Definitionen und Fachbegriffe aus der Informationssicherheit
Hier finden Sie eine Sammlung von Fachbegriffen und Definitionen, die Ihnen dabei helfen, die Inhalte unserer Website sowie die Dokumente auf der Vernetzungsplattform besser zu verstehen. Unser Glossar ist darauf ausgelegt, komplexe Begriffe verständlich zu erklären und Ihnen eine schnelle Orientierung zu bieten. Wir werden unser Glossar stetig erweitern.
A
Administrationskonto
Personalisiertes Benutzerkonto mit erhöhten Rechten zur Administration von zur Administration von IT-Systemen und / oder –Verfahren.
Authentisierung
Nutzende authentisisieren sich mittels eindeutiger Anmeldeinformationen an einem IT-System (z. B. durch Passwort).
Authentifizierung
Nach erfolgter Authentisierung authentifiziert das IT-System die Nutzenden durch Prüfung der Gültigkeit der Anmeldeinformationen.
Autorisierung
Nach erfolgter erfolgreicher Authentifizierung erfolgt die Autorisierung, d. h. die Erlaubnis zur Nutzung bestimmter festgelegter IT-Ressourcen.
B
Basisabsicherung
Die Basisabsicherung nach dem BSI-Grundschutzstandard 200-2 beinhaltet Mindestsicherheitsmaßnahmen im Bereich der Informationssicherheit, die umzusetzen sind, um sich nach hiesiger Meinung nicht der groben Fahrlässigkeit schuldig zu machen.
Bedrohung
Eine Bedrohung beinhaltet eine konkrete Gefährdung von Schutzgütern. Es besteht ein konkretes Risiko für Schäden.
Benutzerkonto
Ein Benutzerkonto ist eine Zugangsberechtigung zu einem zugangsbeschränkten IT-System.
Betroffene
Eine betroffene Person im Sinne des Datenschutzes ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden.
Betroffenenrechte
Betroffenen stehen besondere Rechte zu, die sich aus dem Kapitel 3 der DSGVO ergeben.
BSI-Grundschutzstandard
Der BSI-Grundschutz ist die im behördlichen Umfeld in Deutschland anerkannte Methodik für eine angemessene Informationssicherheit, er ist kompatibel zum internationalen Standard ISO/IEC 27001 und beinhaltet die Standards
200-1: Managementsysteme für Informationssicherheit
200-2: Grundschutzmethodik
200-3: Risikomanagement
200-4: Notfallmanagement
D
Datenschutz
Datenschutz dient der Gewährleistung des Rechts auf informationelle Selbstbestimmung. Personenbezogene Daten dürfen nur unter Beachtung der Grundsätze nach Art. 5 DSGVO verarbeitet werden.
Datenschutz-Grundverordnung (DSGVO)
Die Verordnung der Europäischen Union 2016/679 regelt EU-weit die Grundsätze zur Verarbeitung personenbezogener Daten. Sie gilt unmittelbar auch im kommunalen Bereich, in Schleswig-Holstein werden ergänzende Regelungen für den behördlichen Bereich zudem im Landesdatenschutzgesetz (LDSG SH) getroffen.
Datenschutzmanagementsystem (DSMS)
Ein DSMS dient der Dokumentation der Rollen (Aufbauorganisation), der Abläufe / Prozesse (Ablauforganisation) und der technischen und organisatorischen Maßnahmen zur Sicherung der Gewährleistungsziele des Datenschutzes.
Datenminimierung
Die Verarbeitung personenbezogener Daten ist auf ein dem Zweck angemessenes und notwendiges Maß zu beschränken.
G
Gewährleistungsziel
Das Standard-Datenschutzmodell kennt sieben Gewährleistungsziele zur Sicherung der Grundsätze des Datenschutzes. Hierzu gehören neben Vertraulichkeit, Integrität und Verfügbarkeit (mithin die Schutzziele der Informationssicherheit) zudem noch Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit sowie die Datenminimierung.
Gruppenkonto
Nicht personalisiertes Benutzerkonto, welches von mehreren natürlichen Personen genutzt wird.
I
Informationssicherheit
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll.
Informationssicherheitsleitlinie
Die Informationssicherheitsleitlinie (ISLL) schafft die Grundlage für den Aufbau eines ISMS, das die Herstellung und den Erhalt des erforderlichen Sicherheitsniveaus aller Objekte und Daten im Verantwortungsbereich der Organisation sicherstellt.
Informationssicherheitsmanagementsystem (ISMS)
Ein ISMS dient der Dokumentation der Rollen (Aufbauorganisation), der Abläufe / Prozesse (Ablauforganisation) und der technischen und organisatorischen Maßnahmen zur Sicherung der Schutzziele der Informationssicherheit.
Informationsverbund
Ein Informationsverbund ist die logische Zusammenfassung aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die in einem bestimmten Bereich der Informationsverarbeitung genutzt werden (z. B. eine Stadtverwaltung oder in größeren Einheiten auch nur die Kernverwaltung einer Stadt).
Integrität
Anforderung, dass zu verarbeitende Daten vollständig, richtig und aktuell bleiben; dieses beinhaltet insbesondere die Notwendigkeit des Schutzes von Daten vor einer unberechtigten Manipulation.
Intervenierbarkeit
Anforderung, dass den betroffenen Personen die ihnen zustehenden Betroffenenrechte bei Bestehen der gesetzlichen Voraussetzungen unverzüglich und wirksam gewährt werden und die verarbeitende Stelle verpflichtet ist, die entsprechenden Maßnahmen umzusetzen.
ISO / IEC 27001
Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.
IT-Grundschutz
siehe BSI-Grundschutzstandard
IT-Grundschutzkompendium
Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des IT-Grundschutzes.
IT-Grundschutzprofil
Ein IT-Grundschutzprofil beinhaltet eine verallgemeinerte Strukturanalyse und Schutzbedarfsfeststellung für bestimmte Organisationsformen (s. hierzu z. B. Grundschutzprofil Basisabsicherung Kommunalverwaltung). Sie beinhaltet umzusetzende IT-Grundschutzbausteine und die sich daraus ergebenden umzusetzenden Sicherheitsmaßnahmen.
IT-Grundschutzprofil Basisabsicherung Kommunalverwaltung
Das IT-Grundschutzprofil Basisabsicherung Kommunalverwaltung beinhaltet eine verallgemeinerte Strukturanalyse und Schutzbedarfsfeststellung für eine modellhafte Kommunalverwaltung. Es definiert hierzu die sich daraus ergebenden umzusetzenden Sicherheitsmaßnahmen.
K
Kernabsicherung
Die Kernabsicherung sichert besonders schützenswerte Informationen und Geschäftsprozesse und bietet maximalen Schutz für die „Kronjuwelen“ der Einrichtung.
N
Nicht-Verkettbarkeit
Anforderung, dass personenbezogene Daten nicht zusammengeführt, also verkettet, werden und somit ggf. zu einem anderen als dem ursprünglich definierten Zweck verarbeitet werden können.
Notfall
Ein Notfall ist ein unerwartetes, oft plötzlich auftretendes Ereignis, das eine sofortige Reaktion erfordert, um Schäden oder Verluste zu minimieren.
Notfallmanagement (BCM)
Das Notfallmanagement (Business Continuity Management) ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren.
Notfallmanagementsystem (BCMS)
Das Notfallmanagementsystem (Business Continuity Management System) beinhaltet Methoden, Verfahren und Regeln zur Sicherstellung der Fortführung kritischer Prozesse bei einem Notfall.
P
Passwort
Ein Kennwort, mit dem sich eine Person in Verbindung mit einem Benutzerkonto an einem IT-System authentisiert.
Personalisiertes Benutzerkonto
Ein personalisiertes Benutzerkonto ist einer einzelnen natürlichen Person zugeordnet.
Personenbezogene Daten
Personenbezogene Daten alle Informationen, die sich auf eine bestimmbare natürliche Person beziehen.
R
Risiko
Ein mögliches Risiko kann man berechnen, indem man eine mögliche Schadenshöhe mit der erwarteten Eintrittswahrscheinlichkeit multipliziert.
Risikomanagement
Das Risikomanagement kennt verschiedene Risikobehandlungsbehandlungsmethoden. Ziel eines guten Risikomanagements ist die Reduzierung des Restrisikos auf ein vertretbares Maß.
S
Schutzbedarf
Der Schutzbedarf bestimmt Art und Umfang der Maßnahmen, um ein akzeptables Restrisiko zu erreichen.
Schutzbedarfsfeststellung
Methode zur Bestimmung des Schutzbedarfs (normal, hoch, sehr hoch) anhand der einzelnen Schutzziele.
Schutzziel
Der BSI-Grundschutzstandard kennt drei Schutzziele und zwar Vertraulichkeit, Integrität und Verfügbarkeit.
Service Level Agreement
Ein Service Level Agreement (SLA) beinhaltet wichtige vertragliche Parameter für den Betrieb von IT-Verfahren oder IT-Infrastrukturen wie z. B. eine erwartete Verfügbarkeit.
Standardabsicherung
Die Standardabsicherung nach dem BSI-Grundschutzstandard 200-2 beinhaltet alle Sicherheitsmaßnahmen im Bereich der Informationssicherheit, die umzusetzen sind, wenn der Schutzbedarf normal festgelegt wurde.
Standard-Datenschutzmodell
Das Standard-Datenschutzmodell (SDM) beschreibt eine Methodik zur Umsetzung der Gewährleistungsziele des Datenschutzes.
Strukturanalyse
In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben.
Systemkonto
Benutzerkonto, welches ausschließlich in automatisierter Weise von einem IT-System oder einer Anwendung genutzt wird.
T
Technische und organisatorische Maßnahmen
Maßnahmen, die geeignet sind die Schutzziele der Informationssicherheit zu erreichen. Sie ergeben sich i. d. R. aus dem IT-Grundschutzkompendium.
Transparenz
Anforderung, dass in einem unterschiedlichen Maße sowohl Betroffene, als auch die Betreiber von Systemen sowie zuständige Kontrollinstanzen erkennen können, welche Daten wann und für welchen Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt.
V
Verarbeitung
Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Verarbeitungstätigkeit
siehe Verarbeitung
Verfügbarkeit
Der Zugriff auf IT-Systeme und Daten muss innerhalb bestimmter vordefinierter Zeiträume möglich sein; die Anforderungen ergeben sich für gewöhnlich aus einem Service Level Agreement.
Vertraulichkeit
Anforderung, dass keine unbefugte Person schutzbedürftige Daten zur Kenntnis nehmen oder nutzen kann
Z
Zutrittsberechtigung
Berechtigung, ein abgegrenztes Gelände (einen Sicherheitsbereich) zu betreten.
Zugangsberechtigung
Berechtigung auf Computer- und Domänenressourcen zuzugreifen und diese zu nutzen.
Zugriffsrecht
Das Zugriffsrecht regelt, welche Benutzerkonten in welchem Umfang (z. B. lesend, schreibend, ausführend) auf IT-Systeme zugreifen dürfen.