CRC

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Der Cyber-Risiko-Check (CRC) bietet kleinen Unternehmen, Handwerkern und Selbstständigen eine schnelle und kostenkünstige Bewertung ihrs IT-Sicherheitsniveaus und erste Handlungsempfehlungen.

Was ist der Cyber-Risiko-Check (CRC)?

Der Cyber-Risiko-Check (CRC) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Verfahren, das kleinen und kleinsten Unternehmen (KKU) hilft, ihr IT-Sicherheitsniveau zu bewerten. Es basiert auf der DIN SPEC 27076 und wird von speziell geschulten IT-Dienstleistern durchgeführt.

Ziel des CRC ist es, IT-Sicherheitsrisiken strukturiert zu identifizieren und konkrete Handlungsempfehlungen zur Verbesserung der Sicherheitslage eines Unternehmens zu geben. Der Check erfasst insgesamt 27 Anforderungen aus sechs zentralen Themenbereichen:

  1. Organisation & Sensibilisierung
  2. Identitäts- und Berechtigungsmanagement
  3. Datensicherung
  4. Schutz vor Schadprogrammen
  5. Patch- und Änderungsmanagement
  6. IT-Systeme & Netzwerke

Der CRC richtet sich speziell an kleine Unternehmen, Handwerker und Selbstständige die selbst nicht die nötigen finanziellen und personellen Ressourcen für umfangreiche IT-Sicherheitskonzepte haben.

Was ist der CRC nicht?

  • Der CRC ist keine Zertifizierung oder ein Nachweis für eine bestandene Sicherheitsprüfung.
  • Er ersetzt kein umfassendes IT-Sicherheits-Audit oder eine detaillierte Risikoanalyse.
  • Der CRC ist nicht bindend, sondern dient als Orientierungshilfe und Entscheidungshilfe für IT-Sicherheitsmaßnahmen.

Warum sollte ich einen CRC machen?

Der CRC bietet kleinen Unternehmen, Handwerkern und Selbstständigen mehrere Vorteile:

  • Schnelle Einschätzung des IT-Sicherheitsniveaus: Der strukturierte Check hilft, Stärken und Schwächen im IT-Sicherheitsmanagement aufzudecken.
  • Konkrete Handlungsempfehlungen: Unternehmen erhalten einen Bericht mit priorisierten Maßnahmen zur Verbesserung ihrer IT-Sicherheit.
  • Erfüllung regulatorischer Anforderungen: Der CRC hilft KKU, gesetzliche oder branchenspezifische Sicherheitsanforderungen besser zu verstehen und umzusetzen.
  • Staatliche Förderung: Der CRC kann durch verschiedene Programme wie "go-digital" finanziell unterstützt werden.

Wie läuft ein CRC ab?

  1. Einführung und Vorbereitung: In einem kurzen Einführungsgespräch wird der Ablauf besprochen und erste Informationen des Unternehmens erhoben.
  2. Durchführung durch IT-Dienstleister: Ein geschulter IT-Dienstleister führt ein standardisiertes Interview durch, das etwa 1 bis 2 Stunden dauert.
  3. Bewertung der 27 Anforderungen: Die IT-Sicherheitslage wird auf Basis der definierten Kriterien analysiert.
  4. Erstellung eines Berichts: Das Unternehmen erhält einen umfassenden Bericht mit einer Punktzahl und konkreten Verbesserungsvorschlägen.
  5. Umsetzung der Maßnahmen: Unternehmen können die empfohlenen Maßnahmen eigenständig oder mit externer Unterstützung umsetzen. Die Umsetzung ist nicht Bestandteil des CRC.

Was kostet ein CRC?

Die Kosten für einen Cyber-Risiko-Check variieren je nach IT-Dienstleister, Region und potenzieller Förderung. In vielen Fällen können Unternehmen finanzielle Unterstützung durch staatliche Programme erhalten.

Es empfiehlt sich, vorab verschiedene Angebote einzuholen und Möglichkeiten zur Förderung zu prüfen.

Generell sollte ein Cyber-Risiko-Check nicht mehr als einen Tagessatz eines Beraters (~500-1000€) kosten.

Weitere Informationen:

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=CRC&oldid=1639