Glossar

Wofür steht eigentlich…

Asset Information Security

Asset Information Security, engl. für „Informationssicherheit von Vermögenswerten“ (auch: „Asset Security“): beschreibt die Durchführung von Audits im Bereich Informationssicherheit. Im Rahmen von Audits können verschiedene Aspekte der Informationssicherheit überprüft werden: zum einen die Wirksamkeit eines Managementsystems, zum anderen die Einhaltung von Anforderungen definierter Geltungsbereiche.

B3S

B3S, Abkürzung für „Branchenspezifische Sicherheitsstandards“: zeigen für verschiedene Branchen den jeweiligen Stand der Technik, der im Rahmen der KRITIS-Gesetzgebung umzusetzen ist. Ein B3S wird durch alle Betreiber einer Branche einvernehmlich erstellt und ist sowohl mit dem BSI, als auch mit der Branchen-Aufsicht abzustimmen.

BBK

BBK, Abkürzung für „Bundesamt für Bevölkerungs- und Katastrophenschutz“: Behörde auf Bundesebene, die mit der Einführung des KRITIS-Dachgesetzes immer mehr Bedeutung erfährt und neben der IT auch die Absicherung der tatsächlichen Geschäftszwecke kritischer Infrastrukturen gewährleisten soll.

BNetzA

BNetzA, Abkürzung für „Bundesnetzagentur“: Bundesbehörde, die den Wettbewerb in den Branchen Elektrizität, Gas, Telekommunikation, Post und Eisenbahn fördern soll. Im Bereich Elektrizität hat die BNetzA den IT-Sicherheitskatalog veröffentlicht, der für KRITIS-Betreiber im Bereich Energie obligatorisch umzusetzen ist.

BSI

BSI, Abkürzung für „Bundesamt für Sicherheit in der Informationstechnik“: Behörde auf Bundesebene, die maßgeblich die Belange der IT-Sicherheit in Deutschland steuert. Sie ist Ansprechpartner für KRITIS-Betreiber und Herausgeber der BSI-Standards, des BSI IT-Grundschutzes und definierter technischer Richtlinien zur Erhöhung der IT-Sicherheit.

BSI IT-Grundschutz

Vorgehensweise zur Erreichung eines adäquaten IT-Sicherheitsniveaus für Organisationen jeglicher Art. Der BSI IT-Grundschutz konkretisiert die ISO 27001 und gibt neben Vorgehensmodellen konkrete Maßnahmen zur Absicherung etwa von Prozessen, IT und Gebäudeteilen vor, um eine Basisabsicherung zu erwirken.

BSI Standard 200-1

Definiert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS). Er ist Bestandteil der IT-Grundschutzmethodik des BSI und stellt sicher, dass ein ISMS in Anlehnung an die ISO 27001 etabliert werden kann. Der Standard berücksichtigt die Inhalte der aktuellsten ISO-27000-Normen.

BSI Standard 200-2

Definiert Anforderungen an die Basisabsicherung von Assets innerhalb eines Informationssicherheitsmanagementsystems. Er beschreibt im Wesentlichen die IT-Grundschutzmethodik des BSI und stellt sicher, dass ein grundlegendes IT-Sicherheitsniveau erreicht werden kann. Der Standard ist kompatibel mit den Inhalten der aktuellsten ISO-27000-Normen.

BSI-KritisV

Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz. Sie definiert rechtverbindlich die Schwellenwerte, nach denen Unternehmen in Deutschland als Betreiber Kritischer Infrastrukturen bestimmt werden.

BSIG

BSIG, Abkürzung für „BSI-Gesetz“: regelt die Aufgaben, Kompetenzen und Verantwortlichkeiten des BSI sowie die Pflichten für Betreiber Kritischer Infrastrukturen.

Business Continuity Management

Business Continuity Management, engl. für „Steuerung der Geschäftsfortführung“: eine Disziplin, bei der sichergestellt werden soll, dass in Notfallsituationen (a) erwartbare Schäden im Vorfeld abgeschätzt wurden, (b) Maßnahmen definiert wurden, um Schäden einzudämmen und den Geschäftsbetrieb am Laufen zu halten, und (c) Maßnahmen definiert wurden, um schnellstmöglich vom Not- zum Normalbetrieb zurückzukehren.

DSGVO

DSGVO, Abkürzung für „Datenschutzgrundverordnung“: EU-Verordnung, die den Umgang mit personenbezogenen Daten regelt. Ziel ist der Schutz des Selbstbestimmungsrechts von natürlichen Personen. Im Rahmen der Umwandlung in nationales Recht gelten in Deutschland die Bestimmungen des Bundesdatenschutzgesetzes.

IAM

IAM, Abkürzung für „Identity & Access Management“, engl. für „Berechtigungsmanagement“: beschreibt alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um Benutzerkonten, auch technische, und Berechtigungen zu identifizieren, zu analysieren, zu bewerten und zu steuern. Ziel ist, die Berechtigungen von Konten in IT-Systemen auf das notwendige Minimum zu reduzieren und Schäden durch die Ausnutzung von Rechten zu verhindern.

IKS

IKS, Abkürzung für „Internes Kontrollsystem“: besteht aus systematischen, technischen und organisatorischen Regeln, um Kontrollen im Unternehmen methodisch zu steuern. Ziel ist, Richtlinien einzuhalten und Schäden abzuwehren, die durch eigenes Personal oder Dritte verursacht werden können.

ISMS

ISMS, Abkürzung für „Informationssicherheitsmanagementsystem“: Gesamtheit aller Prozesse, Anforderungen, Organisationen und Regelungen, die benötigt werden, um die Informationssicherheit in einer Organisation zu steuern.

ISO 19011

Internationale Norm zur Planung, Durchführung, Bewertung und Dokumentation von Audits jeglicher Art. Sie beschreibt zudem Auditprinzipien und Anforderungen an Prüfteams.

ISO 27001

Internationale Norm zur Etablierung eines Managementsystem für die Informationssicherheit.

ISO 27002

Internationale Norm mit Maßnahmenempfehlungen zur Steigerung des Informationssicherheitsniveaus von Organisationen.

ISO 27005

Internationale Norm, die eine Methode zur Identifikation, Analyse, Bewertung und Behandlung von Risiken im Bereich Informationssicherheit beschreibt. Sie konkretisiert die ISO 31000.

ISO 31000

Internationale Norm, die eine Methode zur Identifikation, Analyse, Bewertung und Behandlung von allgemeinen Risiken von Organisationen beschreibt.

IT-Notfallmanagement (auch: „IT emergency management“)

Disziplin, die in IT-Notfallsituationen sicherstellen soll, dass (a) erwartbare Schäden im Vorfeld abgeschätzt wurden, (b) Maßnahmen definiert wurden, um Schäden einzudämmen und den Geschäftsbetrieb am Laufen zu halten, und (c) Maßnahmen definiert wurden, um schnellstmöglich vom Not- zum Normalbetrieb zurückzukehren.

IT-SiG

IT-SiG, Abkürzung für „IT-Sicherheitsgesetz“: Artikelgesetz, das mehrere deutsche Gesetze angepasst hat. Ziel ist die Erhöhung des IT-Sicherheitsniveaus von Behörden und Betreibern Kritischer Infrastrukturen in Deutschland. Zu den angepassten Gesetzen zählen unter anderem das BSI-Gesetz, das Telemediengesetz und das Telekommunikationsgesetz. Das IT-SiG wird bei Bedarf novelliert, beispielsweise bei der Veröffentlichung von Richtlinien durch das Europäische Parlament.

ITIL

ITIL, Abkürzung für „Information Technology Infrastructure Library“: Framework zur Etablierung eines IT-Service-Managements in Organisationen. Es besitzt keinen normativen Charakter, gilt aber als Best Practice. Das ITIL muss individuell an die Belange einer Organisation angepasst werden. Die aktuelle Version ist ITIL 4.

KRITIS-Anlagen

Infrastrukturen oder Teile davon, die gemäß IT-Sicherheitsgesetz besonders geschützt werden sollen. Ziel ist, Störungen und vorsätzliche Handlungen auf diese Infrastrukturen zu vermeiden und die Auswirkungen auf die Bevölkerung zu minimieren. Die KRITIS-relevanten Anlagen sind in der BSI-KritisVO definiert.

KRITIS-Verordnung (auch: „BSI-KritisVO“)

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz. Sie definiert KRITIS-relevante Sektoren, Anlagen und Schwellwerte für Anlagen, nach denen die KRITIS-Relevanz einer Organisation bestimmt wird. Erfüllt eine Organisation die Kriterien der Verordnung, muss sie die Anforderungen aus dem IT-Sicherheitsgesetz verbindlich umsetzen und dem BSI die Umsetzung regelmäßig nachweisen.

EU NIS2

Europäische Richtlinie für Betreiber Kritischer Infrastrukturen. Die EU NIS2 muss bis zur Gültigkeit in nationales Recht umgewandelt werden. Dies erfolgt in Deutschland mit dem NIS2-Umsetzungsgesetz.

Penetrationstests

Methode zur Identifizierung von Schwachstellen in der IT. Bei einem Penetrationstest agiert ein beauftragtes Unternehmen wie ein Hacker und nutzt Schwachstellen in der IT einer Organisation gezielt, um diese anzugreifen – allerdings ohne tatsächliche Schäden hervorzurufen. Das PenTesting-Team kann vom Auftraggeber Information über eingesetzte IT-Technologien und IT-Architekturen erhalten.

Red Teamings

Methode zur Identifizierung von Schwachstellen in der IT. Bei einem Red Teaming agiert ein beauftragtes Unternehmen wie ein Hacker, nutzt Schwachstellen in der IT und sammelt geeignete öffentliche Informationen über ein Unternehmen, um dieses anzugreifen – allerdings ohne tatsächliche Schäden hervorzurufen. Um das Szenario so realistisch wie möglich abzubilden, erhält das Red Team keine Informationen vom Auftraggeber.

Risk Management

Alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um Risiken zu identifizieren, zu analysieren, zu bewerten und zu behandeln. Ziel ist, erwartete Risiken möglichst genau in der Auswirkung abzuschätzen und anschließend bei Bedarf zu reduzieren.

Secrets Management

Alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um mit Berechtigungsnachweisen (engl. „credentials“) ordnungsgemäß und vertraulich umzugehen. Ziel ist, die Vertraulichkeit der Berechtigungsnachweise zu sichern. Beispiele sind etwa Passwörter, PINs und elektronische Zertifikate.

Security Incident Management

Alle Anforderungen, Regelungen und Aktivitäten einer Organisation, um IT-Sicherheitsvorfälle zu identifizieren, zu analysieren, zu bewerten und zu behandeln. Ziel ist, negative Auswirkungen eines Vorfalls so gering wie möglich zu halten und die Störung so zügig wie möglich zu beseitigen.

Vulnerability Management

Vulnerability Management, engl. für „Schwachstellenmanagement“: gesamthafte Steuerung von Schwachstellen der IT in Unternehmen. Sie umfasst die Identifizierung, Analyse, Bewertung und Behandlung von Schwachstellen in der IT. Diese können mit verschiedenen Methoden identifiziert und bewertet werden, sowohl technisch, als auch prozessual.

Sie haben noch Fragen?

Wenn Sie keine Antwort auf Ihre Frage in unseren Glossar finden, können Sie uns jederzeit kontaktieren.

Rakete

Unser Angebot für Gründer, Start-Ups und kleine Betriebe

Mehr dazu
Icon
Daniel Bachtanian Footer