bzw. Informationssicherheitsniveau heben.

Im Gegensatz zu Dokumenten wie dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verzichtet das vorliegende Dokument auf den Anspruch der weitestgehenden Vollständigkeit und fokussiert sich stattdessen auf die Beratung vonUnternehmen, die umfangreichere Ansätze aus personellen, finanziellen und zeitlichen Gründen nicht verfolgen können. Ziel ist die Erhebung des IST-Zustands des Informationssicherheitsniveaus eines KKU, die Nennung eines Risiko-Status, die Visualisierung des Risikoprofils sowie das Nennen von verständlichen Handlungsempfehlungen. Dies erreicht dieses Dokument mittels der Beschränkung auf die für die Zielgruppe relevantesten Anforderungen der IT- bzw. Informationssicherheit. Das entwickelte Punktesystem definiert zudem den persönlichen Risiko-Status der Unternehmen, welcher diese auf die zu setzenden Prioritäten aufmerksam macht. Um Zeitaufwand und Kosten möglichst gering zu halten, ist es nötig, eine Option zur digitalen Durchführung des Beratungsprozesses durch Video-Konferenz zu ermöglichen.

Dieses Dokument gibt IT-Dienstleistern standardisierte, offene und verständliche Fragen an die Hand, aus deren Antworten sich ein realistisches Bild des Status Quo der Informationssicherheit im befragten Unternehmen ablesen lässt.
Wichtig zu verstehen ist, dass selbst ein Unternehmen, dass alle in diesem Dokument aufgeführten IT-Sicherheitsanforderungen zu 100 Prozent erfüllt und die volle Punktzahl erhält, damit kein sehr gutes Schutzniveau, sondern nur das für ein Klein- oder Kleinstunternehmen vertretbare absolute Minimum an Informationssicherheit nachgewiesen hat. Zum Vergleich: Das IT-Grundschutz-Kompendium des BSI enthält über 800 Seiten mit Anforderungen an die Informationssicherheit eines Unternehmens.

1 Anwendungsbereich

Dieses Dokument legt Anforderungen für einen Beratungsprozess zur IT- und Informationssicherheit zwischen IT-Sicherheitsdienstleister und Unternehmen mit Beratungsbedarf und bis zu 50 Beschäftigten fest. Die Anwendung dieses Dokuments ist für ein kleines oder Kleinstunternehmen mit einem realistischen, niedrigen Aufwand verbunden.

2 Normative Verweisungen

Es gibt keine normativen Verweisungen in diesem Dokument.

3 Begriffe

In diesem Dokument werden keine Begriffe aufgeführt. DIN und DKE stellen terminologische Datenbanken für die Verwendung in der Normung unter den folgenden Adressen bereit:

4 Allgemeines

4.1 Einleitung

Dieses Dokument sieht eine klare Struktur im Ablauf vor. Es beginnt bei der Anbahnung der Beratung und endet mit der Präsentation des Ergebnisberichts bzw. einer möglichen Wiederholung des Gesamtprozesses nach Umsetzung der Handlungsempfehlungen. Dieser Abschnitt erläutert den beratenden IT-Dienstleistern den Gesamtprozess und geht auf die zu beachtenden Details zur korrekten Durchführung ein.

4.2 Ziele

Die Ziele der IT-Sicherheitsberatung für ein Unternehmen mit Beratungsbedarf sind:

  • Ermittlung des IST-Zustandes der Informationssicherheit des Unternehmens und Sichtbarmachung der wichtigsten Sicherheitsrisiken. Damit verbunden ist die Generierung eines Risiko-Status, der mit der Aufnahme des IST-Zustandes ermittelt wird. Werden Anforderungen nicht erfüllt, erscheinen diese im Ergebnisbericht deutlich markiert und weisen das Unternehmen auf Handlungsbedarf hin.
  • Unterbreitung von Handlungsempfehlungen. Das Unternehmen erhält in Form von Handlungsempfehlungen konkrete Vorschläge, wie es seine IT- und Informationssicherheit erhöhen kann. Mögliche staatliche Fördermaßnahmen (Bund, Land, und Kommune), die für das Unternehmen in Frage kommen, um diese Maßnahmen umzusetzen, sollten durch den IT-Dienstleister in den Ergebnisbericht aufgenommen werden.
  • Sensibilisierung. Der IT-Dienstleister sensibilisiert das Unternehmen bei der Überreichung von Ergebnisbericht und Handlungsempfehlungen für gängige Gefahren.

4.3 Grundsätze

Es gelten die folgenden Grundsätze für den Einsatz dieses Dokumentes:

  • Der die Beratung durchführende Dienstleister muss eine objektive Rolle einnehmen.
  • Sowohl das zu beratende Unternehmen als auch der die Beratung durchführende Dienstleister müssen alle Angaben nach bestem Wissen und Gewissen machen.
  • Der Bericht darf nicht dazu geeignet sein, einen Dritten über das Informationssicherheitsniveau des zu beratenden Unternehmens zu täuschen.
  • Die an der Befragung und Berichtserstellung beteiligten Personen müssen die Einhaltung dieser Vorgaben im Bericht durch Unterschrift bestätigen.

4.4 Angemessenheit der Informationssicherheit

Unternehmen, die bei der Anwendung dieses Dokuments einen guten Risiko-Status erreichen und denen daher keine Handlungsempfehlungen unterbreitet werden, sollten sich darauf nicht ausruhen, sondern sich bemühen, zusätzliche Informationssicherheitsanforderungen wie beispielsweise die des IT-Grundschutzes zu erfüllen. Gleiches gilt für Unternehmen, die über deutlich größere personelle und finanzielle Ressourcen verfügen, als sie ein Unternehmen mit weniger als 50 Beschäftigten für die Erhöhung der Informationssicherheit in der Regel aufbringen kann. Dieses Dokument trägt dem Gedanken Rechnung, dass es sich bei Informationssicherheit nicht um einen Zustand, sondern um einen Prozess handelt.

5 Anforderungen an die durchführenden IT-Dienstleister

Es muss sichergestellt sein, dass der beratende IT-Dienstleister über eine ausreichende fachliche Qualifikation verfügt. Hierzu zählt sowohl akademisches als auch praxisbezogenes Wissen. Die Kompetenz zur Beratung sollte durch nachweisbare Qualifikationen belegt werden können. Berater sollten folgende Eigenschaften erfüllen:

  • mindestens ein Jahr Erfahrung in der Durchführung von IT-Sicherheitsberatungen/Audits;
  • mindestens drei Referenzprojekte der Durchführung von IT-Sicherheitsberatungen/Audits mit Klein- oder Kleinstunternehmen;
  • Nachweis des für die Beratung notwendigen methodischen Wissens zur Gesprächsmethode des semistrukturierten Leitfadeninterviews, beispielsweise:
    • erfolgreiche Teilnahme an einer Schulung zum Einsatz der DIN SPEC 27076 in der Beratung von KKU;
    • Erfahrung in der Durchführung semistrukturierter Leitfadeninterviews.

6 Durchführung der IT-Sicherheitsberatung

6.1 Gesamtprozess der IT-Sicherheitsberatung

Die Durchführung der IT-Sicherheitsberatung muss in vier Schritten erfolgen:

  • Erstinformation des zu beratenden Unternehmens (siehe 6.2);
  • Durchführung des Gespräches zur Erhebung des IST-Zustandes (siehe 6.3);
  • Auswertung der Erhebungsdaten und Erstellung des Ergebnisberichts (siehe 6.4);
  • Präsentation des Ergebnisberichts und Hinweis auf umzusetzende Handlungsempfehlungen (siehe 6.5).

6.2 Erstinformation des zu beratenden Unternehmens

Im ersten Schritt muss ein Informationsgespräch zwischen dem IT-Dienstleister und dem zu beratenden Klein- oder Kleinstunternehmen erfolgen. Dies kann ein Präsenztreffen, ein Online-Meeting oder ein Telefongespräch
sein. Der IT-Dienstleister muss das zu beratende Unternehmen hierin über folgende Aspekte informieren:

  • den groben Ablauf des Beratungsprozesses, wie in diesem Abschnitt beschrieben;
  • den zeitlichen und personellen Aufwand, den der zu beratende Betrieb bei der Umsetzung zu erwarten hat;
  • die Personen, die seitens des zu beratenden Betriebes am Prozess teilnehmen sollten. Verpflichtend ist die Teilnahme der Geschäftsführung am gesamten Prozess. Diese muss die mit der IT-Sicherheit oder der grundsätzlichen IT-Infrastruktur im Unternehmen betrauten Personen – sofern vorhanden – für jeden Schritt des Prozesses hinzuziehen. Wurde seitens des Unternehmens ein externer Dienstleister mit dem Management der IT-Infrastruktur bzw. der IT- und Informationssicherheit beauftragt, muss dieser in den Prozess mit eingebunden werden. Ziel ist die zeiteffiziente Umsetzung der Beratungstermine und eine maximale Aussagefähigkeit des zu beratenden Unternehmens;
  • die groben Themenbereiche, die im Prozess der Beratung abgefragt werden;
  • die Kosten der Beratung nach diesem Dokument und die existierenden Möglichkeiten, die Kosten mittels einer Förderung für das zu beratende Unternehmen zu senken. Hierbei ist klar zwischen der Förderung der Beratung nach diesem Dokument und der Förderung eines möglichen späteren Umsetzungsplan für Maßnahmen, die auf der Beratung basieren, zu unterscheiden. Der IT-Dienstleister sollte dem zu beratenden Unternehmen richtungsweisende Hinweise geben, um einen möglichen Förderantrag zu stellen, sofern dies nicht ausschließlich durch den IT-Dienstleister abdeckbar ist.

Der IT-Dienstleister kann diese Informationen zusätzlich im Anschluss an das Austauschgespräch als Checkliste an das zu beratende Unternehmen aushändigen. Im selben Informationsgespräch muss der IT-Dienstleister einige Eckdaten des zu beratenden Unternehmens aufnehmen. Damit kann sich der IT-Dienstleister im Vorfeld der Beratung ein grobes Bild des Unternehmens machen. Diese Daten sind später außerdem im Ergebnisbericht anzugeben. Diese Eckdaten sind:

  • a) Name des Unternehmens (Firma);
  • b) Sitz des Unternehmens (Straße, Postleitzahl, Stadt, Bundesland, Land);
  • c) Rechtsform des Unternehmens;
  • d) Handelsregister-Nummer (falls vorhanden);
  • e) Name der verantwortlichen Person der Geschäftsführung;
  • f) Name und Rollen weiterer Personen oder externer Dienstleister, die mit der IT-Sicherheit im Unternehmen beauftragt sind und im Beratungsprozess eingebunden werden sollen;
  • g) Anzahl der Beschäftigten im Unternehmen insgesamt;
  • h) Anzahl der Beschäftigten im Unternehmen, die informationstechnische Endgeräte (stationär oder mobil) nutzen;
  • i) WZ-Code des Unternehmens basierend auf der Klassifikation der Wirtschaftszweige des Statistischen Bundesamtes, Ausgabe 2008 (WZ 2008).

Im Rahmen des Erstinformationsgespräches können auch Fragen vom zu beratenden Unternehmen gestellt werden. Diese müssen beantwortet werden, dürfen aber nicht Inhalte des Erhebungsgespräches vorwegnehmen.

6.3 Durchführung des Gespräches zur Erhebung des IST-Zustandes

6.3.1 Grundsätzliches zum Gespräch zur Erhebung des IST-Zustandes
  • Für die Erhebung des IST-Zustandes muss ein mindestens dreistündiger Termin vereinbart werden.
    Der Anforderungskatalog wurde so entwickelt, dass das Gespräch zur Erhebung des IST-Zustandes in der Regel nicht länger als zwei Stunden beansprucht. Diese Zeit kann jedoch je nach Situation des Unternehmens kürzer oder länger ausfallen.
  • Das Gespräch muss als Präsenztermin oder als Online-Videokonferenz bzw. hybride Online-Videokonferenz stattfinden.
  • Die gesamte Geschäftsführung des zu beratenden Unternehmens muss an dem Gespräch zur Erhebung des IST-Zustandes teilnehmen.
  • Falls eine gesonderte Person im Unternehmen für das Thema IT- und Informationssicherheit zuständig ist, muss diese am Evaluationsgespräch teilnehmen.
  • Falls ein externes Dienstleistungsunternehmen mit der Wahrnehmung von Aufgaben im Bereich Informationssicherheit beauftragt ist, muss dieses am Evaluationsgespräch teilnehmen.
  • Darüber hinaus sollten Personen, welche nicht mit dem Thema Informationssicherheit betraut sind, nicht am Gespräch teilnehmen.
  • Personen, welche nicht auskunftsfähig sind, sollten nicht am Gespräch teilnehmen.
  • Das zu befragende Unternehmen muss sich auf das Gespräch zur Erhebung des IST-Zustandes vorbereiten.
  • Folgende Dokumente sollten, falls vorhanden, beim Gespräch zur eigenen Information zur Verfügung stehen:
    • Back-Up-Konzepte;
    • Sicherheitsrichtlinien;
    • Vertraulichkeitserklärungen;
    • Betriebsanweisungen für die IT;
    • Notfallpläne;
    • Rollenkonzepte;
    • Zugriffs- und Zutrittsrechte;
    • Übersicht über die hauptsächlich genutzte Hard- und Software.

Die Erhebung des IST-Zustandes ist explizit als Gespräch konzipiert. Es handelt sich nicht um einen Test, bei dem es richtige oder falsche Antworten gibt. Das Gespräch besteht im Stellen der im Anforderungskatalog (siehe Anhang A) aufgeführten Leitfragen und den Antworten der befragten Personen. Die im Anforderungskatalog aufgeführten Fragen stellen eine Hilfestellung für den Dienstleister dar und sollten verwendet werden.

  • Die befragten Personen dürfen jederzeit rückfragen, wenn sie eine Frage nicht verstehen.
  • Der Dienstleister muss sicherstellen, dass die befragten Personen den Inhalt der Fragen verstanden haben.

Das Erhebungsgespräch dient ausschließlich dazu, den Dienstleister in die Lage zu versetzen, herauszufinden, ob das Unternehmen die jeweiligen Anforderungen erfüllt.

  • Das Gespräch darf keine beratenden Anteile besitzen.
  • Im Gespräch darf der Dienstleister dem befragten Unternehmen gegenüber nicht zu erkennen geben, ob eine
    Anforderung erfüllt wurde.
    Sollte ein Unternehmen die Befürchtung haben, eine Anforderung nicht erfüllt zu haben, würde dies vermutlich zu Rückfragen führen („Was war denn falsch?“, „Was sollten wir idealerweise tun?“). Dies zöge die Erhebung in die Länge und führte zwangläufig zu einem Beratungsgespräch, das an dieser Stelle nicht gewünscht ist.
  • Bei Fragen des Unternehmens dazu, ob es eine Anforderung erfüllt hat, muss der Dienstleister daher auf den abschließenden Bericht verweisen.
    Da das Erhebungsgespräch auch als Online-Videokonferenz stattfinden kann und keine Vor-Ort-Begehung vorsieht, ist der durchführende Dienstleister darauf angewiesen, die Ausführungen der befragten Personen zur Situation des Unternehmens als Basis seiner Bewertung anzunehmen.
  • Der Dienstleister braucht den Wahrheitsgehalt der Aussagen des Unternehmens nicht zu überprüfen.
  • Der Dienstleister muss die Antworten jedoch auf Plausibilität prüfen.
  • Im Zweifel muss der Dienstleister konkrete Nachfragen stellen.
6.3.2 Anforderungskatalog

Das Erhebungsgespräch basiert auf einem Anforderungskatalog (Tabelle A.1). Dieser Anforderungskatalog mit den 27 Anforderungen, welche sich in sechs Themenbereiche aufteilen, muss nach der vorgegebenen Reihenfolge gemeinsam mit dem zu beratenden Unternehmen durchgegangen werden. Der Anforderungskatalog enthält die folgenden Komponenten:

  • Anforderung: Jede Anforderung beschreibt einen Zustand, der im Unternehmen hergestellt sein muss, um die volle Punktzahl für die jeweilige Anforderung zu erreichen. Manche Anforderungen sind in mehrere Komponenten unterteilt (bspw. „01-1“, „01-2“ und „01-3“). Neben den regulären Anforderungen gibt es zudem TOP-Anforderungen, die stärker gewichtet sind.
  • Themenbereiche: Jede Anforderung ist einem von sechs Themenbereichen zugeordnet. Diese sind:
    • Organisation & Sensibilisierung,
    • Identitäts- und Berechtigungsmanagement,
    • Datensicherung,
    • Patch- und Änderungsmanagement,
    • Schutz vor Schadprogrammen sowie
    • IT-Systeme und Netzwerke.
  • Leitfragen: Die Leitfragen dienen dazu das zu befragende Unternehmen „ins Erzählen“ zu bringen und den
    Dienstleister in die Lage zu versetzen, einzuschätzen, ob die Anforderung erfüllt ist.
  • Statuspunkte: Jede reguläre Anforderung bringt bei Erfüllung 1 Punkt bzw. bei Nicht-Erfüllung 0 Punkte.
  • Besonders wichtige Anforderungen (TOP-Anforderungen) bringen
    • bei Erfüllung 3 Punkte.
    • Bei NichtErfüllung werden 3 Punkte abgezogen.
    • Eine Anforderung kann nur als erfüllt gelten und Punkte erhalten, wenn alle Teilkomponenten (bspw. „01-1“, „01-2“ und „01-3“) erfüllt sind.
    • Detaillierte Ausführungen zum Risiko-Status sind 6.4.1 „Die Errechnung des Risiko-Status“ zu entnehmen.
  • Handlungsempfehlungen: Die Handlungsempfehlungen sind als kompakte und verständlich formulierte Handlungshilfen für die zu beratenden Klein- und Kleinstunternehmen zu verstehen. Diese werden mit dem Ergebnisbericht ausgehändigt und sollen den Unternehmen konkrete Anhaltspunkte dazu geben, wie eine nicht erfüllte Anforderung zukünftig als „erfüllt“ bewertet werden kann. Die Handlungsempfehlungen müssen bewusst kurz, kompakt und verständlich gehalten, um Klein- bzw. Kleinstunternehmen ohne IT-Fachkenntnis nicht zu überfordern. Erfolgt die Beauftragung eines externen Dienstleisters zur Umsetzung und Verbesserung der Informationssicherheit, wird empfohlen, sich an dieser Handlungsempfehlung zu orientieren.
6.3.3 Durchführung des Erhebungsgesprächs

Dieser Schritt bildet den Kern des definierten Beratungsprozesses ab. Zur Durchführung der Erhebung des
IST-Zustandes muss der Anforderungskatalog (Tabelle A.1) mit den Anforderungen zur IT- und Informationssicherheit verwendet werden. Der Ablauf des Gespräches ist wie folgt:

  • 1) Der Dienstleister nennt den aktuellen Themenbereich und die Anforderungsnummer. Dann stellt er die zugehörige Leitfrage.Die Anforderung selbstist nur für denDienstleister gedacht und darf nicht vorgelesen werden.
  • 2) Aus der Antwort muss der Dienstleister selbständig folgern, ob die zugehörige Anforderung erfüllt ist. Er muss so lange nachfragen, bis er dazu eine valide Aussage treffen kann.
  • 3) Der Dienstleister muss dokumentieren, ob die Anforderung erfüllt bzw. nicht erfüllt wurde. Er muss mindestens stichpunktartig dokumentieren, aufgrund welcher Angaben des Unternehmens er zu dieser Bewertung gelangt ist.
  • 4) Leitfragen zu Anforderungen, die für das beratene Unternehmen nicht relevant sind, dürfen nicht vorgelesen werden. In diesem Fall wird die Erfüllung der Anforderung nicht bewertet. Sollten Anforderungen aus besagtem Grund nicht bewertet werden, senkt dies die maximal erreichbare Punktzahl um den durch die Erfüllung der Anforderung erreichbaren Risiko-Status-Wert.
  • 5) Der Vorgang wiederholt sich, bis alle relevanten Anforderungsnummern abgearbeitet wurden.

6.4 Auswertung der Erhebungsdaten und Erstellung des Ergebnisberichts

6.4.1 Errechnung des Risiko-Status

Der Risiko-Status ist der zentrale Wert, der am Ende der IT-Sicherheitsberatung das Gefährdungsrisiko des Unternehmens, auf Basis der in diesem Dokument verankerten Anforderungen, quantifiziert abbildet. Die Summe der zu vergebenen Punkte muss, wie folgt, errechnet werden. Jede der TOP-Anforderungen erhält:

  • bei Erfüllung 3 Punkte;
  • bei Nicht-Erfüllung −3 Punkte.
  • Jede der regulären Anforderungen erhält:
    • bei Erfüllung 1 Punkt;
    • bei Nicht-Erfüllung 0 Punkte.
  • Anforderungen müssen entweder als „erfüllt“ oder „nicht erfüllt“ bewertet werden. Eine Bewertung dazwischen, wie z. B. „in Teilen erfüllt“, darf nicht vorgenommen werden. Kann das Unternehmen zu einer Anforderung keine Aussage treffen, obwohl alle für die Aussage relevanten Personen anwesend sind, muss die Anforderung als „nicht erfüllt“ bewertet werden.
  • Anforderungen stehen entweder allein (bspw. „01“) oder bestehen aus mehreren Komponenten (bspw. „01-1“, „01-2“ und „01-3“). In letzterem Fall darf jedoch nicht ein Punktwertje Komponente vergeben werden, sondern nur je gesamter Anforderung, sofern alle Komponenten erfüllt sind.
  • Sind einzelne Anforderungen für ein Unternehmen als irrelevant einzustufen, bspw. Anforderungen zum Arbeiten im Homeoffice, wenn es keine Mitarbeiter gibt, die aus dem Homeoffice arbeiten, dürfen nachgelagerte Fragen zu diesem Aspekt nicht gestellt werden.
  • Die für die nicht relevanten Fragen theoretisch zu erreichenden Punkte müssen aus den maximal zu erreichenden Punkten herausgerechnet werden. Das bedeutet, dass der Maximalwert der zu erreichenden Punkte dynamisch ist. Er ist abhängig davon, welche Anforderungen für das Unternehmen relevant sind.
  • Im Ergebnisbericht muss kenntlich gemacht werden, welche Punkte aufgrund von Irrelevanz nicht gewertet wurden.
  • Sind alle Anforderungen für das Unternehmen relevant und werden erfüllt, so sind maximal 37 Punkte zu erreichen.
  • Obwohl es rechnerisch möglich ist, darf das Endergebnis der Bewertung im Ergebnisbericht keinen negativen Punktwert aufweisen. In diesem Fall muss der Gesamt-Status als 0 angegeben werden.
6.4.2 Erstellung des Ergebnisberichts

6.4.2.1 Struktur des Ergebnisberichts
Nach dem Gespräch zur Erhebung des IST-Zustandes muss der Dienstleister mit den erhobenen Informationen den Ergebnisbericht vorbereiten. Dieser muss aus folgenden Teilen bestehen:

  • Bericht
    Der Bericht sollte eine Länge von maximal 2 DIN-A4-Seiten, welche die wichtigsten Erkenntnisse für das Kleinbzw. Kleinstunternehmen zusammenfassen, haben (siehe 6.4.2.2).
  • Anhang A
    Zusätzlich zu diesen zwei Seiten muss die tabellarische Auflistung der 27 Anforderungen und ihrer Komponenten einschließlich jeweiligem erreichten Status-Wert, stichpunktartiger Begründung und Handlungsempfehlung als Anhang angefügt werden (siehe 6.4.2.3).
  • Anhang B
    Zusätzlich muss eine Auflistung von für das Klein- oder Kleinstunternehmen relevanten Förderprogrammen für die weitere Verbesserung der IT- und Informationssicherheit erstellt und angefügt werden. Dies können Förderungen auf Basis von kommunalen, regionalen, Bundes- oder EU-Mitteln sein. Alle aufgelisteten Förderprogramme müssen für das individuelle Unternehmen relevant und grundsätzlich geeignet sein (siehe 6.4.2.4).

6.4.2.2 Inhalte des Ergebnisberichts
Der Bericht muss folgende Anforderungen erfüllen:

Erste Seite:

  • a) Die erste Seite des Berichts muss die Überschrift „Ergebnisbericht: Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen nach DIN SPEC 27076“ verwenden.
  • b) Rechtsbündig darüber muss das Berichtsdatum eingefügt werden.
  • c) Darunter muss ein Abschnitt zu den Daten des zu beratenden Unternehmens unter dem Titel „Unternehmensdaten“ angegeben werden. Er muss folgende, zuvor erhobene Daten beinhalten:
    • 1) Name des Unternehmens (Firma);
    • 2) Sitz des Unternehmens (Straße, Postleitzahl, Stadt, Bundesland, Land);
    • 3) Rechtsform des Unternehmens;
    • 4) Handelsregister-Nummer (falls vorhanden);
    • 5) Name des verantwortlichen Geschäftsführers/der verantwortlichen Geschäftsführer;
    • 6) Name und Rollen weiterer Personen oder externer Dienstleister, die mit der IT-Sicherheit im Unternehmen beauftragt sind und in den Beratungsprozess eingebunden waren;
    • 7) Anzahl der Beschäftigten im Unternehmen insgesamt;
    • 8) Anzahl der Beschäftigten im Unternehmen, die informationstechnische Endgeräte (stationär oder mobil) nutzen;
    • 9) WZ-Code des Unternehmens basierend auf der Klassifikation der Wirtschaftszweige des Statistischen Bundesamtes, Ausgabe 2008 (WZ 2008);
    • 10) Darunter muss der Risiko-Status wie folgt angegeben werden: „Ihr Unternehmen hat XX/XX Punkte
      erreicht“ (min. Schriftgröße 30). Die Aussage muss von einem erklärenden Text begleitet werden:
    • 11) Wurde die für das Unternehmen maximal erreichbare Punktzahl erreicht, muss folgende Aussage angefügt werden: "Herzlichen Glückwunsch! Ihr Unternehmen erfüllt alle Anforderungen nach DIN SPEC 27076, Anhang A. Ein guter Start für die Informationssicherheit in Ihrem Betrieb! Nehmen Sie nun die nächsten Ziele in den Blick und befragen Sie Ihren durchführenden Dienstleister nach weiterführenden Zertifizierungen und Maßnahmen.“
    • 12) Hat das Unternehmen weniger als die für das Unternehmen erreichbare Maximalpunktzahl erreicht, wobei jedoch alle TOP-Anforderungen erfüllt sind, muss folgende Aussage angefügt werden: „Setzen Sie umgehend die offenen Handlungsempfehlungen um (siehe Seite 2).“
    • 13) Hat das Unternehmen weniger als die für das Unternehmen erreichbare Maximalpunktzahl erreicht und sind nicht alle TOP-Anforderungen erfüllt, muss folgende Aussage angefügt werden:„Setzen Sie umgehend die Handlungsempfehlungen der TOP-Anforderungen und anschließend alle weiteren Handlungsempfehlungen um (siehe Seite 2).“
    • 14) Die Ergebnisse müssen am Ende der 1. Seite mit einem Spinnennetzdiagramm visualisiert werden. Dieses stellt den prozentualen Fortschritt je Themenbereich dar. Jede erfüllte Anforderung des Themenbereichs erhöht den prozentualen Fortschritt der entsprechenden Ecke des Diagramms.

Zweite Seite:

  • a) Die 2. Seite muss zunächst die zu priorisierenden TOP-Handlungsempfehlungen und dann die weiteren
    ermittelten Handlungsempfehlungen in Listenform darstellen.
  • b) Am Ende der 2. Seite muss der folgende Satz abgedruckt sein: „Ich versichere, dass im Gespräch zur Erhebung des IST-Zustandes unseres Unternehmens eine objektive Rolle eingenommen wurde, alle an mich/uns gestellten Fragen nach bestem Wissen und Gewissen beantwortet wurden und der Bericht nicht geeignet ist, einen Dritten über das Informationssicherheitsniveau des zu beratenden Unternehmens zu täuschen.“,
    • Darunter folgt die Unterschrift der Geschäftsführung des befragten Unternehmens einschließlich Vor- und Nachname, Ort und Datum.
  • c) Darunter muss der folgende Satz abgedruckt sein: „Ich versichere, den hier vorliegenden Bericht nach bestem Wissen und Gewissen erstellt zu haben.“
  • Darunter folgt die Unterschrift des durchführenden IT-Dienstleisters einschließlich Vor- und Nachname, Ort und Datum.
  • Weitere Informationen bzw. Details der Beratungsdurchführung können in den Bericht aufgenommen werden, sofern nur so eine Qualifikation für ein bestehendes, relevantes Förderprogramm zur (Ko-)Finanzierung der Beratung nach DIN SPEC 27076 herzustellen ist. Die oben beschriebene Gesamtstruktur muss dabei weiterhin erhalten bleiben.

6.4.2.3 Anhang A des Ergebnisberichts
Der Anhang A zum Ergebnisbericht der Beratung nach diesem Dokument muss angefügt werden und muss folgende Anforderungen erfüllen:

  • 1) Ausführung als DIN-A4-Querformat;
  • 2) Schriftgröße 11;
  • 3) eine maximale Seitenanzahl muss nicht eingehalten werden. Der Umfang soll jedoch so kompakt wie möglich gehalten werden;
  • 4) Titel: „Anhang A: Ihre Ergebnisse im Detail“;
  • 5) tabellarische Auflistung der ausführlichen Ergebnisse und Handlungsempfehlungen zu allen Anforderungen und ihren Komponenten, unabhängig davon, ob die Anforderung erfüllt worden ist oder nicht;
  • 6) die Tabellarische Auflistung hat folgende auszufüllende Tabellenspalten:
  • a) Themenbereich;
  • b) Anforderung;
  • c) Risiko-Status;
  • d) Handlungsempfehlung.
  • Wurde eine Anforderung bzw. Anforderungskomponente nicht erfüllt, muss die Zellenfarbe der gesamten Zeile in Rot hinterlegt werden.

6.4.2.4 Anhang B des Ergebnisberichts
Der Anhang B muss angefügt werden. Dazu muss geprüft werden, ob es aktuelle Fördermöglichkeiten gibt, die
für das Unternehmen relevant sind (siehe bspw. [7]). Der Anhang B muss folgende Anforderungen erfüllen:

  • 1) Ausführung als DIN-A4-Querformat;
  • 2) Schriftgröße 11;
  • 3) eine maximale Seitenanzahl muss nicht eingehalten werden. Der Umfang soll jedoch so kompakt wie möglich gehalten werden;
  • 4) Titel: „Anhang B: Übersicht relevanter Fördermöglichkeiten“;
  • 5) tabellarische Auflistung von für das Unternehmen relevanten Förderprogrammen für die weitere Verbesserung der IT- und Informationssicherheit. Anzuführen sind alle für das beratene Unternehmen relevanten Förderungen auf Basis von kommunalen, regionalen, Bundes- oder EU-Mitteln;
  • 6) die Tabelle enthält die folgenden auszufüllenden Spalten je Fördermöglichkeit:
    • a) Fördermittelgeber;
    • b) Name der Fördermöglichkeit;
    • c) Gegenstand der Förderung;
    • d) Weiterführende Informationen.

6.5 Präsentation des Ergebnisberichts mit dem beratenen Unternehmen und Hinweis auf wichtigste Handlungsempfehlungen

Für die Präsentation des Ergebnisberichtes und der einzelnen Handlungsempfehlungen muss ein gemeinsamer Termin mit dem Klein- oder Kleinstunternehmen vereinbart werden. Dieser kann ebenfalls als Präsenz oder Online-Videokonferenz bzw. hybrider Online-Videokonferenz stattfinden. Während des Termins müssen folgende Elemente behandelt werden:

  • detaillierte Erläuterung des Ergebnisses sowie des Ergebnisberichts für das beratene Unternehmen;
  • Aufzeigen und Erklärung der priorisierten Handlungsempfehlungen, sofern TOP-Anforderungen nicht erfüllt wurden;
  • Aufzeigen und Erklärung der weiteren Handlungsempfehlungen;
  • Sensibilisierung des beratenen Unternehmens zu den gängigsten Gefahren auf Basis des ermittelten individuellen Risikoprofils;
  • restlose Klärung der Fragen des Unternehmens zum Bericht;
  • Aufzeigen von relevanten Möglichkeiten zur weiteren Förderung der IT- und Informationssicherheit für die individuellen Bedarfe des Unternehmens (sofern vorhanden). Dies können bspw. Hinweise auf kommunale, regionale, Bundes- oder EU-Förderprogramme sein.

6.6 Mögliche Wiederholung des Prozesses

Ein Unternehmen darf eine Beratung nach diesem Dokument beliebig oft in Anspruch nehmen. Dies ist allerdings erst nach der Umsetzung einiger (möglichst aller) der ermittelten Handlungsempfehlungen sinnvoll.
Durch eine Wiederholung der Beratung kann ein Unternehmen die Verbesserung seines Informationssicherheitsniveaus sichtbar machen.

Anhang A (normativ)

Literaturverzeichnis

[1] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium, 2023. [Zugriff am 2023-03-10]. Verfügbar unter: https://www.bsi.bund.de/DE/Themen/Unternehmen-undOrganisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/itgrundschutz-kompendium_node.html
[2] Zentralverband des Deutschen Handwerks (ZDH): IT-Grundschutz-Profil für Handwerksbetriebe, 2019. [Zugriff am 2023-03-10]. Verfügbar unter: https://www.hwk-omv.de/downloads/technischesit-grundschutz-profil-handwerksbetriebe-zdh-18,815.pdf
[3) VdS 10000:2018-12, VdS-Richtlinien für die Informationsverarbeitung— Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) — Anforderungen
[4) VdS 10005:2021-07, VdS-Richtlinien für die Informationsverarbeitung— Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen— Anforderungen
[5] FAULBAUM, FRAUKE; PRÜFER, PETER; REXROTH, MARGIT: Was ist eine gute Frage? Die systematische Evaluation der Fragequalität. Lehrbuch, Wiesbaden: VS Verlag, 2009
[6] MAYRING, PHILIPP: Einführung in die qualitative Sozialforschung: eine Anleitung zu qualitativem Denken, Weinheim Basel: Beltz, 2016
[7] Bundesministerium für Wirtschaft und Klimaschutz: Förderdatenbank. [Zugriff am 2023-03-10].
https://www.foerderdatenbank.de/
[8] Bundesamt für Sicherheit in der Informationstechnik: Cyber-Sicherheit für KMU, 2023. [Zugriff am 2023-03-13]. Verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/CyberSicherheit_KMU.html
[9] Bundesamt für Sicherheit in der Informationstechnik: Webseite für KMU. [Zugriff am 2023-03-13]. Verfügbar unter: https://www.bsi.bund.de/kmu
[10] Der Mittelstand, BVMW e.V.: Projektwebseite „mIT Standard sicher“. [Zugriff am 2023-03-13]. Verfügbar unter: https://mit-standard-sicher.de/