Müssen wir direkt einen umfassenden Pentest machen — oder gibt es einen strukturierten, niedrigschwelligen Einstieg?

Genau hier setzt der Cyber-Sicherheits-Check an — ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) initiiertes Projekt im Rahmen der Allianz für Cyber-Sicherheit, entwickelt in Kooperation mit ISACA Germany Chapter e.V..

Ziel: KMU eine praxisnahe, strukturierte und wirtschaftlich realistische Möglichkeit zu geben, ihren Cybersicherheitsstatus systematisch zu überprüfen.

Quelle: https://www.allianz-fuer-cybersicherheit.de https://www.bsi.bund.de

Was ist der Cyber-Sicherheits-Check?

Der Cyber-Sicherheits-Check basiert auf den vom BSI veröffentlichten Basismaßnahmen der Cybersicherheit. Diese Maßnahmen werden in klar definierte Prüfziele überführt und in einem Leitfaden strukturiert beschrieben.

Unternehmen können den Check:

  • selbst anhand des „Leitfaden Cyber-Sicherheits-Check" durchführen
  • oder sich von zertifizierten Cyber-Security-Practitioners (CSP) unterstützen lassen

Der Leitfaden (Version 2, Stand Februar 2020) wird von der ISACA-Fachgruppe Cyber Security verantwortet und ist in Deutsch und Englisch verfügbar.

Quelle: https://www.isaca.de https://www.bsi.bund.de/SharedDocs/Downloads

Für wen ist der Cyber-Sicherheits-Check gedacht?

Der Ansatz richtet sich vor allem an:

  • Kleine und mittlere Unternehmen
  • Organisationen ohne eigene Security-Abteilung
  • Unternehmen, die einen strukturierten Einstieg in Cybersicherheit suchen
  • Firmen, die regulatorische Anforderungen besser verstehen möchten

Im Unterschied zu einem tiefgehenden Pentest steht hier nicht die aktive Ausnutzung von Schwachstellen im Vordergrund, sondern die systematische Bewertung organisatorischer und technischer Basismaßnahmen.

Das bedeutet:

Der Cyber-Sicherheits-Check beantwortet primär:

  • Sind grundlegende Schutzmaßnahmen vorhanden?
  • Sind Prozesse definiert?
  • Ist das Sicherheitsniveau strukturiert dokumentiert?

Ein Pentest hingegen beantwortet:

  • Welche Schwachstellen sind konkret ausnutzbar?
  • Wie weit kommt ein Angreifer tatsächlich?

Diese Unterscheidung ist zentral.

Zertifizierung: Cyber Security Practitioner (CSP)

Um die Qualität der Durchführung sicherzustellen, wurde die Personenzertifizierung Cyber Security Practitioner (CSP) geschaffen.

Der Zertifikatskurs vermittelt:

  • Prinzipien und Methodik des Cyber-Sicherheits-Checks
  • aktuelle Bedrohungslagen
  • strukturierte Prüf- und Berichtsmethodik

Die Prüfung umfasst 40 Multiple-Choice-Fragen zu Planung, Rahmenbedingungen und Durchführung — mit 30 Minuten Bearbeitungszeit.

Quelle: https://www.isaca.de/aus-und-weiterbildung

Reicht EIN Cyber-Sicherheits-Check aus?

Hier wird es spannend.

Der Cyber-Sicherheits-Check ist ein sehr sinnvoller Einstieg — insbesondere für KMU, die noch keine strukturierte Sicherheitsbewertung durchgeführt haben.

Aber:

Er ersetzt keinen technischen Pentest.

Während der Check Prozesse, Maßnahmen und organisatorische Grundlagen bewertet, prüft ein Pentest die tatsächliche technische Angreifbarkeit — also ob Schwachstellen real ausnutzbar sind.

Viele Unternehmen kombinieren daher:

  1. Cyber-Sicherheits-Check (Struktur & Basisniveau)
  2. Technischer Pentest (Realitätsprüfung unter Angriffsbedingungen)

Sicherheitsberatungen mit Fokus auf strukturierte Risikoanalyse und technische Validierung — etwa spezialisierte Anbieter wie sodusecure.com — setzen häufig genau auf diese Kombination aus organisatorischer Bewertung und realer Angriffssimulation.

Fazit

Der Cyber-Sicherheits-Check des BSI ist:

  • Niedrigschwellig
  • Strukturiert
  • KMU-orientiert
  • Methodisch sauber dokumentiert
  • Durch ISACA und BSI fachlich getragen

Er eignet sich hervorragend als Startpunkt für Unternehmen, die ihr Sicherheitsniveau systematisch bewerten wollen.

Aber echte Cybersicherheit endet nicht bei der Checkliste.

Die entscheidende Frage bleibt:

Funktionieren die Schutzmaßnahmen auch unter realen Angriffsbedingungen?

Und genau dort beginnt die nächste Stufe.

Quellen: