Cyber-Risiko-Check: IT-Sicherheit für KMU in nur 2 Stunden - mit bis zu 80% staatlicher Förderung. Pragmatischer Einstieg statt komplexer Standards.
Informationssicherheit ist kein Luxus großer Unternehmen, sondern eine Notwendigkeit. Ohne Panik zu verbreiten: Ist dein KMU liquide genug, um einen vollständigen Stillstand zu überstehen?
Fast alles ist digital: Kundendaten, Angebote, Rechnungen, Maschinensteuerung, Cloud-Dienste. Fällt hier einer der Bausteine aus, steht der Betrieb still und die Kosten laufen weiter.
Die gute Nachricht ist, dass nicht jeder von uns den IT-Grundschutz oder die ISO 27001 stemmen muss. Es gibt im schönen Deutschland einen schlankeren Einstieg für kleinere Betriebe: den CyberRisikoCheck!
Der Cyber-Risiko-Check (CRC) ist eine standardisierte IT-Sicherheitsberatung für kleine und mittlere Unternehmen, die auf der DIN SPEC 27076 basiert (übrigens hier gratis erhältlich). Diese BSI-Methodik ist explizit keine Zertifizierung, sondern ein praxisorientierter Einstieg in die Informationssicherheit. Die Idee ist, dass ein geschulter IT-Dienstleister angelehnt an die 27076 ein standardisiertes Interview mit dir führt. Das dauert etwa 1-2 Stunden. Dabei werden 27 Anforderungen aus sechs Themenbereichen abgefragt (dazu kommen wir noch), diese werden nach einem Punktesystem bewertet und am Ende erhältst du eine kompakte IST-Analyse sowie priorisierte Maßnahmen.
Mini-Exkurs: In Managementsystemen ist eine Maßnahme eine geplante und zielgerichtete Aktivität oder Kontrolle zur Erreichung von Managementzielen. Sie ist systematisch, wird überwacht und bewertet, um Wirksamkeit und kontinuierliche Verbesserung (KVP) zu gewährleisten.
Wenn der Anfang gemacht und die Maßnahmen angegangen wurden, ist der Einstieg in die IT-Sicherheit deines Unternehmens bereits geschafft.
„Mach erst mal die Basics" – Karl Ess
Die sechs Themenbereiche beziehen sich zunächst auf praktikable Basics innerhalb der IT-Sicherheit:
Erklärung: Regeln, Zuständigkeiten und kurze Trainings sorgen dafür, dass alle wissen, was sie tun sollen und warum.
Beispiel: Jährliche 30-Minuten-Schulung plus klare Ansprechperson für Sicherheitsvorfälle.
Erklärung: Nutzerkonten und Zugriffsrechte werden nach dem Need-to-know-Prinzip vergeben und regelmäßig überprüft.
Beispiel: MFA für Microsoft 365, getrennte Admin-Konten und quartalsweise Rechte-Review.
Erklärung: Wichtige Daten werden regelmäßig, versioniert und räumlich getrennt gesichert, inklusive dokumentiertem Restore-Test.
Beispiel: 3-2-1-Backups (lokal, NAS, Cloud) und monatlicher Proberestore einer zufällig ausgewählten Datei.
Erklärung: Updates und Änderungen erfolgen gesteuert, terminiert und nach kurzen Tests, damit Lücken zügig geschlossen werden.
Beispiel: Wöchentlicher Patch-Slot am Dienstagabend mit Testgruppe und einfachem Rollback-Plan.
Erklärung: Technische und organisatorische Maßnahmen reduzieren Infektionen durch Malware und blockieren deren Ausbreitung.
Beispiel: Endpoint-Schutz mit EDR, Makros standardmäßig blockiert und E-Mail-Filter mit Quarantäne.
Erklärung: Systeme und Netze sind segmentiert, gehärtet und überwacht, sodass ein Vorfall nicht das ganze Unternehmen lahmlegt.
Beispiel: VLAN-Segmentierung für Büro, Produktion und Gäste, Firewall mit minimalen Regeln und zentralem Logging.
Ein vollständiges ISMS (Informationssicherheits-Managementsystem) lohnt sich generell erst, wenn auch die absoluten Basics stehen. Darüber hinaus müssen Unternehmen, vor allem KMU, zwar Strukturen schaffen, diese müssen aber auch der Aufgabe angemessen sein. Mein lokaler Bäcker muss die ISO 27001 bis 27005 nicht studiert haben.
Der CRC bietet Unternehmen im Wachstum oder solchen, die noch nichts getan haben, die Chance, schnell zu starten. Nebulöse Aufgaben wie IT-Sicherheit sind bedeutend einfacher, wenn aus dem „Was sollen wir jetzt eigentlich tun?!" ein „Das sind die nächsten fünf Aufgaben!" geworden ist. Der CRC bietet die Brücke zwischen nichts und einem vollen ISMS.
Eine funktionale, wenn auch kleine IT-Sicherheit schafft Transparenz, Verlässlichkeit und Vertrauen zwischen dir, Kunden, Lieferanten und Versicherungen.
Geld ist immer knapp. Es gibt aber Unterstützung für KMU!
Du kannst in zwei Richtungen schauen: Es gibt bundesweite Förderungen oder länderspezifische.
In diesem Artikel behandle ich nur Schleswig-Holstein, da die Küste nach Heimat riecht. ABER andere Länder bieten Ähnliches.
Bitte immer aktuelle Angebote recherchieren, da auch hier manchmal Änderungen stattfinden.
1. Bundesweit: BAFA „Förderung von Unternehmensberatung für KMU"
Das Programm bezuschusst Beratungen zu wirtschaftlichen und organisatorischen Themen, zu denen Informationssicherheit regelmäßig zählt. Förderzeitraum bis 31.12.2026, maximal fünf Beratungen pro Unternehmen in der Laufzeit (höchstens zwei pro Jahr). Wichtig: Antrag online stellen und erst nach dem Informationsschreiben starten.
Wie hoch ist der Zuschuss? Der Fördersatz richtet sich nach dem Standort: 50 Prozent bis maximal 1.750 Euro oder 80 Prozent bis maximal 2.800 Euro. Klingt trocken, ist aber bares Geld für einen kompakten CRC-basierten Beratertag.
2. Schleswig-Holstein: DKU „Förderung innovativer Digitalisierungsmaßnahmen in kleinen Unternehmen"
Im Modul „Beratung" fördert die WTSH bis zu 40 Prozent der förderfähigen Ausgaben. Förderfähig sind Beratungen zwischen 2.500 und 20.000 Euro, unter anderem zur Verbesserung der IT-Sicherheit. Antragstellung erfolgt über das Serviceportal des Landes.
Besondere SH-Regel: Das Beratungsunternehmen muss zum Stichtag 01.10.2024 für „go-digital" lizenziert gewesen sein. Hintergrund: Das Bundesprogramm „go-digital" ist zum Jahresende 2024 ausgelaufen; die WTSH arbeitet mit einer fixierten Liste zugelassener Beratungen weiter.
Ergänzend gut zu wissen: Der Servicepoint Cybersecurity ist in Schleswig-Holstein die neutrale Anlaufstelle für Prävention, Erstberatung und Vermittlung zu passenden Dienstleistern. Keine Förderung, aber ein schneller Weg zur Orientierung.
Der CRC liefert die sortierte und priorisierte To-Do-Liste. BAFA und Co. liefern finanzielle Entlastung. Du musst es einfach „nur noch" abarbeiten. Da es trotz To-Dos nicht ganz einfach ist:
Eine CRC-orientierte Beratung liegt fast immer im Kostenspektrum der BAFA-Förderung. Daher wird bereits die Hälfte bezuschusst. Je nach Bundesland werden darüber hinaus nochmals bis zu 40% gefördert. Dann ist die Beratung beinahe gratis. Also unbedingt mit Fördermöglichkeiten auseinandersetzen.
Die Kosten liegen typischerweise im BAFA-Förderbereich von 3.500-7.000 Euro brutto. Mit Förderung zahlst du nur 1.750-2.800 Euro (50-80% Zuschuss).
Das standardisierte Interview dauert 1-2 Stunden. Die gesamte Beratung mit Analyse und Maßnahmenkatalog umfasst meist 1-2 Beratertage.
Bundesweit: BAFA-Förderung bis 2.800 Euro (80%).
In Schleswig-Holstein zusätzlich: DKU-Förderung bis 40% der Kosten zwischen 2.500-20.000 Euro.
Nein, der CRC ist explizit keine Zertifizierung. Er liefert eine IST-Analyse und priorisierte Maßnahmen für den Einstieg in die IT-Sicherheit.
Ideal für KMU mit 10-250 Mitarbeitern, die bisher keine strukturierte IT-Sicherheit haben oder diese systematisch verbessern wollen.
Veränderung ist immer schwierig, aber wenn wir sie niedrigschwellig gestalten, wird es eine machbare Aufgabe.
Der CyberRisikoCheck des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist genau dafür gemacht: den Einstieg in die IT-Sicherheit zu erleichtern. Wenig Aufwand, klare Prioritäten und direkt umsetzbar.
Prüfe vor Beginn, welche Förderungen die BAFA und Co. für dich bereithalten. Falls du in Schleswig-Holstein sitzt, checke auch die DKU.
Starte mit dem CRC, setze die Pflichtmaßnahmen um und entscheide dann, wie umfangreich dein zukünftiges ISMS werden soll. Pragmatisch sein und einfach mal anfangen.