Direkt zum Inhalt
CyberSicherheitsCheck für KMU
Menü
Suche
Suche
Hauptnavigation
Startseite
Suche
Suche
Benutzermenü
Anmelden
Pfadnavigation
Startseite
Angaben zu Ihrem Unternehmen
In welcher Region liegt Ihr Betrieb?
Wer hat die Beratung durchgeführt?
- Wert wählen -
IHK
HWK
Andere
Andere
Wie viele Mitarbeitende beschäftigt ihr Betrieb?
- Wert wählen -
0 bis 10 Mitarbeitende
11 bis 25 Mitarbeitende
26 bis 50 Mitarbeitende
51 bis 100 Mitarbeitende
101 bis 250 Mitarbeitende
251 bis 500 Mitarbeitende
Mehr als 500 Mitarbeitende
Zu welcher Umsatzgruppe gehört ihr Betrieb?
- Wert wählen -
0 € bis 100.000 €
100.000 € bis 250.000 €
>250.000 € bis 500.000 €
>500.000 € bis 2 Mio. €
>2 Mio.€ bis 10 Mio.€
>10 Mio.€ bis 50 Mio.€
50 Mio. € bis 100 Mio. €
mehr als 100 Mio. €
Welcher Branche gehört Ihr Betrieb an?
- Wert wählen -
Baugewerbe
Finanz- und Versicherungsdienstleistung
Freiberufliche, wissenschaftliche und technische Dienstleistung
Gesundheits- und Versicherungswesen, Sozialwesen
Handel und Verkehr
Handwerk
Information und Kommunikation, IT
Landwirtschaft
Öffentliche Verwaltung
Pharmazie
Verarbeitendes Gewerbe, Produktion, sonstige Industrie
Sonstiges
Persönliche Angaben
In welcher Funktion sind Sie schwerpunktmäßig tätig?
- Wert wählen -
Geschäftsführung
IT, EDV
Sonstiges
Checkliste
1. Sicherheitslücken schließen
Haben Sie einen vollständigen Überblick über alle im Unternehmen eingesetzte Software?
Ja
Nein
k. R.
Existiert für das Einspielen von Softwareaktualisierungen (Updates und Patches) ein definierter Prozess?
Ja
Nein
k. R.
Wird dieser Prozess überwacht (z. B. manuell oder über automatische Benachrichtigungen, die Auskunft über Erfolg/Misserfolg der Maßnahme geben)?
Ja
Nein
k. R.
Ist sichergestellt, dass Softwareaktualisierungen schnellstmöglich nach der Veröffentlichung eingespielt werden?
Ja
Nein
k. R.
Sind Quellen definiert, von denen Sie regelmäßig über neue Sicherheitslücken für die eingesetzten IT-Systeme und Anwendungen informiert werden?
Ja
Nein
k. R.
2. Benutzerzugänge absichern
Erstellen Sie Passwörter gemäß gängigen Empfehlungen, z. B. des BSI, und haben Sie Vorgaben an Ihre Mitarbeitenden kommuniziert, z. B. mittels einer Passwort-Richtlinie?
Ja
Nein
k. R.
Werden besonders kritische Konten / Zugänge (z. B. solche mit weitreichenden Berechtigungen, Fernzugänge, u. a.) zusätzlich mit einer Zwei-Faktor-Authentisierung (2FA) abgesichert?
Ja
Nein
k. R.
Sind die Mitarbeitenden sensibilisiert, Passwörter geheim zu halten?
Ja
Nein
k. R.
Existiert eine Zugangssicherung (Passwort, 2FA) für mobile Endgeräte, die auf das Firmennetzwerk zugreifen können?
Ja
Nein
k. R.
3. Datensicherung durchführen
Verfügen Sie über eine Datensicherung („Backup“) der geschäftskritischen Daten?
Ja
Nein
k. R.
Werden Ihre Backups auf mehreren unterschiedlichen Speichermedien gesichert?
Ja
Nein
k. R.
Ist mindestens ein Backup physisch vom Netzwerk getrennt, z. B. über Tapes oder Festplatten, die isoliert gelagert werden oder durch Sicherung in einem externen Rechenzentrum oder einer Cloud?
Ja
Nein
k. R.
Werden die Funktionsfähigkeit des Backups bzw. der Wiederherstellungsprozess regelmäßig überprüft und geübt?
Ja
Nein
k. R.
Ist der Turnus des Backups auf die Verarbeitung von geschäftskritischen Daten angepasst (Zeitlicher Abstand bzw. Häufigkeit und Umfang der Sicherung)?
Ja
Nein
k. R.
4. Gefahrenbewusstsein schaffen
Ist sichergestellt, dass Sie zeitnah über die aktuellen Gefahren und gängigen Arten von Cyberangriffen informiert werden?
Ja
Nein
k. R.
Sind Ihnen und Ihren Mitarbeitenden die aktuellen und gängigen Vorgehensweisen von Cyberkriminellen bekannt?
Ja
Nein
k. R.
Finden regelmäßig Sensibilisierungen zum Thema Cybersicherheit statt, z. B. durch Schulung der Mitarbeitenden?
Ja
Nein
k. R.
5. Netzübergänge absichern
Verfügen Sie an den Übergängen ins Internet über eine dedizierte Firewall und ist diese so konfiguriert, dass nur bestimmte und erwünschte Verbindungen aufgebaut werden können?
Ja
Nein
k. R.
Sind besonders kritische IT-Systeme vom restlichen Netz getrennt (wichtig vor allem für Backup oder Produktionsnetze mit veralteten Systemen)?
Ja
Nein
k. R.
Erfolgen Zugriffe von außen auf Ihr System ausschließlich über gesicherte Zugänge (z. B. VPN)?
Ja
Nein
k. R.
Gibt es eine Übersicht aller Zugänge von extern auf Ihr Unternehmensnetzwerk inklusive deren Berechtigungen?
Ja
Nein
k. R.
6. Schadprogramme abwehren
Haben Sie die Ausführung von Makros in Ihren Office-Anwendungen technisch deaktiviert?
Ja
Nein
k. R.
Sind Ihr E-Mail-Programm und der Server so konfiguriert, dass E-Mails von externen E-Mail-Konten explizit gekennzeichnet werden?
Ja
Nein
k. R.
Ist Ihr E-Mail-Programm so konfiguriert, dass die tatsächliche E-Mail-Adresse als Absender angezeigt wird? (Wichtig: vollständige Anzeige aller Absenderinfos)
Ja
Nein
k. R.
Nutzen Sie auf Ihren Endgeräten und Servern eine Antivirenlösung, die regelmäßig aktualisiert wird?
Ja
Nein
k. R.
7. Notfallplan erstellen
Haben Sie einen Notfallplan für IT-sicherheitsrelevante Ereignisse?
Ja
Nein
k. R.
Wird eine Notfallübung regelmäßig durchgeführt?
Ja
Nein
k. R.
Enthält der Notfallplan einen Kommunikationsplan, mit internen und externen Erreichbarkeiten? (z. B. IT-Dienstleister, Polizei, Lieferanten, Kunden, LfDI, auch Mobilnummern)?
Ja
Nein
k. R.
Gibt es eine klar definierte Aufgabenzuweisung der wichtigsten Rollen in diesem Notfallplan?
Ja
Nein
k. R.
8. Inventarisieren und dokumentieren
Verfügen Sie über eine vollständige Übersicht Ihrer IT-Landschaft, z. B. IT-Systeme, Verbindungen zwischen Systemen, Außenverbindungen?
Ja
Nein
k. R.
Ist dokumentiert, welche Zugänge zu den Systemen bestehen (intern & extern)?
Ja
Nein
k. R.
Beinhaltet die Übersicht auch alle relevanten IT-Anwendungen inklusive deren Abhängigkeiten?
Ja
Nein
k. R.
Werden diese Daten regelmäßig aktualisiert?
Ja
Nein
k. R.
Mit Absenden dieses Formulars stimmen Sie der anonymisierten Speicherung der in der Checkliste erhobenen Daten sowie eines aktuellen Zeitstempels zu. Es werden darüber hinaus keine weiteren Daten gespeichert.
Die mit einem * gekennzeichneten Felder sind Pflichtfelder.
** Nutzen Sie "keine Relevanz (k. R.)", um einzelne Fragen auszuklammern, die für das beratene Unternehmen nicht relevant sind.