Neun von zehn kleinen Unternehmen in Deutschland halten die eigene Cybersicherheit für gut. Die Messung sagt etwas anderes: Von den Betrieben, die im Berichtszeitraum des BSI-Lageberichts 2025 einen CyberRisikoCheck durchlaufen haben, wurden im Schnitt nur knapp 56 Prozent der geprüften Grundanforderungen erfüllt. Die volle Punktzahl erreicht laut BSI so gut wie kein Unternehmen. Gleichzeitig bewerten laut einer im selben Lagebericht zitierten Studie des TÜV-Verbands 91 Prozent der kleinen und 90 Prozent der mittleren Unternehmen ihre Cybersicherheit mit sehr gut oder eher gut. Diese Lücke zwischen Selbstbild und Messwert ist der Grund, warum es den Check überhaupt gibt.
Der CyberRisikoCheck nach DIN SPEC 27076 ist die offizielle Antwort des Staates auf ein bekanntes Problem: Kleine Betriebe ohne IT-Abteilung wissen selten, wo sie bei der IT-Sicherheit stehen. Ein qualifizierter IT-Dienstleister befragt das Unternehmen in ein bis zwei Stunden zu 27 Anforderungen aus sechs Themenbereichen und liefert einen Bericht mit konkreten, nach Dringlichkeit sortierten Handlungsempfehlungen. Bund und Länder bezuschussen das Verfahren.
Dieser Artikel erklärt, wie der Check abläuft, was er kostet, welche Förderung es gibt, wie er sich von IT-Grundschutz und ISO 27001 unterscheidet und warum er aus Sicht eines Versicherungsmaklers vor allem eines ist: die beste Vorbereitung auf die Risikofragen der Cyberversicherer.
Unser kostenloser Cyber-Risikocheck beantwortet in zwei Minuten und acht Fragen anonym die erste Frage: Wo stehen Sie ungefähr, gemessen an den marktüblichen Anforderungen der Cyberversicherer? Der CyberRisikoCheck nach DIN SPEC 27076 ist die zweite Stufe: eine professionelle Positionsbestimmung durch einen qualifizierten IT-Dienstleister, mit standardisiertem Interview, Punktzahl und schriftlichem Maßnahmenplan. Das eine ersetzt das andere nicht, die Reihenfolge ergibt sich von selbst.
Warum eine Positionsbestimmung? Die Lage in Zahlen
Die Bedrohungslage für kleine Unternehmen ist keine gefühlte Größe mehr, sie ist gemessen. Der BSI-Lagebericht 2025 nennt für seinen Berichtszeitraum 950 beim Bundeskriminalamt angezeigte Ransomware-Angriffe, 80 Prozent davon trafen kleine und mittlere Unternehmen. Täglich wurden im Schnitt 119 neue Software-Schwachstellen bekannt, 24 Prozent mehr als im Vorjahreszeitraum. Der Branchenverband Bitkom beziffert den Schaden durch Cyberattacken auf die deutsche Wirtschaft in seiner Wirtschaftsschutz-Studie 2025 auf 202,4 Milliarden Euro pro Jahr.
Für den einzelnen Betrieb zählt weniger die Milliardenzahl als der Angriffsweg. Nach dem Cybersicherheits-Dossier des GDV laufen mehr als zwei Drittel der erfolgreichen Angriffe auf kleine und mittlere Unternehmen über E-Mail, also über Anhänge und Links, die ein Mitarbeiter öffnet. Wie Sie solche Mails erkennen, haben wir im Beitrag über Phishing-Angriffe beschrieben. Der Punkt hier ist ein anderer: Gegen genau diese Angriffe helfen Basismaßnahmen wie Schulung, Updates, Berechtigungskonzepte und getestete Backups. Und genau diese Basismaßnahmen fragt der CyberRisikoCheck ab.
Was ist der CyberRisikoCheck nach DIN SPEC 27076?
Die DIN SPEC 27076 trägt den Titel "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und wurde im Mai 2023 veröffentlicht. Entstanden ist sie laut BSI in achtmonatiger Konsortialarbeit unter Leitung des Bundesamts für Sicherheit in der Informationstechnik, stellvertretend geführt vom Bundesverband mittelständische Wirtschaft, mit fast 20 weiteren Partnern, darunter das DIN und eine Tochter des Gesamtverbands der Deutschen Versicherungswirtschaft. Finanziert hat das Projekt das Bundeswirtschaftsministerium im Programm Mittelstand-Digital. Wer den Normtext selbst lesen will: Die DIN SPEC 27076 ist bei DIN Media nach Anmeldung kostenfrei abrufbar.
Die Zielgruppe ist klar umrissen: Unternehmen mit weniger als 50 Beschäftigten. Das BSI schreibt selbst, dass seine großen Rahmenwerke, das IT-Grundschutz-Kompendium und die ISO/IEC 27001, für diese Größenordnung nicht optimal geeignet sind. Das Kompendium umfasst über 800 Seiten. Die DIN SPEC formuliert stattdessen das Ziel, ein vertretbares absolutes Minimum an Informationssicherheit abzubilden. Ebenso klar ist, was der Check nicht ist: Das BSI stellt ausdrücklich fest, dass es sich um keine IT-Sicherheitszertifizierung handelt, sondern um eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus.
Gestartet ist das Verfahren im März 2024: Damals ließ das BSI nach eigener Pressemitteilung erstmals 64 IT-Sicherheitsdienstleister aus ganz Deutschland schulen, mehr als 120 weitere hatten Interesse angemeldet. Ein Nebeneffekt, der selten erwähnt wird: Das BSI gewinnt aus den anonymisierten Ergebnissen ein Lagebild zur Cybersicherheit im Kleinunternehmenssegment. Die eingangs zitierte 56-Prozent-Quote stammt aus der Auswertung von 600 Checks im Berichtszeitraum des Lageberichts 2025.
So läuft der Check ab: 27 Anforderungen, 6 Themenbereiche, 1 Bericht
Der Kern des Verfahrens ist ein strukturiertes Interview. Ein qualifizierter IT-Dienstleister befragt die Geschäftsführung und gegebenenfalls die IT-Betreuung ein bis zwei Stunden lang zu 27 Anforderungen aus sechs Themenbereichen, vor Ort oder per Video. Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben. Es geht nicht um einen technischen Scan der Systeme, sondern um den organisatorischen und technischen Ist-Zustand, wie er sich aus den Antworten ergibt.
| Themenbereich | Typische Fragen |
|---|---|
| Organisation & Sensibilisierung | Gibt es Verantwortlichkeiten, Regeln und Schulungen? Existiert ein IT-Notfallplan? |
| Identitäts- und Berechtigungsmanagement | Individuelle Zugänge, Passwortregeln, eingeschränkte Administratorrechte |
| Datensicherung | Regelmäßige Backups, Schutz der Sicherungen, Wiederherstellungstests |
| Patch- und Änderungsmanagement | Werden Sicherheitsupdates zeitnah eingespielt? Wer verantwortet Änderungen? |
| Schutz vor Schadprogrammen | Virenschutz auf allen Systemen, Umgang mit E-Mail-Anhängen |
| IT-Systeme und Netzwerke | Firewall, VPN, WLAN-Absicherung, Regeln für das Arbeiten im Homeoffice |
Die sechs Themenbereiche der DIN SPEC 27076, Fragenbeispiele sinngemäß nach der Übersicht zur DIN SPEC 27076.
Das Ergebnis ist ein kompakter Bericht: zwei Seiten mit Gesamtpunktzahl und einem Spinnennetzdiagramm, das die sechs Themenbereiche gegenüberstellt, dazu ein tabellarischer Anhang mit jeder einzelnen Anforderung, ihrem Risiko-Status und einer Handlungsempfehlung. Die Empfehlungen sind nach Dringlichkeit gegliedert, damit klar ist, was zuerst drankommt. Eine Besonderheit, die das Verfahren von reinen Anbieter-Audits unterscheidet: Der Bericht nennt für die offenen Punkte auch passende staatliche Fördermaßnahmen von Bund, Land oder Kommune.
Wer darf den Check durchführen und was kostet er?
Durchführen darf den Check nach dem BSI-Verfahren nur, wer die rund zweistündige, kostenlose BSI-Schulung absolviert und Qualifikationsnachweise erbracht hat: mindestens ein Jahr Erfahrung in IT-Sicherheitsberatungen oder Audits, mindestens drei Referenzprojekte mit kleinen oder Kleinstunternehmen und Methodenwissen für leitfadengestützte Interviews. Geschulte Dienstleister nimmt das BSI in seine Liste qualifizierter IT-Dienstleister auf, sie dürfen das offizielle Logo des CyberRisikoChecks führen. Zwei Hinweise für die Praxis: Erstens sind Checks nach DIN SPEC 27076 auch mit eigenen Werkzeugen des Dienstleisters zulässig, die BSI-Webanwendung ist freiwillig. Zweitens wird das Schulungskonzept laut BSI derzeit überarbeitet, aktuell gibt es keine neuen Schulungstermine. Wer einen Dienstleister sucht, orientiert sich deshalb am besten an der bestehenden BSI-Liste.
Zu den Kosten gibt es keine amtliche Vorgabe, jeder Dienstleister kalkuliert selbst. Als Richtwert wird üblicherweise etwa ein Beratertag abgerechnet: das Interview, die Auswertung und das Ergebnisgespräch. Laut Anbieterangaben beginnen Festpreise bei rund 500 Euro und reichen in den niedrigen vierstelligen Bereich. Gemessen daran, dass der Bericht die Grundlage für alle weiteren Sicherheitsentscheidungen und für den Versicherungsantrag liefert, ist das eine überschaubare Investition. Und sie halbiert sich in vielen Fällen durch Förderung.
Förderung: Was Bund und Länder aktuell zahlen
Die wichtigste Nachricht zuerst: Laut BSI-Lagebericht 2025 werden der CyberRisikoCheck und die anschließende Umsetzung der Handlungsempfehlungen auf Bundesebene bereits mit 50 Prozent bezuschusst, in Nordrhein-Westfalen ebenfalls mit 50 Prozent, weitere Länder haben Förderbereitschaft signalisiert. Das früher oft genannte Programm go-digital ist dagegen Geschichte: Es lief laut dem Projektträger des BMWK zum 31. Dezember 2024 aus, Neuanträge sind seitdem nicht mehr möglich. Wer in einem älteren Ratgeber noch go-digital als Fördertipp liest, liest einen veralteten Ratgeber.
Konkret nutzbar sind aktuell vor allem drei Wege. Auf Bundesebene die BAFA-Förderung von Unternehmensberatungen für KMU: Sie bezuschusst Beratungen mit einer Bemessungsgrundlage von 3.500 Euro, die Förderquote beträgt 50 Prozent in den alten Bundesländern einschließlich Berlin und der Region Leipzig (maximal 1.750 Euro) und 80 Prozent in den neuen Bundesländern plus den Regionen Lüneburg und Trier (maximal 2.800 Euro), höchstens fünf Beratungen pro Unternehmen und zwei pro Jahr, die Richtlinie gilt bis Ende 2026. In Nordrhein-Westfalen fördert das Programm MID-Digitale Sicherheit unter anderem die Analyse des Ist-Zustands mit 4.000 bis 15.000 Euro pro Unternehmen, für Kleinunternehmen mit einer Förderquote bis 80 Prozent. In Bayern kommt der Digitalbonus in Frage, der laut Programmseite IT-Sicherheitsmaßnahmen kleiner Unternehmen mit bis zu 50 Prozent und maximal 10.000 Euro bezuschusst (Digitalbonus Plus bis 50.000 Euro). Ob Ihr konkretes Vorhaben förderfähig ist, klären Sie in allen drei Fällen vor der Beauftragung mit der Bewilligungsstelle, denn nachträgliche Anträge scheitern regelmäßig an den Formalien.
DIN SPEC 27076, IT-Grundschutz oder ISO 27001: Was passt zu wem?
Wer sich zum ersten Mal mit IT-Sicherheitsstandards beschäftigt, trifft auf drei Begriffe, die oft in einen Topf geworfen werden. Sie beantworten aber unterschiedliche Fragen für unterschiedliche Unternehmensgrößen.
| Ansatz | Für wen | Aufwand | Ergebnis |
|---|---|---|---|
| CyberRisikoCheck DIN SPEC 27076 |
Klein- und Kleinstunternehmen unter 50 Beschäftigten, ohne eigene IT-Abteilung | 1 bis 2 Stunden Interview plus Auswertung | Positionsbestimmung mit Punktzahl und Maßnahmenplan, keine Zertifizierung |
| BSI IT-Grundschutz | Mittlere und größere Organisationen, Behörden | Aufbau eines Managementsystems, Kompendium mit über 800 Seiten | Zertifizierung "ISO 27001 auf Basis von IT-Grundschutz" möglich |
| ISO/IEC 27001 | Größere Unternehmen, Zulieferer mit Kundenanforderungen, NIS-2-regulierte Firmen | Mehrmonatiges Projekt mit externem Audit | International anerkanntes Zertifikat |
Einordnung nach den ISMS-Informationen des BSI.
Einen eigenen Blick verdient die Brücke zur Regulierung: Das deutsche NIS-2-Umsetzungsgesetz ist laut BSI am 6. Dezember 2025 in Kraft getreten und betrifft rund 29.500 Unternehmen in 18 Sektoren. Der Lagebericht 2025 ordnet ein, dass damit nur knapp ein Prozent der deutschen Wirtschaft direkt reguliert ist, und nennt den CyberRisikoCheck für Unternehmen ohne eigene IT-Abteilung ausdrücklich den geeigneten Einstieg in die Umsetzung der NIS-2-Anforderungen. Ob Ihr Betrieb direkt oder als Zulieferer mittelbar betroffen ist, haben wir im Beitrag zur NIS-2-Richtlinie für KMU aufgeschlüsselt.
Was der Check mit Ihrer Cyberversicherung zu tun hat
Jetzt zum Teil, den die IT-Ratgeber regelmäßig auslassen und der aus meiner Beratungspraxis der wichtigste ist. Wer eine Cyberversicherung abschließen will, beantwortet vorab Risikofragen des Versicherers: zu Updates, Backups, Virenschutz, Zugängen und Berechtigungen. Die GDV-Musterbedingungen (Neufassung vom 19. Februar 2024) nennen als Basis eines angemessenen IT-Sicherheitsniveaus: regelmäßige Datensicherungen, starke Passwörter, individuelle Zugänge, Virenscanner, Firewalls und schnell installierte Sicherheitsupdates. Legen Sie diese Liste neben die sechs Themenbereiche des CyberRisikoChecks, und Sie sehen fast dieselben Punkte. Eine offizielle Zuordnung beider Kataloge gibt es nicht, ganz zufällig ist die Nähe aber auch nicht: Eine Tochter des Versichererverbands saß laut BSI im DIN-SPEC-Konsortium.
Praktisch bedeutet das zweierlei. Erstens vor dem Abschluss: Die Antworten auf die Risikofragen sind Ihre vorvertragliche Anzeigepflicht. Wer sie auf gut Glück bejaht, riskiert im Schadenfall den kompletten Versicherungsschutz, die Gerichte werten das inzwischen als arglistige Täuschung. Was der Versicherer nach einem Angriff im Einzelnen prüft, steht im Beitrag zur Deckungsprüfung im Schadenfall. Mit einem CyberRisikoCheck-Bericht in der Hand beantworten Sie dieselben Fragen auf dokumentierter Grundlage. Zweitens bei der Annahme: Anträge scheitern in der Praxis häufig an unzureichender IT-Sicherheit, die typischen Muster haben wir im Artikel über abgelehnte Cyberversicherungs-Anträge beschrieben. Der Check zeigt Ihnen vorher, welche Lücken ein Versicherer sehen würde, und der Maßnahmenplan schließt sie in der richtigen Reihenfolge.
Ein Zahlenpaar zum Schluss dieses Abschnitts, das die Logik von Prävention plus Versicherung gut zeigt: Der GDV berichtet, dass rund 80 Prozent der registrierten Ransomware-Angriffe kleine und mittlere Unternehmen treffen, dass aber unter den versicherten Unternehmen jährlich nur rund drei Prozent einen Schaden durch Cyberangriffe erleiden. Wer den Versichererprozess durchlaufen hat, hat sein IT-Niveau in aller Regel bereits angehoben. Der Check ist der strukturierte Weg dorthin. Was der Schutz danach kostet, steht in unserer Übersicht Was kostet eine Cyberversicherung.
Selbsttest oder DIN-SPEC-Check: die richtige Reihenfolge
Bleibt die Frage, womit Sie heute anfangen. Die ehrliche Antwort: mit dem kleineren Werkzeug. Unser kostenloser Cyber-Risikocheck stellt Ihnen acht Fragen, dauert zwei Minuten, läuft anonym und orientiert sich an den marktüblichen Anforderungen der Cyberversicherer. Er ersetzt keine Beratung und erst recht keinen DIN-SPEC-Check, aber er beantwortet die Einstiegsfrage: Stehen Sie grob im grünen Bereich, oder gibt es offensichtliche Lücken, die ein Versicherer sofort bemängeln würde?
Der CyberRisikoCheck nach DIN SPEC 27076 ist der logische zweite Schritt, wenn der Selbsttest Lücken zeigt oder wenn Sie eine belastbare, schriftliche Grundlage brauchen: für die Geschäftsführungsentscheidung, für das Budget, für den Förderantrag oder für den Versicherungsantrag. Er kostet einen Beratertag, wird bezuschusst und liefert das, was ein Selbsttest nie liefern kann: die Einschätzung eines qualifizierten Dritten, dokumentiert nach einem einheitlichen Standard. Danach folgt die Umsetzung der dringlichsten Maßnahmen, und erst dann, mit sauberer Grundlage, der Versicherungsantrag.
Der CyberRisikoCheck nach DIN SPEC 27076 ist kein Zertifikat und kein Rundum-Schutz, sondern eine ehrliche Positionsbestimmung: 27 Anforderungen, ein bis zwei Stunden, ein Maßnahmenplan mit Förderhinweisen, zur Hälfte bezuschusst. Die BSI-Auswertung von 600 Checks zeigt, wie nötig das ist: Im Schnitt sind nur knapp 56 Prozent der Grundanforderungen erfüllt. Wer den Check macht, die dringlichsten Maßnahmen umsetzt und dann erst den Versicherungsantrag stellt, dreht die übliche Reihenfolge vom Kopf auf die Füße: erst messen, dann absichern.
Häufige Fragen zum Cyber-Risiko-Check
Was kostet ein CyberRisikoCheck nach DIN SPEC 27076?
Eine amtliche Preisvorgabe gibt es nicht, jeder IT-Dienstleister kalkuliert selbst. Als Richtwert wird etwa ein Beratertag abgerechnet: ein bis zwei Stunden Interview plus Auswertung und Ergebnisgespräch. Laut Anbieterangaben beginnen Festpreise bei rund 500 Euro und reichen in den niedrigen vierstelligen Bereich. Dem stehen Zuschüsse gegenüber: Auf Bundesebene werden der CyberRisikoCheck und die anschließenden Handlungsempfehlungen laut BSI-Lagebericht 2025 mit 50 Prozent bezuschusst, in Nordrhein-Westfalen ebenfalls mit 50 Prozent. Der Ergebnisbericht selbst enthält zudem für jede nicht erfüllte Anforderung Hinweise auf passende Förderprogramme.
Ist der CyberRisikoCheck eine Zertifizierung?
Nein. Das BSI stellt ausdrücklich klar: Der CyberRisikoCheck ist keine IT-Sicherheitszertifizierung, sondern eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus. Sie erhalten eine Punktzahl, ein Spinnennetzdiagramm über sechs Themenbereiche und je nicht erfüllter Anforderung eine Handlungsempfehlung, nach Dringlichkeit sortiert. Wer ein zertifizierbares Managementsystem braucht, etwa wegen Kundenanforderungen oder NIS-2, landet beim BSI IT-Grundschutz oder bei ISO/IEC 27001. Für Unternehmen unter 50 Beschäftigten ist der Check laut BSI der passende Einstieg, weil die großen Rahmenwerke für diese Größenordnung nicht optimal geeignet sind.
Für welche Unternehmen ist der CyberRisikoCheck gedacht?
Für kleine und Kleinstunternehmen mit weniger als 50 Beschäftigten, typischerweise ohne eigene IT-Abteilung: Arztpraxen, Kanzleien, Handwerksbetriebe, kleine Dienstleister und Zulieferer. Genau für diese Gruppe wurde die DIN SPEC 27076 im Mai 2023 unter Leitung des BSI entwickelt, weil das IT-Grundschutz-Kompendium mit über 800 Seiten und die ISO 27001 solche Betriebe überfordern. Durchführen darf den Check jeder IT-Dienstleister, der die BSI-Schulung absolviert und die Qualifikationsnachweise erbracht hat. Das BSI führt eine Liste qualifizierter Dienstleister, die das offizielle Logo nutzen dürfen.
Was bringt der CyberRisikoCheck für die Cyberversicherung?
Der Check prüft weitgehend dieselben Maßnahmen, die Cyberversicherer voraussetzen. Die GDV-Musterbedingungen nennen als Basis eines angemessenen IT-Sicherheitsniveaus regelmäßige Datensicherungen, starke Passwörter, individuelle Zugänge, Virenscanner, Firewalls und zeitnah installierte Sicherheitsupdates. Die sechs Themenbereiche des CyberRisikoChecks decken diese Punkte ab. Wer den Ergebnisbericht vorliegen hat, kann die Risikofragen im Versicherungsantrag auf belastbarer Grundlage beantworten, statt sie auf gut Glück zu bejahen. Das senkt das Risiko einer Ablehnung des Antrags und im Schadenfall das Risiko von Leistungskürzungen wegen falscher Antragsangaben. Eine Garantie für die Annahme ist der Check aber nicht.
Reicht Ihre IT-Sicherheit für den Abschluss einer Cyberversicherung? Markus Kopka gleicht Ihren Stand mit den Risikofragen der Versicherer ab und findet den passenden Tarif. Kostenlos und unverbindlich.
Jetzt kostenlos beraten lassen →