Glossar: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{#seo:
[[Datei:File-cabinet-146156.png|alternativtext=Akten|rechts|160x160px|Image by OpenClipart-Vectors from Pixabay]] {{#seo:
|title=Glossar zur Informationssicherheit
|title=Glossar zur Informationssicherheit
|keywords= ISMS,Glossar,Abkürzungsverzeichnis,Synonyme,Informationssicherheit
|keywords= ISMS,Glossar,Abkürzungsverzeichnis,Synonyme,Informationssicherheit,BCM,Datenschutz,Risikomanagement
|description=Verzeichnis von Abkürzungen und Synonymen zur Informationssicherheit.
|description=Verzeichnis von Abkürzungen und Synonymen zur Informationssicherheit, Notfallmanagement (BCM) und Datenschutz.}}{{SHORTDESC:Verzeichnis der Abkürzungen und Synonyme zur Informationssicherheit}}
}}{{SHORTDESC:Verzeichnis der Abkürzungen und Synonyme zur Informationssicherheit}}
Das Glossar zur Informationssicherheit ist eine Sammlung von etwa 450 Begriffen und Definitionen, die häufig in der Informationssicherheit verwendet werden. Es dient als Nachschlagewerk, um Fachleuten und Interessierten klare und einheitliche Erklärungen zu bieten, was die Verständigung und Schulung in diesem komplexen Bereich erleichtert.
[[Datei:File-cabinet-146156.png|alternativtext=Akten|rechts|160x160px|Image by OpenClipart-Vectors from Pixabay]]
Das Glossar zur Informationssicherheit ist eine Sammlung von Begriffen und Definitionen, die häufig in der Informationssicherheit verwendet werden. Es dient als Nachschlagewerk, um Fachleuten und Interessierten klare und einheitliche Erklärungen zu bieten, was die Verständigung und Schulung in diesem komplexen Bereich erleichtert.


== Verzeichnis der Abkürzungen und Synonyme ==
== Verzeichnis der Abkürzungen und Synonyme ==


Zur Suche innerhalb des Verzeichnisses bitte die Suchfunktion des Browsers verwenden. ([STRG] + F).
Zur Suche innerhalb des Verzeichnisses bitte die Suchfunktion des Browsers verwenden. ([STRG] + F).
Die Spalten können durch einen Klick auf die Überschrift auf- und absteigend sortiert werden.
Die letzte Spalte definiert die Bereiche in denen die Abkürzung oder der Begriff Anwendung findet wie folgt:
'''IS'''=Informationssicherheit (organisatorisch); '''IT'''=Informationstechnik; '''DS'''=Datenschutz; '''ID'''=Industrielle IT; '''BC'''=Notfallmanagement (BCM); '''KI'''=Künstliche Intelligenz.
{| class="wikitable sortable"
{| class="wikitable sortable"
|+
|+
!Abkürzung/Begriff!!Erklärung
!Abkürzung/Begriff
|- style="vertical-align:top;"
!Erklärung
|Advisory || Sicherheitswarnung von Herstellern oder CERTs, die auf eine Schwachstelle oder Angriffsmöglichkeit bei einer Hard- oder Software hinweist.
!Bereich
|- style="vertical-align:top;"
|-
|ANSI || American National Standards Institute
|2FA
Die ANSI ([[https://www.ansi.org/]] ist ein privatwirtschaftliches Standardisierungsorgan der USA.
|Zwei-Faktor-Authentisierung. Ein Authentifizierungsverfahren, das zwei verschiedene Faktoren zur Verifizierung der Identität eines Benutzers erfordert.
|- style="vertical-align:top;"
|IS, IT
|ALG || Application Level Gateway
|-
Ein ALG (Sicherheitsgateway) trennt eine Verbindung zwischen Kommunikationspartnern wie ein Proxy netztechnisch auf und filtert diese auf Anwendungsebene.
|Advisory
|- style="vertical-align:top;"
|Sicherheitswarnung von Herstellern oder CERTs, die auf eine Schwachstelle oder Angriffsmöglichkeit bei einer Hard- oder Software hinweist.
|API || Application Programming Interface
|IS, IT
Eine API ist eine dokumentierte Software-Schnittstelle, mit deren Hilfe ein Software-System bestimmte Funktionen eines anderen Software-Systems nutzen kann.
|-
|- style="vertical-align:top;"
|Adware
|Authentifizierung || Die Authentifizierung bezeichnet den Vorgang, die Identität einer Person oder eines Rechnersystems an Hand eines bestimmten Merkmals zu überprüfen.
|Adware zeigt unerwünschte Werbung an und kann das Benutzererlebnis beeinträchtigen sowie potenziell schädliche Anzeigen einblenden.
|- style="vertical-align:top;"
|IT
|Authentizität || Nachweis über die Echtheit elektronischer Daten (auch Integrität) und die eindeutige Zuordnung zum Verfasser, Ersteller und/oder Absender.
|-
|- style="vertical-align:top;"
|AGV
|Autorisierung || Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.
|Automated Guided Vehicle: Automatisierte, führerlose Transportfahrzeuge in der Produktion
|- style="vertical-align:top;"
|ID, IT
|BCM
|-
BCMS
|AI Act
| Business Continuity Management
|EU‑Verordnung zur Regulierung von KI‑Systemen, die Anforderungen an Sicherheit, Transparenz und Risikomanagement festlegt.
Business Continuity Management System
|KI, IS
BCM bezeichnet alle organisatorischen, technischen und personellen Maßnahmen, die zur Fortführung der Geschäftsprozesse einer Institution nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen. Das BCMS ist das dafür nötige Managementsystem,
|-
|- style="vertical-align:top;"
|AI KI
|BIA || Business Impact Analyse
|Künstliche Intelligenz (KI) bezieht sich auf die Simulation menschlicher Intelligenzprozesse …
Eine Analyse zur Ermittlung von potentiellen direkten und indirekten Folgeschäden für eine Institution, die durch einen Ausfall eines oder mehrerer Geschäftsprozesse verursacht werden.
|KI, IT
|- style="vertical-align:top;"
|-
|Biometrie || Biometrie ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale um die Person eindeutig zu authentisieren (z.B. Iris, Fingerabdruck, Gesichtsproportionen, Stimme).
|ALG
|- style="vertical-align:top;"
|Application Level Gateway trennt eine Verbindung netztechnisch und filtert auf Anwendungsebene
|BNetzA || Bundesnetzagentur
|IS, IT
Regulierungsbehörde für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, sowie Zertifizierungsstelle nach dem Signaturgesetz.
|-
|- style="vertical-align:top;"
|Anforderung
|Bot<br>Botnet<br>Bot-Netz || Ein Bot-Netz besteht aus sehr vielen PCs, die nach erfolgreichem Angriff (Installation des Bot) ferngesteuert und so missbraucht werden. (z.B. zum Spamversand oder für verteilte Angriffe (DDoS).
|Erwartung an Organisation, Prozesse oder Technik, die erfüllt sein muss oder sollte, um ein angemessenes Sicherheitsniveau zu erreichen. Anforderungen können aus Normen, Gesetzen, Verträgen, internen Regelwerken oder Risikobetrachtungen abgeleitet werden.
|- style="vertical-align:top;"
|IS
|Brute-Force-Angriff || Ein Angriff bei dem durch massives Ausprobieren aller Möglichkeiten, versucht wird Passworte zu erraten oder Verschlüsselungen zu brechen.
|-
|- style="vertical-align:top;"
|Anforderungspaket
|BO || Buffer Overflow
|Gesamtheit aller für einen Informationsverbund bzw. Geltungsbereich modellierten Anforderungen (ISMS‑Anforderungen, objektbezogene Anforderungen, zusätzliche gesetzliche/vertragliche und risikobasierte Anforderungen). Dieses Konzept wird in dieser Form als Kernelement der Methodik im Grundschutz++ verwendet.
Ein Pufferüberlauf (auch Stapel- oder Speicherüberlauf) ist eine häufige Sicherheitslücke in Programmen. Angreifer können dadurch Teile des laufenden Programms überschreiben, so dass dies entweder abstürzt oder gezwungen wird, Aktionen des Angreifers auszuführen.
|IS
|- style="vertical-align:top;"
|-
|BSC || Basis-Sicherheits-Check (alt)
|Anonymisierung
Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Maßnahmen in einer Organisation bereits umgesetzt sind und welche grundlegenden Sicherheitsmaßnahmen noch fehlen. (gem. BSI Standard 100-und Grundschutz Kataloge – nicht mehr gütig)
|Veränderung von Daten, sodass eine Identifizierung der Person nicht mehr möglich ist.
|- style="vertical-align:top;"
|DS
|BSI || Bundesamt für Sicherheit in der Informationstechnik
|-
Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.
|ANSI
|- style="vertical-align:top;"
|American National Standards Institute – ein privatwirtschaftliches Standardisierungsorgan der USA
|CRL || Certificate Revocation List (Sperrlisten)
|IT
Liste gesperrter und widerrufener Zertifikate.
|-
|- style="vertical-align:top;"
|AP
|CA || Certification Authority (Zertifizierungsinstanz)
|Assessment Plan: Bewertungsplan für Audits und Tests (Syn.: Assessment-Plan)
Eine Zertifizierungsstelle (CA) hat die Aufgabe digitalen Zertifikate herauszugeben und zu überprüfen. Sie trägt dabei die Verantwortung für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate.
|IS
|- style="vertical-align:top;"
|-
|CC || Common Criteria (Common Criteria for Information Technology Security Evaluation)
|API
Ein internationaler Standard (ISO 15408) für die Bewertung und Zertifizierung der Sicherheit von Computersystemen. Es gibt verschiedene Vertrauenswürdigkeitsstufen (Evaluation Assurance Level), von Stufen "EAL1" (funktionell getestet) bis "EAL7" (formal verifizierter Entwurf und getestet),
|Application Programming Interface dokumentierte Software-Schnittstelle
|- style="vertical-align:top;"
|IT
|CERT<br>CSIRT || Computer Emergency Response Team<br>Computer Security Incident Response Team
|-
Ein Team von Sicherheitsexperten und IT-Fachleuten zur Sammlung, Bewertung und Verteilung von Warnmeldungen von Sicherheitslücken und zur Koordination und Management von kritischen Sicherheitsvorfällen.
|APT
|- style="vertical-align:top;"
|Advanced Persistent Threat – langandauernde, zielgerichtete Cyberangriffskampagne
|DIN ||
|IS, IT
Deutsches Institut für Normung
|-
Das Deutsche Institut für Normung e. V. ist eine nationale Normungsorganisation in der Bundesrepublik Deutschland.
|AR
|Assessment Results: Bewertungsergebnisse mit Findings und Evidenz (Syn.: Assessment-Results)
|IS
|-
|Asset
|Objekt oder Ressource (z.B. Information, System, Anwendung, Gerät, Dienstleistung, Raum, Mitarbeitende), das bzw. die einen Wert für die Organisation hat und deren Beeinträchtigung die Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) beeinflussen kann.
|IS, IT
|-
|Audit
|Prüfung der Einhaltung von Standards, Richtlinien und Regelungen.
|IS, IT, DS
|-
|Aufsichtsbehörde
|Staatliche Behörde zur Überwachung der Einhaltung und Durchsetzung von Sicherheits- oder Datenschutzvorschriften.
|IS, DS, KI
|-
|Auftragsverarbeiter
|Dritter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
|DS
|-
|Authentifizierung
|Vorgang zur Überprüfung der Identität einer Person oder eines Systems
|IS, IT
|-
|Authentizität
|Nachweis über die Echtheit elektronischer Daten und deren Zuordnung zum Verfasser
|IS, IT
|-
|Autorisierung
|Prüfung, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer Aktion berechtigt ist
|IS, IT
|-
|AVV
|Auftragsverarbeitungsvertrag, der den Umgang mit personenbezogenen Daten im Einklang mit der DSGVO regelt
|DS
|-
|Backdoor
|Versteckte Möglichkeit, Zugang zu einem Computersystem zu erhalten, oft für böswillige Zwecke
|IS, IT
|-
|BCM BCMS
|Business Continuity Management Maßnahmen zur Fortführung der Geschäftsprozesse nach einem Notfall
|BC
|-
|BDBOS
|"Bundesanstalt für den Digitalfunk der Behörden und Organisationen" – koordiniert den Digitalfunk im Bereich öffentliche Sicherheit
|IS
|-
|BDSG
|Bundesdatenschutzgesetz, regelt Datenschutz national in Deutschland und ergänzt die DSGVO.
|DS
|-
|Betroffene Person
|Natürliche Person, deren Daten verarbeitet werden.
|DS
|-
|Betroffenenrechte
|Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Widerspruch).
|DS
|-
|BIA
|Business Impact Analyse Analyse zur Ermittlung potentieller Folgeschäden durch Ausfall von Geschäftsprozessen
|BC, IS
|-
|Bias
|Bias (Daten-Bias) bezeichnet eine systematische Verzerrung oder Voreingenommenheit in statistischen oder KI-Daten, die zu einer fehlerhaften Wahrnehmung, Bewertung oder Entscheidungsfindung führt.
|KI, IT
|-
|Big Data
|Verarbeitung und Analyse extrem großer, komplexer Datenmengen
|IT
|-
|Biometrie
|Automatisierte Erkennung von Personen anhand körperlicher Merkmale
|IS, IT
|-
|Block Storage
|Speichersystem, bei dem Daten in Blöcken organisiert werden
|IT
|-
|Blockchain
|Dezentrale und verteilte digitale Ledger-Technologie
|IT
|-
|Blue Teaming
|Sicherheitskräfte, die ein Unternehmen gegen Cyberangriffe verteidigen
|IS, IT
|-
|BNetzA
|Bundesnetzagentur – Regulierungsbehörde u. Zertifizierungsstelle
|IS
|-
|BO
|Buffer Overflow – Sicherheitslücke durch Überschreiben von Speicherbereichen
|IS, IT
|-
|BOS
|Behörden und Organisationen mit Sicherheitsaufgaben
|IS
|-
|Bot/Botnet/Bot-Netz
|Ein Bot-Netz aus vielen infizierten PCs (Bot), die ferngesteuert werden
|IS, IT
|-
|Brute-Force-Angriff
|Angriff durch massives Ausprobieren von Möglichkeiten zum Erraten von Passwörtern
|IS, IT
|-
|BSC
|Basis-Sicherheits-Check – Überprüfung der Umsetzung von IT-Grundschutz-Maßnahmen
|IS
|-
|BSI
|Bundesamt für Sicherheit in der Informationstechnik – nationale Cyber-Sicherheitsbehörde
|IS
|-
|BYOD
|Bring Your Own Device – Nutzung eigener mobiler Geräte im beruflichen Kontext
|IS, IT
|-
|CA
|Certification Authority – Zertifizierungsinstanz für digitale Zertifikate
|IS, IT
|-
|CASB
|Cloud Access Security Broker – Sicherheitskomponente zwischen Nutzenden und Cloud-Diensten zur Durchsetzung von Richtlinien, Sichtbarkeit von Cloud-Nutzung und Schutz sensibler Daten.
|IS, IT
|-
|CC
|Common Criteria – internationaler Standard für IT-Sicherheitsbewertungen
|IS
|-
|CERT
CSIRT
|Computer Emergency Response Team / Computer Security Incident Response Team – Team zur Koordination bei Sicherheitsvorfällen
|IS
|-
|CIA
|Steht für Confidentiality, Integrity und Availability – Grundwerte der Informationssicherheit
|IS
|-
|CICD
CI/CD
|Continuous Integration/Continuous Deployment – Methode der kontinuierlichen Integration und Bereitstellung von Codeänderungen
|IT
|-
|CISO
CSO
|Chief Information Security Officer
Chief Security Officer
|IS
|-
|Cloud
|Cloud Computing – Bereitstellung von IT-Ressourcen über das Internet
|IT
|-
|CNAPP
|Cloud-Native Application Protection Platform – Lösung zum Schutz von cloud-nativen Anwendungen
|IS, IT
|-
|CNN
|Convolutional Neural Network – Neuronales Netz, das besonders für die Bildverarbeitung geeignet ist.
|KI, IT
|-
|Compliance
|Einhaltung gesetzlicher, regulatorischer, vertraglicher und interner Vorgaben im Rahmen des Managementsystems für Informationssicherheit. Dazu gehören z.B. Normen, Gesetze, Verordnungen, Verträge und interne Richtlinien.
|IS
|-
|Computer Vision
|Teilgebiet der KI, das sich mit der automatischen Bildanalyse und -verarbeitung befasst.
|KI, IT
|-
|Container Security
|Sicherheitsmaßnahmen zum Schutz containerisierter Anwendungen, Images, Registries und Laufzeitumgebungen.
|IS, IT
|-
|CPS
|Cyber-Physical Systems – Integration von Informatik, Netzwerktechnik und physikalischen Prozessen
|ID, IT
|-
|CRL
|Certificate Revocation List Liste gesperrter und widerrufener Zertifikate
|IS, IT
|-
|CSP
|Cloud Service Provider – Anbieter von Cloud-Diensten
|IT
|-
|CSPM
|Cloud Security Posture Management – Überwachung und Korrektur von Fehlkonfigurationen in Cloud-Umgebungen
|IS, IT
|-
|CVE
|Common Vulnerabilities and Exposures – Verzeichnis öffentlich zugänglicher Sicherheitslücken
|IS, IT
|-
|CWPP
|Cloud Workload Protection Platform – Sicherheitsplattform für Workloads in Cloud-Umgebungen
|IS, IT
|-
|Cyber-Risiko-Check (CRC)
|Systematisches Verfahren zur Identifikation und Bewertung von IT-bezogenen Risiken
|IS
|-
|Cybersecurity
|Umfasst Maßnahmen, Technologien und Prozesse zum Schutz von Netzwerken, Systemen und Daten
|IS, IT
|-
|Data Drift
|Veränderung der Eingabedatenverteilung, die zu abweichenden oder schlechteren Modellergebnissen führen kann.
|KI, IS
|-
|Data Governance (KI)
|Festlegung von Verantwortlichkeiten, Regeln und Prozessen für die Nutzung, Qualität, Herkunft und Sicherheit von Daten, die für Training und Betrieb von KI-Systemen verwendet werden.
|KI, IS, DS
|-
|Data Protection Officer (DPO)
|Englischer Begriff für Datenschutzbeauftragte (DSB).
|DS
|-
|Datenleck
|Unbeabsichtigte Offenlegung von personenbezogenen Daten.
|DS, IS
|-
|Datenminimierung
|Verarbeitung nur der notwendigen personenbezogenen Daten.
|DS
|-
|Datenportabilität
|Recht der Betroffenen, Daten in maschinenlesbarer Form zu erhalten.
|DS
|-
|Datenschutz-Impact-Assessment (DPIA)
|Dokumentierte Risikoanalyse der Datenverarbeitung. Synonym für DSFA.
|DS
|-
|Datenschutzgrundsätze
|Prinzipien der DSGVO wie Rechtmäßigkeit, Zweckbindung und Transparenz.
|DS
|-
|Datenschutzmanagement
|Steuerung aller Datenschutzmaßnahmen in einer Organisation.
|DS
|-
|Datenschutzorganisation
|Struktur in Unternehmen zur Umsetzung der Datenschutzvorgaben.
|DS
|-
|Datenschutzrichtlinie
|Interne oder externe Vorgabe für den Datenschutz.
|DS
|-
|Datenschutzrisiko
|Gefahr für Rechte und Freiheiten der Betroffenen durch Datenverarbeitung.
|DS
|-
|Datenschutzverletzung
|Verstoß gegen Datenschutzvorschriften oder unbefugter Zugriff auf personenbezogene Daten.
|DS
|-
|Datensicherheit
|Maßnahmen zum Schutz der Daten vor unbefugtem Zugriff, Verlust oder Zerstörung.
|DS
|-
|Datentransparenz
|Information der Betroffenen über die Datenverarbeitung.
|DS
|-
|Datenübermittlung
|Weitergabe personenbezogener Daten an Dritte oder in Drittstaaten.
|DS
|-
|DCS
|Distributed Control System – Verteiltes Steuerungssystem für industrielle Anlagen
|ID, IT
|-
|Degaussing
|Methode zur Unlesbarmachung von Daten auf magnetischen Speichermedien durch starke Magnetfelder
|IT
|-
|DevSecOps
|Ansatz zur Integration von Sicherheitspraktiken in den Softwareentwicklungs- und Betriebsprozess
|IS, IT
|-
|Digitale Zwillinge
|Virtuelle Abbilder physischer Anlagen zur Simulation und Optimierung
|ID, IT
|-
|DIN
|Deutsches Institut für Normung – nationale Normungsorganisation
|IT
|-
|Direktmarketing
|Werbung, die direkt an Betroffene gerichtet ist.
|DS
|-
|Disaster Recovery
|Strategien und Prozesse zur Wiederherstellung eines IT-Systems nach einem Ausfall oder Angriff
|BC
|-
|-
|DKIM
|DKIM
|DomainKeys Identified Mail
|DomainKeys Identified Mail E-Mail-Authentifizierungsstandard
Ein E-Mail-Authentifizierungsstandard, der es ermöglicht, den Absender einer E-Mail-Nachricht zu überprüfen und sicherzustellen, dass die Nachricht während der Übertragung nicht verändert wurde.
|IS, IT
|-
|DL
|Deep Learning – Unterkategorie des maschinellen Lernens, basierend auf künstlichen neuronalen Netzen mit mehreren Schichten.
|KI, IT
|-
|DLP
|Data Loss Prevention – Maßnahmen zur Verhinderung des Verlusts oder der unbefugten Weitergabe sensibler Daten
|DS, IS
|-
|-
|DMARC
|DMARC
|Domain-based Message Authentication, Reporting, and Conformance ([[DMARC]])
|Domain-based Message Authentication, Reporting, and Conformance E-Mail-Authentifizierungsprotokoll
Ein E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofing zu verhindern. Es baut auf den bestehenden Technologien SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail)
|IS, IT
|- style="vertical-align:top;"
|-
|DMZ || Demilitarisierte Zone
|DMZ
Ein Netzbereich mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die darin betriebenen Server.
|Demilitarisierte Zone – Netzsegment mit kontrolliertem Zugriff
|- style="vertical-align:top;"
|IS, IT
|DN || Distinguished Name
|-
Der DN bezeichnet den Pfad von einem Verzeichniseintrag zum Wurzelknoten, so dass durch den DN alle Einträge in einem X.500-Verzeichnis eindeutig adressiert werden können. (z.B. C=//Land//; O=//Firma//; OU=//Abteilung//; CN=//Name//).
|DN
|- style="vertical-align:top;"
|Distinguished Name – Eindeutige Adressierung in Verzeichnisdiensten
|DoS<br>DDoS || Denial-of-Service<br>Distributed Denial-of-Service
|IT
Angriff, bei dem ein IT-System (i.d.R. von Außen) lahmgelegt werden soll. Bei verteilten Angriffen (DDoS) werden Bot-Netze eingesetzt, so dass die Angriffe von verschiedenen Quellen und mit stärkerer Bandbreite erfolgen.
|-
|- style="vertical-align:top;"
|DoS/DDoS
|DSB<br>bDSB || Datenschutzbeauftragter<br>betrieblicher/behördlicher Datenschutzbeauftragter
|Denial-of-Service / Distributed Denial-of-Service – Angriffe zur Lahmlegung von IT-Systemen
DSB bezeichnet die Aufsichtsbehörde (Bund oder Land), wird aber häufig auch für den bDSB (Datenschutzbeauftragten einer Institution). verwendet.
|IS, IT
|- style="vertical-align:top;"
|-
|ERP || Enterprise-Ressource-Planning
|DPIA
ERP bedeutet die vorhandenen Ressourcen (z.B. Kapital, Personal, Betriebsmittel) möglichst effizient für den betrieblichen Ablauf einzuplanen und dadurch Geschäftsprozesse zu optimieren.
|Data Protection Impact Assessment – Datenschutz-Folgenabschätzung gemäß DSGVO
|- style="vertical-align:top;"
|DS
|Gefährdung || BSI: Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. (vergl. Risiko).
|-
|- style="vertical-align:top;"
|Drittland
|GSC || GrundSchutz-Check
|Staat außerhalb der EU oder des EWR mit abweichenden Datenschutzregeln.
Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz definierten Anforderungen in einer Organisation bereits erfüllt sind und welche grundlegenden Anforderungen noch nicht erfüllt sind.
|DS
|- style="vertical-align:top;"
|-
|Honeypot || Zusätzlich aufgestellte, nicht produktiv genutzte Systeme, die Angreifern ein "schmackhaftes" Angriffsziel bieten. Diese werden besonders überwacht, um Angriffe auf ein Netzwerk zu erkennen und zu protokollieren.
|Drive-by-Download
|- style="vertical-align:top;"
|Methode, bei der Malware automatisch beim Besuch einer infizierten Website heruntergeladen wird
|HSM || Hardware Security Modul
|IS, IT
Ein HSM ist eine speziell gehärtete Hardware-Appliance, zur Erzeugung, Aufbewahrung und Verarbeitung kryptographischer Schlüssel.
|-
|- style="vertical-align:top;"
|DSB/bDSB
|Hashwert<br>Hashfunktion || Ein Hashwert ist eine mathematische Prüfsumme, die durch Anwendung einer Hashfunktion aus einer elektronischen Nachricht erzeugt wird.
|Datenschutzbeauftragter bzw. betrieblicher/behördlicher Datenschutzbeauftragter
|- style="vertical-align:top;"
|DS, IS
|HTTP || Hypertext Transport Protocol
|-
HTTP ist ein TCP-Protokoll zur Übertragung von Daten, und die Basis des World Wide Web (WWW) [RFC1945, RFC2616]
|DSFA
|Datenschutz-Folgenabschätzung – Prozess zur Bewertung der Risiken bei der Verarbeitung personenbezogener Daten
|DS
|-
|DSGVO
|Datenschutz-Grundverordnung der EU, einheitliche Rechtsgrundlage für Datenschutz seit 2018 in der EU.
|DS
|-
|Edge Computing
|Dezentrale Datenverarbeitung am Netzwerkrand zur Reduzierung von Latenz und Bandbreitenbedarf
|IT
|-
|EDR
|Endpoint Detection and Response – sicherheitsorientierte Überwachung und Analyse von Endgeräten mit Fokus auf Erkennung, Untersuchung und Reaktion auf Angriffe jenseits klassischer Virenscanner.
|IS, IT
|-
|Einwilligung
|Freiwillige, informierte Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten.
|DS
|-
|Einwilligungserklärung
|Schriftliche Zustimmung der betroffenen Person.
|DS
|-
|Einwilligungswiderruf
|Recht der Betroffenen, ihre Zustimmung zu widerrufen.
|DS
|-
|EPP
|Endpoint Protection Platform – Lösung zum Schutz von Endgeräten
|IS, IT
|-
|Ereignis
|Sicherheitsrelevanter Zustand oder Auslöser, der eine Handlung notwendig macht (z.B. Inbetriebnahme, Änderung, Vorfall). Ereignisse werden häufig in Anforderungen beschrieben, um Situationen und Auslöser für Maßnahmen zu definieren.
|IS
|-
|ERP
|Enterprise-Ressource-Planning – Optimierung betrieblicher Abläufe durch Planung vorhandener Ressourcen
|IT
|-
|Exploit
|Methode oder Software, die Schwachstellen in einem System ausnutzt
|IS, IT
|-
|FaaS
|Function as a Service – Cloud-Computing-Modell zur Ausführung von Code ohne Infrastrukturmanagement
|IT
|-
|Federated Learning
|Verteiltes maschinelles Lernen, bei dem Daten lokal verbleiben und nicht zentralisiert werden müssen.
|KI, IT, DS
|-
|FedRAMP
|Federal Risk and Authorization Management Program: US-Cloud-Compliance-Programm mit OSCAL
|IS
|-
|FIDO2
|Fast Identity Online 2 – Authentifizierungsstandard, oft unter Einsatz biometrischer Daten
|IS, IT
|-
|File Storage
|Methode zur Speicherung von Daten in einem hierarchischen Dateisystem
|IT
|-
|Firmware Security
|Schutz von BIOS/UEFI und anderer Firmware vor Manipulation, Schwachstellen und unbefugten Änderungen.
|IS, IT
|-
|GAN
|Generative Adversarial Network – KI-Architektur, bei der zwei neuronale Netze gegeneinander arbeiten.
|KI, IT
|-
|GDPR
|General Data Protection Regulation, englische Bezeichnung für die DSGVO.
|DS
|-
|Gefährdung
|Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt (BSI-Definition)
|IS
|-
|Geschäftsprozess
|Fachliche Abfolge von Tätigkeiten zur Erbringung von Leistungen oder zur Erfüllung gesetzlicher Aufgaben. Geschäftsprozesse sind häufig Ausgangspunkt für die Betrachtung von Informationswerten, Schutzbedarf und Risiken.
|IS
|-
|Grundschutz++ (GS++)
|Objektorientierte Weiterentwicklung des BSI IT‑Grundschutzes. Der Begriff bezeichnet explizit das GS++‑Modell, das das Bausteinmodell in ein digitales Modell aus Praktiken, Zielobjektkategorien und Assets überführt und in einen fünfstufigen PDCA‑basierten Sicherheitsprozess einbettet.
|IS
|-
|GSC
|GrundSchutz-Check – Überprüfung der Umsetzung von IT-Grundschutz-Anforderungen
|IS
|-
|Halluzination
|Phänomen bei KI-Modellen, insbesondere LLMs, bei dem scheinbar plausible, aber faktisch falsche oder frei erfundene Informationen ausgegeben werden, ohne dass das Modell seine Unsicherheit kenntlich macht.
|KI, IS
|-
|Handlungswort
|Verb in Anforderungen bzw. Satzschablonen, das die Art der geforderten Aktion beschreibt (z.B. protokollieren, prüfen, freigeben). Der Begriff „Handlungswort“ wird in dieser technisch‑methodischen Bedeutung speziell im Rahmen der GS++‑Satzschablonen verwendet.
|IS
|-
|Hashwert
Hashfunktion
|Mathematische Prüfsumme, erzeugt durch Anwendung einer Hashfunktion
|IS, IT
|-
|HIPAA
|Health Insurance Portability and Accountability Act – US-Gesetz zum Schutz sensibler Patientendaten
|DS, IT
|-
|HMI
|Human Machine Interface – Schnittstelle zwischen Mensch und Maschine in industriellen Systemen
|ID, IT
|-
|Honeypot
|Nicht produktiv genutztes, speziell aufgestelltes System, um Angriffe zu erkennen
|IS, IT
|-
|HSM
|Hardware Security Modul speziell gehärtete Appliance zur Handhabung kryptographischer Schlüssel
|IS, IT
|-
|HTTP
|Hypertext Transport Protocol Protokoll für die Datenübertragung im WWW
|IT
|-
|-
|HTTPS
|HTTPS
|Hypertext Transfer Protocol Secure
|Hypertext Transfer Protocol Secure – Verschlüsselte und authentifizierte Version von HTTP
Eine sichere Version von HTTP, die Daten durch Verschlüsselung schützt und die Authentizität sowie Integrität der Kommunikation zwischen Browser und Website gewährleistet [RFC 2818].
|IS, IT
|- style="vertical-align:top;"
|-
|ITSEC || Information Technology Security Evaluation Criteria
|IaaS
Ein europäischer Standard für die Prüfung und Zertifizierung von Systemen im Hinblick auf ihre Vertrauenswürdigkeit. Die Zertifizierung erfolgt in Evaluationsstufen (E1 bis E6).
|Infrastructure as a Service – Bereitstellung von IT-Ressourcen wie virtuellen Maschinen
|- style="vertical-align:top;"
|IT
|IDS || Intrusion Detection System
|-
Hard- und Software, zur Überwachung von Rechnern oder Netzen um Angriffe durch Vergleich mit gespeicherten Angriffsmustern zu erkennt.
|IaC
|- style="vertical-align:top;"
|Infrastructure as Code – Verwaltung und Bereitstellung von Infrastruktur über deklarativen Code statt manuelle Konfiguration.
|ISMS || Informations-Sicherheits-Management-System
|IT, IS
Ein ISMS beinhaltet die Definition von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
|-
|- style="vertical-align:top;"
|IAM
|ISO || International Organization for Standardization
|Identity and Access Management – Verwaltung von Benutzeridentitäten und Zugriffsrechten
Die ISO ([[https://www.iso.org/]]) ist eine internationale Vereinigung landesspezifischer Standardisierungsgremien (z.B. das DIN für Deutschland). Sie verabschiedet internationale Standards in allen technischen Bereichen.
|IS, IT
|- style="vertical-align:top;"
|-
|IETF || Internet Engineering Task Force
|ICS
Die IETF ist eine internationale Gemeinschaft, die sich um den reibungslosen Betrieb und die Weiterentwicklung der Internet-Architektur bemüht.
|Industrial Control System – Oberbegriff für Steuerungssysteme in industriellen Umgebungen
Die in der IETF entwickelten Standards und Empfehlungen werden als Request for Comments (RFC) unter [[https://www.ietf.org/]] veröffentlicht.
|ID, IT
|- style="vertical-align:top;"
|-
|IT-Verbund<br>Informationsverbund<br>Scope || Die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
|IDS
|- style="vertical-align:top;"
|Intrusion Detection System – Überwachungssystem zur Erkennung von Angriffen
|Integrität || Bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.
|IS, IT
|- style="vertical-align:top;"
|-
|IT-Grundschutz || Bezeichnet eine Methodik des BSI zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von Informationsverbünden über Standard-Sicherheitsmaßnahmen.
|IETF
|- style="vertical-align:top;"
|Internet Engineering Task Force internationale Gemeinschaft zur Weiterentwicklung der Internet-Architektur
|ISB<br>InSiBe<br>ITSB<br>CISO<br>CSO || Informationssicherheitsbeauftragter / IT-Sicherheitsbeauftragter<br>bzw.<br>Chief Information Security Officer / Chief Security Officer
|IT
Eine Person mit Fachkompetenz zur Informationssicherheit in einer Stabsstelle einer Institution, die für alle Aspekte rund um die Informationssicherheit zuständig ist.
|-
|- style="vertical-align:top;"
|IIoT
|IPSec || Internet Protocol Security
|Industrial Internet of Things – Vernetzung industrieller Geräte und Maschinen
IPsec ist ein Protokoll, das eine gesicherte (verschlüsselte) Kommunikation über potentiell unsichere IP-Netze ermöglicht.
|ID, IT
|- style="vertical-align:top;"
|-
|Keylogger || Hard- oder Software zum Mitschneiden von Tastatureingaben. Häufig von Angreifern genutzt um Anmeldeinformationen auszuspähen.
|Industry 4.0
|Industrie 4.0 – Konzept der umfassenden Digitalisierung industrieller Produktionsprozesse
|ID, IT
|-
|-
|KPI
|Informationspflicht
|Key Perfomance Indicators = Leistungskennzahles ind spezifische und messbare Kennzahlen, die eine eine Quantitative und Qualitative Aussage zum Stand der Informationssicherheit wiedergeben. n
|Pflicht, Betroffene über Datenverarbeitung zu informieren.
|- style="vertical-align:top;"
|DS
|Kumulationseffekt || Beschreibt, dass sich der Schutzbedarf eines IT-Systems erhöhen kann, wenn durch Kumulation mehrerer Schäden oder durch mehrere Anwendungen auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann.
|-
|- style="vertical-align:top;"
|Informationssicherheitseinstufung
|LDAP || Lightweight Directory Access Protocol
|Prozess zur Bestimmung des Schutzbedarfs von Informationen und darauf basierenden Geschäftsprozessen. Die hier beschriebene zweistufige Ausprägung (zuerst Informationen, dann Geschäftsprozesse und daraus Sicherheitsniveau) ist spezifisch für die Methodik von Grundschutz++.
LDAP ist ein TCP-Protokoll mit dem Informationen in ein Verzeichnisdienst gespeichert, abgerufen oder modifiziert werden können.
|IS
|- style="vertical-align:top;"
|-
|MAC || Message Authentication Code
|Informationssicherheitsleitlinie
Ein MAC dient zur Sicherung der Integrität und Authentizität einer Nachricht. Anders als bei einer digitalen Signatur werden hier symmetrische Algorithmen und geheime Schlüssel zur Erstellung und Prüfung des MACs eingesetzt.
|Grundlegendes Steuerungsdokument des ISMS. Sie beschreibt Ziele und Bedeutung der Informationssicherheit, Verantwortung der Leitung sowie den Rahmen für Rollen, Sicherheitsniveau und kontinuierliche Verbesserung.
|- style="vertical-align:top;"
|IS
|MIME || Multipurpose Internet Mail Extensions
|-
MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E-Mails und anderer Internetnachrichten festlegt. [RFC1521]
|Integrität
|- style="vertical-align:top;"
|Sicherstellung der Korrektheit und Unversehrtheit von Daten
|Nichtabstreitbarkeit || Die Gewährleistung der Urheberschaft beim Versand oder Empfang von Daten und Informationen. Die Nichtabstreitbarkeit ist eine Voraussetzung für Verbindlichkeit.
|IS
|-
|Interessierte Parteien
|Interne und externe Personen oder Organisationen (z.B. Leitung, Mitarbeitende, Kunden, Aufsichtsstellen), die Anforderungen oder Erwartungen an die Informationssicherheit haben. Ihre Anforderungen sind bei Aufbau und Betrieb des ISMS zu berücksichtigen.
|IS
|-
|-
|NIS
|IoT
NIS2
|Internet of Things – Netzwerk physischer Geräte, die über das Internet verbunden sind
|Die [[NIS2]]-Richtlinie (Network and Information Security Directive 2) ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie der Europäischen Union. Sie zielt darauf ab, die Cybersicherheit in Europa zu verbessern und ist besonders relevant für Betreiber wesentlicher Dienste und digitale Dienste.
|IT
|- style="vertical-align:top;"
|NIST || National Institute for Standards and Technology
Das NIST ist ein staatliches Standardisierungsinstitut in den USA.
|- style="vertical-align:top;"
|OCR || Optical Character Recognition
Unter OCR versteht man die optische Erkennung von Zeichen in Bildern. Z.B. beim Scannen von Dokumenten um aus den gescannten Seiten wieder elektronisch verarbeitbare Textinformationen zu erzeugen.
|- style="vertical-align:top;"
|PSE || Personal Security Environment
Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software- oder als Hardware-Lösung (z.B. als SmartCard) realisiert sein.
|- style="vertical-align:top;"
|PIN || Personal Identification Number
Eine in der Regel vier- bis achtstellige persönliche Geheimzahl.
|- style="vertical-align:top;"
|PGP || Pretty Good Privacy
Ein Programm zur Erzeugung asymmetrischer Schlüssel sowie zur Verschlüsselung und Signatur von Daten. [RFC2440]
|- style="vertical-align:top;"
|PKCS || Public Key Cryptography Standards
PKCS ist eine von der Firma RSA Security Inc. entwickelte Reihe von Standards auf Basis von asymmetrischen Kryptoalgorithmen.
|- style="vertical-align:top;"
|PKI || Public-Key-Infrastruktur
Eine PKI ist eine technische und organisatorische Infrastruktur, zum Ausstellen, Verteilen und Prüfen digitaler Zertifikate auf der Basis kryptographischer Schlüsselpaare.
|- style="vertical-align:top;"
|Proxy || Ein Proxy (Stellvertreter) trennt eine Verbindung zwischen Kommunikationspartnern (Client - Server) netztechnisch auf. Beide Seiten kommunizieren nur mit dem Proxy, der die Informationen zwischen beiden vermittelt.
|- style="vertical-align:top;"
|Risiko || Risiko wird unterschiedlich definiert. Beispiel:
Als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens.
Als die Kombination einer Bedrohung und einer Schwachstelle.
|- style="vertical-align:top;"
|Rootkit || Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.
|- style="vertical-align:top;"
|SHA-1<br>SHA-2<br>SHA-3<br>SHAKE || Secure Hash Algorithm
SHA-1 ist ein im Auftrag der NSA entwickelter Hashalgorithmus (160 Bit Hashwerte).<br>
SHA-2 ist von der NIST als Nachfolger von SHA-1 standardisiert (erlaubt Hashwerte bis 512 Bit).<br>
SHA-3 wurde von der NIST als modernisierte Alternative zu SHA-2 standardisiert (Hashwerte bis 512 Bit (SHA), variable Länge (SHAKE)).
|- style="vertical-align:top;"
|S/MIME || Secure Multipurpose Internet Mail Extensions
S/MIME ist ein standardisiertes Format für die Verschlüsselung und Signatur von E-Mails und E-Mail-Anhängen im MIME-Format. [RFC1521, RFC2632, RFC2633]
|- style="vertical-align:top;"
|SPC || Software Publishing Certificate
SPC ist eine im Rahmen der Microsoft Authenticode Technologie verwendete Datenstruktur, die bei der Signatur von Programm-Code eingesetzt wird.
|-
|-
|SPF
|IPS
|Sender Policy Framework
|Intrusion Prevention System – System zur Erkennung und automatischen Abwehr von Angriffen
Ein E-Mail-Authentifizierungsstandard, der E-Mail-Spoofing verhindern soll, indem er es dem empfangenden Mailserver ermöglicht zu überprüfen, ob eine E-Mail von einem autorisierten Mailserver der absendenden Domain gesendet wurde.
|IS, IT
|- style="vertical-align:top;"
|Spyware || (Spionage-)Software, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software oder an Dritte sendet.
|- style="vertical-align:top;"
|SSH || Secure Shell
Bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit denen man eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann.
|- style="vertical-align:top;"
|SSL || Secure Socket Layer
SSL ist ein Protokoll zur sicheren (verschlüsselten) Übertragung von Daten, das vor allem zur sicheren Übertragung von Webseiten zwischen Web-Server und Browser eingesetzt wird.
|-
|-
|TLS
|IPSec
|Transport Layer Security
|Internet Protocol Security Protokoll für gesicherte IP-Kommunikation
Ein Sicherheitsprotokoll, das bei der Internetkommunikation für Datenschutz und Integrität sorgt. Die Implementierung von TLS ist ein Standardverfahren zur Erstellung sicherer Webanwendungen.
|IS, IT
|- style="vertical-align:top;"
|TTS || Trouble-Ticket-System
Computergestütztes Vorfallsbearbeitungssystem zur Erfassung, Bearbeitung und termingerechten Beantwortung von Anfragen und Vorgänge.
|- style="vertical-align:top;"
|Trust-Center || Trust-Center wird häufig als Synonym für die von einem Zertifizierungsdiensteanbieter betriebenen Infrastrukturen Im Umfeld der elektronischen Signatur verwendet.
|- style="vertical-align:top;"
|Verbindlichkeit || Unter Verbindlichkeit versteht man, dass ein Rechtsgeschäft seine rechtliche Wirkung entfaltet. Voraussetzungen hierfür sind häufig die Einhaltung von formalen Erfordernissen (z.B. Schriftform) und das Vorhandensein von Beweismitteln.
|- style="vertical-align:top;"
|Verteilungseffekt || Der Verteilungseffekt wirkt sich auf den Schutzbedarf relativierend aus.
Beispiel: Eine Anwendung erfordert eine hohe Verfügbarkeit und läuft redundant auf mehreren IT-Systemen. Damit wird die Verfügbarkeitsanforderung jedes einzelnen IT-Systems niedriger.
|- style="vertical-align:top;"
|Vertraulichkeit || Vertraulichkeit ist der Schutz vor ungewollter oder unberechtigter Kenntnisnahme oder Preisgabe von Informationen.
|- style="vertical-align:top;"
|VLAN || Virtual Local Area Network
Ein logisch separiertes Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks.
|- style="vertical-align:top;"
|VPN || Virtuelles Privates Netz
Bei einem VPN wird ein virtuelles privates Netz in einem öffentlicher Transportnetze (z.B. Internet) geschaffen, in dem die Teilnehmer so wie in einem lokalen Netz kommunizieren können.
|- style="vertical-align:top;"
|Web of Trust || In einem Web of Trust soll die Authentizität öffentlicher Schlüssel durch gegenseitige Beglaubigung (Signatur) der Schlüssel sichergestellt werden (z.B. bei PGP).
|- style="vertical-align:top;"
|W3C || World Wide Web Consortium
Das World Wide Web Consortium ([https://www.w3.org/]) entwickelt Spezifikationen, Leitfäden, Software und Werkzeuge, für die Nutzung des World Wide Web (WWW).
|- style="vertical-align:top;"
|WWW || World Wide Web
Das WWW ist der bekannteste Teil des Internet, der über das HTTP-Protokoll Webseiten im Browser des Nutzers zur Verfügung stellt.
|- style="vertical-align:top;"
|X.500 || X.500 ist eine von der ITU entwickelte Empfehlung für einen (globalen) Verzeichnisdienst.
|- style="vertical-align:top;"
|X.509 || X.509 ist eine von der ITU entwickelte Empfehlung für ein Rahmenwerk zur Authentifizierung unter Verwendung asymmetrischer Kryptoalgorithmen.
|- style="vertical-align:top;"
|XML || Extensible Markup Language
XML ist ein, von der W3C Arbeitsgruppe entwickelter, Standard zur strukturierten Darstellung von Daten in Textform, die sowohl für Maschinen als auch für Menschen lesbar sind.
|- style="vertical-align:top;"
|Zeitstempel || Zeitstempel sind gemäß [ISO18014-1] digitale Daten, mit denen die Existenz bestimmter Daten vor einem bestimmten Zeitpunkt bewiesen werden kann.
|- style="vertical-align:top;"
|Zugriff || Zugriff bezeichnet den Zugriff auf (die Nutzung von) Informationen bzw. Daten.
|- style="vertical-align:top;"
|Zutritt || Zutritt bezeichnet das Betreten von abgegrenzten Bereichen wie z. B. Gebäude oder Räumen.
|- style="vertical-align:top;"
|Zugang || Mit Zugang wird die Nutzung von Ressourcen wie IT-Systemen, System-Komponenten und Netzen bezeichnet um darüber dann ggf. Zugriff auf Informationen oder Daten zu bekommen.
|-
|-
| NdB
|ISB
| "Netze des Bundes". Die IT-Infrastrukturen und Kommunikationsnetze, die von deutschen Bundesbehörden und öffentlichen Einrichtungen betrieben werden, um einen sicheren und zuverlässigen Informationsaustausch im staatlichen Bereich zu gewährleisten.
InSiBe ITSB
|Informationssicherheitsbeauftragter bzw. IT-Sicherheitsbeauftragter
|IS
|-
|-
| BDBOS
|ISMS
| "Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben". Die BDBOS koordiniert und betreibt den Digitalfunk für Behörden und Organisationen im Bereich der öffentlichen Sicherheit und sorgt für eine sichere, interoperable Kommunikationsinfrastruktur.
|Informations-Sicherheits-Management-System – Definition, Steuerung und fortlaufende Verbesserung der Informationssicherheit
|IS
|-
|-
|BOS
|ISO
|Behörden und Organisationen mit Sicherheitsaufgaben
|International Organization for Standardization – internationale Normungsorganisation
|IT
|-
|-
|ITSCM
|IT-Forensik
|Information Technology Service Continuity Management (IT-Notfallmanagement)
|Untersuchung und Analyse von IT-Systemen zur Gewinnung von Beweismitteln
Siehe auch BCM, BCMS.
|IS, IT
|-
|-
|LÜKEX
|IT-Grundschutz
|Ressort- und Länderübergreifende Krisenmanagementübung.
|Methodik des BSI zum Aufbau eines Sicherheitsmanagementsystems
|IS
|-
|-
|MBCO
|IT-Verbund
|Minimum Business Continuity Objective (Notbetriebsniveau).
Informationsverbund Scope
|Fachlich und organisatorisch abgegrenzte Menge von Geschäftsprozessen, Assets und Strukturen, für die Informationssicherheit und das ISMS konkret geplant und umgesetzt werden. Der Informationsverbund dient der handhabbaren Modellierung und Betrachtung.
|IT
|-
|-
|MTA<br>MTPD
|ITSCM
|Maximal tolerierbare Ausfallzeit<br>Maximal Tolerable Period of Disruption
|Information Technology Service Continuity Management – IT-Notfallmanagement, z.T. synonym zu BCM
|BC
|-
|-
|OE
|ITSEC
|Organisationseinheit
|Information Technology Security Evaluation Criteria – europäischer Standard für Sicherheitsbewertungen
|IS, IT
|-
|-
|PDCA
|JSON
|Plan Do Check Act - Regelkreis des kontinuierlichen Verbesserungsprozesses (KVP).
|JavaScript Object Notation – leichtgewichtiges, textbasiertes Datenformat
|IT
|-
|-
|KVP
|JWT
|Kontinuierlicher Verbesserungsprozess - Grundprinzip des Qualitätsmanagements nach ISO 9001.
|JSON Web Token – kompaktes, URL-sicheres Mittel zur Übertragung von Ansprüchen zwischen Parteien
|IS, IT
|-
|-
|RPA<br>RPO<br>RTA<br>RTO
|K8s
|Recovery Point Actual (Zugesicherter maximaler Datenverlust)<br>Recovery Point Objective (maximal zulässiger Datenverlust)<br>Recovery Time Actual (erreichbare Wiederanlaufzeit)<br>Recovery Time Objective (geforderte Wiederanlaufzeit)
|Kubernetes – Open-Source-System zur Verwaltung containerisierter Anwendungen
|IT
|-
|-
|SPoF
|Keylogger
|Single Point of Failure
|Hard- oder Software zum Mitschneiden von Tastatureingaben
|IS, IT
|-
|-
|WAP<br>WAZ<br>WHP
|KPI
|Wiederanlaufplan<br>Wiederanlaufzeit<br>Wiederherstellungsplan
|Key Performance Indicators – Leistungskennzahlen zur Messung der Informationssicherheit
|IS
|-
|-
|Krise
|Krise
|Schadensereignis, das sich in massiver Weise negativ auf eine Organisation auswirkt und das nicht im Normalbetrieb bewältigt werden kann.
|Schadensereignis, das massive negative Auswirkungen auf eine Organisation hat
|BC
|-
|-
|Krisenbewältigung
|Krisenbewältigung
|alle Tätigkeiten die dazu dienen, eine Krise zu bewältigen, nachdem sie eingetreten ist.
|Tätigkeiten zur Bewältigung einer eingetretenen Krise
|BC
|-
|KRITIS
|Kritische Infrastrukturen – Organisationen mit besonders hohem Versorgungs- und Sicherheitsbedarf
|IS
|-
|Krypto-Schreddern
|Methode zum sicheren Löschen von Daten durch Entfernen kryptographischer Schlüssel
|IS
|-
|Kumulationseffekt
|Erhöhter Schutzbedarf eines IT-Systems durch kumulative Schäden oder Anwendungen
|IS
|-
|KVP
|Kontinuierlicher Verbesserungsprozess – Grundprinzip des Qualitätsmanagements (z. B. ISO 9001)
|IS
|-
|-
|Lage
|Lage
|Eine Lage im Krisenmanagement ist eine sachliche Momentaufnahme des aktuellen Standes einer Krise, um die Auswirkungen bewerten und angemessene Maßnahmen ergreifen zu können.
|Sachliche Momentaufnahme des aktuellen Standes einer Krise
|BC
|-
|-
|Lagebild
|Lagebild
|Ein Lagebild ist eine textliche oder visuelle Zusammenfassung relevanter Informationen zu einer Situation, um Entscheidungen zu treffen.
|Zusammenfassung relevanter Informationen zu einer Situation zur Entscheidungsfindung
|BC
|-
|Lateralbewegung
|Technik, mit der Angreifer innerhalb eines Netzwerks seitwärts zu weiteren Hosts oder Ressourcen fortschreiten.
|IS, IT
|-
|LDAP
|Lightweight Directory Access Protocol – Protokoll zur Abfrage und Änderung von Einträgen in einem Verzeichnisdienst
|IT
|-
|LIME
|Local Interpretable Model-agnostic Explanations
Erstellt lokal um eine spezifische Vorhersage ein einfaches, interpretierbares Ersatzmodell (z.B. lineare Regression), indem Eingabedaten perturbierend verändert werden. Modell-agnostisch, schnell einsetzbar, aber potenziell instabil je nach Perturbation.
|IS, DS
|-
|LLM
|Large Language Model – Umfangreiches Sprachmodell, das auf riesigen Textmengen trainiert wurde.
|KI, IT
|-
|Löschkonzept
|Strategie zur zeitgerechten Löschung von Daten.
|DS
|-
|LÜKEX
|Ressort- und Länderübergreifende Krisenmanagementübung
|BC
|-
|MAC
|Message Authentication Code – zur Sicherung der Integrität und Authentizität von Nachrichten
|IS, IT
|-
|Malware
|(Malicious Software) – Software, die entwickelt wurde, um Schaden zu verursachen
|IS, IT
|-
|MBCO
|Minimum Business Continuity Objective – Notbetriebsniveau
|BC
|-
|MDR
|Managed Detection and Response – ausgelagerter Dienst zur kontinuierlichen Überwachung, Analyse und Bearbeitung von Sicherheitsvorfällen durch einen externen Dienstleistenden (z.B. SOC-as-a-Service).
|IS, IT
|-
|Meldepflicht
|Verpflichtung zur Meldung von Datenschutzvorfällen an die Aufsicht.
|DS
|-
|MES
|Manufacturing Execution System – Fertigungsmanagementsystem, speziell in der Produktion, häufig im industriellen Kontext
|ID, IT
|-
|MFA
|Multi-Factor Authentication – Authentifizierungsverfahren mit mehreren Faktoren
|IS, IT
|-
|MIME
|Multipurpose Internet Mail Extensions – Standard für den Aufbau von E-Mails
|IT
|-
|Mitarbeiterdatenschutz
|Schutz personenbezogener Daten von Beschäftigten.
|DS
|-
|MITRE ATT&CK
|Framework zur Klassifikation und Beschreibung realer Angriffstechniken entlang des Angriffslebenszyklus.
|IS, IT
|-
|ML
|Machine Learning – Teilbereich der KI, der Algorithmen und Methoden zur automatischen Mustererkennung und Lernen umfasst.
|KI, IT
|-
|Modalverb
|Verbindlichkeitsstufe einer Anforderung (z.B. „MUSS“, „SOLLTE“, „KANN“). Im Grundschutz++ wird der Einsatz von Modalverben bewusst gesteuert, um zwischen zwingenden Vorgaben und risikobasiert gestaltbaren Anforderungen zu unterscheiden.
|IS
|-
|Modbus
|Industrielles Kommunikationsprotokoll für Steuerungssysteme
|ID, IT
|-
|Model Card
|Dokumentation für ein KI- oder ML-Modell, die Zweck, Trainingsdaten, Annahmen, Einschränkungen, Risiken und empfohlene Einsatzbereiche beschreibt, um Transparenz und verantwortungsvollen Einsatz zu unterstützen.
|KI, IS, DS
|-
|Model Drift
|Veränderung der Modellleistung über die Zeit aufgrund geänderter Daten oder Umgebungsbedingungen.
|KI, IS
|-
|Model Governance
|Gesamtheit von Prozessen, Rollen und Richtlinien zur Steuerung von KI- und ML-Modellen über deren Lebenszyklus hinweg (Entwurf, Training, Betrieb, Stilllegung), inklusive Risiko- und Compliance-Aspekten.
|KI, IS
|-
|MTA / MTPD
|Maximal tolerierbare Ausfallzeit / Maximal Tolerable Period of Disruption – Kennzahlen im Notfallmanagement
|BC
|-
|NdB
|"Netze des Bundes" – IT-Infrastrukturen und Kommunikationsnetze deutscher Bundesbehörden
|IT, IS
|-
|NDR
|Network Detection and Response – kontinuierliche Überwachung und Analyse des Netzwerkverkehrs zur Erkennung verdächtiger Aktivitäten und zur Unterstützung der Incident Response.
|IS, IT
|-
|Neuronales Netz
|Mathematisches Modell, das vom Aufbau biologischer neuronaler Netzwerke inspiriert ist.
|KI, IT
|-
|Nicht‑Konformität
|Festgestellte Abweichung zwischen geforderter oder vereinbarter Vorgabe (z.B. Anforderung, Richtlinie, Norm) und der tatsächlichen Umsetzung. Nicht‑Konformitäten werden typischerweise in Audits, Reviews oder bei der Überwachung identifiziert.
|IS
|-
|Nichtabstreitbarkeit
|Gewährleistung der Urheberschaft bei der Übertragung von Daten
|IS
|-
|NIS / NIS2
|EU-Richtlinie zur Verbesserung der Cybersicherheit
|IS, IT
|-
|NIST
|National Institute for Standards and Technology – US-Standardisierungsinstitut
|IT
|-
|NIST CSF
|National Institute of Standards and Technology Cybersecurity Framework – Rahmenwerk zur Verbesserung der Cybersicherheit
|IS, IT
|-
|NLP
|Natural Language Processing – Teilgebiet der KI zur Verarbeitung und Analyse natürlicher Sprache.
|KI, IT
|-
|-
|Normalbetrieb
|Normalbetrieb
|planmäßiger Geschäftsbetrieb einer Organisation.
|Planmäßiger Geschäftsbetrieb einer Organisation
|BC
|-
|-
|Notbetrieb
|Notbetrieb
|nach einem Schadensereignis stattfindender, meist eingeschränkter, Geschäftsbetrieb, der die erforderlichen sowie zeitkritischen Funktionen der betroffenen Geschäftsprozesse sicherstellt.
|Eingeschränkter Betrieb nach einem Schadensereignis
|BC
|-
|-
|Notfall
|Notfall
|Unterbrechungen mindestens eines (zeit)kritischen Geschäftsprozesses, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann.
|Unterbrechung eines kritischen Geschäftsprozesses, der nicht innerhalb der tolerierbaren Ausfallzeit behoben werden kann
|BC
|-
|-
|Notfallbeauftragter
|Notfallbeauftragter
|(auch Business Continuity Manager) ist für den Aufbau, den Betrieb und die kontinuierliche Verbesserung des Notfallmanagements (auch Business Continuity Management) verantwortlich.
|Verantwortliche Person für den Notfall- und Business Continuity Management Prozess
|BC
|-
|Notfallhandbuch
Notfallkonzept Notfallvorsorgekonzept
|Dokumentation aller für die Notfallbewältigung erforderlichen Informationen
|BC
|-
|Notfallplanung
Notfallvorsorge Vorsorgemaßnahme
|Geplante Maßnahmen zur Prävention und Bewältigung von Notfällen
|BC
|-
|OAuth
|Open Authorization – Protokoll, das Drittanbietern den Zugriff auf Ressourcen im Namen eines Benutzers ermöglicht
|IS, IT
|-
|Object Storage
|Methode zur Speicherung von Daten als Objekte mit Metadaten
|IT
|-
|OCR
|Optical Character Recognition – optische Zeichenerkennung in Bildern
|IT
|-
|OE
|Organisationseinheit – administrative oder organisatorische Gliederung innerhalb eines Unternehmens
|IS
|-
|OIDC
|OpenID Connect – Authentifizierungsprotokoll basierend auf OAuth 2.0
|IS, IT
|-
|OPC UA
|Open Platform Communications Unified Architecture – plattformunabhängiges Industriekommunikationsprotokoll
|ID, IT
|-
|OSCAL
|Open Security Controls Assessment Language – Rahmenwerk zur Darstellung von Sicherheitsinformationen in maschinenlesbarer Form
|IS, IT
|-
|-
|Notfallhandbuch<br>Notfallkonzept<br>Notfallvorsorgekonzept
|OT
|Dokument mit allen Informationen, die für die Notfallbewältigung benötigt werden Das Dokument umfasst z. B. Notfallpläne, die Geschäftsordnung des Stabes und das Kommunikationskonzept für Notfälle.
|Operational Technology – Technologien zur Steuerung und Überwachung industrieller Anlagen und Prozesse
|ID, IT
|-
|-
|Notfallplanung<br>Notfallvorsorge<br>Vorsorgemaßnahme
|OTP
|Alle geplanten präventiven Maßnahmen zum Schutz der Organisation vor Notfällen und Bewältigung von Notfällen.
|One Time Password – temporäres Passwort, das nur einmal genutzt wird
|IS, IT
|-
|-
|Störung
|OWASP
|Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann.
|Open Web Application Security Project – Organisation zur Verbesserung der Softwaresicherheit
|IS, IT
|-
|PaaS
|Platform as a Service – Cloud-Computing-Modell, das Entwicklungsplattformen bereitstellt
|IT
|-
|PAM
|Privileged Access Management – Verwaltung und Überwachung privilegierter Benutzerzugriffe
|IS, IT
|-
|PCI DSS
|Payment Card Industry Data Security Standard – Sicherheitsstandard zum Schutz von Kreditkartendaten
|IS, IT
|-
|PDCA
|Plan Do Check Act – Regelkreis des kontinuierlichen Verbesserungsprozesses
|IS
|-
|Personenbezogene Daten
|Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
|DS
|-
|Personenstand
|Daten zur Person wie Geburtsdatum, Familienstand, etc.
|DS
|-
|PGP
|Pretty Good Privacy – Programm zur asymmetrischen Verschlüsselung und Signatur von Daten
|IS, IT
|-
|PIN
|Personal Identification Number – persönliche Geheimzahl zur Identifikation
|IS, IT
|-
|PKCS
|Public Key Cryptography Standards – Standards für asymmetrische Kryptographie
|IS, IT
|-
|PKI
|Public-Key-Infrastruktur – System zum Ausstellen, Verteilen und Verwalten digitaler Zertifikate
|IS, IT
|-
|PLC
|Programmable Logic Controller – Programmierbare Steuerung für industrielle Automatisierungsprozesse
|ID, IT
|-
|POA&M
|Plan of Action and Milestones: Maßnahmen- und Meilensteinplan zur Risikobehebung (Syn.: POAM)
|IS
|-
|Praktik
|Thematisches Bündel von Anforderungen zu einem Sicherheitsbereich (z.B. Berechtigungsmanagement, Patchmanagement). Der Begriff „Praktik“ in dieser strukturierten Form (mit Vererbung auf Zielobjektkategorien und Assets) ist ein zentrales Element des Grundschutz++ (GS++).
|IS
|-
|Predictive Maintenance
|Vorausschauende Wartung durch Datenanalyse zur Vermeidung ungeplanter Ausfälle
|ID, IT
|-
|Privacy by Default
|Datenschutzfreundliche Voreinstellungen bereits beim Systemstart.
|DS
|-
|Privacy by Design
|Integration von Datenschutz in die Entwicklung und Gestaltung von Systemen und Prozessen gemäß DSGVO-Anforderungen
|DS, IS
|-
|Profiling
|Automatisierte Auswertung von Daten zur Bewertung von Personen.
|DS
|-
|Prompt Injection
|Angriffstechnik auf Sprachmodelle (LLMs), bei der Eingaben so gestaltet werden, dass sie interne Anweisungen überschreiben, das Modell zu unerwünschten Aktionen verleiten oder Sicherheitsgrenzen umgehen.
|KI, IS
|-
|Prompt Leakage
|Unbeabsichtigte Preisgabe interner Prompts oder vertraulicher Informationen durch ein KI‑Modell.
|KI, IS
|-
|Proxy
|Trennt netztechnisch die Verbindung zwischen Kommunikationspartnern
|IS, IT
|-
|PSE
|Personal Security Environment – Aufbewahrungsmedium für private Schlüssel und Zertifikate
|IS, IT
|-
|-
|Wiederanlauf
|Pseudonymisierung
|alle Maßnahmen, um strukturiert in einen (vorab geregelten) Notbetrieb wechseln zu können.
|Verarbeitung von Daten, so dass die Identität der Person ohne Zusatzinformationen nicht erkennbar ist.
|DS
|-
|-
|Wiederherstellung
|Purdue Model
|geordnete Rückkehr in einen Zustand, in dem der Normalbetrieb aller Geschäftsprozesse wieder möglich ist.
|Referenzmodell für die Segmentierung und Sicherheit industrieller Netzwerke
|ID, IS
|-
|-
|Maleware
|Purple Teaming
|(kurz für „Malicious Software“) bezeichnet Software, die entwickelt wurde, um Schaden an Computern, Netzwerken oder Benutzer/innen zu verursachen. Malware umfasst eine Vielzahl von Bedrohungen, darunter Viren, Würmer, Trojaner, Ransomware, Spyware und Adware.
|Kombination aus Red Team (Angreifer) und Blue Team (Verteidiger) für kollaboratives Sicherheitstraining
|IS, IT
|-
|-
|Viren
|Quantensichere Kryptografie
Virus
|Verschlüsselungsmethoden, die gegen Angriffe durch zukünftige Quantencomputer resistent sind
|Viren sind schädliche Programme, die sich an saubere Dateien anhängen und sich selbst replizieren, um Systeme zu infizieren und Schaden zu verursachen.
|IS, IT
|-
|-
|Wurm
|RAG
Würmer
|Retrieval-Augmented Generation – Ansatz, bei dem ein Sprachmodell Antworten auf Basis externer, zur Laufzeit abgerufener Wissensquellen erzeugt, um Aktualität und Faktentreue zu erhöhen.
|Würmer sind eigenständige Malware-Programme, die sich ohne Benutzerinteraktion von einem System zum anderen verbreiten, oft über Netzwerke.
|KI, IT
|-
|-
|Trojaner
|RAMI 4.0
|Trojaner tarnen sich als legitime Software, um Benutzer/innen zur Installation zu verleiten und können Hintertüren für Hacker öffnen.
|Reference Architectural Model Industrie 4.0 – Referenzarchitekturmodell für Industrie-4.0-Systeme
|ID, IT
|-
|-
|Ransomware
|Ransomware
|Ransomware verschlüsselt die Dateien des Opfers und fordert ein Lösegeld für die Entschlüsselung, wodurch der Zugriff auf wichtige Daten blockiert wird.
|Verschlüsselt Dateien und fordert Lösegeld für die Entschlüsselung
|IS, IT
|-
|RBAC
|Role-Based Access Control – Zugriffskontrollmodell basierend auf definierten Rollen
|IS, IT
|-
|Realisierung
|Umsetzung von Anforderungen in konkrete technische und organisatorische Maßnahmen, inklusive Umsetzungsstatus, Priorisierung, Maßnahmenplanung, Zuständigkeiten, Fristen, Ausnahmen und Nachverfolgung. In Grundschutz++ ist „Realisierung“ als dritter Prozessschritt des GS++‑Sicherheitsprozesses definiert.
|IS
|-
|Recht auf Vergessenwerden
|Recht auf Löschung der personenbezogenen Daten unter bestimmten Voraussetzungen.
|DS
|-
|Rechtsgrundlage
|Gesetzliche Erlaubnis z.B. zur Datenverarbeitung.
|DS, IS
|-
|Red Teaming
|Sicherheitstest, bei dem Expert*innen als Angreifer agieren, um Schwachstellen aufzudecken
|IS
|-
|Reifegrad
Reifegradmodell
|Instrument zur Bewertung und Verbesserung der Informationssicherheit
|IS
|-
|Risiko
|Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß – grundlegender Begriff im Risikomanagement
|IS
|-
|Risikobetrachtung
|Analyse, Bewertung und Behandlung von Risiken, die sich aus Bedrohungen, Schwachstellen und Folgen für die Organisation ergeben.
|IS
|-
|RMF
|Risk Management Framework: NIST-Rahmenwerk für Risikomanagement
|IS
|-
|-
|Adware
|RNN
|Adware zeigt unerwünschte Werbung an und kann das Benutzererlebnis beeinträchtigen sowie potenziell schädliche Anzeigen einblenden.
|Recurrent Neural Network – Neuronales Netz mit Rückkopplungsverbindungen für sequentielle Daten.
|KI, IT
|-
|Rootkit
|Sammlung von Tools, die nach einem Einbruch installiert werden, um spätere Aktivitäten zu verbergen
|IS, IT
|-
|-
|2FA
|RPA
|Zwei-Faktor-Authentisierung. Ein Authentifizierungsverfahren, das zwei verschiedene Faktoren zur Verifizierung der Identität eines Benutzers erfordert.
RPO RTA RTO
|Recovery point actual (RPA), Recovery point objective (RPO), Recovery time actual (RTA), Recovery time objective (RTO)
Kennzahlen im Zusammenhang mit Datenverlust und Wiederanlaufzeiten im Notfallmanagement
|BC
|-
|-
|APT
|S/MIME
|Advanced Persistent Threat
|Secure Multipurpose Internet Mail Extensions – Standard zur Verschlüsselung und Signatur von E-Mails
Eine langandauernde und zielgerichtete Cyberangriffskampagne, die oft von staatlichen Akteuren ausgeht.
|IS, IT
|-
|-
|Backdoor
|SaaS
|Eine versteckte Möglichkeit, Zugang zu einem Computersystem zu erhalten, oft für böswillige Zwecke.
|Software as a Service – Bereitstellung von Software über das Internet
|IT
|-
|-
|CIA
|SAML
|Steht (neben anderen Bedeutungen) für Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) – die drei Grundwerte der Informationssicherheit.
|Security Assertion Markup Language – offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten
|IS, IT
|-
|-
|Degaussing
|SASE
|Eine Methode, bei der starke Magnetfelder verwendet werden, um Daten auf magnetischen Speichermedien unlesbar zu machen.
|Secure Access Service Edge – Integration von Netzwerk- und Sicherheitsfunktionen in einer Cloud-basierten Plattform
|IS, IT
|-
|-
|Drive-by-Download
|Satzschablone
|Eine Methode, bei der Malware automatisch heruntergeladen wird, wenn ein Benutzer eine infizierte Website besucht.
|Vordefinierte sprachliche Struktur für Anforderungen (z.B. Praktik + Zielobjektkategorie + Modalverb + Ereignis + Handlungswort + Ergebnis). Das Konzept der Satzschablonen wird speziell im Grundschutz++ eingesetzt, um Anforderungen klar, atomar und OSCAL‑kompatibel zu formulieren.
|IS, IT
|-
|-
|Exploit
|SBOM
|Eine Methode oder Software, die Schwachstellen in einem System ausnutzt, um unbefugten Zugriff oder Schaden zu verursachen.
|Software Bill of Materials – strukturierte Liste aller Softwarekomponenten, Bibliotheken und Abhängigkeiten eines Produkts.
|IT, IS
|-
|-
|Krypto-Schreddern
|SCADA
|Eine Methode zum sicheren Löschen von Daten, indem die kryptografischen Schlüssel gelöscht werden.
|Supervisory Control and Data Acquisition – System zur Überwachung und Steuerung technischer Prozesse
|ID, IT
|-
|-
|Social Engineering
|Schutzbedarf / Schutzbedarfskategorien
|Eine Manipulationstechnik, bei der Angreifer menschliche Schwächen ausnutzen, um an sensible Informationen zu gelangen oder Systeme zu kompromittieren.
|Maß für die Kritikalität der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Prozessen.
|IS
|-
|-
|Spear Phishing
|SD-WAN
|Eine gezielte Phishing-Attacke, die auf eine spezifische Person oder Organisation abzielt, oft unter Verwendung persönlicher Informationen.
|Software-Defined Wide Area Network – Virtualisierung und Verwaltung von Weitverkehrsnetzen
|IT
|-
|-
|Zero-Day-Exploit
|Secret Management
|Eine Schwachstelle in Software, die von Angreifern ausgenutzt wird, bevor der Hersteller Kenntnis davon hat und einen Patch bereitstellen kann.
|Verwaltung, Speicherung und Rotation sensibler Zugangsdaten wie Passwörter, Tokens oder API‑Keys.
|IS, IT
|-
|-
|KRITIS
|Secure Boot
|Kritische Infrastrukturen ([[KRITIS]]) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe oder Gefährdungen verursachen könnte.
|Mechanismus zur Integritätsprüfung beim Systemstart, der nur vertrauenswürdige Boot‑Komponenten zulässt.
|IS, IT
|-
|-
|DLP
|Security by Design
|Data Loss Prevention ([[DLP]]) bezieht sich auf Strategien und Tools, die darauf abzielen, den Verlust, die missbräuchliche Verwendung oder die unbefugte Weitergabe von sensiblen Daten zu verhindern.
|Prinzip, Sicherheitsaspekte von Beginn an in Entwicklungsprozesse zu integrieren
|IS, IT
|-
|-
|Zero Trust
|Security Control
|[[Zero Trust]] ist ein Sicherheitskonzept, bei dem grundsätzlich keinem Gerät, Benutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks vertraut wird und alle Zugriffe streng kontrolliert werden.
|Einzelne Sicherheitsmaßnahme zur Reduzierung von Risiken oder zur Erfüllung von Anforderungen; Begriff aus NIST‑ und ISO‑Terminologie.
|IS, IT
|-
|-
|Threat Intelligence
|Security Control Assessment (SCA)
|[[Threat Intelligence]] umfasst die Sammlung, Analyse und Interpretation von Informationen über aktuelle und potenzielle Bedrohungen für die Informationssicherheit, um fundierte Sicherheitsentscheidungen zu treffen.
|Systematische Prüfung, ob Sicherheitskontrollen wirksam implementiert und betrieben werden.
|IS
|-
|-
|Red Teaming
|SHA-1
|[[Red Teaming]] ist ein Sicherheitstest, bei dem Sicherheitsexpert*innen in die Rolle von Angreifern schlüpfen, um Schwachstellen und Sicherheitslücken in einem System aufzudecken.
SHA-2 SHA-3 SHAKE
|Secure Hash Algorithms – kryptographische Hashfunktionen
|IT
|-
|-
|Blue Teaming
|SHAP
|[[Blue Teaming]] bezeichnet die Sicherheitskräfte, die dafür verantwortlich sind, ein Unternehmen gegen Cyberangriffe zu verteidigen und auf Vorfälle zu reagieren, oft im Rahmen eines simulierten Angriffs durch ein Red Team.
|SHapley Additive exPlanations
Basierend auf der Spieltheorie (Shapley-Werte) quantifiziert SHAP den durchschnittlichen Beitrag jedes Features zu einer Vorhersage – lokal für Einzelfälle oder global für das gesamte Modell. Es gewährleistet Konsistenz und Lokale Genauigkeit, ist jedoch rechenintensiv.
|IS, DS
|-
|-
|Yellow Teaming
|Sicherheitsniveau
|Yellow Teaming ist die Zusammenarbeit zwischen dem Red Team und dem Blue Team, bei der Wissen ausgetauscht wird, um die allgemeine Sicherheitslage zu verbessern.
|Beschreibt, wie weit die Sicherheitsziele durch Maßnahmen erreicht werden (Erfüllungsgrad) und wie hoch das erreichte Sicherheitsniveau im Verhältnis zum Bedarf ist.
|IS
|-
|-
|SIEM
|SIEM
|Security Information and Event Management ([[SIEM]]) ist ein System zur Echtzeit-Überwachung und Analyse von Sicherheitsereignissen sowie zur zentralen Speicherung und Korrelation von Logdaten.
|Security Information and Event Management System zur Echtzeit-Überwachung und Analyse von Sicherheitsereignissen
|IS, IT
|-
|-
|IPS
|SLA
|Intrusion Prevention System (IPS) ist eine Technologie, die Netzwerke und Systeme überwacht, um potenzielle Angriffe zu identifizieren und automatisch Maßnahmen zu ergreifen, um diese zu verhindern.
|Service Level Agreement – vertragliche Vereinbarung über IT-Dienstleistungsqualität
|IT
|-
|-
|IT-Forensik
|SOAR
|[[IT-Forensik]] ist die Untersuchung und Analyse von Computersystemen, Netzwerken und digitalen Daten, um Beweise für sicherheitsrelevante Vorfälle oder kriminelle Aktivitäten zu sammeln.
|Security Orchestration, Automation, and Response – Kombination von Workflows und Automatisierung zur Bedrohungsabwehr
|IS, IT
|-
|-
|SOC
|SOC
|Security Operations Center ([[SOC]]) ist eine zentrale Einheit, die für die Überwachung, Analyse und Reaktion auf Sicherheitsvorfälle in Echtzeit verantwortlich ist.
|Security Operations Center zentrale Einheit zur Überwachung und Reaktion auf Sicherheitsvorfälle
|IS
|-
|SOC 2
|Prüfungsstandard zur Überprüfung von Sicherheits-, Verfügbarkeits- und Datenschutzanforderungen
|IS, IT
|-
|Social Engineering
|Manipulationstechnik zur Erlangung sensibler Informationen
|IS, IT
|-
|SPC
|Software Publishing Certificate – Datenstruktur bei der Signierung von Programm-Code
|IT
|-
|Spear Phishing
|Gezielte Phishing-Attacke auf einzelne Personen oder Organisationen
|IS, IT
|-
|Speicherbegrenzung
|Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.
|DS
|-
|SPF
|Sender Policy Framework – verhindert E-Mail-Spoofing durch Überprüfung autorisierter Mailserver
|IS, IT
|-
|-
|Cybersecurity
|SPoF
|[[Cybersecurity]] umfasst alle Maßnahmen, Technologien und Prozesse, die darauf abzielen, Netzwerke, Systeme und Daten vor Cyberangriffen, unbefugtem Zugriff und Schäden zu schützen.
|Single Point of Failure – einzelner Ausfallpunkt in einem System
|IT
|-
|-
|Security by Design
|Spyware
|[[Security by Design]] ist ein Prinzip, bei dem Sicherheitsaspekte von Anfang an in den Entwicklungsprozess von Systemen und Software integriert werden, um Schwachstellen zu minimieren.
|Software, die unbemerkt Daten an Dritte überträgt
|IS, IT
|-
|-
|VVT
|SSH
|Verzeichnis von Verarbeitungstätigkeiten ([[VVT]]) ist eine Dokumentation, die von Organisationen geführt wird und alle Datenverarbeitungen auflistet, die sie durchführen, wie es durch die DSGVO gefordert wird.
|Secure Shell – verschlüsseltes Protokoll für den Fernzugriff
|IS, IT
|-
|-
|AVV
|SSL
|Auftragsverarbeitungsvertrag ([[AVV]]) ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der den Umgang mit personenbezogenen Daten im Einklang mit der DSGVO regelt.
|Secure Socket Layer – Protokoll zur verschlüsselten Datenübertragung
|IS, IT
|-
|-
|BYOD
|SSO
|Bring Your Own Device ([[BYOD]]) ist eine Praxis, bei der Mitarbeitende ihre eigenen mobilen Geräte wie Smartphones und Laptops für berufliche Zwecke verwenden dürfen.
|Single Sign-On – Authentifizierungsmethode für den Zugriff auf mehrere Systeme mit einem Satz Anmeldedaten
|IS, IT
|-
|-
|DSFA
|SSP
|Datenschutz-Folgenabschätzung ([[DSFA]]) ist ein Prozess zur Identifizierung und Bewertung der Risiken für den Datenschutz bei der Verarbeitung personenbezogener Daten, insbesondere bei neuen Technologien oder Prozessen.
|System Security Plan: Plan zur Beschreibung der Systemumsetzung von Sicherheitskontrollen (Syn.: System-Sicherheitsplan)
|IS
|-
|-
|TOM
|State Level Actor
|Technische und organisatorische Maßnahmen ([[TOMs|TOM]]) sind Maßnahmen, die von Organisationen ergriffen werden, um die Sicherheit und den Schutz personenbezogener Daten im Einklang mit der DSGVO sicherzustellen.
|Ein State‑Level Actor ist im Kontext der Informationssicherheit ein Angreifender, der direkt von einem Staat (z.B. Geheimdienste, Militär, Sicherheitsbehörden) betrieben oder gesteuert wird oder nachweislich in dessen Auftrag handelt. Er verfügt typischerweise über sehr hohe Ressourcen und Fähigkeiten und verfolgt strategische Ziele wie Spionage, Sabotage oder politische Einflussnahme.
|IS, IT
|-
|-
|MFA
|Störung
|Multi-Factor Authentication (MFA) ist ein Authentifizierungsverfahren, das mehrere unabhängige Anmeldefaktoren verwendet, um die Sicherheit beim Zugang zu Systemen und Daten zu erhöhen.
|Schadensereignis, das im Normalbetrieb behoben werden kann – typischerweise im Rahmen des Notfallmanagements
|BC
|-
|-
|Edge Computing
|Supply-Chain/Lieferkette
|Edge Computing ist ein verteiltes IT-Architekturmodell, bei dem Datenverarbeitung und -analyse näher an den Ort der Datenerzeugung verlagert werden, um Latenzzeiten zu minimieren und Echtzeit-Anwendungen zu unterstützen.
|Gesamtheit aller Prozesse und Akteure in der Herstellung und Distribution von Produkten, hier im Kontext der Informationssicherheit
|IT, IS
|-
|-
|IoT
|T.I.S.P.
|Internet of Things
|TeleTrusT Information Security Professional - Eine europäische Zertifizierung für IT-Sicherheitsfachleute
Das Internet of Things (Internet der Dinge) bezeichnet ein Netzwerk von physischen Geräten, Fahrzeugen, Gebäuden und anderen Objekten, die über das Internet miteinander verbunden sind und Daten austauschen können.
|IS
|-
|-
|AI
|Technik‑Layer / Beispiel‑Layer / Audit‑Layer
KI
|Ergänzende Dokumente zum Grundschutz++: Technik‑Layer beschreibt Datenmodell, Techniken und Werkzeugunterstützung; Beispiel‑Layer liefert Praxisbeispiele und typische Ausprägungen; Audit‑Layer (geplant) beschreibt die Prüf‑/Auditperspektive. Die Layer‑Struktur ist Bestandteil der GS++‑Dokumentation.
|Künstliche Intelligenz (KI) bezieht sich auf die Simulation menschlicher Intelligenzprozesse durch Maschinen, insbesondere Computersysteme, die Aufgaben ausführen können, die normalerweise menschliche Intelligenz erfordern.
|IS, IT
|-
|-
|ML
|TESTA
|Maschinelles Lernen
|Trans-European Services for Telematics between Administrations
ML entwickelt, untersucht und verwendet Lernalgorithmen, um Lösungen für Probleme zu lernen, die zu kompliziert sind, um sie mit Regeln zu beschreiben, zu denen es aber viele Daten gibt, die als Beispiele für die gewünschte Lösung dienen können.
Ein sicheres, europaweites Kommunikationsnetzwerk für Behörden und öffentliche Institutionen innerhalb der EU
|IT, IS
|-
|-
|OWASP
|Threat Intelligence
|Die Open Web Application Security Project (OWASP) ist eine gemeinnützige Organisation, die sich der Verbesserung der Sicherheit von Software durch die Bereitstellung von Ressourcen, Schulungen und Werkzeugen widmet, darunter die bekannte OWASP Top 10 Liste der häufigsten Sicherheitsrisiken für Webanwendungen.
|Sammlung und Analyse von Informationen zu aktuellen und potenziellen Sicherheitsbedrohungen
|IS, IT
|-
|-
|Big Data
|Threat Modeling
|Big Data bezeichnet die Verarbeitung und Analyse extrem großer, komplexer und schnelllebiger Datenmengen, die mit herkömmlichen Datenverarbeitungstechniken nicht mehr zu bewältigen sind.
|Strukturierte Analyse möglicher Angriffswege, Bedrohungen und Schwachstellen eines Systems.
|IS, IT
|-
|-
|Compliance
|TISAX
|Compliance bezieht sich auf die Einhaltung von Gesetzen, Vorschriften, Standards und internen Richtlinien, die für ein Unternehmen oder eine Organisation gelten.
|Trusted Information Security Assessment Exchange – branchenspezifisches Prüfverfahren in der Automobilindustrie
|IS
|-
|-
|Blockchain
|TISP
|Blockchain ist eine dezentrale und verteilte digitale Ledger-Technologie, die Transaktionen in einer unveränderlichen und transparenten Weise aufzeichnet und sichert, ohne dass eine zentrale Autorität erforderlich ist.
|Trusted Internet Service Provider - Ein Konzept für vertrauenswürdige Internetdienstanbieter, die hohe Sicherheits- und Datenschutzanforderungen erfüllen.
|IS
|-
|-
|SOAR
|TLS
|Security Orchestration, Automation, and Response (SOAR) ist eine Kategorie von Sicherheitslösungen, die Workflows, Automatisierung und Reaktionsmöglichkeiten kombinieren, um Bedrohungen effizient zu erkennen, zu analysieren und darauf zu reagieren.
|Transport Layer Security – Protokoll für Datenschutz und Integrität in der Internetkommunikation
|IS, IT
|-
|-
|SOC 2
|TOM
|SOC 2 (System and Organization Controls 2) ist ein Prüfungsstandard für Dienstleister, der die Einhaltung von Sicherheits-, Verfügbarkeits-, Vertraulichkeits- und Datenschutzanforderungen überprüft, um sicherzustellen, dass Kundeninformationen geschützt werden.
|Technische und organisatorische Maßnahmen – Maßnahmen zum Schutz personenbezogener Daten im Einklang mit der DSGVO
|DS, IS
|-
|-
|PCI DSS
|TOTP
|Payment Card Industry Data Security Standard (PCI DSS) ist ein Sicherheitsstandard für Organisationen, die mit Kreditkartendaten arbeiten, und legt Anforderungen fest, um den Schutz dieser Daten zu gewährleisten.
|Time-Based One-Time Password – zeitbasiertes Einmal-Passwort
|IS, IT
|-
|-
|HIPAA
|TPM
|Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das Standards für den Schutz von sensiblen Patientendaten im Gesundheitswesen festlegt.
|Trusted Platform Module – hardwarebasierter Sicherheitsbaustein zur sicheren Speicherung kryptografischer Schlüssel und zur Integritätsprüfung von Systemkomponenten (z.B. Secure Boot).
|IS, IT
|-
|-
|Cloud
|Traffic Light Protocol (TLP)
|Cloud Computing bezeichnet die Bereitstellung von IT-Ressourcen wie Servern, Speicher, Datenbanken, Netzwerken, Software und Analysen über das Internet ("die Cloud") auf Basis einer nutzungsabhängigen Abrechnung.
|Eine standardisierte Vereinbarung zum Austausch von schutzwürdigen Informationen.
|IS
|-
|-
|SaaS
|Trojaner
|Software as a Service (SaaS) ist ein Cloud-Computing-Modell, bei dem Software über das Internet bereitgestellt wird und von Nutzenden ohne Installation und Wartung genutzt werden kann.
|Tarnen sich als legitime Software, um Benutzer zur Installation zu verleiten und Hintertüren zu öffnen
|IS, IT
|-
|-
|PaaS
|Trust-Center
|Platform as a Service (PaaS) ist ein Cloud-Computing-Modell, das eine Plattform für die Entwicklung, Verwaltung und Bereitstellung von Anwendungen bietet, ohne dass die zugrunde liegende Infrastruktur verwaltet werden muss.
|Bezeichnet Infrastrukturen von Zertifizierungsdiensteanbietern im Umfeld der elektronischen Signatur
|IS, IT
|-
|-
|IaaS
|TSN
|Infrastructure as a Service (IaaS) ist ein Cloud-Computing-Modell, das grundlegende Rechenressourcen wie virtuelle Maschinen, Speicher und Netzwerke auf Abruf bereitstellt.
|Time-Sensitive Networking – zeitkritische Netzwerktechnologie, vor allem in industriellen Anwendungen
|ID, IT
|-
|-
|Disaster Recovery
|TTS
|Disaster Recovery bezieht sich auf Strategien und Prozesse, die entwickelt werden, um den Betrieb eines IT-Systems nach einem katastrophalen Ausfall oder Angriff wiederherzustellen und Datenverluste zu minimieren.
|Trouble-Ticket-System – computergestütztes System zur Erfassung und Bearbeitung von Vorfällen
|IT
|-
|-
|Block Storage
|Übermittlungsvorbehalt
|Block Storage ist ein Speichersystem, bei dem Daten in Blöcken organisiert werden, die wie physische Festplatten verwendet werden können und flexibel für verschiedene Anwendungen wie Datenbanken und virtuelle Maschinen eingesetzt werden.
|Erlaubnisvorbehalt für grenzüberschreitende Datenübermittlung.
|DS
|-
|-
|Object Storage
|Überwachung
|Object Storage ist eine Methode zur Speicherung von Daten, bei der diese als Objekte verwaltet werden, die Metadaten und eine eindeutige Kennung enthalten, was besonders für unstrukturierte Daten wie Multimedia-Dateien geeignet ist.
|Bewertung von Wirksamkeit und Compliance des ISMS durch Leistungsbewertung, Monitoring, interne Audits, Compliance‑Überwachung und Managementbewertung. In Grundschutz++ ist „Überwachung“ als vierter Prozessschritt des GS++‑Sicherheitsprozesses definiert.
|IS
|-
|-
|File Storage
|UEBA
|File Storage ist eine Methode zur Speicherung von Daten in einem hierarchischen Dateisystem, das Verzeichnisse und Unterverzeichnisse nutzt, um Daten strukturiert und zugänglich zu machen, ähnlich wie bei herkömmlichen Dateiservern.
|User and Entity Behavior Analytics – Analyse des Verhaltens von Benutzenden und technischen Entitäten zur Erkennung von Anomalien und potenziellen Angriffen, oft unter Nutzung von Machine Learning.
|IS, IT, KI
|-
|-
| CSP
|VDA-ISA
| Cloud Service Provider<br>Ein Anbieter von Cloud-Diensten wie Rechenleistung, Speicher oder Anwendungen.
|VDA Information Security Assessment – branchenspezifisches Rahmenwerk der Automobilindustrie zur Sicherheitsbewertung
|IS, IT
|-
|-
| IAM
|Verantwortlicher
| Identity and Access Management<br>System zur Verwaltung von Benutzeridentitäten und deren Zugriffsrechten.
|Person oder Organisation, die über den Zweck und die Mittel der Datenverarbeitung entscheidet.
|DS
|-
|-
| SASE
|Verarbeitung
| Secure Access Service Edge<br>Integration von Netzwerk- und Sicherheitsfunktionen in einer Cloud-basierten Plattform.
|Jede Handlung mit personenbezogenen Daten, z.B. Erhebung, Speicherung, Nutzung.
|DS
|-
|-
| EPP
|Verarbeitungsverzeichnis
| Endpoint Protection Platform<br>Lösung zur Sicherung von Endgeräten vor Cyberbedrohungen.
|Dokumentation aller Datenverarbeitungstätigkeiten gemäß DSGVO.
|DS
|-
|-
| XDR
|Verbindlichkeit
| Extended Detection and Response<br>Sicherheitslösung zur Integration und Analyse von Daten aus verschiedenen Quellen zur Erkennung und Reaktion auf Bedrohungen.
|Rechtliche Bindung eines Geschäfts, oft abhängig von der Einhaltung formaler Anforderungen
|IS
|-
|-
| DevSecOps
|Verschlüsselung
| Development, Security, and Operations<br>Ansatz zur Integration von Sicherheitspraktiken in den gesamten Softwareentwicklungs- und Betriebsprozess.
|Technische Maßnahme zur Sicherung der Vertraulichkeit von Dateninhalten.
|IS, IT, DS
|-
|-
| FaaS
|Verteilungseffekt
| Function as a Service<br>Cloud-Computing-Modell zur Ausführung von Code als Reaktion auf Ereignisse ohne Infrastrukturmanagement.
|Effekt, bei dem der Schutzbedarf einzelner Systeme durch redundante Auslegung reduziert wird
|IS
|-
|-
| CNAPP
|Vertraulichkeit
| Cloud-Native Application Protection Platform<br>Lösung zur Sicherung von cloud-nativen Anwendungen über ihren gesamten Lebenszyklus.
|Schutz vor unbefugter Kenntnisnahme von Informationen
|IS
|-
|-
| CWPP
|VEX
| Cloud Workload Protection Platform<br>Sicherheitsplattform zum Schutz von Workloads in Cloud-Umgebungen.
|Vulnerability Exploitability eXchange – Ergänzung zu SBOM, die beschreibt, ob bekannte Schwachstellen tatsächlich ausnutzbar sind.
|IT, IS
|-
|-
| SD-WAN
|Viren / Virus
| Software-Defined Wide Area Network<br>Technologie zur Virtualisierung und Verwaltung von Weitverkehrsnetzen.
|Schadsoftware, die sich an Dateien anhängt und sich selbst repliziert
|IS, IT
|-
|-
| CICD
|Virtuelle Inbetriebnahme
CI/CD
|Simulation von Anlagen vor physischem Aufbau zur Optimierung und Fehlervermeidung
| Continuous Integration/Continuous Deployment<br>Methode der Softwareentwicklung zur kontinuierlichen Integration und Bereitstellung von Codeänderungen.
|ID, IT
|-
|-
| K8s
|VLAN
| Kubernetes - Open-Source-System zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen.
|Virtual Local Area Network – logisch separiertes Netzwerksegment innerhalb eines physischen Netzwerks
|IT
|-
|-
| CVE
|VPN
| Common Vulnerabilities and Exposures<br>Verzeichnis öffentlich zugänglicher Sicherheitslücken in IT-Systemen.
|Virtuelles Privates Netz – Aufbau eines privaten Netzwerks innerhalb eines öffentlichen Netzes
|IS, IT
|-
|-
|DSGVO
|VVT
GDPR
|Verzeichnis von Verarbeitungstätigkeiten – Dokumentation gemäß DSGVO
|DatenSchutz-GrundVerOrdnung (General Data Protection Regulation)
|DS
Die DSGVO ist eine Verordnung der EU zum Schutz personenbezogener Daten.
|-
|-
|RBAC
|W3C
|Role-Based Access Control
|World Wide Web Consortium – Entwickler von Web-Standards
Ein Zugriffskontrollmodell, das den Zugriff auf IT-Ressourcen basierend auf den Rollen von Benutzenden im Unternehmen steuert.
|IT
|-
|-
|WAF
|WAF
|Web Application Firewall
|Web Application Firewall – speziell für Webanwendungen entwickelte Firewall
Eine Firewall, die speziell den Datenverkehr von Webanwendungen filtert und schützt.
|IS, IT
|-
|WAP
WAZ
 
WHP
|Wiederanlaufplan, Wiederanlaufzeit, Wiederherstellungsplan – Pläne und Kennzahlen im Notfallmanagement
|BC
|-
|Web of Trust
|Konzept zur Authentizitätsüberprüfung öffentlicher Schlüssel durch gegenseitige Beglaubigung
|IS, IT
|-
|Wiederanlauf
|Maßnahmen, um in einen Notbetrieb überzugehen
|BC
|-
|Wiederherstellung
|Geordnete Rückkehr in den Normalbetrieb nach einem Notfall
|BC
|-
|Workaround
|Temporäre Ersatzlösung zur Aufrechterhaltung des Betriebs, bis eine dauerhafte Behebung verfügbar ist.
|BC, IS
|-
|-
|SAML
|Wurm / Würmer
|Security Assertion Markup Language
|Selbstreplizierende Malware, die sich ohne Benutzerinteraktion verbreitet
Ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, insbesondere in Single-Sign-On (SSO)-Systemen.
|IS, IT
|-
|-
|SSO
|WWW
|Single Sign-On
|World Wide Web – Teil des Internets, der über HTTP zugänglich ist
Eine Authentifizierungsmethode, die es Benutzerinnen und Benutzern ermöglicht, sich mit einem einzigen Satz von Anmeldedaten bei mehreren, unabhängigen Software-Systemen anzumelden.
|IT
|-
|-
|OAuth
|X.500
|Open Authorization
|Empfehlung für einen globalen Verzeichnisdienst
Ein offenes Protokoll, das es Drittanbietern ermöglicht, im Namen eines Benutzers auf Ressourcen zuzugreifen, ohne dass die Anmeldeinformationen offengelegt werden müssen.
|IT
|-
|-
|OIDC
|X.509
|OpenID Connect
|Rahmenwerk zur Authentifizierung mittels asymmetrischer Kryptographie
Ein Authentifizierungsprotokoll, das auf OAuth 2.0 basiert und es ermöglicht, die Identität eines Benutzers basierend auf einem Autorisierungsvorgang zu bestätigen.
|IS, IT
|-
|-
|MFA
|XAI
|Multi-Factor Authentication
|Explainable AI – Ansätze zur Erklärbarkeit von Entscheidungen künstlicher Intelligenzsysteme.
Eine Sicherheitsmaßnahme, bei der der Benutzer mehrere Formen von Authentifizierungsnachweisen (z.B. Passwort und biometrische Daten) angeben muss, um Zugang zu einem System zu erhalten.
|KI, IT, DS
|-
|-
|JWT
|XDR
|JSON Web Token
|Extended Detection and Response – Erweiterte Plattform zur Bedrohungserkennung über verschiedene Sicherheitsebenen hinweg
Ein kompaktes, URL-sicheres Mittel zur Übertragung von Ansprüchen zwischen zwei Parteien, typischerweise zur Authentifizierung und Informationsübertragung in Webanwendungen verwendet.
|IS, IT
|-
|-
|TOTP
|XML
|Time-Based One-Time Password
|Extensible Markup Language – Standard zur strukturierten Darstellung von Daten
Ein Einmal-Passwort, das auf einem geheimen Schlüssel und der aktuellen Zeit basiert, häufig in MFA-Implementierungen verwendet.
|IT
|-
|-
|PAM
|YAML
|Privileged Access Management
|YAML Ain't Markup Language – menschenlesbares Datenformat, häufig für Konfigurationsdateien
Sicherheitsstrategien und -tools zur Verwaltung und Überwachung von privilegierten Benutzerkonten mit erweiterten Rechten, um Missbrauch zu verhindern.
|IT
|-
|-
|FIDO2
|Yellow Teaming
|Fast Identity Online 2
|Zusammenarbeit zwischen Red Team und Blue Team zur Verbesserung der Sicherheitslage
Ein Authentifizierungsstandard, der starke Authentifizierung ohne Passwörter ermöglicht, häufig durch den Einsatz von biometrischen Daten oder physischen Sicherheitsschlüsseln.
|IS
|-
|-
|OTP
|Zeitstempel
|One Time Password (Einmalpasswort)
|Digitale Daten zur Beweisführung des Existenzzeitpunkts von Informationen
Ein temporäres Passwort, das nur einmal für eine Anmeldung oder Transaktion verwendet werden kann. Es wird oft per SMS, E-Mail oder über eine App generiert und ist nach einmaliger Nutzung oder nach einer kurzen Zeitspanne ungültig.
|IS, IT
|-
|-
| Cyber-Risiko-Check<br>(CRC)
|Zero Trust
| Ein systematisches Verfahren zur Identifikation und Bewertung von IT-bezogenen Risiken für Kein- und Keinstunternehmen nach DIN SPEC 27076.
|Sicherheitskonzept, bei dem grundsätzlich keinem Gerät oder Benutzer vertraut wird
|IS, IT
|-
|-
| TISAX
|Zero-Day-Exploit
| Trusted Information Security Assessment Exchange (TISAX) ist ein branchenspezifisches Prüf- und Austauschverfahren für die Informationssicherheit in der Automobilindustrie. Es basiert auf der ISO/IEC 27001 und ergänzt diese um spezielle Anforderungen des VDA, um einheitliche Sicherheitsstandards entlang der Lieferkette sicherzustellen.
|Ausnutzung einer Software-Schwachstelle, bevor ein Patch verfügbar ist
|IS, IT
|-
|-
| VDA-ISA
|Zielobjektkategorie
| Das VDA Information Security Assessment (VDA-ISA) ist ein Rahmenwerk des Verbands der Automobilindustrie (VDA), das branchenspezifische Sicherheitsanforderungen definiert. Es bildet die Grundlage für das TISAX-Verfahren und berücksichtigt besondere Risiken und Schutzbedarfe der Automobilbranche.
|„Klasse“ bzw. Typ von Objekten (z.B. Gebäude, Endgeräte, Webserver, Daten), für die Anforderungen definiert werden. Die Kombination aus Praktiken, Zielobjektkategorien und Assets zur Vererbung von Anforderungen ist ein zentrales Strukturprinzip von Grundschutz++ (GS++).
|IS, IT
|-
|-
| Supply-Chain<br>Lieferkette
|ZTA
| Bezeichnet die Gesamtheit aller Prozesse, Organisationen und Akteure, die an der Herstellung und Distribution von Produkten beteiligt sind. Im Kontext der Informationssicherheit umfasst dies auch die Absicherung von Daten- und Informationsflüssen zwischen den beteiligten Unternehmen.
|Zero Trust Architecture – Implementierung des Zero Trust Prinzips in der IT-Infrastruktur
|IS, IT
|-
|-
|Reifegrad
|ZTNA
Reifegradmodell
|Zero Trust Network Access – Sicherheitskonzept, das kontinuierliche Verifikation statt implizitem Vertrauen fordert
|Ein Reifegradmodell für die Informationssicherheit ist ein Instrument zur Bewertung und Verbesserung der Informationssicherheit einer Organisation. Es ermöglicht eine systematische Analyse des aktuellen Sicherheitsniveaus und eine schrittweise Entwicklung der Sicherheitsreife.
|IS, IT
|-
|-
| DPIA || Data Protection Impact Assessment (Datenschutz-Folgenabschätzung): Eine systematische Untersuchung zur Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten, wie in der DSGVO vorgeschrieben.
|Zugang
|Nutzung von IT-Ressourcen zur Informationsgewinnung
|IT
|-
|-
| SLA || Service Level Agreement: Eine Vereinbarung zwischen Dienstleistenden und Kunden über die Qualität, Umfang und Reaktionszeiten von IT-Dienstleistungen, die als Grundlage für die Messung und Steuerung der Servicequalität dient.
|Zugriff
|Zugriff auf Informationen oder Daten
|IT
|-
|-
| ZTA || Zero Trust Architecture: Ein Sicherheitskonzept, das davon ausgeht, dass keine Entität innerhalb oder außerhalb des Netzwerks standardmäßig vertrauenswürdig ist und jeder Zugriff verifiziert werden muss, bevor er gewährt wird.
|Zutritt
|Betreten abgegrenzter Bereiche (z. B. Gebäude)
|IT
|-
|-
| NIST CSF || National Institute of Standards and Technology Cybersecurity Framework: Ein Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen, das Organisationen bei der Bewertung und Verbesserung ihrer Fähigkeit zur Prävention, Erkennung und Reaktion auf Cyberangriffe unterstützt.
|Zweckbindung
|Daten dürfen nur für festgelegte, legitime Zwecke verarbeitet werden.
|DS
|}
|}
[[Kategorie:Artikel]]
[[Kategorie:Artikel]]
[[Kategorie:KMU]]
[[Kategorie:KMU]]
[[Kategorie:Datenschutz]]

Aktuelle Version vom 6. Mai 2026, 18:16 Uhr

Akten

Das Glossar zur Informationssicherheit ist eine Sammlung von etwa 450 Begriffen und Definitionen, die häufig in der Informationssicherheit verwendet werden. Es dient als Nachschlagewerk, um Fachleuten und Interessierten klare und einheitliche Erklärungen zu bieten, was die Verständigung und Schulung in diesem komplexen Bereich erleichtert.

Verzeichnis der Abkürzungen und Synonyme

Zur Suche innerhalb des Verzeichnisses bitte die Suchfunktion des Browsers verwenden. ([STRG] + F).

Die Spalten können durch einen Klick auf die Überschrift auf- und absteigend sortiert werden.

Die letzte Spalte definiert die Bereiche in denen die Abkürzung oder der Begriff Anwendung findet wie folgt:

IS=Informationssicherheit (organisatorisch); IT=Informationstechnik; DS=Datenschutz; ID=Industrielle IT; BC=Notfallmanagement (BCM); KI=Künstliche Intelligenz.

Abkürzung/Begriff Erklärung Bereich
2FA Zwei-Faktor-Authentisierung. Ein Authentifizierungsverfahren, das zwei verschiedene Faktoren zur Verifizierung der Identität eines Benutzers erfordert. IS, IT
Advisory Sicherheitswarnung von Herstellern oder CERTs, die auf eine Schwachstelle oder Angriffsmöglichkeit bei einer Hard- oder Software hinweist. IS, IT
Adware Adware zeigt unerwünschte Werbung an und kann das Benutzererlebnis beeinträchtigen sowie potenziell schädliche Anzeigen einblenden. IT
AGV Automated Guided Vehicle: Automatisierte, führerlose Transportfahrzeuge in der Produktion ID, IT
AI Act EU‑Verordnung zur Regulierung von KI‑Systemen, die Anforderungen an Sicherheit, Transparenz und Risikomanagement festlegt. KI, IS
AI KI Künstliche Intelligenz (KI) bezieht sich auf die Simulation menschlicher Intelligenzprozesse … KI, IT
ALG Application Level Gateway – trennt eine Verbindung netztechnisch und filtert auf Anwendungsebene IS, IT
Anforderung Erwartung an Organisation, Prozesse oder Technik, die erfüllt sein muss oder sollte, um ein angemessenes Sicherheitsniveau zu erreichen. Anforderungen können aus Normen, Gesetzen, Verträgen, internen Regelwerken oder Risikobetrachtungen abgeleitet werden. IS
Anforderungspaket Gesamtheit aller für einen Informationsverbund bzw. Geltungsbereich modellierten Anforderungen (ISMS‑Anforderungen, objektbezogene Anforderungen, zusätzliche gesetzliche/vertragliche und risikobasierte Anforderungen). Dieses Konzept wird in dieser Form als Kernelement der Methodik im Grundschutz++ verwendet. IS
Anonymisierung Veränderung von Daten, sodass eine Identifizierung der Person nicht mehr möglich ist. DS
ANSI American National Standards Institute – ein privatwirtschaftliches Standardisierungsorgan der USA IT
AP Assessment Plan: Bewertungsplan für Audits und Tests (Syn.: Assessment-Plan) IS
API Application Programming Interface – dokumentierte Software-Schnittstelle IT
APT Advanced Persistent Threat – langandauernde, zielgerichtete Cyberangriffskampagne IS, IT
AR Assessment Results: Bewertungsergebnisse mit Findings und Evidenz (Syn.: Assessment-Results) IS
Asset Objekt oder Ressource (z.B. Information, System, Anwendung, Gerät, Dienstleistung, Raum, Mitarbeitende), das bzw. die einen Wert für die Organisation hat und deren Beeinträchtigung die Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) beeinflussen kann. IS, IT
Audit Prüfung der Einhaltung von Standards, Richtlinien und Regelungen. IS, IT, DS
Aufsichtsbehörde Staatliche Behörde zur Überwachung der Einhaltung und Durchsetzung von Sicherheits- oder Datenschutzvorschriften. IS, DS, KI
Auftragsverarbeiter Dritter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. DS
Authentifizierung Vorgang zur Überprüfung der Identität einer Person oder eines Systems IS, IT
Authentizität Nachweis über die Echtheit elektronischer Daten und deren Zuordnung zum Verfasser IS, IT
Autorisierung Prüfung, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer Aktion berechtigt ist IS, IT
AVV Auftragsverarbeitungsvertrag, der den Umgang mit personenbezogenen Daten im Einklang mit der DSGVO regelt DS
Backdoor Versteckte Möglichkeit, Zugang zu einem Computersystem zu erhalten, oft für böswillige Zwecke IS, IT
BCM BCMS Business Continuity Management – Maßnahmen zur Fortführung der Geschäftsprozesse nach einem Notfall BC
BDBOS "Bundesanstalt für den Digitalfunk der Behörden und Organisationen" – koordiniert den Digitalfunk im Bereich öffentliche Sicherheit IS
BDSG Bundesdatenschutzgesetz, regelt Datenschutz national in Deutschland und ergänzt die DSGVO. DS
Betroffene Person Natürliche Person, deren Daten verarbeitet werden. DS
Betroffenenrechte Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Widerspruch). DS
BIA Business Impact Analyse – Analyse zur Ermittlung potentieller Folgeschäden durch Ausfall von Geschäftsprozessen BC, IS
Bias Bias (Daten-Bias) bezeichnet eine systematische Verzerrung oder Voreingenommenheit in statistischen oder KI-Daten, die zu einer fehlerhaften Wahrnehmung, Bewertung oder Entscheidungsfindung führt. KI, IT
Big Data Verarbeitung und Analyse extrem großer, komplexer Datenmengen IT
Biometrie Automatisierte Erkennung von Personen anhand körperlicher Merkmale IS, IT
Block Storage Speichersystem, bei dem Daten in Blöcken organisiert werden IT
Blockchain Dezentrale und verteilte digitale Ledger-Technologie IT
Blue Teaming Sicherheitskräfte, die ein Unternehmen gegen Cyberangriffe verteidigen IS, IT
BNetzA Bundesnetzagentur – Regulierungsbehörde u. Zertifizierungsstelle IS
BO Buffer Overflow – Sicherheitslücke durch Überschreiben von Speicherbereichen IS, IT
BOS Behörden und Organisationen mit Sicherheitsaufgaben IS
Bot/Botnet/Bot-Netz Ein Bot-Netz aus vielen infizierten PCs (Bot), die ferngesteuert werden IS, IT
Brute-Force-Angriff Angriff durch massives Ausprobieren von Möglichkeiten zum Erraten von Passwörtern IS, IT
BSC Basis-Sicherheits-Check – Überprüfung der Umsetzung von IT-Grundschutz-Maßnahmen IS
BSI Bundesamt für Sicherheit in der Informationstechnik – nationale Cyber-Sicherheitsbehörde IS
BYOD Bring Your Own Device – Nutzung eigener mobiler Geräte im beruflichen Kontext IS, IT
CA Certification Authority – Zertifizierungsinstanz für digitale Zertifikate IS, IT
CASB Cloud Access Security Broker – Sicherheitskomponente zwischen Nutzenden und Cloud-Diensten zur Durchsetzung von Richtlinien, Sichtbarkeit von Cloud-Nutzung und Schutz sensibler Daten. IS, IT
CC Common Criteria – internationaler Standard für IT-Sicherheitsbewertungen IS
CERT

CSIRT

Computer Emergency Response Team / Computer Security Incident Response Team – Team zur Koordination bei Sicherheitsvorfällen IS
CIA Steht für Confidentiality, Integrity und Availability – Grundwerte der Informationssicherheit IS
CICD

CI/CD

Continuous Integration/Continuous Deployment – Methode der kontinuierlichen Integration und Bereitstellung von Codeänderungen IT
CISO

CSO

Chief Information Security Officer

Chief Security Officer

IS
Cloud Cloud Computing – Bereitstellung von IT-Ressourcen über das Internet IT
CNAPP Cloud-Native Application Protection Platform – Lösung zum Schutz von cloud-nativen Anwendungen IS, IT
CNN Convolutional Neural Network – Neuronales Netz, das besonders für die Bildverarbeitung geeignet ist. KI, IT
Compliance Einhaltung gesetzlicher, regulatorischer, vertraglicher und interner Vorgaben im Rahmen des Managementsystems für Informationssicherheit. Dazu gehören z.B. Normen, Gesetze, Verordnungen, Verträge und interne Richtlinien. IS
Computer Vision Teilgebiet der KI, das sich mit der automatischen Bildanalyse und -verarbeitung befasst. KI, IT
Container Security Sicherheitsmaßnahmen zum Schutz containerisierter Anwendungen, Images, Registries und Laufzeitumgebungen. IS, IT
CPS Cyber-Physical Systems – Integration von Informatik, Netzwerktechnik und physikalischen Prozessen ID, IT
CRL Certificate Revocation List – Liste gesperrter und widerrufener Zertifikate IS, IT
CSP Cloud Service Provider – Anbieter von Cloud-Diensten IT
CSPM Cloud Security Posture Management – Überwachung und Korrektur von Fehlkonfigurationen in Cloud-Umgebungen IS, IT
CVE Common Vulnerabilities and Exposures – Verzeichnis öffentlich zugänglicher Sicherheitslücken IS, IT
CWPP Cloud Workload Protection Platform – Sicherheitsplattform für Workloads in Cloud-Umgebungen IS, IT
Cyber-Risiko-Check (CRC) Systematisches Verfahren zur Identifikation und Bewertung von IT-bezogenen Risiken IS
Cybersecurity Umfasst Maßnahmen, Technologien und Prozesse zum Schutz von Netzwerken, Systemen und Daten IS, IT
Data Drift Veränderung der Eingabedatenverteilung, die zu abweichenden oder schlechteren Modellergebnissen führen kann. KI, IS
Data Governance (KI) Festlegung von Verantwortlichkeiten, Regeln und Prozessen für die Nutzung, Qualität, Herkunft und Sicherheit von Daten, die für Training und Betrieb von KI-Systemen verwendet werden. KI, IS, DS
Data Protection Officer (DPO) Englischer Begriff für Datenschutzbeauftragte (DSB). DS
Datenleck Unbeabsichtigte Offenlegung von personenbezogenen Daten. DS, IS
Datenminimierung Verarbeitung nur der notwendigen personenbezogenen Daten. DS
Datenportabilität Recht der Betroffenen, Daten in maschinenlesbarer Form zu erhalten. DS
Datenschutz-Impact-Assessment (DPIA) Dokumentierte Risikoanalyse der Datenverarbeitung. Synonym für DSFA. DS
Datenschutzgrundsätze Prinzipien der DSGVO wie Rechtmäßigkeit, Zweckbindung und Transparenz. DS
Datenschutzmanagement Steuerung aller Datenschutzmaßnahmen in einer Organisation. DS
Datenschutzorganisation Struktur in Unternehmen zur Umsetzung der Datenschutzvorgaben. DS
Datenschutzrichtlinie Interne oder externe Vorgabe für den Datenschutz. DS
Datenschutzrisiko Gefahr für Rechte und Freiheiten der Betroffenen durch Datenverarbeitung. DS
Datenschutzverletzung Verstoß gegen Datenschutzvorschriften oder unbefugter Zugriff auf personenbezogene Daten. DS
Datensicherheit Maßnahmen zum Schutz der Daten vor unbefugtem Zugriff, Verlust oder Zerstörung. DS
Datentransparenz Information der Betroffenen über die Datenverarbeitung. DS
Datenübermittlung Weitergabe personenbezogener Daten an Dritte oder in Drittstaaten. DS
DCS Distributed Control System – Verteiltes Steuerungssystem für industrielle Anlagen ID, IT
Degaussing Methode zur Unlesbarmachung von Daten auf magnetischen Speichermedien durch starke Magnetfelder IT
DevSecOps Ansatz zur Integration von Sicherheitspraktiken in den Softwareentwicklungs- und Betriebsprozess IS, IT
Digitale Zwillinge Virtuelle Abbilder physischer Anlagen zur Simulation und Optimierung ID, IT
DIN Deutsches Institut für Normung – nationale Normungsorganisation IT
Direktmarketing Werbung, die direkt an Betroffene gerichtet ist. DS
Disaster Recovery Strategien und Prozesse zur Wiederherstellung eines IT-Systems nach einem Ausfall oder Angriff BC
DKIM DomainKeys Identified Mail – E-Mail-Authentifizierungsstandard IS, IT
DL Deep Learning – Unterkategorie des maschinellen Lernens, basierend auf künstlichen neuronalen Netzen mit mehreren Schichten. KI, IT
DLP Data Loss Prevention – Maßnahmen zur Verhinderung des Verlusts oder der unbefugten Weitergabe sensibler Daten DS, IS
DMARC Domain-based Message Authentication, Reporting, and Conformance – E-Mail-Authentifizierungsprotokoll IS, IT
DMZ Demilitarisierte Zone – Netzsegment mit kontrolliertem Zugriff IS, IT
DN Distinguished Name – Eindeutige Adressierung in Verzeichnisdiensten IT
DoS/DDoS Denial-of-Service / Distributed Denial-of-Service – Angriffe zur Lahmlegung von IT-Systemen IS, IT
DPIA Data Protection Impact Assessment – Datenschutz-Folgenabschätzung gemäß DSGVO DS
Drittland Staat außerhalb der EU oder des EWR mit abweichenden Datenschutzregeln. DS
Drive-by-Download Methode, bei der Malware automatisch beim Besuch einer infizierten Website heruntergeladen wird IS, IT
DSB/bDSB Datenschutzbeauftragter bzw. betrieblicher/behördlicher Datenschutzbeauftragter DS, IS
DSFA Datenschutz-Folgenabschätzung – Prozess zur Bewertung der Risiken bei der Verarbeitung personenbezogener Daten DS
DSGVO Datenschutz-Grundverordnung der EU, einheitliche Rechtsgrundlage für Datenschutz seit 2018 in der EU. DS
Edge Computing Dezentrale Datenverarbeitung am Netzwerkrand zur Reduzierung von Latenz und Bandbreitenbedarf IT
EDR Endpoint Detection and Response – sicherheitsorientierte Überwachung und Analyse von Endgeräten mit Fokus auf Erkennung, Untersuchung und Reaktion auf Angriffe jenseits klassischer Virenscanner. IS, IT
Einwilligung Freiwillige, informierte Zustimmung der betroffenen Person zur Verarbeitung ihrer Daten. DS
Einwilligungserklärung Schriftliche Zustimmung der betroffenen Person. DS
Einwilligungswiderruf Recht der Betroffenen, ihre Zustimmung zu widerrufen. DS
EPP Endpoint Protection Platform – Lösung zum Schutz von Endgeräten IS, IT
Ereignis Sicherheitsrelevanter Zustand oder Auslöser, der eine Handlung notwendig macht (z.B. Inbetriebnahme, Änderung, Vorfall). Ereignisse werden häufig in Anforderungen beschrieben, um Situationen und Auslöser für Maßnahmen zu definieren. IS
ERP Enterprise-Ressource-Planning – Optimierung betrieblicher Abläufe durch Planung vorhandener Ressourcen IT
Exploit Methode oder Software, die Schwachstellen in einem System ausnutzt IS, IT
FaaS Function as a Service – Cloud-Computing-Modell zur Ausführung von Code ohne Infrastrukturmanagement IT
Federated Learning Verteiltes maschinelles Lernen, bei dem Daten lokal verbleiben und nicht zentralisiert werden müssen. KI, IT, DS
FedRAMP Federal Risk and Authorization Management Program: US-Cloud-Compliance-Programm mit OSCAL IS
FIDO2 Fast Identity Online 2 – Authentifizierungsstandard, oft unter Einsatz biometrischer Daten IS, IT
File Storage Methode zur Speicherung von Daten in einem hierarchischen Dateisystem IT
Firmware Security Schutz von BIOS/UEFI und anderer Firmware vor Manipulation, Schwachstellen und unbefugten Änderungen. IS, IT
GAN Generative Adversarial Network – KI-Architektur, bei der zwei neuronale Netze gegeneinander arbeiten. KI, IT
GDPR General Data Protection Regulation, englische Bezeichnung für die DSGVO. DS
Gefährdung Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt (BSI-Definition) IS
Geschäftsprozess Fachliche Abfolge von Tätigkeiten zur Erbringung von Leistungen oder zur Erfüllung gesetzlicher Aufgaben. Geschäftsprozesse sind häufig Ausgangspunkt für die Betrachtung von Informationswerten, Schutzbedarf und Risiken. IS
Grundschutz++ (GS++) Objektorientierte Weiterentwicklung des BSI IT‑Grundschutzes. Der Begriff bezeichnet explizit das GS++‑Modell, das das Bausteinmodell in ein digitales Modell aus Praktiken, Zielobjektkategorien und Assets überführt und in einen fünfstufigen PDCA‑basierten Sicherheitsprozess einbettet. IS
GSC GrundSchutz-Check – Überprüfung der Umsetzung von IT-Grundschutz-Anforderungen IS
Halluzination Phänomen bei KI-Modellen, insbesondere LLMs, bei dem scheinbar plausible, aber faktisch falsche oder frei erfundene Informationen ausgegeben werden, ohne dass das Modell seine Unsicherheit kenntlich macht. KI, IS
Handlungswort Verb in Anforderungen bzw. Satzschablonen, das die Art der geforderten Aktion beschreibt (z.B. protokollieren, prüfen, freigeben). Der Begriff „Handlungswort“ wird in dieser technisch‑methodischen Bedeutung speziell im Rahmen der GS++‑Satzschablonen verwendet. IS
Hashwert

Hashfunktion

Mathematische Prüfsumme, erzeugt durch Anwendung einer Hashfunktion IS, IT
HIPAA Health Insurance Portability and Accountability Act – US-Gesetz zum Schutz sensibler Patientendaten DS, IT
HMI Human Machine Interface – Schnittstelle zwischen Mensch und Maschine in industriellen Systemen ID, IT
Honeypot Nicht produktiv genutztes, speziell aufgestelltes System, um Angriffe zu erkennen IS, IT
HSM Hardware Security Modul – speziell gehärtete Appliance zur Handhabung kryptographischer Schlüssel IS, IT
HTTP Hypertext Transport Protocol – Protokoll für die Datenübertragung im WWW IT
HTTPS Hypertext Transfer Protocol Secure – Verschlüsselte und authentifizierte Version von HTTP IS, IT
IaaS Infrastructure as a Service – Bereitstellung von IT-Ressourcen wie virtuellen Maschinen IT
IaC Infrastructure as Code – Verwaltung und Bereitstellung von Infrastruktur über deklarativen Code statt manuelle Konfiguration. IT, IS
IAM Identity and Access Management – Verwaltung von Benutzeridentitäten und Zugriffsrechten IS, IT
ICS Industrial Control System – Oberbegriff für Steuerungssysteme in industriellen Umgebungen ID, IT
IDS Intrusion Detection System – Überwachungssystem zur Erkennung von Angriffen IS, IT
IETF Internet Engineering Task Force – internationale Gemeinschaft zur Weiterentwicklung der Internet-Architektur IT
IIoT Industrial Internet of Things – Vernetzung industrieller Geräte und Maschinen ID, IT
Industry 4.0 Industrie 4.0 – Konzept der umfassenden Digitalisierung industrieller Produktionsprozesse ID, IT
Informationspflicht Pflicht, Betroffene über Datenverarbeitung zu informieren. DS
Informationssicherheitseinstufung Prozess zur Bestimmung des Schutzbedarfs von Informationen und darauf basierenden Geschäftsprozessen. Die hier beschriebene zweistufige Ausprägung (zuerst Informationen, dann Geschäftsprozesse und daraus Sicherheitsniveau) ist spezifisch für die Methodik von Grundschutz++. IS
Informationssicherheitsleitlinie Grundlegendes Steuerungsdokument des ISMS. Sie beschreibt Ziele und Bedeutung der Informationssicherheit, Verantwortung der Leitung sowie den Rahmen für Rollen, Sicherheitsniveau und kontinuierliche Verbesserung. IS
Integrität Sicherstellung der Korrektheit und Unversehrtheit von Daten IS
Interessierte Parteien Interne und externe Personen oder Organisationen (z.B. Leitung, Mitarbeitende, Kunden, Aufsichtsstellen), die Anforderungen oder Erwartungen an die Informationssicherheit haben. Ihre Anforderungen sind bei Aufbau und Betrieb des ISMS zu berücksichtigen. IS
IoT Internet of Things – Netzwerk physischer Geräte, die über das Internet verbunden sind IT
IPS Intrusion Prevention System – System zur Erkennung und automatischen Abwehr von Angriffen IS, IT
IPSec Internet Protocol Security – Protokoll für gesicherte IP-Kommunikation IS, IT
ISB

InSiBe ITSB

Informationssicherheitsbeauftragter bzw. IT-Sicherheitsbeauftragter IS
ISMS Informations-Sicherheits-Management-System – Definition, Steuerung und fortlaufende Verbesserung der Informationssicherheit IS
ISO International Organization for Standardization – internationale Normungsorganisation IT
IT-Forensik Untersuchung und Analyse von IT-Systemen zur Gewinnung von Beweismitteln IS, IT
IT-Grundschutz Methodik des BSI zum Aufbau eines Sicherheitsmanagementsystems IS
IT-Verbund

Informationsverbund Scope

Fachlich und organisatorisch abgegrenzte Menge von Geschäftsprozessen, Assets und Strukturen, für die Informationssicherheit und das ISMS konkret geplant und umgesetzt werden. Der Informationsverbund dient der handhabbaren Modellierung und Betrachtung. IT
ITSCM Information Technology Service Continuity Management – IT-Notfallmanagement, z.T. synonym zu BCM BC
ITSEC Information Technology Security Evaluation Criteria – europäischer Standard für Sicherheitsbewertungen IS, IT
JSON JavaScript Object Notation – leichtgewichtiges, textbasiertes Datenformat IT
JWT JSON Web Token – kompaktes, URL-sicheres Mittel zur Übertragung von Ansprüchen zwischen Parteien IS, IT
K8s Kubernetes – Open-Source-System zur Verwaltung containerisierter Anwendungen IT
Keylogger Hard- oder Software zum Mitschneiden von Tastatureingaben IS, IT
KPI Key Performance Indicators – Leistungskennzahlen zur Messung der Informationssicherheit IS
Krise Schadensereignis, das massive negative Auswirkungen auf eine Organisation hat BC
Krisenbewältigung Tätigkeiten zur Bewältigung einer eingetretenen Krise BC
KRITIS Kritische Infrastrukturen – Organisationen mit besonders hohem Versorgungs- und Sicherheitsbedarf IS
Krypto-Schreddern Methode zum sicheren Löschen von Daten durch Entfernen kryptographischer Schlüssel IS
Kumulationseffekt Erhöhter Schutzbedarf eines IT-Systems durch kumulative Schäden oder Anwendungen IS
KVP Kontinuierlicher Verbesserungsprozess – Grundprinzip des Qualitätsmanagements (z. B. ISO 9001) IS
Lage Sachliche Momentaufnahme des aktuellen Standes einer Krise BC
Lagebild Zusammenfassung relevanter Informationen zu einer Situation zur Entscheidungsfindung BC
Lateralbewegung Technik, mit der Angreifer innerhalb eines Netzwerks seitwärts zu weiteren Hosts oder Ressourcen fortschreiten. IS, IT
LDAP Lightweight Directory Access Protocol – Protokoll zur Abfrage und Änderung von Einträgen in einem Verzeichnisdienst IT
LIME Local Interpretable Model-agnostic Explanations

Erstellt lokal um eine spezifische Vorhersage ein einfaches, interpretierbares Ersatzmodell (z.B. lineare Regression), indem Eingabedaten perturbierend verändert werden. Modell-agnostisch, schnell einsetzbar, aber potenziell instabil je nach Perturbation.

IS, DS
LLM Large Language Model – Umfangreiches Sprachmodell, das auf riesigen Textmengen trainiert wurde. KI, IT
Löschkonzept Strategie zur zeitgerechten Löschung von Daten. DS
LÜKEX Ressort- und Länderübergreifende Krisenmanagementübung BC
MAC Message Authentication Code – zur Sicherung der Integrität und Authentizität von Nachrichten IS, IT
Malware (Malicious Software) – Software, die entwickelt wurde, um Schaden zu verursachen IS, IT
MBCO Minimum Business Continuity Objective – Notbetriebsniveau BC
MDR Managed Detection and Response – ausgelagerter Dienst zur kontinuierlichen Überwachung, Analyse und Bearbeitung von Sicherheitsvorfällen durch einen externen Dienstleistenden (z.B. SOC-as-a-Service). IS, IT
Meldepflicht Verpflichtung zur Meldung von Datenschutzvorfällen an die Aufsicht. DS
MES Manufacturing Execution System – Fertigungsmanagementsystem, speziell in der Produktion, häufig im industriellen Kontext ID, IT
MFA Multi-Factor Authentication – Authentifizierungsverfahren mit mehreren Faktoren IS, IT
MIME Multipurpose Internet Mail Extensions – Standard für den Aufbau von E-Mails IT
Mitarbeiterdatenschutz Schutz personenbezogener Daten von Beschäftigten. DS
MITRE ATT&CK Framework zur Klassifikation und Beschreibung realer Angriffstechniken entlang des Angriffslebenszyklus. IS, IT
ML Machine Learning – Teilbereich der KI, der Algorithmen und Methoden zur automatischen Mustererkennung und Lernen umfasst. KI, IT
Modalverb Verbindlichkeitsstufe einer Anforderung (z.B. „MUSS“, „SOLLTE“, „KANN“). Im Grundschutz++ wird der Einsatz von Modalverben bewusst gesteuert, um zwischen zwingenden Vorgaben und risikobasiert gestaltbaren Anforderungen zu unterscheiden. IS
Modbus Industrielles Kommunikationsprotokoll für Steuerungssysteme ID, IT
Model Card Dokumentation für ein KI- oder ML-Modell, die Zweck, Trainingsdaten, Annahmen, Einschränkungen, Risiken und empfohlene Einsatzbereiche beschreibt, um Transparenz und verantwortungsvollen Einsatz zu unterstützen. KI, IS, DS
Model Drift Veränderung der Modellleistung über die Zeit aufgrund geänderter Daten oder Umgebungsbedingungen. KI, IS
Model Governance Gesamtheit von Prozessen, Rollen und Richtlinien zur Steuerung von KI- und ML-Modellen über deren Lebenszyklus hinweg (Entwurf, Training, Betrieb, Stilllegung), inklusive Risiko- und Compliance-Aspekten. KI, IS
MTA / MTPD Maximal tolerierbare Ausfallzeit / Maximal Tolerable Period of Disruption – Kennzahlen im Notfallmanagement BC
NdB "Netze des Bundes" – IT-Infrastrukturen und Kommunikationsnetze deutscher Bundesbehörden IT, IS
NDR Network Detection and Response – kontinuierliche Überwachung und Analyse des Netzwerkverkehrs zur Erkennung verdächtiger Aktivitäten und zur Unterstützung der Incident Response. IS, IT
Neuronales Netz Mathematisches Modell, das vom Aufbau biologischer neuronaler Netzwerke inspiriert ist. KI, IT
Nicht‑Konformität Festgestellte Abweichung zwischen geforderter oder vereinbarter Vorgabe (z.B. Anforderung, Richtlinie, Norm) und der tatsächlichen Umsetzung. Nicht‑Konformitäten werden typischerweise in Audits, Reviews oder bei der Überwachung identifiziert. IS
Nichtabstreitbarkeit Gewährleistung der Urheberschaft bei der Übertragung von Daten IS
NIS / NIS2 EU-Richtlinie zur Verbesserung der Cybersicherheit IS, IT
NIST National Institute for Standards and Technology – US-Standardisierungsinstitut IT
NIST CSF National Institute of Standards and Technology Cybersecurity Framework – Rahmenwerk zur Verbesserung der Cybersicherheit IS, IT
NLP Natural Language Processing – Teilgebiet der KI zur Verarbeitung und Analyse natürlicher Sprache. KI, IT
Normalbetrieb Planmäßiger Geschäftsbetrieb einer Organisation BC
Notbetrieb Eingeschränkter Betrieb nach einem Schadensereignis BC
Notfall Unterbrechung eines kritischen Geschäftsprozesses, der nicht innerhalb der tolerierbaren Ausfallzeit behoben werden kann BC
Notfallbeauftragter Verantwortliche Person für den Notfall- und Business Continuity Management Prozess BC
Notfallhandbuch

Notfallkonzept Notfallvorsorgekonzept

Dokumentation aller für die Notfallbewältigung erforderlichen Informationen BC
Notfallplanung

Notfallvorsorge Vorsorgemaßnahme

Geplante Maßnahmen zur Prävention und Bewältigung von Notfällen BC
OAuth Open Authorization – Protokoll, das Drittanbietern den Zugriff auf Ressourcen im Namen eines Benutzers ermöglicht IS, IT
Object Storage Methode zur Speicherung von Daten als Objekte mit Metadaten IT
OCR Optical Character Recognition – optische Zeichenerkennung in Bildern IT
OE Organisationseinheit – administrative oder organisatorische Gliederung innerhalb eines Unternehmens IS
OIDC OpenID Connect – Authentifizierungsprotokoll basierend auf OAuth 2.0 IS, IT
OPC UA Open Platform Communications Unified Architecture – plattformunabhängiges Industriekommunikationsprotokoll ID, IT
OSCAL Open Security Controls Assessment Language – Rahmenwerk zur Darstellung von Sicherheitsinformationen in maschinenlesbarer Form IS, IT
OT Operational Technology – Technologien zur Steuerung und Überwachung industrieller Anlagen und Prozesse ID, IT
OTP One Time Password – temporäres Passwort, das nur einmal genutzt wird IS, IT
OWASP Open Web Application Security Project – Organisation zur Verbesserung der Softwaresicherheit IS, IT
PaaS Platform as a Service – Cloud-Computing-Modell, das Entwicklungsplattformen bereitstellt IT
PAM Privileged Access Management – Verwaltung und Überwachung privilegierter Benutzerzugriffe IS, IT
PCI DSS Payment Card Industry Data Security Standard – Sicherheitsstandard zum Schutz von Kreditkartendaten IS, IT
PDCA Plan Do Check Act – Regelkreis des kontinuierlichen Verbesserungsprozesses IS
Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. DS
Personenstand Daten zur Person wie Geburtsdatum, Familienstand, etc. DS
PGP Pretty Good Privacy – Programm zur asymmetrischen Verschlüsselung und Signatur von Daten IS, IT
PIN Personal Identification Number – persönliche Geheimzahl zur Identifikation IS, IT
PKCS Public Key Cryptography Standards – Standards für asymmetrische Kryptographie IS, IT
PKI Public-Key-Infrastruktur – System zum Ausstellen, Verteilen und Verwalten digitaler Zertifikate IS, IT
PLC Programmable Logic Controller – Programmierbare Steuerung für industrielle Automatisierungsprozesse ID, IT
POA&M Plan of Action and Milestones: Maßnahmen- und Meilensteinplan zur Risikobehebung (Syn.: POAM) IS
Praktik Thematisches Bündel von Anforderungen zu einem Sicherheitsbereich (z.B. Berechtigungsmanagement, Patchmanagement). Der Begriff „Praktik“ in dieser strukturierten Form (mit Vererbung auf Zielobjektkategorien und Assets) ist ein zentrales Element des Grundschutz++ (GS++). IS
Predictive Maintenance Vorausschauende Wartung durch Datenanalyse zur Vermeidung ungeplanter Ausfälle ID, IT
Privacy by Default Datenschutzfreundliche Voreinstellungen bereits beim Systemstart. DS
Privacy by Design Integration von Datenschutz in die Entwicklung und Gestaltung von Systemen und Prozessen gemäß DSGVO-Anforderungen DS, IS
Profiling Automatisierte Auswertung von Daten zur Bewertung von Personen. DS
Prompt Injection Angriffstechnik auf Sprachmodelle (LLMs), bei der Eingaben so gestaltet werden, dass sie interne Anweisungen überschreiben, das Modell zu unerwünschten Aktionen verleiten oder Sicherheitsgrenzen umgehen. KI, IS
Prompt Leakage Unbeabsichtigte Preisgabe interner Prompts oder vertraulicher Informationen durch ein KI‑Modell. KI, IS
Proxy Trennt netztechnisch die Verbindung zwischen Kommunikationspartnern IS, IT
PSE Personal Security Environment – Aufbewahrungsmedium für private Schlüssel und Zertifikate IS, IT
Pseudonymisierung Verarbeitung von Daten, so dass die Identität der Person ohne Zusatzinformationen nicht erkennbar ist. DS
Purdue Model Referenzmodell für die Segmentierung und Sicherheit industrieller Netzwerke ID, IS
Purple Teaming Kombination aus Red Team (Angreifer) und Blue Team (Verteidiger) für kollaboratives Sicherheitstraining IS, IT
Quantensichere Kryptografie Verschlüsselungsmethoden, die gegen Angriffe durch zukünftige Quantencomputer resistent sind IS, IT
RAG Retrieval-Augmented Generation – Ansatz, bei dem ein Sprachmodell Antworten auf Basis externer, zur Laufzeit abgerufener Wissensquellen erzeugt, um Aktualität und Faktentreue zu erhöhen. KI, IT
RAMI 4.0 Reference Architectural Model Industrie 4.0 – Referenzarchitekturmodell für Industrie-4.0-Systeme ID, IT
Ransomware Verschlüsselt Dateien und fordert Lösegeld für die Entschlüsselung IS, IT
RBAC Role-Based Access Control – Zugriffskontrollmodell basierend auf definierten Rollen IS, IT
Realisierung Umsetzung von Anforderungen in konkrete technische und organisatorische Maßnahmen, inklusive Umsetzungsstatus, Priorisierung, Maßnahmenplanung, Zuständigkeiten, Fristen, Ausnahmen und Nachverfolgung. In Grundschutz++ ist „Realisierung“ als dritter Prozessschritt des GS++‑Sicherheitsprozesses definiert. IS
Recht auf Vergessenwerden Recht auf Löschung der personenbezogenen Daten unter bestimmten Voraussetzungen. DS
Rechtsgrundlage Gesetzliche Erlaubnis z.B. zur Datenverarbeitung. DS, IS
Red Teaming Sicherheitstest, bei dem Expert*innen als Angreifer agieren, um Schwachstellen aufzudecken IS
Reifegrad

Reifegradmodell

Instrument zur Bewertung und Verbesserung der Informationssicherheit IS
Risiko Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß – grundlegender Begriff im Risikomanagement IS
Risikobetrachtung Analyse, Bewertung und Behandlung von Risiken, die sich aus Bedrohungen, Schwachstellen und Folgen für die Organisation ergeben. IS
RMF Risk Management Framework: NIST-Rahmenwerk für Risikomanagement IS
RNN Recurrent Neural Network – Neuronales Netz mit Rückkopplungsverbindungen für sequentielle Daten. KI, IT
Rootkit Sammlung von Tools, die nach einem Einbruch installiert werden, um spätere Aktivitäten zu verbergen IS, IT
RPA

RPO RTA RTO

Recovery point actual (RPA), Recovery point objective (RPO), Recovery time actual (RTA), Recovery time objective (RTO)

Kennzahlen im Zusammenhang mit Datenverlust und Wiederanlaufzeiten im Notfallmanagement

BC
S/MIME Secure Multipurpose Internet Mail Extensions – Standard zur Verschlüsselung und Signatur von E-Mails IS, IT
SaaS Software as a Service – Bereitstellung von Software über das Internet IT
SAML Security Assertion Markup Language – offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten IS, IT
SASE Secure Access Service Edge – Integration von Netzwerk- und Sicherheitsfunktionen in einer Cloud-basierten Plattform IS, IT
Satzschablone Vordefinierte sprachliche Struktur für Anforderungen (z.B. Praktik + Zielobjektkategorie + Modalverb + Ereignis + Handlungswort + Ergebnis). Das Konzept der Satzschablonen wird speziell im Grundschutz++ eingesetzt, um Anforderungen klar, atomar und OSCAL‑kompatibel zu formulieren. IS, IT
SBOM Software Bill of Materials – strukturierte Liste aller Softwarekomponenten, Bibliotheken und Abhängigkeiten eines Produkts. IT, IS
SCADA Supervisory Control and Data Acquisition – System zur Überwachung und Steuerung technischer Prozesse ID, IT
Schutzbedarf / Schutzbedarfskategorien Maß für die Kritikalität der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Prozessen. IS
SD-WAN Software-Defined Wide Area Network – Virtualisierung und Verwaltung von Weitverkehrsnetzen IT
Secret Management Verwaltung, Speicherung und Rotation sensibler Zugangsdaten wie Passwörter, Tokens oder API‑Keys. IS, IT
Secure Boot Mechanismus zur Integritätsprüfung beim Systemstart, der nur vertrauenswürdige Boot‑Komponenten zulässt. IS, IT
Security by Design Prinzip, Sicherheitsaspekte von Beginn an in Entwicklungsprozesse zu integrieren IS, IT
Security Control Einzelne Sicherheitsmaßnahme zur Reduzierung von Risiken oder zur Erfüllung von Anforderungen; Begriff aus NIST‑ und ISO‑Terminologie. IS, IT
Security Control Assessment (SCA) Systematische Prüfung, ob Sicherheitskontrollen wirksam implementiert und betrieben werden. IS
SHA-1

SHA-2 SHA-3 SHAKE

Secure Hash Algorithms – kryptographische Hashfunktionen IT
SHAP SHapley Additive exPlanations

Basierend auf der Spieltheorie (Shapley-Werte) quantifiziert SHAP den durchschnittlichen Beitrag jedes Features zu einer Vorhersage – lokal für Einzelfälle oder global für das gesamte Modell. Es gewährleistet Konsistenz und Lokale Genauigkeit, ist jedoch rechenintensiv.

IS, DS
Sicherheitsniveau Beschreibt, wie weit die Sicherheitsziele durch Maßnahmen erreicht werden (Erfüllungsgrad) und wie hoch das erreichte Sicherheitsniveau im Verhältnis zum Bedarf ist. IS
SIEM Security Information and Event Management – System zur Echtzeit-Überwachung und Analyse von Sicherheitsereignissen IS, IT
SLA Service Level Agreement – vertragliche Vereinbarung über IT-Dienstleistungsqualität IT
SOAR Security Orchestration, Automation, and Response – Kombination von Workflows und Automatisierung zur Bedrohungsabwehr IS, IT
SOC Security Operations Center – zentrale Einheit zur Überwachung und Reaktion auf Sicherheitsvorfälle IS
SOC 2 Prüfungsstandard zur Überprüfung von Sicherheits-, Verfügbarkeits- und Datenschutzanforderungen IS, IT
Social Engineering Manipulationstechnik zur Erlangung sensibler Informationen IS, IT
SPC Software Publishing Certificate – Datenstruktur bei der Signierung von Programm-Code IT
Spear Phishing Gezielte Phishing-Attacke auf einzelne Personen oder Organisationen IS, IT
Speicherbegrenzung Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist. DS
SPF Sender Policy Framework – verhindert E-Mail-Spoofing durch Überprüfung autorisierter Mailserver IS, IT
SPoF Single Point of Failure – einzelner Ausfallpunkt in einem System IT
Spyware Software, die unbemerkt Daten an Dritte überträgt IS, IT
SSH Secure Shell – verschlüsseltes Protokoll für den Fernzugriff IS, IT
SSL Secure Socket Layer – Protokoll zur verschlüsselten Datenübertragung IS, IT
SSO Single Sign-On – Authentifizierungsmethode für den Zugriff auf mehrere Systeme mit einem Satz Anmeldedaten IS, IT
SSP System Security Plan: Plan zur Beschreibung der Systemumsetzung von Sicherheitskontrollen (Syn.: System-Sicherheitsplan) IS
State Level Actor Ein State‑Level Actor ist im Kontext der Informationssicherheit ein Angreifender, der direkt von einem Staat (z.B. Geheimdienste, Militär, Sicherheitsbehörden) betrieben oder gesteuert wird oder nachweislich in dessen Auftrag handelt. Er verfügt typischerweise über sehr hohe Ressourcen und Fähigkeiten und verfolgt strategische Ziele wie Spionage, Sabotage oder politische Einflussnahme. IS, IT
Störung Schadensereignis, das im Normalbetrieb behoben werden kann – typischerweise im Rahmen des Notfallmanagements BC
Supply-Chain/Lieferkette Gesamtheit aller Prozesse und Akteure in der Herstellung und Distribution von Produkten, hier im Kontext der Informationssicherheit IT, IS
T.I.S.P. TeleTrusT Information Security Professional - Eine europäische Zertifizierung für IT-Sicherheitsfachleute IS
Technik‑Layer / Beispiel‑Layer / Audit‑Layer Ergänzende Dokumente zum Grundschutz++: Technik‑Layer beschreibt Datenmodell, Techniken und Werkzeugunterstützung; Beispiel‑Layer liefert Praxisbeispiele und typische Ausprägungen; Audit‑Layer (geplant) beschreibt die Prüf‑/Auditperspektive. Die Layer‑Struktur ist Bestandteil der GS++‑Dokumentation. IS, IT
TESTA Trans-European Services for Telematics between Administrations

Ein sicheres, europaweites Kommunikationsnetzwerk für Behörden und öffentliche Institutionen innerhalb der EU

IT, IS
Threat Intelligence Sammlung und Analyse von Informationen zu aktuellen und potenziellen Sicherheitsbedrohungen IS, IT
Threat Modeling Strukturierte Analyse möglicher Angriffswege, Bedrohungen und Schwachstellen eines Systems. IS, IT
TISAX Trusted Information Security Assessment Exchange – branchenspezifisches Prüfverfahren in der Automobilindustrie IS
TISP Trusted Internet Service Provider - Ein Konzept für vertrauenswürdige Internetdienstanbieter, die hohe Sicherheits- und Datenschutzanforderungen erfüllen. IS
TLS Transport Layer Security – Protokoll für Datenschutz und Integrität in der Internetkommunikation IS, IT
TOM Technische und organisatorische Maßnahmen – Maßnahmen zum Schutz personenbezogener Daten im Einklang mit der DSGVO DS, IS
TOTP Time-Based One-Time Password – zeitbasiertes Einmal-Passwort IS, IT
TPM Trusted Platform Module – hardwarebasierter Sicherheitsbaustein zur sicheren Speicherung kryptografischer Schlüssel und zur Integritätsprüfung von Systemkomponenten (z.B. Secure Boot). IS, IT
Traffic Light Protocol (TLP) Eine standardisierte Vereinbarung zum Austausch von schutzwürdigen Informationen. IS
Trojaner Tarnen sich als legitime Software, um Benutzer zur Installation zu verleiten und Hintertüren zu öffnen IS, IT
Trust-Center Bezeichnet Infrastrukturen von Zertifizierungsdiensteanbietern im Umfeld der elektronischen Signatur IS, IT
TSN Time-Sensitive Networking – zeitkritische Netzwerktechnologie, vor allem in industriellen Anwendungen ID, IT
TTS Trouble-Ticket-System – computergestütztes System zur Erfassung und Bearbeitung von Vorfällen IT
Übermittlungsvorbehalt Erlaubnisvorbehalt für grenzüberschreitende Datenübermittlung. DS
Überwachung Bewertung von Wirksamkeit und Compliance des ISMS durch Leistungsbewertung, Monitoring, interne Audits, Compliance‑Überwachung und Managementbewertung. In Grundschutz++ ist „Überwachung“ als vierter Prozessschritt des GS++‑Sicherheitsprozesses definiert. IS
UEBA User and Entity Behavior Analytics – Analyse des Verhaltens von Benutzenden und technischen Entitäten zur Erkennung von Anomalien und potenziellen Angriffen, oft unter Nutzung von Machine Learning. IS, IT, KI
VDA-ISA VDA Information Security Assessment – branchenspezifisches Rahmenwerk der Automobilindustrie zur Sicherheitsbewertung IS, IT
Verantwortlicher Person oder Organisation, die über den Zweck und die Mittel der Datenverarbeitung entscheidet. DS
Verarbeitung Jede Handlung mit personenbezogenen Daten, z.B. Erhebung, Speicherung, Nutzung. DS
Verarbeitungsverzeichnis Dokumentation aller Datenverarbeitungstätigkeiten gemäß DSGVO. DS
Verbindlichkeit Rechtliche Bindung eines Geschäfts, oft abhängig von der Einhaltung formaler Anforderungen IS
Verschlüsselung Technische Maßnahme zur Sicherung der Vertraulichkeit von Dateninhalten. IS, IT, DS
Verteilungseffekt Effekt, bei dem der Schutzbedarf einzelner Systeme durch redundante Auslegung reduziert wird IS
Vertraulichkeit Schutz vor unbefugter Kenntnisnahme von Informationen IS
VEX Vulnerability Exploitability eXchange – Ergänzung zu SBOM, die beschreibt, ob bekannte Schwachstellen tatsächlich ausnutzbar sind. IT, IS
Viren / Virus Schadsoftware, die sich an Dateien anhängt und sich selbst repliziert IS, IT
Virtuelle Inbetriebnahme Simulation von Anlagen vor physischem Aufbau zur Optimierung und Fehlervermeidung ID, IT
VLAN Virtual Local Area Network – logisch separiertes Netzwerksegment innerhalb eines physischen Netzwerks IT
VPN Virtuelles Privates Netz – Aufbau eines privaten Netzwerks innerhalb eines öffentlichen Netzes IS, IT
VVT Verzeichnis von Verarbeitungstätigkeiten – Dokumentation gemäß DSGVO DS
W3C World Wide Web Consortium – Entwickler von Web-Standards IT
WAF Web Application Firewall – speziell für Webanwendungen entwickelte Firewall IS, IT
WAP

WAZ

WHP

Wiederanlaufplan, Wiederanlaufzeit, Wiederherstellungsplan – Pläne und Kennzahlen im Notfallmanagement BC
Web of Trust Konzept zur Authentizitätsüberprüfung öffentlicher Schlüssel durch gegenseitige Beglaubigung IS, IT
Wiederanlauf Maßnahmen, um in einen Notbetrieb überzugehen BC
Wiederherstellung Geordnete Rückkehr in den Normalbetrieb nach einem Notfall BC
Workaround Temporäre Ersatzlösung zur Aufrechterhaltung des Betriebs, bis eine dauerhafte Behebung verfügbar ist. BC, IS
Wurm / Würmer Selbstreplizierende Malware, die sich ohne Benutzerinteraktion verbreitet IS, IT
WWW World Wide Web – Teil des Internets, der über HTTP zugänglich ist IT
X.500 Empfehlung für einen globalen Verzeichnisdienst IT
X.509 Rahmenwerk zur Authentifizierung mittels asymmetrischer Kryptographie IS, IT
XAI Explainable AI – Ansätze zur Erklärbarkeit von Entscheidungen künstlicher Intelligenzsysteme. KI, IT, DS
XDR Extended Detection and Response – Erweiterte Plattform zur Bedrohungserkennung über verschiedene Sicherheitsebenen hinweg IS, IT
XML Extensible Markup Language – Standard zur strukturierten Darstellung von Daten IT
YAML YAML Ain't Markup Language – menschenlesbares Datenformat, häufig für Konfigurationsdateien IT
Yellow Teaming Zusammenarbeit zwischen Red Team und Blue Team zur Verbesserung der Sicherheitslage IS
Zeitstempel Digitale Daten zur Beweisführung des Existenzzeitpunkts von Informationen IS, IT
Zero Trust Sicherheitskonzept, bei dem grundsätzlich keinem Gerät oder Benutzer vertraut wird IS, IT
Zero-Day-Exploit Ausnutzung einer Software-Schwachstelle, bevor ein Patch verfügbar ist IS, IT
Zielobjektkategorie „Klasse“ bzw. Typ von Objekten (z.B. Gebäude, Endgeräte, Webserver, Daten), für die Anforderungen definiert werden. Die Kombination aus Praktiken, Zielobjektkategorien und Assets zur Vererbung von Anforderungen ist ein zentrales Strukturprinzip von Grundschutz++ (GS++). IS, IT
ZTA Zero Trust Architecture – Implementierung des Zero Trust Prinzips in der IT-Infrastruktur IS, IT
ZTNA Zero Trust Network Access – Sicherheitskonzept, das kontinuierliche Verifikation statt implizitem Vertrauen fordert IS, IT
Zugang Nutzung von IT-Ressourcen zur Informationsgewinnung IT
Zugriff Zugriff auf Informationen oder Daten IT
Zutritt Betreten abgegrenzter Bereiche (z. B. Gebäude) IT
Zweckbindung Daten dürfen nur für festgelegte, legitime Zwecke verarbeitet werden. DS
Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=Glossar&oldid=2360