Projektinterview: Der Cyberrisikocheck: verbesserte Informationssicherheit für Klein- und Kleinstunternehmen

Maren Poppe ist seit vier Jahren im Competence Center IT-Sicherheit bei ComConsult beschäftigt. Während sie anfangs dabei unterstützte, das ComConsult-interne Informationssicherheitsmanagementsystem aufzubauen und die eigene TISAX®-Zertifizierung voranzutreiben, ist heute einer ihrer Arbeitsschwerpunkte das Schreiben von Richtlinien im Rahmen des Aufbaus und Betriebs des Informationssicherheitsmanagements in Kundenprojekten.

Der Cyberrisikocheck dient dazu, Klein- und Kleinstunternehmen bei den ersten Schritten zur Verbesserung ihrer Informationssicherheit zu unterstützen. Warum wurde er entwickelt?

Das BSI hat die Frage analysiert, auf welchem Niveau sich die Informationssicherheit in kleinen Unternehmen unter fünfzig Mitarbeitern und Kleinstunternehmen unter zehn Mitarbeitern befindet. Statistische Erhebungen ergaben, dass das Niveau höher lag als angenommen. Das BSI hat sich daraufhin die Ergebnisse näher angeschaut. Zum Beispiel wurde die Frage „Ist Ihre E-Mail-Kommunikation verschlüsselt?“ zu einem hohen Prozentsatz positiv beantwortet. Auf die Nachfrage, wie genau man denn die E-Mails verschlüsseln würde, wurde auf das kleine Schloss in der Adressleiste im Browser hingewiesen. Offensichtlich war den Befragten nicht bekannt, dass das Schloss auf die Kommunikation mit der Webseite über ein sicheres Protokoll https hinweist. Die hier beschriebene Wissenslücke zeigt, dass eine Befragung der Unternehmen nur dann sinnvoll ist, wenn die Fragen den Unternehmen erklärt werden. Das BSI hat erkannt, dass zur Vermeidung von Missverständnissen und zur Verhinderung von falschen statistischen Ergebnissen Mitarbeiter von IT-Dienstleistern in die Unternehmen gehen und sich mit ihnen über die Fragen zu ihrer Informationssicherheit unterhalten müssen.

Wie kommt dir deine Ausbildung bei deiner Arbeit zugute?

Ich habe einen Master in Germanistik und Medienpraxis und einen Bachelor in Philosophie. Nach dem Studium habe ich in einer Anstellung bei einem akademischen Buchverlag viel Berufserfahrung im Projektmanagement gesammelt. Über das Projektmanagement habe ich den Weg in die Informationssicherheit gefunden. Ich habe mich inhaltlich schnell in das Thema eingefunden. Vor dem Hintergrund meiner Ausbildung betrachte ich mich als Schnittstelle in der Kommunikation zwischen unseren Fachexperten und Kunden, denn es ist wichtig, das oft komplexe Fachwissen dem Kunden verständlich zu vermitteln.

Worum geht es beim Cyberrisikocheck?

Der Cyberrisikocheck ist keine Zertifizierung, sondern eine standardisierte Informationssicherheitsberatung. Er hilft den Klein- und Kleinstunternehmen bei der eigenen Positionsbestimmung hinsichtlich ihres Sicherheitsniveaus und der Entwicklung geeigneter Maßnahmen. Die Fragen sind bewusst einfach und verständlich formuliert und zielgerichtet auf Praxistauglichkeit ausgelegt. Während wir bei der Sicherheitsberatung einer großen Organisation zum Beispiel mit dem Kunden besprechen, ob sein kompletter Netzwerkverkehr hinreichend protokolliert, überwacht und hinsichtlich auffälliger Aktivitäten analysiert wird, ist so eine Frage für ein Kleinunternehmen einfach zu groß gefasst. Die Frage aus dem Cyberrisikocheck, ob Makros standardmäßig aktiviert sind, ist da viel näher an der täglichen Arbeit. Sehr viele dieser Unternehmen nutzen Excel. Makros können eine Schwachstelle sein, die man ohne große administrative Kenntnisse einfach abschalten kann. Mit dieser simplen Frage kann man schnell und unkompliziert eine Maßnahme initiieren, die ein höheres Sicherheitsniveau schafft.

In Deutschland gibt es mittlerweile über 500 IT-Dienstleister und Berater, die qualifiziert sind, Cyberrisikochecks durchzuführen. Welche Voraussetzungen sind dafür nötig?

Ich denke, das ist eine sehr gute Sache, dass es so viele IT-Dienstleister gibt, die regional über ganz Deutschland verteilt Cyberrisikochecks anbieten. Dadurch ist gewährleistet, dass die Betriebe vor Ort persönlich aufgesucht werden können, ohne dass viel Aufwand durch Reisekosten entsteht. Hier bei uns im Aachener Raum gibt es mit ComConsult aktuell zwei Anbieter. IT-Dienstleister müssen über umfassende Qualifikationen verfügen, um Cyberrisikochecks durchführen zu dürfen. Dazu gehört mindestens ein Jahr Erfahrung in der Durchführung von IT-Sicherheitsberatungen mit entsprechenden Referenzprojekten. Ich habe zusätzlich an einer Schulung des BSI teilgenommen, um die Methodik des semistrukturierten Leitfadeninterviews zu lernen. Bei einem Leitfadeninterview gibt es zwar einen vorgefertigten Fragenkatalog, aber die Fragen sind offen formuliert, um die interviewte Person zum Nachdenken, Erklären und Diskutieren anzuregen.

Welche allgemeinen Beobachtungen hast du bei deiner Beratung gemacht?

Es gibt Unternehmen, bei denen nur ein sehr rudimentäres Wissen über Informationssicherheit vorliegt. Hier muss ich eine relativ große Interpretationsleistung bringen und die Fragen verständlich formulieren, um das befragte Unternehmen für notwenige Maßnahmen zu sensibilisieren. Mir ist aufgefallen, dass die physische Sicherheit wie Zugangsberechtigungen für Räume meist umfassend umgesetzt ist. Vielen Unternehmen ist noch nicht bewusst, dass nicht nur eine offene Tür im Gebäude die Gefahr von unberechtigten Zutritten birgt, sondern dass auch geöffnete Türen im Firmennetzwerk unerwünschte und existenzbedrohende Fremdzugriffe zur Folge haben können. Ich erkläre das dem Kunden mit diesem Vergleich: Wenn alle Mitarbeiter uneingeschränkten Zugriff auf die gesamte Dateiablage haben, ist das so, als würde der Mitarbeiter seinen Schrank im Büro mit vertraulichen Ordnern für jeden zugänglich offenstehen lassen.

Wie ist der Cyberrisikocheck aufgebaut?

Der Cyberrisikocheck besteht aus vier Teilen: einem Erstgespräch, dem Interview zur Erhebung des IST-Zustands, der Auswertung der Ergebnisse in einem Bericht und einem abschließenden Gespräch, in der der Ergebnisbericht besprochen wird.

Was geschieht im Erstgespräch mit dem Kunden?

In einem ersten Kennenlernen informiere ich den Kunden über den Ablauf des Checks. Es ist zum Beispiel erforderlich, dass die Geschäftsführung an dem Interview teilnimmt. Ähnlich wie bei der NIS2-Richtlinie wird auch hier die Geschäftsführung für die Informationssicherheit im Unternehmen verantwortlich gesehen. Meistens nimmt noch eine weitere Person teil, die für die IT zuständig ist. Gerade wenn es um den Datenschutz geht, kommt öfter ein weiterer Ansprechpartner dazu. Eine große Vorbereitung auf das Interview ist nicht notwendig, doch wenn die Unternehmen Dokumente wie zum Beispiel Backup-Konzepte, Sicherheitsrichtlinien, Notfallpläne oder Vertraulichkeitserklärungen vorliegen haben, ist es natürlich gut, wenn sie diese bereithalten.

Welche Anforderungen werden im Interview abgefragt?

Das Interview umfasst 27 Fragen aus 6 Themenbereichen und dauert ungefähr drei Stunden. Die Fragen beinhalten 5 sogenannte Top-Anforderungen und 22 reguläre Anforderungen. Ein Themenbereich ist die Organisation und Sensibilisierung. Hier geht es um Fragen zum Personal. Eine Top-Anforderung ist, dass – wie eben schon erwähnt – die Geschäftsführung die Gesamtverantwortung für die Informationssicherheit tragen muss. Weitere Anforderungen in diesem Bereich sind zum Beispiel die Schulung zur Sensibilisierung von Mitarbeitern und die Identitätsprüfung von neuen Mitarbeitern. Die anderen Themenbereiche sind Identitäts- und Berechtigungsmanagement, IT-Systeme und Netzwerke, Datensicherung, Patch- und Änderungsmanagement und Schutz vor Schadprogrammen. Das Installieren von Software und das Einrichten von Updates für IT-Systeme ist zum Beispiel eine Top-Anforderung, die nicht so leicht umzusetzen ist. Denn es soll sichergestellt werden, dass auf allen Endgeräten die neueste Software installiert ist, was je nach Größe des Unternehmens eine Herausforderung darstellen kann – insbesondere, wenn gleichzeitig sichergestellt werden soll, dass die tägliche Arbeit nicht eingeschränkt wird.

Wie werden die Ergebnisse ausgewertet?

Für die Auswertung der Ergebnisse nutzen wir ein Tool, das uns vom BSI zur Verfügung gestellt wird. Das Programm hilft einerseits bei der statistischen Erfassung der Ergebnisse durch das BSI, natürlich anonymisiert, und andererseits dient es dazu, den Aufwand für den IT-Dienstleister so gering wie möglich zu halten.

Für Top-Anforderungen können maximal drei Punkte vergeben werden, für erfüllte Basis-Anforderungen gibt es einen Punkt. Die Antworten werden bei der Auswertung in die Kategorien „erfüllt“ und „nicht erfüllt“ eingestuft. Die Bewertung der Antworten gestaltet sich unterschiedlich. Das Deaktivieren von Makros ist eine Anforderung, deren Erfüllung ich schnell beurteilen kann. Geht es zum Beispiel um das Thema Identitäts- und Berechtigungsmanagement, muss ich je nach Unternehmen eine ganze Reihe zusätzlicher Fragen stellen, um herauszufinden, inwieweit die Anforderungen erfüllt sind.

Der Abschlussbericht zeigt für jede Frage an, ob die Anforderung erfüllt wurde oder nicht. Zu jeder Position formuliere ich eine Begründung für die vorgenommene Bewertung. Zusätzlich erstellt der Bericht ein Spinnennetzdiagramm, mit dem veranschaulicht wird, in welchen der sechs Themenbereiche das Unternehmen Stärken und Schwächen hat. Ergänzend zum Bericht gebe ich dem Unternehmen Handlungsempfehlungen mit, die ich auf der Grundlage der Auswertung erarbeite.

Wozu dient das Abschlussgespräch?

Im abschließenden Gespräch stelle ich dem Kunden die Ergebnisse vor. Ich informiere über staatliche Fördermaßnahmen und bespreche die Handlungsempfehlungen für nicht erfüllte Anforderungen. Wenn zum Beispiel eine Firewall zum Schutz des IT-Netzwerkes eine geeignete Maßnahme ist, ist es gegebenenfalls möglich, dafür Fördermittel zu beantragen. Bei umfassenderen Maßnahmen, die den Rahmen des Checks sprengen würden, unterstützen wir gerne bei der konkreten Umsetzung in einem Folgeprojekt.

Was kannst du Klein- und Kleinstunternehmen empfehlen?

Der Cyberrisikocheck ist in den genannten vier Teilen insgesamt auf einen Beratertag ausgelegt und von daher für jedes Unternehmen ein zeitlich und finanziell gut kalkulierbares Vorhaben. Es lohnt sich auf jeden Fall, für die Informationssicherheit des Unternehmens diesen Tag zu investieren. Der Test bietet eine zuverlässige Grundlage zur Identifikation des Basisschutzes sowie konkrete, auf das Unternehmen abgestimmte Handlungsempfehlungen.

Mit einem offiziellen Bericht vom BSI haben kleine und kleinste Unternehmen auch etwas in der Hand, um Kunden oder Geschäftspartnern nachzuweisen, dass das Thema Informationssicherheit einen gewissen Stellenwert bei der eigenen Arbeit hat und dass Maßnahmen zum Schutz eigener und fremder Informationen getroffen wurden. Das trägt zum Aufbau vertrauensvoller Geschäftsbeziehungen bei und kann vielleicht der ausschlaggebende Punkt für die Beauftragung eines Angebots sein.