Stellen Sie sich vor, Sie leiten ein mittelständisches Unternehmen mit 80 Mitarbeitern. Sie wissen, dass IT-Sicherheit wichtig ist. Aber Sie haben keinen Chief Information Security Officer (CISO), kein Sicherheitsteam und ein IT-Budget, das gerade so für den laufenden Betrieb reicht. Dann kommt Ihr größter Kunde und verlangt im Rahmen eines Audits einen Nachweis über Ihre IT-Sicherheitsmaßnahmen. Oder die NIS2-Richtlinie klopft an Ihre Tür. Was tun?
Die Antwort vieler Berater lautet: ISO 27001, BSI-Grundschutz, umfassendes Information Security Management System (ISMS). Das ist nicht falsch – aber für viele kleine und mittlere Unternehmen (KMU) schlicht nicht realistisch. Zumindest nicht als erster Schritt. Genau hier kommt ein Konzept ins Spiel, das in den letzten Jahren zunehmend an Bedeutung gewonnen hat: Minimum Viable Security.