Was bringt mir der BSI Cyber-Risiko-Check wirklich?
·
Mai 2026
·
6 Min. Lesezeit
Kurz beantwortet
Der BSI Cyber-Risiko-Check nach DIN SPEC 27076 gibt Ihnen eine erste Standortbestimmung: Wo steht Ihre IT-Sicherheit, und wo sollten Sie nachbessern? Das ist ein brauchbarer Anfang — aber eben nur das. Er prüft in einem zweistündigen Interview grundlegende technische Maßnahmen. Was er naturgemäß nicht erfassen kann: Welche Abläufe halten Ihren Betrieb am Laufen? Was passiert, wenn trotzdem etwas ausfällt? Und haben Sie einen Plan dafür? Die eigentliche Arbeit beginnt nach dem Check.
Der BSI Cyber-Risiko-Check wurde als niedrigschwelliger Einstieg für Kleinstunternehmen und kleine Betriebe entwickelt — für Betriebe, die sich bisher wenig oder gar nicht systematisch mit IT-Sicherheit befasst haben. Das ist das erklärte Ziel, und als solches ist er durchaus sinnvoll.
Es lohnt sich aber, nüchtern zu schauen, was der Check tatsächlich liefert — und wo seine Grenzen liegen.
Was Sie vom Check bekommen
Der Check besteht aus einem Interview von rund zwei Stunden — in der Regel remote. Ein zertifizierter IT-Dienstleister stellt Ihnen Fragen zu sechs Themenbereichen: Organisation und Sensibilisierung, Identitäts- und Berechtigungsmanagement, Datensicherung, Patch- und Änderungsmanagement, Schutz vor Schadprogrammen und IT-Systeme und Netzwerke.
Sie erhalten danach einen Ergebnisbericht mit einem Risiko-Score und priorisierten Handlungsempfehlungen. Die sehen ungefähr so aus:
Beispiel aus einem realen Ergebnisbericht (gekürzt):
Organisation: „Die Geschäftsführung muss die Gesamtverantwortung für die Informationssicherheit übernehmen und das Thema in alle Abteilungen hineintragen.“
Datensicherung: „Sichern Sie Ihre Daten regelmäßig so, dass bei einem Datenverlust die Fortführung des Geschäftsbetriebs sichergestellt ist. Mindestens einmal wöchentlich.“
Updates: „Aktivieren Sie die automatischen Update-Funktionen Ihrer IT-Geräte und Software. Aktuelle Updates schließen bekanntgewordene Schwachstellen.“
Schadprogramme: „Das Ausführen von Makros muss standardmäßig deaktiviert sein. Makros können Schadsoftware enthalten.“
Das sind grundlegende, richtige Empfehlungen. Wenn Sie bisher im Blindflug unterwegs waren — keine regelmäßige Datensicherung, keine Updates, keine klaren Zuständigkeiten — dann gibt Ihnen der Check eine brauchbare Orientierung, wo Sie anfangen sollten. Die Empfehlungen sind öffentlich einsehbar, sodass Sie sich auch vor dem Check bereits informieren können, was empfohlen wird.
Was der Check naturgemäß leisten kann — und was eben auch noch fehlt
In zwei Stunden am Bildschirm lässt sich ein erster Eindruck gewinnen. Mehr aber auch noch nicht. Der Check fragt ab, ob grundlegende technische Maßnahmen vorhanden sind — Backup, Updates, Passwörter, Makros. Er kann in diesem Rahmen noch nicht beurteilen, wie Ihre Software und Ihre Abläufe zusammenhängen, ob Ihre Datensicherung im Ernstfall auch tatsächlich funktioniert, welche Abhängigkeiten von einzelnen Anbietern oder Personen bestehen und was passiert, wenn trotz aller Maßnahmen etwas ausfällt.
Der Check stellt auch keine Verbindung zur betriebswirtschaftlichen Wertschöpfung her. Er fragt, ob Sie ein Backup haben — aber eben noch nicht, ob Sie wissen, welche Abläufe für Ihren Umsatz entscheidend sind und wie lange Ihr Betrieb ohne diese Abläufe überleben kann.
Für Betriebe, die bereits ein Grundverständnis für IT-Sicherheit haben — die ihre Systeme aktuell halten, regelmäßig sichern und ein Bewusstsein für Phishing und ähnliche Risiken entwickelt haben — wird der Check wenig Überraschendes liefern. Die Empfehlungen bestätigen dann eher, was man ohnehin schon tut.
Zum Vergleich: Wie Österreich es macht
Ein Blick nach Österreich zeigt, wie so etwas auch aussehen kann. Dort gibt es das CyberRisk Rating des KSV1870, das auf dem Cyber Risk Schema des Kompetenzzentrum Sicheres Österreich (KSÖ) basiert. Es wurde von führenden Experten aus allen Sektoren der kritischen Infrastruktur entwickelt — und die österreichische NIS-Behörde hat es als Nachweis für Lieferantenrisiken anerkannt.
Das heißt: In Österreich kann ein Unternehmen der kritischen Infrastruktur von seinen Zulieferern ein CyberRisk Rating verlangen — und es hat einen konkreten wirtschaftlichen Wert, weil Geschäftsbeziehungen davon abhängen können. Der Score ist direkt mit der Bonität verknüpft. Cybersicherheit und Wirtschaftlichkeit gehören dort zusammen.
In Deutschland gibt es eine solche Verknüpfung bisher noch nicht in dieser Form. Der BSI-Check hat formal keinen verbindlichen Status in Geschäftsbeziehungen. Wenn ein Auftraggeber Sie nach Ihrem Sicherheitsstand fragt, können Sie den Check vorweisen — schaden wird es sicher nicht. Aber es ist noch kein Standard, den der Markt verlangt.
Wofür der Check gedacht war — und wofür eben noch nicht
Der BSI Cyber-Risiko-Check wurde als Orientierungshilfe entwickelt. Als erster Anstoß für Betriebe, die sich bisher kaum mit IT-Sicherheit befasst haben. Er sollte die Hürde senken und einen Einstieg bieten. Das tut er.
Was er konstruktionsbedingt noch offen lässt: den Schritt von „Welche technischen Maßnahmen habe ich?“ zu „Welche betrieblichen Risiken bestehen und wie bereite ich mich darauf vor?“ Das ist der Schritt, der für die meisten Betriebe den tatsächlichen Unterschied macht — zwischen einem Haken auf einer Liste und echter Handlungsfähigkeit im Ernstfall.
Wenn Sie den Check gemacht haben: Gut. Lesen Sie die Empfehlungen durch und setzen Sie um, was Sie umsetzen können. Und dann stellen Sie sich die Fragen, die der Check noch offen gelassen hat: Was hält meinen Betrieb am Laufen? Was passiert, wenn davon etwas ausfällt? Und habe ich einen Plan dafür?
Häufige Fragen
Ist der BSI-Check Pflicht für kleine Unternehmen?
Nein. Der Check ist freiwillig. Er kann aber sinnvoll sein, wenn ein Geschäftspartner nach Ihrem Sicherheitsstand fragt oder wenn Sie sich erstmals systematisch mit dem Thema befassen wollen. Manche Förderprogramme setzen den Check als Voraussetzung voraus.
Was kostet der BSI Cyber-Risiko-Check?
Die Kosten variieren je nach Anbieter, liegen aber typischerweise zwischen 500 und 1.500 Euro. Bei cyrinox ist der Check als optionaler Einstieg verfügbar — wir sind als BSI-gelisteter Dienstleister auf der CyberRisikoCheck-Plattform registriert.
Ersetzt der BSI-Check einen IT-Notfallplan?
Nein. Der Check erfasst Ihren aktuellen Stand und gibt Empfehlungen. Einen Notfallplan — wer tut was, wenn etwas ausfällt — erstellt er nicht. Ebenso wenig eine Übersicht, welche Abläufe von welcher Software abhängen oder wo personengebundenes Systemwissen den Betrieb gefährdet. Das sind die Schritte, die danach kommen.
cyrinox IT GmbH ist als zertifizierter Dienstleister für den BSI CyberRisikoCheck nach DIN SPEC 27076 registriert. Dieser Artikel gibt trotzdem eine ungeschönte Einordnung — weil ehrliche Information mehr wert ist als ein verkauftes Produkt.
Den Check gemacht? Dann geht es jetzt weiter.
Wir klären die Fragen, die nach dem Check offen bleiben: Welche Abläufe sind für Ihren Betrieb kritisch? Welche Software stützt sie? Was passiert bei einem Ausfall? Das Ergebnis ist eine dokumentierte Übersicht, die Ihnen hilft — als Steuerungsinstrument und als Nachweis Ihrer Sorgfaltspflicht.