Glossar

B3S, Abkürzung für „Branchenspezifische Sicherheitsstandards“: zeigen für verschiedene Branchen den jeweiligen Stand der Technik, der im Rahmen der KRITIS-Gesetzgebung umzusetzen ist. Ein B3S wird durch alle Betreiber einer Branche einvernehmlich erstellt und ist sowohl mit dem BSI, als auch mit der Branchen-Aufsicht abzustimmen.

BBK, Abkürzung für „Bundesamt für Bevölkerungs- und Katastrophenschutz“: Behörde auf Bundesebene, die mit der Einführung des KRITIS-Dachgesetzes immer mehr Bedeutung erfährt und neben der IT auch die Absicherung der tatsächlichen Geschäftszwecke kritischer Infrastrukturen gewährleisten soll.

BNetzA, Abkürzung für „Bundesnetzagentur“: Bundesbehörde, die den Wettbewerb in den Branchen Elektrizität, Gas, Telekommunikation, Post und Eisenbahn fördern soll. Im Bereich Elektrizität hat die BNetzA den IT-Sicherheitskatalog veröffentlicht, der für KRITIS-Betreiber im Bereich Energie obligatorisch umzusetzen ist.

BSI, Abkürzung für „Bundesamt für Sicherheit in der Informationstechnik“: Behörde auf Bundesebene, die maßgeblich die Belange der IT-Sicherheit in Deutschland steuert. Sie ist Ansprechpartner für KRITIS-Betreiber und Herausgeber der BSI-Standards, des BSI IT-Grundschutzes und definierter technischer Richtlinien zur Erhöhung der IT-Sicherheit.

Vorgehensweise zur Erreichung eines adäquaten IT-Sicherheitsniveaus für Organisationen jeglicher Art. Der BSI IT-Grundschutz konkretisiert die ISO 27001 und gibt neben Vorgehensmodellen konkrete Maßnahmen zur Absicherung etwa von Prozessen, IT und Gebäudeteilen vor, um eine Basisabsicherung zu erwirken.

Definiert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS). Er ist Bestandteil der IT-Grundschutzmethodik des BSI und stellt sicher, dass ein ISMS in Anlehnung an die ISO 27001 etabliert werden kann. Der Standard berücksichtigt die Inhalte der aktuellsten ISO-27000-Normen.

Definiert Anforderungen an die Basisabsicherung von Assets innerhalb eines Informationssicherheitsmanagementsystems. Er beschreibt im Wesentlichen die IT-Grundschutzmethodik des BSI und stellt sicher, dass ein grundlegendes IT-Sicherheitsniveau erreicht werden kann. Der Standard ist kompatibel mit den Inhalten der aktuellsten ISO-27000-Normen.

Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz. Sie definiert rechtverbindlich die Schwellenwerte, nach denen Unternehmen in Deutschland als Betreiber Kritischer Infrastrukturen bestimmt werden.

BSIG, Abkürzung für „BSI-Gesetz“: regelt die Aufgaben, Kompetenzen und Verantwortlichkeiten des BSI sowie die Pflichten für Betreiber Kritischer Infrastrukturen.

Business Continuity Management, engl. für „Steuerung der Geschäftsfortführung“: eine Disziplin, bei der sichergestellt werden soll, dass in Notfallsituationen (a) erwartbare Schäden im Vorfeld abgeschätzt wurden, (b) Maßnahmen definiert wurden, um Schäden einzudämmen und den Geschäftsbetrieb am Laufen zu halten, und (c) Maßnahmen definiert wurden, um schnellstmöglich vom Not- zum Normalbetrieb zurückzukehren.

DSGVO, Abkürzung für „Datenschutzgrundverordnung“: EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt. Ziel ist der Schutz des Selbstbestimmungsrechts von natürlichen Personen. Im Rahmen der Umwandlung in nationales Recht gelten in Deutschland die Bestimmungen des Bundesdatenschutzgesetzes.

IAM, Abkürzung für „Identity & Access Management“, engl. für „Berechtigungsmanagement“: beschreibt alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um Benutzerkonten, auch technische, und Berechtigungen zu identifizieren, zu analysieren, zu bewerten und zu steuern. Ziel ist, die Berechtigungen von Konten in IT-Systemen auf das notwendige Minimum zu reduzieren und Schäden durch die Ausnutzung von Rechten zu verhindern.

IKS, Abkürzung für „Internes Kontrollsystem“: besteht aus systematischen, technischen und organisatorischen Regeln, um Kontrollen im Unternehmen methodisch zu steuern. Ziel ist, Richtlinien einzuhalten und Schäden abzuwehren, die durch eigenes Personal oder Dritte verursacht werden können.

Internationale Norm zur Planung, Durchführung, Bewertung und Dokumentation von Audits jeglicher Art. Sie beschreibt zudem Auditprinzipien und Anforderungen an Prüfteams.

Internationale Norm zur Etablierung eines Managementsystem für die Informationssicherheit.

Internationale Norm mit Maßnahmenempfehlungen zur Steigerung des Informationssicherheitsniveaus von Organisationen.

Internationale Norm, die eine Methode zur Identifikation, Analyse, Bewertung und Behandlung von Risiken im Bereich Informationssicherheit beschreibt. Sie konkretisiert die ISO 31000.

Internationale Norm, die eine Methode zur Identifikation, Analyse, Bewertung und Behandlung von allgemeinen Risiken von Organisationen beschreibt.

Disziplin, die in IT-Notfallsituationen sicherstellen soll, dass (a) erwartbare Schäden im Vorfeld abgeschätzt wurden, (b) Maßnahmen definiert wurden, um Schäden einzudämmen und den Geschäftsbetrieb am Laufen zu halten, und (c) Maßnahmen definiert wurden, um schnellstmöglich vom Not- zum Normalbetrieb zurückzukehren.

IT-SiG, Abkürzung für „IT-Sicherheitsgesetz“: Artikelgesetz, das mehrere deutsche Gesetze angepasst hat. Ziel ist die Erhöhung des IT-Sicherheitsniveaus von Behörden und Betreibern Kritischer Infrastrukturen in Deutschland. Zu den angepassten Gesetzen zählen unter anderem das BSI-Gesetz, das Telemediengesetz und das Telekommunikationsgesetz. Das IT-SiG wird bei Bedarf novelliert, beispielsweise bei der Veröffentlichung von Richtlinien durch das Europäische Parlament.

ITIL, Abkürzung für „Information Technology Infrastructure Library“: Framework zur Etablierung eines IT-Service-Managements in Organisationen. Es besitzt keinen normativen Charakter, gilt aber als Best Practice. Das ITIL muss individuell an die Belange einer Organisation angepasst werden. Die aktuelle Version ist ITIL 4.

Infrastrukturen oder Teile davon, die gemäß IT-Sicherheitsgesetz besonders geschützt werden sollen. Ziel ist, Störungen und vorsätzliche Handlungen auf diese Infrastrukturen zu vermeiden und die Auswirkungen auf die Bevölkerung zu minimieren. Die KRITIS-relevanten Anlagen sind in der BSI-KritisVO definiert.

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz. Sie definiert KRITIS-relevante Sektoren, Anlagen und Schwellwerte für Anlagen, nach denen die KRITIS-Relevanz einer Organisation bestimmt wird. Erfüllt eine Organisation die Kriterien der Verordnung, muss sie die Anforderungen aus dem IT-Sicherheitsgesetz verbindlich umsetzen und dem BSI die Umsetzung regelmäßig nachweisen.

Europäische Richtlinie für Betreiber Kritischer Infrastrukturen. Die EU NIS2 muss bis zur Gültigkeit in nationales Recht umgewandelt werden. Dies erfolgt in Deutschland mit dem NIS2-Umsetzungsgesetz.

Methode zur Identifizierung von Schwachstellen in der IT. Bei einem Penetrationstest agiert ein beauftragtes Unternehmen wie ein Hacker und nutzt Schwachstellen in der IT einer Organisation gezielt, um diese anzugreifen – allerdings ohne tatsächliche Schäden hervorzurufen. Das PenTesting-Team kann vom Auftraggeber Information über eingesetzte IT-Technologien und IT-Architekturen erhalten.

Methode zur Identifizierung von Schwachstellen in der IT. Bei einem Red Teaming agiert ein beauftragtes Unternehmen wie ein Hacker, nutzt Schwachstellen in der IT und sammelt geeignete öffentliche Informationen über ein Unternehmen, um dieses anzugreifen – allerdings ohne tatsächliche Schäden hervorzurufen. Um das Szenario so realistisch wie möglich abzubilden, erhält das Red Team keine Informationen vom Auftraggeber.

Alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um Risiken zu identifizieren, zu analysieren, zu bewerten und zu behandeln. Ziel ist, erwartete Risiken möglichst genau in der Auswirkung abzuschätzen und anschließend bei Bedarf zu reduzieren.

Alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um mit Berechtigungsnachweisen (engl. „credentials“) ordnungsgemäß und vertraulich umzugehen. Ziel ist, die Vertraulichkeit der Berechtigungsnachweise zu sichern. Beispiele sind etwa Passwörter, PINs und elektronische Zertifikate.

Alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um IT-Sicherheitsvorfälle zu identifizieren, zu analysieren, zu bewerten und zu behandeln. Ziel ist, negative Auswirkungen eines Vorfalls so gering wie möglich zu halten und die Störung so zügig wie möglich zu beseitigen.

Vulnerability Management, engl. für „Schwachstellenmanagement“: gesamthafte Steuerung von Schwachstellen der IT in Unternehmen. Sie umfasst die Identifizierung, Analyse, Bewertung und Behandlung von Schwachstellen in der IT. Diese können mit verschiedenen Methoden identifiziert und bewertet werden, sowohl technisch, als auch prozessual.