DIN SPEC 27076 – ein neuer Beratungsstandard für Kleinunternehmen!

Ein Informationssicherheitsmanagement nach BSI Grundschutz ist für kleine Unternehmen schlicht selten umsetzbar. Aber auch die ISO27001, quasi der Inbegriff einer Zertifizierung im Bereich Informationssicherheit, ist für viele kleinere Unternehmen noch zu umfangreich.

Ich beschäftige mich daher schon lange auch mit kleineren Normen und Richtlinien zu diesem Thema. Seit einigen Jahren gibt es beispielsweise die VdS10000 und – speziell für den Gesundheitsbereich – die IT-Sicherheitsrichtlinie der KBV. Für beides habe ich bereits vor einiger Zeit zum anerkannten Berater zertifizieren lassen.

Mit der DIN SPEC 27076 betritt nun ein weiterer neuer Standard das Spielfeld. Gleich vorab: Auch wenn sich die 27076 von der Nummerierung in den Bereich der 27001 einreiht: Es ist keine ISO- oder DIN-Norm und es ist keine Sicherheitszertifizierung!


Was enthält der neue Standard?

Der neue Standard ermöglicht es Beratern, z.B. IT-Dienstleistern, eine standardisierte Beratung bei kleinen und mittleren Unternehmen durchzuführen, womit eine Positionsbestimmung im Bereich der Mindestanforderungen an moderne IT-Sicherheit ermöglicht wird!

Zudem werden Spielregeln für eine qualitativ einheitliche und nachvollziehbare Beratung bei kleinen und mittleren Unternehmen eingeführt, an die sich die IT-Berater, die diesen Standard verwenden wollen, zu halten haben.

Thematisch werden folgende Grundlagen abgefragt und behandelt:

  • Organisation & Sensibilisierung
  • Identitäts- und Berechtigungsmanagement
  • Datensicherung
  • Patch- und Änderungsmanagement
  • Schutz vor Schadprogrammen
  • IT-Systeme und Netzwerke

Auch in meiner Beratung berücksichtige ich diese Themen immer wieder und sehen die Forderungen aus dem vorliegenden Standard als notwendige Basismaßnahmen an, die heute jedes Unternehmen erfüllen sollte, damit zumindest ein Mindestschutz gewährleistet wird.

Da ein Standard nie auf alle Unternehmen gleichermaßen passen kann, bekommt der IT-Berater Spielräume, die er im Rahmen einer objektiven Beratung zusammen mit dem Unternehmen bewerten kann. So wird beispielsweise bei der Datensicherung nach einem Intervall gefragt, der einmal wöchentlich nicht überschreiten sollte. Auch wenn ich empfehle, dass die Datensicherung täglich erfolgen sollte, kann eine wöchentliche Datensicherung bei Kleinstunternehmen durchaus ausreichend sein.


Mein Fazit

Die DIN SPEC 27076 ist ein leichtgewichtiger Standard, der gerade Kleinstunternehmen eine Möglichkeit bietet, die bisher vorhandenen IT-Sicherheitsmaßnahmen mit dem absoluten Mindeststandard abzugleichen. Eine Übererfüllung ist natürlich möglich und gerade mit steigender Unternehmensgröße wünschenswert! Es macht daher aus Sicht der Kleinstunternehmen absolut Sinn, sich mit diesem Standard zu beschäftigen.


Ein Hinweis für alle IT-Berater, die sich mit diesem Standard beschäftigen wollen!

Aus meiner Sicht spricht nichts dagegen, die Mindestanforderungen aus dem Standard in die eigene Beratung mit einfließen zu lassen. Die Zukunft wird zeigen, ob die Einbeziehung dieses Standards möglicherweise vielleicht sogar Pflicht wird, wenn es um Beratungen zur IT-Sicherheit im Rahmen von öffentlichen Förderprogrammen geht.

Bisher veröffentlichte / bekannte Besonderheiten und Informationen zum Standard:

Geplant ist wohl auch hier ein Verfahren zur Qualifizierung von IT-Dienstleistern. Aktuell (09.05.2023) liegt diese Qualifizierungsmöglichkeit noch nicht vor. Ein Blick in den Standard zeigt, dass die Anforderungen an die durchführenden IT-Dienstleister durchaus überschaubar sind. Jedoch werden einerseits genaue Vorgaben an die Berichtsschreibung gemacht und zudem sind Kenntnisse zu Fördermöglichkeiten notwendig, denn der „Anhang B“ des Ergebnisberichtes muss angefügt werden und angeben, ob es Förderungen gibt, die für das beratene Unternehmen relevant sind.


Bei Fragen zum Thema Datenschutz, Informationssicherheit, IT-Sicherheit, Normen und Standards stehe ich gerne zur Verfügung!
Einfach einen Beratungstermin buchen und wir besprechen Ihre offenen Fragen!

Terminbuchung bei René Floitgraf


Quelle:
BSI – CyberRisikoCheck – Wirkungsvoller Schutz für kleine und Kleinstunternehmen nach DIN SPEC 27076

Ein Beitrag von René Floitgraf, Geschäftsführer der CompliPro GmbH und Floitgraf Consulting GmbH.

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

Frohe Ostern im Jahr 2023!!!pexels-markus-spiske-2644598-cutout