Compliance-Lexikon

Annex A

Annex A der ISO 27001:2022 ist der Katalog von 93 Sicherheitscontrols in vier Themengruppen (organisatorisch, personell, physisch, technologisch), aus denen sich Organisationen risikobasiert bedienen.

Asset (Wert)

Ein Asset (deutsch: Wert) ist alles, was für eine Organisation schützenswert ist: Informationen, Hardware, Software, Dienste, aber auch Personen und Reputation.

Auftragsverarbeitungsvertrag (AVV)

Ein AVV ist der nach Art. 28 DSGVO vorgeschriebene Vertrag zwischen Verantwortlichem und Dienstleister, der die Verarbeitung personenbezogener Daten im Auftrag regelt.

Backup (Datensicherung)

Ein Backup ist eine Sicherungskopie von Daten und Systemen, die im Fall von Ausfall, Fehler oder Angriff (z.B. Ransomware) die Wiederherstellung ermöglicht.

Bedrohung

Eine Bedrohung ist ein mögliches Ereignis oder eine Handlung, die Informationen oder Systeme schädigen kann, etwa ein Cyberangriff, menschliches Versagen oder ein Naturereignis.

Brutto- und Nettorisiko

Das Bruttorisiko ist das Risiko ohne Schutzmaßnahmen, das Nettorisiko das verbleibende Restrisiko, nachdem die umgesetzten Controls wirken.

BSI IT-Grundschutz

Der BSI IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Methodik, die mit konkreten Bausteinen und Standardanforderungen den Aufbau eines ISMS in der Praxis unterstützt.

Business Continuity Management (BCM)

BCM (Notfall- und Kontinuitätsmanagement) sorgt dafür, dass kritische Geschäftsprozesse auch bei Störungen, Ausfällen oder Krisen aufrechterhalten oder schnell wiederhergestellt werden.

Control (Maßnahme)

Ein Control (deutsch: Maßnahme oder Kontrolle) ist eine konkrete Sicherheitsvorkehrung, die ein Risiko vermindert, etwa eine Zugriffsbeschränkung, Verschlüsselung oder ein Schulungsprozess.

Datenpanne (Datenschutzverletzung)

Eine Datenpanne ist eine Verletzung des Schutzes personenbezogener Daten, die zu deren Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung führt, etwa durch einen Hackerangriff oder Fehlversand.

Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist die nach Art. 35 DSGVO vorgeschriebene vorherige Risikobewertung für Verarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen.

DORA

DORA ist die EU-Verordnung zur digitalen operationalen Resilienz des Finanzsektors, die einheitliche Anforderungen an IKT-Risikomanagement, Vorfallmeldung, Tests und die Steuerung von IT-Drittdienstleistern festlegt.

DSGVO

Die DSGVO ist die EU-Verordnung zum Schutz personenbezogener Daten, die Grundsätze, Rechtsgrundlagen und Pflichten für die Verarbeitung festlegt und bei Verstößen hohe Bußgelder vorsieht.

EDR

EDR ist eine Endpunkt-Sicherheitslösung, die verdächtiges Verhalten auf Geräten in Echtzeit erkennt, untersucht und darauf reagiert, und damit über klassischen, signaturbasierten Virenschutz hinausgeht.

Gap-Analyse

Eine Gap-Analyse vergleicht den Ist-Zustand der Informationssicherheit mit den Anforderungen eines Standards und deckt die Lücken (Gaps) auf, die noch zu schließen sind.

Geltungsbereich (Scope)

Der Geltungsbereich (Scope) legt fest, welche Teile einer Organisation, welche Standorte, Prozesse und Systeme das ISMS abdeckt.

Härtung (Hardening)

Härtung ist die sichere Grundkonfiguration von Systemen, bei der unnötige Dienste, Standardpasswörter und überflüssige Funktionen entfernt werden, um die Angriffsfläche zu minimieren.

Informationssicherheitsbeauftragter (ISB)

Der Informationssicherheitsbeauftragte (ISB) ist die Rolle, die das ISMS koordiniert, die Leitung berät und die Umsetzung der Sicherheitsmaßnahmen überwacht.

Internes Audit

Ein internes Audit ist die regelmäßige, unabhängige Überprüfung, ob das ISMS die Anforderungen erfüllt und wirksam umgesetzt ist.

ISMS

Ein ISMS ist ein systematischer Rahmen aus Richtlinien, Prozessen und Maßnahmen, mit dem eine Organisation ihre Informationssicherheit steuert, überwacht und kontinuierlich verbessert.

ISO 27001

ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS) und definiert die Anforderungen, nach denen sich Organisationen zertifizieren lassen können.

KRITIS

KRITIS bezeichnet kritische Infrastrukturen, deren Ausfall die öffentliche Versorgung und Sicherheit erheblich beeinträchtigen würde, und die in Deutschland besonderen IT-Sicherheitspflichten unterliegen.

Least Privilege

Least Privilege (Prinzip der minimalen Rechte) bedeutet, dass jeder Nutzer und jedes System nur genau die Berechtigungen erhält, die für die jeweilige Aufgabe nötig sind, nicht mehr.

Logging & Monitoring

Logging ist das Aufzeichnen sicherheitsrelevanter Ereignisse, Monitoring deren aktive Auswertung auf Anomalien, zusammen bilden sie die Grundlage, um Angriffe zu erkennen und nachzuvollziehen.

Management-Review

Das Management-Review ist die regelmäßige, dokumentierte Bewertung des ISMS durch die oberste Leitung, um seine Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

Meldepflicht

Eine Meldepflicht verpflichtet Organisationen, bestimmte Sicherheitsvorfälle oder Datenpannen innerhalb festgelegter Fristen an Behörden und gegebenenfalls Betroffene zu melden.

Multi-Faktor-Authentifizierung (MFA)

MFA verlangt beim Login mindestens zwei unabhängige Nachweise aus den Kategorien Wissen (Passwort), Besitz (Token, App) und Inhärenz (Biometrie) und schützt so auch dann, wenn ein Passwort gestohlen wird.

Nachweis (Evidence)

Ein Nachweis (Evidence) ist ein dokumentierter Beleg dafür, dass eine Maßnahme tatsächlich umgesetzt ist und wirkt, etwa ein Protokoll, ein Screenshot, ein Zertifikat oder ein Bericht.

NIS2

NIS2 ist die EU-Richtlinie zur Cybersicherheit, die für Unternehmen in 18 kritischen Sektoren verbindliche Risikomanagement- und Meldepflichten einführt und in Deutschland über das BSIG umgesetzt wird.

Patch-Management

Patch-Management ist der Prozess, Sicherheitsupdates für Betriebssysteme und Software systematisch zu erkennen, zu bewerten und zeitnah einzuspielen, um bekannte Schwachstellen zu schließen.

PDCA-Zyklus

Der PDCA-Zyklus (Plan-Do-Check-Act) ist das Grundprinzip kontinuierlicher Verbesserung im ISMS: planen, umsetzen, überprüfen und auf Basis der Ergebnisse nachsteuern.

Penetrationstest

Ein Penetrationstest (Pentest) ist ein autorisierter, simulierter Angriff auf Systeme oder Anwendungen, um ausnutzbare Schwachstellen aufzudecken, bevor echte Angreifer sie finden.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, etwa Name, Adresse, E-Mail, IP-Adresse oder Standortdaten.

Phishing

Phishing ist ein Angriff, bei dem Täter über gefälschte E-Mails, Webseiten oder Nachrichten Zugangsdaten oder andere sensible Informationen erschleichen oder zum Ausführen von Schadsoftware verleiten.

Pseudonymisierung

Pseudonymisierung ist die Verarbeitung personenbezogener Daten so, dass sie ohne zusätzliche, gesondert aufbewahrte Informationen keiner bestimmten Person mehr zugeordnet werden können.

Ransomware

Ransomware ist Schadsoftware, die Daten oder Systeme verschlüsselt und für die Freigabe ein Lösegeld fordert, oft kombiniert mit der Drohung, gestohlene Daten zu veröffentlichen.

Richtlinie (Policy)

Eine Richtlinie (Policy) ist ein von der Leitung freigegebenes Dokument, das verbindliche Vorgaben und Verhaltensregeln für einen Bereich der Informationssicherheit festlegt.

Risiko

Ein Risiko in der Informationssicherheit ist die Kombination aus der Eintrittswahrscheinlichkeit eines Ereignisses und dem Schaden, den es für Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen verursachen würde.

Risikoakzeptanz

Risikoakzeptanz bedeutet, ein verbleibendes Restrisiko bewusst und dokumentiert hinzunehmen, weil es unterhalb der festgelegten Akzeptanzschwelle liegt oder eine weitere Behandlung unverhältnismäßig wäre.

Risikoanalyse

Die Risikoanalyse ist der Prozess, in dem Risiken systematisch identifiziert, hinsichtlich Eintrittswahrscheinlichkeit und Schadenshöhe bewertet und für die weitere Behandlung priorisiert werden.

Risikobehandlung

Die Risikobehandlung legt fest, wie mit einem bewerteten Risiko umgegangen wird: vermindern, vermeiden, übertragen (z.B. versichern) oder bewusst akzeptieren.

RTO & RPO

Die RTO ist die maximal tolerierbare Zeit bis zur Wiederherstellung eines Systems, die RPO der maximal tolerierbare Datenverlust, gemessen am Zeitraum seit der letzten Sicherung.

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung ermittelt, wie schützenswert eine Information oder ein System ist, gemessen an den möglichen Schäden bei Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit.

Schwachstelle

Eine Schwachstelle ist eine Lücke oder Schwäche in Systemen, Prozessen oder Organisation, die von einer Bedrohung ausgenutzt werden kann, etwa eine ungepatchte Software oder ein fehlendes Berechtigungskonzept.

Schwachstellenmanagement

Schwachstellenmanagement ist der fortlaufende Prozess, technische Schwachstellen zu erkennen, hinsichtlich ihres Risikos zu bewerten und risikobasiert zu beheben, etwa durch Patches oder Mitigationen.

Security Awareness

Security Awareness bezeichnet das Sicherheitsbewusstsein der Beschäftigten und die Maßnahmen, mit denen es durch Schulungen und Sensibilisierung gezielt aufgebaut und gepflegt wird.

SIEM

Ein SIEM sammelt und korreliert sicherheitsrelevante Logdaten aus verschiedenen Systemen zentral, um Angriffe und Anomalien zu erkennen und zu alarmieren.

SoA (Anwendbarkeitserklärung)

Die Anwendbarkeitserklärung (SoA) dokumentiert für jedes Annex-A-Control der ISO 27001, ob es anwendbar ist, wie es umgesetzt wird und warum nicht anwendbare Controls ausgeschlossen wurden.

Social Engineering

Social Engineering ist die Manipulation von Menschen, um sie zur Preisgabe vertraulicher Informationen oder zu sicherheitskritischen Handlungen zu bewegen, statt technische Schwachstellen anzugreifen.

Technische und organisatorische Maßnahmen (TOM)

TOM sind die technischen und organisatorischen Maßnahmen, mit denen ein Verantwortlicher nach DSGVO ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherstellt.

TISAX

TISAX ist der Prüf- und Austauschstandard für Informationssicherheit in der Automobilindustrie, der auf einem branchenspezifischen Katalog (VDA ISA) basiert und gegenseitig anerkannte Assessments ermöglicht.

Verschlüsselung

Verschlüsselung wandelt Daten mit einem kryptografischen Verfahren so um, dass sie nur mit dem passenden Schlüssel lesbar sind, und schützt damit Vertraulichkeit bei Speicherung und Übertragung.

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT ist das nach Art. 30 DSGVO verpflichtende Verzeichnis, das alle Verarbeitungen personenbezogener Daten mit Zweck, Rechtsgrundlage, Kategorien und Schutzmaßnahmen dokumentiert.

Zero Trust

Zero Trust ist ein Sicherheitsmodell nach dem Grundsatz „never trust, always verify“: Kein Nutzer und kein Gerät wird automatisch vertraut, jeder Zugriff wird kontextabhängig geprüft und autorisiert.