Ist der BSI CyberRisikoCheck wirklich kostenlos?

Ja – für KMU mit weniger als 250 Mitarbeitern ist der CyberRisikoCheck im Rahmen des BSI-Förderprogramms vollständig kostenlos. Der Marktpreis bei privaten Anbietern liegt bei 800–1.200 €.

Wie lange dauert der CyberRisikoCheck?

Das strukturierte Interview dauert etwa 2 Stunden. Vom Erstgespräch bis zum fertigen Risikobericht vergehen typisch 1–2 Wochen.

Muss ich IT-Experte sein, um den CRC zu machen?

Nein. Das Interview richtet sich an Geschäftsführer und IT-Verantwortliche. Es sind keine technischen Vorkenntnisse erforderlich – unser Berater führt Sie durch alle Fragen.

BSI CyberRisikoCheck: Warum jedes KMU diesen kostenlosen Sicherheitsaudit machen sollte

Stellen Sie sich vor: Ein mittelständisches Büro, 18 Mitarbeitende, Kundendaten auf dem Server. Dann ein Montag, an dem plötzlich nichts mehr geht. Alle Dateien verschlüsselt, ein Erpresserschreiben auf dem Bildschirm. Ransomware.

Das passiert nicht nur Konzernen. Es passiert täglich kleinen Unternehmen in Deutschland – Handwerksbetrieben, Praxen, Steuerberatungsbüros, IT-Dienstleistern. Die wenigsten hatten vorher eine klare Antwort auf die Frage: Wie gut sind wir eigentlich geschützt?

Der BSI CyberRisikoCheck gibt genau diese Antwort – systematisch, verständlich und kostenlos.

Was ist der BSI CyberRisikoCheck?

Der CyberRisikoCheck (CRC) ist ein standardisiertes Verfahren des Bundesamts für Sicherheit in der Informationstechnik (BSI). Er basiert auf der DIN SPEC 27076, einer Norm speziell für kleine und mittlere Unternehmen.

Das Herzstück: Ein strukturiertes Interview, das 27 Handlungsfelder der IT-Sicherheit abdeckt – von Passwortschutz und Backup-Strategie über Netzwerksicherheit bis hin zur Notfallplanung. Am Ende erhalten Sie einen schriftlichen Risikobericht mit Ampelbewertung: Grün, Gelb, Rot – für jedes Feld.

Kein Fachjargon. Kein Techniktest. Nur ehrliche Fragen, ehrliche Antworten, und eine klare Übersicht, wo Sie stehen.

Warum jedes KMU diesen Audit machen sollte – auch ohne akuten Anlass

Viele Geschäftsführer sagen: „Bei uns ist noch nie was passiert.” Das ist gut. Es ist aber kein Beweis dafür, dass man sicher ist – es ist oft einfach nur Glück, oder die Angreifer haben noch nicht zugeschlagen.

Die Zahlen sind nüchtern:

Laut BSI-Lagebericht 2025 waren 73 % der deutschen Unternehmen in den letzten 24 Monaten von Cyberangriffen betroffen.
Kleine Unternehmen (1–50 Mitarbeitende) stellen eine besonders attraktive Zielgruppe dar – weniger Schutz, aber oft dieselben wertvollen Daten wie größere Unternehmen.
Der durchschnittliche Schaden eines erfolgreichen Angriffs auf ein KMU liegt zwischen 25.000 und 350.000 Euro – Betriebsausfall, Datenverlust und Reputationsschäden eingerechnet.
60 % der KMU, die einen schweren Cyberangriff erleiden, geben innerhalb von 18 Monaten auf.

Der CyberRisikoCheck hilft Ihnen, bevor etwas passiert. Er deckt Lücken auf, die Sie vielleicht schon ahnen – oder die Ihnen vollständig unbekannt sind.

Was geprüft wird: 27 Handlungsfelder

Das Interview deckt alle relevanten Bereiche ab:

Technische Basis: Passwortschutz, Zwei-Faktor-Authentifizierung, Software-Updates, Antivirenschutz, Firewall, WLAN-Absicherung, Verschlüsselung, VPN

Datensicherung und Notfall: Backup-Strategie, Notfallplanung, Wiederanlauf nach Ausfall, Meldepflichten (DSGVO)

Menschlicher Faktor: Sicherheitsbewusstsein der Mitarbeiter, Phishing-Schutz, E-Mail-Sicherheit, Rechteverwaltung

Organisation und Infrastruktur: Cloud-Nutzung, externe Dienste, physische Sicherheit, Benutzerrechte, Fernzugänge

Nach jedem Handlungsfeld erhalten Sie eine Bewertung:

🟢 Grün – gut aufgestellt, kein akuter Handlungsbedarf
🟡 Gelb – Verbesserungsbedarf, mittelfristig angehen
🔴 Rot – akutes Risiko, sofort handeln

So läuft der CRC beim IFCSD ab

Als offiziell zugelassener BSI-Partner führt das IFCSD den CyberRisikoCheck für Unternehmen in Sachsen-Anhalt und darüber hinaus durch – vollständig kostenlos.

Schritt 1: Anfrage Sie kontaktieren uns – per Formular, Telefon oder E-Mail. Kein Formular-Marathon, kein Vorab-Versprechen. Wir melden uns innerhalb von 24 Stunden.

Schritt 2: Strukturiertes Interview (~2 Stunden) Ein zertifizierter IFCSD-Berater führt das Interview – online via Video-Call oder persönlich in Magdeburg. Sie brauchen keine Vorbereitung. Der Berater führt Sie durch alle 27 Felder. Gesprächspartner ist idealerweise der Geschäftsführer oder der IT-Verantwortliche.

Schritt 3: Risikobericht Wir werten die Antworten aus und erstellen Ihren individuellen Bericht. Typisch 5–10 Seiten, mit Ampelbewertung und Erläuterungen zu jedem Handlungsfeld.

Schritt 4: Maßnahmenplan & Abschlussgespräch Im abschließenden Gespräch erläutern wir die Ergebnisse und zeigen priorisierte nächste Schritte. Auf Wunsch empfehlen wir geprüfte Servicepartner für die Umsetzung.

Wer ist berechtigt?

Der CyberRisikoCheck ist im BSI-Förderprogramm kostenlos für:

Unternehmen mit weniger als 250 Mitarbeitern
Jahresumsatz unter 50 Millionen Euro
Selbstständige, Freiberufler, Handwerk, Dienstleister, Handel, Gastronomie, Praxen

Kurz: Wenn Sie ein KMU sind, sind Sie sehr wahrscheinlich berechtigt. Im Zweifel fragen Sie uns einfach.

Was kostet es wirklich?

Nichts. Der Marktpreis für einen vergleichbaren Sicherheitsaudit bei privaten Anbietern liegt bei 800 bis 1.200 Euro. Das BSI übernimmt die Kosten für KMU vollständig – das IFCSD rechnet direkt mit dem BSI ab.

Warum nicht warten?

Es gibt keinen idealen Zeitpunkt für IT-Sicherheit. Den gibt es nie. Aber es gibt den falschen Zeitpunkt: nach einem Angriff.

Der BSI CyberRisikoCheck dauert einen Nachmittag Ihrer Zeit – und gibt Ihnen dafür eine klare Antwort auf eine der wichtigsten Fragen für Ihr Unternehmen: Wo sind wir verwundbar, und was müssen wir als erstes tun?

Kostenlos. Vertraulich. Ohne Verpflichtung zu weiteren Leistungen.

→ Jetzt kostenlosen CyberRisikoCheck anfragen

Das IFCSD ist offizieller BSI-Partner und führt den CyberRisikoCheck für KMU in Sachsen-Anhalt und bundesweit durch – online oder persönlich in Magdeburg.