CySeReS-KMU Reifegradmodell

Reifegradmodell – CySeReS-KMU

Im Rahmen des Forschungsprojekts CySeReS-KMU (Cyber Security und Resilienz in Supply Chains mit Fokus auf KMU) wurde ein praxisorientiertes Reifegradmodell entwickelt, das kleinen und mittleren Unternehmen (KMU) hilft, ihren aktuellen Reifegrad in zentralen Themenbereichen zu erfassen und einzuordnen.

Was erwartet Sie?
Die Teilnahme dauert ca. 5 Minuten und umfasst folgende Themenbereiche:

  • A: Grundschutz

  • B: OT-Security

  • C: Notfallkonzept

  • D: Supply Chain Cyber Security

  • E: Awareness und Kultur

Wer steckt dahinter?
CySeReS-KMU ist ein gemeinsames Forschungsprojekt folgender Institutionen:

  • Universität Passau

  • Universität Innsbruck

  • Technische Hochschule Deggendorf

  • FH Salzburg

  • FH Oberösterreich / Logistikum

Das Projekt wird im Rahmen des INTERREG VI-A Programms Bayern–Österreich 2021–2027 gefördert.

Kontakt
Bei Rückfragen erreichen Sie uns unter office@cyseres-kmu.eu.

Disclaimer zu den Antwortmöglichkeiten:
Nicht umgesetzt – Die Maßnahme wurde bisher nicht eingeführt oder geplant.
Geplant – Es gibt Pläne oder erste Überlegungen zur Umsetzung, jedoch noch keine konkreten Maßnahmen.
In Umsetzung – Die Maßnahme befindet sich in der Implementierungsphase, aber noch nicht vollständig etabliert.
Teilweise umgesetzt – Die Maßnahme ist bereits in einigen Bereichen oder für bestimmte Systeme umgesetzt, aber nicht vollständig unternehmensweit integriert.
Weitgehend umgesetzt – Die Maßnahme ist größtenteils umgesetzt, jedoch gibt es noch einzelne Lücken oder Optimierungspotenzial.
Vollständig umgesetzt – Die Maßnahme ist vollständig etabliert, wird regelmäßig überprüft und kontinuierlich verbessert.

Sollte in einem der Felder keine Antwort ausgewählt werden, obwohl der Use Case als relevant eingestuft wurde, wird automatisch der Wert „Nicht umgesetzt'“ zugeteilt.

Fragen mit einem Stern ()* sind Pflichtfelder.

A: Themenbereich Grundschutz

1. Zugangskontrolle: Der Zugriff auf Daten, Netzwerke und Systeme ist durch Zugriffskontrollmechanismen wie Passwörter, Zwei-Faktor-Authentifizierung und Verschlüsselung gesichert. Dies gilt insbesondere für Remote- und administrative Accounts.
2. Sicherung des Unternehmensumfeldes: Nur autorisierte Personen und Geräte haben Zugang zu Netzwerken und sensiblen Daten. Digitale und physische Sicherheitsmaßnahmen wie Firewalls, VPNs, WLAN-Schutz und Zugangskontrollen verhindern unbefugten Zugriff.
3. Sicherheitsbewusstsein: Mitarbeitende werden regelmäßig über Sicherheitsbedrohungen und den Umgang mit Zwischenfällen informiert. Klare Ansprechpartner und Richtlinien, etwa für das Home-Office, stärken das Sicherheitsbewusstsein.
4. Sichere Konfiguration: Alle Geräte und Software sind sicher konfiguriert: Standardpasswörter werden geändert, Anti-Malware ist installiert, und Aktivitäten werden protokolliert. Nicht benötigte Funktionen sind deaktiviert.
5. Patches und Updates: Alle Geräte und Software werden regelmäßig aktualisiert, und automatische Updates sind aktiviert. Nicht mehr unterstützte Systeme oder Software werden ersetzt.
6. Datensicherung und Wiederherstellung: Wichtige Geschäftsdaten werden verschlüsselt gesichert und extern aufbewahrt. Regelmäßige Wiederherstellungstests gewährleisten die Verfügbarkeit im Ernstfall.
7. Malware- und Antivirus-Schutz: Alle Geräte verfügen über aktuelle Anti-Malware und Firewalls und werden regelmäßig überprüft. Nur vertrauenswürdige Soft- und Hardware wird genutzt.
8. Zugangsmanagement: Benutzerkonten und Software werden über ihren gesamten Lebenszyklus hinweg aktiv überwacht. Sicherheitsmaßnahmen umfassen hierarchische Datenkategorien, Netzwerksegmentierung sowie Schutz mobiler Geräte durch Verschlüsselung, Multi-Faktor-Authentifizierung, VPNs und Remote-Löschung.
9. Feststellen von Angriffen: Der Zugang zum Unternehmen ist nur autorisierten Personen gestattet. Unbefugte Zugriffe werden durch Monitoring des externen Datenverkehrs, Intrusion-Detection-Systeme und Log-Analysen verhindert. Interne Netzwerke sind durch Segmentierung, Proxys, Firewalls und abgestufte Zugriffsrechte geschützt.
10. Mitarbeiterschulungen: Regelmäßige Sicherheitsübungen und Schulungen verbessern die rollenbasierten Fähigkeiten der Mitarbeitenden. Kontinuierliche Trainings schließen Wissenslücken und verbessern die Kommunikation.
11. Konfigurationsmanagement: Alle Geräte nutzen ein standardisiertes, regelmäßig aktualisiertes Konfigurations-Image. Dabei wird sich an Sicherheitsstandards orientiert und Konfigurationen aktiv (ggf. automatisch) überwacht und angepasst.
12. Reaktion auf Zwischen- und Notfälle: Sicherheitsvorfälle (z. B. Systemausfälle, erhebliche Ausfallzeiten der Unternehmenswebsite, Ransomware-Angriffe) sind klar definiert. Ein Aktionsplan legt Maßnahmen, Rollen und Kommunikationswege fest. Die Reaktion wird trainiert, dokumentiert und analysiert.
13. Überwachung und Protokollierung: Geräte- und Netzwerkaktivitäten werden protokolliert, überwacht und analysiert, um Sicherheitslücken zu erkennen und zu schließen. Protokolldaten werden langfristig für Notfälle gespeichert.

B: Themenbereich Operative Technologie (OT) (bzw. Automatisierungstechnologie)

Ist der Use Case für Sie relevant? – Verfügt Ihr Unternehmen über eine OT-Umgebung?
14. Unsere Netzwerke sind segmentiert, sodass kein direkter Zugriff von der IT- auf die OT-Umgebung möglich ist. Eine Demilitarisierte Zone (DMZ) trennt IT und OT zur Sicherstellung der Sicherheit.
15. Falls die Netzwerke nicht segmentiert sind, werden IT- und OT-Sicherheitsmaßnahmen als einheitliches System verwaltet. Bei vorhandener Segmentierung sind dedizierte OT-Sicherheitsmaßnahmen implementiert, die regelmäßig überprüft und aktualisiert werden.
16. OT-Systeme werden regelmäßig (d. h. es gibt Dokumentation über die Häufigkeit) aktualisiert. Die verwendete Hardware wird vom Hersteller unterstützt, und es bestehen SLAs mit den Herstellern.
17. OT-Sicherheitsmaßnahmen entsprechen anerkannten Industriestandards und Best Practices (z. B. ISA/IEC 62443, NIST SP 800-82, VDI/VDE 2182).
18. Für die OT-Umgebung sind funktionierende Backup-Systeme (Geräte für den Notfall sowie Datenwiederherstellungsmedien) vorhanden, die regelmäßig getestet werden und im Notfall einsatzbereit sind.

C: Themenbereich Notfallkonzept

19. Alle relevanten Stakeholder (z. B. IT-Abteilung, Geschäftsführung, Datenschutzbeauftragter, externe IT-Dienstleister, Kommunikationsabteilung) sind in das Notfallkonzept eingebunden.
20. Für den Ernstfall sind klar definierte Kommunikationswege festgelegt, um eine koordinierte und effiziente Reaktion sicherzustellen (z. B. interne Meldeketten: IT-Abteilung → IT-Sicherheitsbeauftragter → Geschäftsführung; externe Kommunikation: Kontaktaufnahme mit CERT, Datenschutzbehörde, betroffenen Dienstleistern). Alternativkanäle (z. B. Mobilfunk, Notfall-Messenger) sind ebenfalls berücksichtigt, falls reguläre Kommunikationsmittel ausfallen.
21. Die Umsetzung orientiert sich an etablierten Industriestandards und Best Practices für das Management von Cybersecurity-Vorfällen in der Lieferkette (z. B. NIST SP 800-161, ISO/IEC 27036, ENISA Guidelines, BSI C5, TISAX).

D: Themenbereich Supply Chain Cybersecurity

22. Eine Liste der Supply-Chain-Partner (Lieferanten und Kunden) ist vorhanden.
23. Cybersecurity ist ein entscheidendes Kriterium bei der Auswahl neuer Supply-Chain-Partner.
24. Eine Bewertung der Cybersecurity-Risiken in der Lieferkette wird durchgeführt.
25. Supply-Chain-Partner sind vertraglich zu Sicherheitsmaßnahmen verpflichtet.
26. Regelmäßige Cybersecurity-Prüfungen der Supply-Chain-Partner finden statt.

E: Themenbereich Awareness und Kultur

27. Es gibt einen ganzheitlichen Ansatz zum Schutz vor digitalen Gefahren (zB Hackerangriffe, Schadsoftware, Datenverlust), mit klaren Maßnahmen und Abläufen, die im Arbeitsalltag angewendet werden.
28. Klare und transparente Prozesse zur Meldung von Cybersicherheitsvorfällen sind etabliert und allen Mitarbeitenden bekannt.

Demografische Fragen

Durch Absenden Ihrer Antworten werden diese für wissenschaftliche Zwecke benutzt und fließen anonymisiert in Forschungsergebnisse zur Veröffentlichung ein.