Zum Hauptinhalt springen

CyberRisikoCheck nach DIN SPEC 27076: IT-Sicherheit für kleine Unternehmen

Stand: 18. März 2026 7 Min. Lesezeit Von Thorsten Schreier

Allgemeine Information — keine individuelle Beratung, keine Gewähr.

Auf einen Blick: Der CyberRisikoCheck nach DIN SPEC 27076 ist ein standardisiertes IT-Sicherheitsverfahren für KMU, das etwa zwei Stunden dauert und 500 bis 1.500 Euro kostet (bis zu 50 Prozent förderfähig über “go-digital”). Viele Cyber-Versicherer honorieren den Nachweis mit besseren Konditionen oder setzen ihn zunehmend voraus.

Die kurze Antwort

Der CyberRisikoCheck nach DIN SPEC 27076 ist ein standardisiertes, niedrigschwelliges Verfahren, mit dem kleine und mittlere Unternehmen ihre IT-Sicherheit bewerten lassen können. Er dauert etwa zwei Stunden, kostet 500 bis 1.500 Euro und liefert einen konkreten Maßnahmenplan. Viele Cyber-Versicherer honorieren den Check mit besseren Konditionen.

Was ist der CyberRisikoCheck?

Der CyberRisikoCheck wurde 2023 vom BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeinsam mit dem Handwerk und IT-Dienstleistern entwickelt. Die DIN SPEC 27076 definiert einen standardisierten Ablauf, der speziell auf Unternehmen mit bis zu 50 Mitarbeitern zugeschnitten ist. Anders als umfangreiche Sicherheitsstandards wie ISO 27001 oder der BSI-IT-Grundschutz — die für Großunternehmen konzipiert sind und Monate an Implementierung erfordern — ist der CyberRisikoCheck bewusst niedrigschwellig gehalten. Er setzt keine IT-Fachkenntnisse beim Unternehmer voraus und erfordert keinen Eingriff in laufende Systeme.

Die Rechtsgrundlage ist relevant: Seit der NIS-2-Umsetzung (Gesetz zur Umsetzung der NIS-2-Richtlinie, in Kraft seit Oktober 2024) treffen erweiterte Cybersicherheitspflichten nicht mehr nur kritische Infrastrukturen, sondern auch mittlere Unternehmen ab 50 Mitarbeitern. Für kleinere Betriebe unterhalb dieser Schwelle existiert zwar keine unmittelbare gesetzliche Pflicht — aber die Sorgfaltspflicht des Geschäftsführers (§ 43 GmbHG, § 93 AktG) umfasst auch angemessene IT-Sicherheitsmaßnahmen. Bei einem Cyberangriff kann der Geschäftsführer persönlich haften, wenn grundlegende Schutzmaßnahmen fehlten.

Der Check umfasst 27 Fragen in sechs Themenbereichen:

  1. Organisation & Sensibilisierung — Gibt es einen IT-Verantwortlichen? Werden Mitarbeiter geschult? Existiert ein Notfallplan für Cyberangriffe?
  2. Identitäts- und Berechtigungsmanagement — Wie werden Passwörter und Zugriffsrechte verwaltet? Gibt es Multi-Faktor-Authentifizierung (MFA) für kritische Systeme?
  3. Datensicherung — Existieren regelmäßige Backups? Werden sie getestet? Sind sie vor Ransomware geschützt (offline oder unveränderbar)?
  4. Patch- und Änderungsmanagement — Werden Software-Updates zeitnah eingespielt? Gibt es einen Prozess für Sicherheitsupdates außerhalb des normalen Updatezyklus?
  5. Schutz vor Schadsoftware — Welche technischen Schutzmaßnahmen sind im Einsatz? Werden E-Mail-Anhänge und Links gefiltert?
  6. IT-Systeme und Netzwerke — Wie ist das Netzwerk aufgebaut und geschützt? Sind Gäste-WLAN und Produktionsnetz getrennt?

Wie läuft der Check ab?

  1. Vorgespräch — Ein zertifizierter IT-Dienstleister klärt den Umfang und vereinbart einen Termin. Wichtig: Der Dienstleister muss die DIN SPEC 27076 als Grundlage verwenden und sollte idealerweise eine BSI-Listung vorweisen können.
  2. Vor-Ort-Interview — In einem strukturierten Gespräch (ca. 2 Stunden) werden die 27 Fragen durchgegangen. Kein technischer Scan, kein Eingriff in die IT. Am Gespräch sollte die Person teilnehmen, die den besten Überblick über die tatsächlich gelebte IT-Praxis hat — in kleinen Betrieben ist das oft der Geschäftsführer selbst.
  3. Auswertung — Der Dienstleister erstellt einen Ergebnisbericht mit einer Risikobewertung und konkreten Handlungsempfehlungen. Jede der 27 Fragen wird mit einer Punktzahl bewertet, daraus ergibt sich ein Gesamtscore von 0 bis 100.
  4. Maßnahmenplan — Priorisierte Liste von Sofortmaßnahmen und mittelfristigen Verbesserungen. Die Handlungsempfehlungen sind nach Dringlichkeit gestaffelt: rot (sofort umsetzen), gelb (innerhalb von drei Monaten) und grün (mittelfristig).

Praxistipp: Bereiten Sie sich auf den Check vor, indem Sie vorab klären, wer für Ihre IT verantwortlich ist, wann das letzte Backup getestet wurde und welche Cloud-Dienste im Einsatz sind. Je ehrlicher Ihre Antworten, desto aussagekräftiger der Bericht.

Was kostet der CyberRisikoCheck?

UnternehmensgrößeTypische KostenFördermöglichkeit
1–10 Mitarbeiter500–800 €Bis zu 50 % über “go-digital”
11–50 Mitarbeiter800–1.500 €Bis zu 50 % über “go-digital”

Das Förderprogramm “go-digital” des BMWi übernimmt bis zu 50 Prozent der Beratungskosten für kleine Unternehmen. Fragen Sie Ihren IT-Dienstleister nach der Förderfähigkeit.

Darüber hinaus bieten einige Bundesländer eigene Förderprogramme an. In Bayern etwa fördert das Programm “Digitalbonus” Investitionen in IT-Sicherheit mit bis zu 10.000 Euro (50 Prozent Zuschuss). Die Förderanträge müssen in der Regel vor Beauftragung des Dienstleisters gestellt werden — eine nachträgliche Beantragung ist meist ausgeschlossen.

Warum ist der Check für die Cyber-Versicherung relevant?

Cyber-Versicherer verlangen zunehmend den Nachweis grundlegender IT-Sicherheitsmaßnahmen als Voraussetzung für den Versicherungsschutz. Typische Mindestanforderungen sind regelmäßige Backups, aktuelle Software und eine Firewall.

Der CyberRisikoCheck nach DIN SPEC 27076 liefert genau diese Nachweise in standardisierter Form. Vorteile:

  • Bessere Konditionen: Versicherer honorieren den Nachweis mit niedrigeren Prämien oder höheren Deckungssummen. In der Praxis berichten Makler von Prämienreduktionen zwischen 5 und 15 Prozent bei Vorlage eines aktuellen CyberRisikoCheck-Berichts.
  • Kein Leistungsausschluss: Ohne dokumentierte IT-Sicherheit riskieren Sie, dass der Versicherer im Schadenfall die Leistung kürzt oder ganz ablehnt. Die Obliegenheiten in Cyber-Versicherungsverträgen verlangen typischerweise “Stand der Technik” bei IT-Sicherheitsmaßnahmen (§ 28 VVG, Obliegenheitsverletzung). Ein CyberRisikoCheck dokumentiert, dass Sie Ihre Pflichten erfüllt haben.
  • Compliance: Seit Januar 2025 gilt der Digital Operational Resilience Act (DORA) für Finanzdienstleister. Unternehmen, die als IT-Zulieferer für Banken oder Versicherungen arbeiten, müssen strengere Anforderungen erfüllen. Der CyberRisikoCheck ist ein guter erster Schritt.
  • Haftungsnachweis: Bei einem Datenschutzvorfall nach DSGVO (Art. 32 DSGVO, technische und organisatorische Maßnahmen) kann der dokumentierte CyberRisikoCheck belegen, dass angemessene Sicherheitsmaßnahmen getroffen wurden. Das kann bei der Bemessung von Bußgeldern durch die Datenschutzbehörde mildernd wirken.

Typisches Szenario aus der Praxis

Ein Handwerksbetrieb mit 12 Mitarbeitern wird Opfer einer Ransomware-Attacke. Die Angreifer verschlüsseln das Auftragsmanagement-System und fordern 25.000 Euro Lösegeld. Der Betrieb hat eine Cyber-Versicherung — aber im Vertrag steht eine Obliegenheit: “regelmäßige, vom Produktivsystem getrennte Datensicherung”. Der Betrieb sichert zwar täglich auf eine externe Festplatte, aber diese war zum Zeitpunkt des Angriffs am Server angeschlossen und wurde mitverschlüsselt.

Der Versicherer kürzt die Leistung um 50 Prozent wegen grober Fahrlässigkeit (§ 81 VVG). Hätte der Betrieb den CyberRisikoCheck durchlaufen, wäre genau diese Schwachstelle aufgefallen — und das Backup-Konzept entsprechend angepasst worden.

Häufige Fehler bei der Cybersicherheit in KMU

  • “Uns trifft es nicht”: Über 60 Prozent aller Cyberangriffe richten sich gegen kleine und mittlere Unternehmen. Gerade KMU sind attraktive Ziele, weil Angreifer dort schwächere Schutzmaßnahmen erwarten. KI-gestützte Phishing-Mails sind mittlerweile so überzeugend, dass selbst geschulte Mitarbeiter darauf hereinfallen.
  • IT-Sicherheit dem Praktikanten überlassen: Ein benannter IT-Verantwortlicher (intern oder extern) ist Pflicht — auch bei 5 Mitarbeitern. Im CyberRisikoCheck ist dies die erste Frage. Fehlt ein Verantwortlicher, gibt es null Punkte in der Kategorie Organisation.
  • Backups nicht testen: Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos. Testen Sie die Rücksicherung mindestens vierteljährlich. Der klassische Fehler: Das Backup läuft jede Nacht, aber niemand hat je geprüft, ob sich die Daten daraus tatsächlich in einer vertretbaren Zeit wiederherstellen lassen.
  • Cyber-Versicherung ohne Prävention: Die Versicherung zahlt im Schadenfall, aber Prävention vermeidet den Schaden. Beides gehört zusammen.
  • Kein Notfallplan: Wenn Ransomware zuschlägt, zählt jede Minute. Wer erst im Ernstfall überlegt, wen er anrufen soll und wie das letzte Backup eingespielt wird, verliert wertvolle Zeit. Ein dokumentierter Notfallplan mit Ansprechpartnern, Rufnummern und Handlungsschritten gehört in jeden Betrieb.
  • Private Geräte ohne Richtlinie: Mitarbeiter, die ihr privates Smartphone für geschäftliche E-Mails nutzen, sind ein häufiges Einfallstor. Der CyberRisikoCheck fragt gezielt nach einer Bring-Your-Own-Device-Richtlinie (BYOD).
  • Veraltete Software im Einsatz: Windows-Versionen ohne Sicherheitsupdates, ungepatchte Router-Firmware oder alte PHP-Versionen auf dem Webserver — jede nicht aktualisierte Komponente ist ein potenzielles Einfallstor. Besonders kritisch: Branchensoftware, die nur unter veralteten Betriebssystemen läuft.

CyberRisikoCheck und Cyber-Versicherung: So greifen sie ineinander

Der CyberRisikoCheck und die Cyber-Versicherung sind keine Alternativen, sondern ergänzen sich. Die Versicherung schützt vor den finanziellen Folgen eines Angriffs — Betriebsunterbrechung, Datenwiederherstellung, Rechtskosten, Benachrichtigungspflichten nach Art. 33/34 DSGVO. Der Check hingegen reduziert die Wahrscheinlichkeit, dass es überhaupt so weit kommt.

Empfohlene Reihenfolge:

  1. CyberRisikoCheck durchführen lassen
  2. Sofortmaßnahmen aus dem Bericht umsetzen (insbesondere Backup-Konzept, MFA, Notfallplan)
  3. Cyber-Versicherung mit dem CyberRisikoCheck-Bericht beantragen — die besseren Konditionen kompensieren oft einen Teil der Check-Kosten
  4. Check alle 12 bis 24 Monate wiederholen, da sich die Bedrohungslage und die IT-Landschaft laufend verändern

Weiterlesen