Audit
Systematische, unabhängige und dokumentierte Überprüfung, ob Prozesse, Richtlinien oder Systeme die festgelegten Anforderungen (z. B. ISO 27001, DSGVO) erfüllen.
Authentifizierung
Prüfung der Identität einer Person oder eines Systems, z. B. durch Passwort, Token oder biometrische Merkmale.
Autorisierung
Zuweisung von Rechten, um bestimmte Aktionen oder Datenzugriffe durchführen zu dürfen.
Backup
Kopie von Daten zur Wiederherstellung im Falle von Verlust oder Beschädigung (Datensicherung).
Bedrohung
Potenzielle Ursache für einen Sicherheitsvorfall, z. B. Hackerangriff, Malware, Hardwaredefekt.
Berechtigungskonzept
Regelwerk, das festlegt, wer im Unternehmen auf welche Daten oder Systeme zugreifen darf.
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Deutsche Behörde für Informationssicherheit, Herausgeber des IT-Grundschutzes.
Business Continuity Management (BCM)
Managementsystem zur Aufrechterhaltung geschäftskritischer Prozesse im Krisenfall.
Cloud Computing
Bereitstellung von IT-Ressourcen (Server, Speicher, Anwendungen) über das Internet.
Compliance
Einhaltung gesetzlicher, vertraglicher und unternehmensinterner Vorgaben.
Confidentiality (Vertraulichkeit)
Eines der drei Schutzziele der Informationssicherheit: Schutz vor unbefugtem Zugriff auf Informationen.
Consent (Einwilligung)
Zustimmung einer betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten gemäß DSGVO.
Datenschutz
Schutz personenbezogener Daten vor Missbrauch und unbefugtem Zugriff.
Datenschutzbeauftragter (DSB)
Person, die im Unternehmen die Einhaltung der Datenschutzvorschriften überwacht und berät.
Datenschutz-Folgenabschätzung (DSFA)
Bewertung, ob eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für Betroffene birgt.
Datenpanne
Verletzung des Schutzes personenbezogener Daten, die zur unbefugten Offenlegung, Änderung oder Löschung führt.
Datenverarbeitung
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erhebung, Speicherung, Nutzung).
Drittlandübermittlung
Übertragung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR.
Endpunkt-Sicherheit (Endpoint Security)
Schutz von Endgeräten (PCs, Laptops, Smartphones) vor Angriffen durch Sicherheitssoftware, Patches und Richtlinien.
Encryption (Verschlüsselung)
Technisches Verfahren, das Daten so umwandelt, dass sie nur mit einem Schlüssel lesbar sind.
Externer Dienstleister
Unternehmen, das im Auftrag personenbezogene Daten verarbeitet (Auftragsverarbeitung nach Art. 28 DSGVO).
Firewall
Sicherheitsbarriere zwischen Netzwerken, die unbefugten Datenverkehr blockiert.
Framework
Rahmenwerk von Anforderungen, z. B. ISO-Normen oder NIST-Framework.
Grundschutz (BSI IT-Grundschutz)
Standard des BSI zur Einführung und Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS).
Informationssicherheits-Managementsystem (ISMS)
Systematische Herangehensweise zur Steuerung und Verbesserung der Informationssicherheit eines Unternehmens gemäß ISO 27001 oder BSI-Grundschutz.
Integrity (Integrität)
Schutzziel der IT-Sicherheit: Sicherstellen, dass Daten und Systeme nicht unbemerkt verändert werden.
Incident Response
Prozess zur Erkennung, Bewertung und Behandlung von Sicherheitsvorfällen.
ISO 27001
Internationale Norm für Informationssicherheitsmanagementsysteme.
ISO 9001
Internationale Norm für Qualitätsmanagementsysteme.
ISO 31000
Norm für Risikomanagement, anwendbar auf Unternehmen jeder Größe.
KPI (Key Performance Indicator)
Kennzahl zur Bewertung der Wirksamkeit von Maßnahmen oder Prozessen in Managementsystemen.
Kryptografie
Wissenschaft der sicheren Informationsübertragung durch Verschlüsselung.
Least Privilege-Prinzip
Sicherheitsprinzip: Benutzer und Systeme erhalten nur die minimal notwendigen Rechte.
Logfile
Protokolldatei, die Systemereignisse, Zugriffe und Fehler dokumentiert.
Managementbewertung
Regelmäßige Bewertung des Managementsystems durch die oberste Leitung (Pflicht gemäß ISO-Normen).
Malware
Schädliche Software wie Viren, Trojaner oder Ransomware.
Multi-Faktor-Authentifizierung (MFA)
Authentifizierungsverfahren mit mindestens zwei unabhängigen Faktoren (z. B. Passwort + Token).
NIS2-Richtlinie
EU-Richtlinie zur Stärkung der Cybersicherheit, verpflichtet Unternehmen zu Sicherheits- und Meldepflichten.
Notfallmanagement
Gesamtheit von Maßnahmen zur Vorbereitung, Bewältigung und Nachbereitung von Notfällen.
Patch-Management
Verfahren zum Einspielen von Sicherheits- und Funktionsupdates auf Systemen.
Penetrationstest (Pentest)
Simulierter Angriff, um Sicherheitslücken zu identifizieren und zu bewerten.
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Privacy by Design / by Default
Datenschutzprinzipien, die sicherstellen, dass Systeme datenschutzfreundlich konzipiert und voreingestellt sind.
Risikomanagement
Prozess zur Identifikation, Bewertung und Steuerung von Risiken.
Ransomware
Schadsoftware, die Daten verschlüsselt und Lösegeld für deren Freigabe fordert.
Schutzziele der Informationssicherheit
Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade).
Security Information and Event Management (SIEM)
System zur Sammlung, Korrelation und Analyse von Sicherheitsereignissen in Echtzeit.
Technisch-organisatorische Maßnahmen (TOMs)
Maßnahmen gemäß Art. 32 DSGVO zur Sicherstellung eines angemessenen Schutzniveaus personenbezogener Daten.
Threat Intelligence
Informationen über aktuelle Bedrohungen, Angriffsmuster und Schwachstellen.
Verfügbarkeit
Sicherstellen, dass Daten und Systeme bei Bedarf zugänglich und funktionsfähig sind.
Verzeichnis von Verarbeitungstätigkeiten (VVT)
Pflichtdokumentation gemäß Art. 30 DSGVO über alle Prozesse, in denen personenbezogene Daten verarbeitet werden.
Vertraulichkeit
Schutz von Informationen vor unbefugtem Zugriff.
Zertifizierung
Formelle Bestätigung durch eine unabhängige Stelle, dass ein Managementsystem oder Produkt definierte Anforderungen erfüllt.
Zugangskontrolle
Technische und organisatorische Maßnahmen, um unbefugten Zutritt zu Datenverarbeitungssystemen zu verhindern.
Zwei-Faktor-Authentifizierung (2FA)
Authentifizierung mittels zwei verschiedenen Merkmalen, z. B. Passwort + Smartphone-App.