Definitionen und Fachbegriffe aus der Informationssicherheit
Hier finden Sie eine Sammlung von Fachbegriffen und Definitionen, die Ihnen dabei helfen, die Inhalte unserer Website sowie die Dokumente auf der Vernetzungsplattform besser zu verstehen. Unser Glossar ist darauf ausgelegt, komplexe Begriffe verständlich zu erklären und Ihnen eine schnelle Orientierung zu bieten. Wir werden unser Glossar stetig erweitern.
A
Ablauforganisation
Die Ablauforganisation beschreibt die typischen Verwaltungsprozesse innerhalb der Behörde.
Administrationskonto
Personalisiertes Benutzerkonto mit erhöhten Rechten zur Administration von zur Administration von IT-Systemen und / oder –Verfahren.
Aktualisierung
Herstellerbereitgestellte Software- oder Konfigurationsänderung zur Fehler- oder Sicherheitsbehebung sowie Funktionsverbesserung.
Aufbauorganisation
Die Aufbauorganisation beschreibt den vertikalen Informations- und Weisungsfluss innerhalb der Behörde.
Authentisierung
Nutzende authentisisieren sich mittels eindeutiger Anmeldeinformationen an einem IT-System (z. B. durch Passwort).
Authentifizierung
Nach erfolgter Authentisierung authentifiziert das IT-System die Nutzenden durch Prüfung der Gültigkeit der Anmeldeinformationen.
Autorisierung
Nach erfolgter erfolgreicher Authentifizierung erfolgt die Autorisierung, d. h. die Erlaubnis zur Nutzung bestimmter festgelegter IT-Ressourcen.
Änderung
Geplante Anpassung an IT-Systemen oder Konfigurationen mit strukturellem oder funktionalem Einfluss auf den Betrieb.
B
Basisabsicherung
Die Basisabsicherung nach dem BSI-Grundschutzstandard 200-2 beinhaltet Mindestsicherheitsmaßnahmen im Bereich der Informationssicherheit, die umzusetzen sind, um sich nach hiesiger Meinung nicht der groben Fahrlässigkeit schuldig zu machen.
Bedrohung
Eine Bedrohung beinhaltet eine konkrete Gefährdung von Schutzgütern. Es besteht ein konkretes Risiko für Schäden.
Benutzerkonto
Ein Benutzerkonto ist eine Zugangsberechtigung zu einem zugangsbeschränkten IT-System.
Betroffene
Eine betroffene Person im Sinne des Datenschutzes ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden.
Betroffenenrechte
Betroffenen stehen besondere Rechte zu, die sich aus dem Kapitel 3 der DSGVO ergeben.
BSI-Grundschutzstandard
Der BSI-Grundschutz ist die im behördlichen Umfeld in Deutschland anerkannte Methodik für eine angemessene Informationssicherheit, er ist kompatibel zum internationalen Standard ISO/IEC 27001 und beinhaltet die Standards
200-1: Managementsysteme für Informationssicherheit
200-2: Grundschutzmethodik
200-3: Risikomanagement
200-4: Notfallmanagement
C
Change
siehe Änderung
Cloud – Ein Cloud-Dienst ist eine im Rahmen von Cloud Computing angebotene Dienstleistung der Informationstechnik. Weiterlesen...Cloud-Dienste
IT-Dienste, die über ein Netzwerk bereitgestellt und flexibel genutzt werden können.
D
Datenschutz
Datenschutz dient der Gewährleistung des Rechts auf informationelle Selbstbestimmung. Personenbezogene Daten dürfen nur unter Beachtung der Grundsätze nach Art. 5 DSGVO verarbeitet werden.
Datenschutzbeauftragte:r
Die Rolle DSB ist für den Aufbau eines DSMS innerhalb der Behörde verantwortlich. Die konkreten Aufgaben ergeben sich aus Art. 39 DSGVO.
Datenschutz-Grundverordnung (DSGVO)
Die Verordnung der Europäischen Union 2016/679 regelt EU-weit die Grundsätze zur Verarbeitung personenbezogener Daten. Sie gilt unmittelbar auch im kommunalen Bereich, in Schleswig-Holstein werden ergänzende Regelungen für den behördlichen Bereich zudem im Landesdatenschutzgesetz (LDSG SH) getroffen.
Datenschutzmanagementsystem (DSMS)
Ein DSMS dient der Dokumentation der Rollen (Aufbauorganisation), der Abläufe / Prozesse (Ablauforganisation) und der technischen und organisatorischen Maßnahmen zur Sicherung der Gewährleistungsziele des Datenschutzes.
Datenminimierung
Die Verarbeitung personenbezogener Daten ist auf ein dem Zweck angemessenes und notwendiges Maß zu beschränken.
E
Eintrittswahrscheinlichkeit
Einschätzung, wie wahrscheinlich eine Ausnutzung der Schwachstelle ist.
Endpoint-Management Plattform
Zentrale Lösung zur Verwaltung, Konfiguration und Absicherung von Endgeräten.
Eskalation
Weitergabe eines Sachverhalts an eine höhere Entscheidungs- oder Verantwortungsebene.
F
Forensik
Untersuchung von IT-Systemen zur Analyse und Sicherung digitaler Spuren nach Sicherheitsvorfällen.
G
Gewährleistungsziel
Das Standard-Datenschutzmodell kennt sieben Gewährleistungsziele zur Sicherung der Grundsätze des Datenschutzes. Hierzu gehören neben Vertraulichkeit, Integrität und Verfügbarkeit (mithin die Schutzziele der Informationssicherheit) zudem noch Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit sowie die Datenminimierung.
Gruppenkonto
Nicht personalisiertes Benutzerkonto, welches von mehreren natürlichen Personen genutzt wird.
I
Informationssicherheit
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll.
Informationssicherheitsbeauftragte:r
Die Rolle ISB ist für den Aufbau eines ISMS innerhalb der Behörde verantwortlich. Die konkreten Aufgaben ergeben sich aus einer förmlichen Bestellung.
Informationssicherheitsleitlinie
Die Informationssicherheitsleitlinie (ISLL) schafft die Grundlage für den Aufbau eines ISMS, das die Herstellung und den Erhalt des erforderlichen Sicherheitsniveaus aller Objekte und Daten im Verantwortungsbereich der Organisation sicherstellt.
Informationssicherheitsmanagementsystem (ISMS)
Ein ISMS dient der Dokumentation der Rollen (Aufbauorganisation), der Abläufe / Prozesse (Ablauforganisation) und der technischen und organisatorischen Maßnahmen zur Sicherung der Schutzziele der Informationssicherheit.
Informationsverbund
Ein Informationsverbund ist die logische Zusammenfassung aller infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die in einem bestimmten Bereich der Informationsverarbeitung genutzt werden (z. B. eine Stadtverwaltung oder in größeren Einheiten auch nur die Kernverwaltung einer Stadt).
Integrität
Anforderung, dass zu verarbeitende Daten vollständig, richtig und aktuell bleiben; dieses beinhaltet insbesondere die Notwendigkeit des Schutzes von Daten vor einer unberechtigten Manipulation.
Intervenierbarkeit
Anforderung, dass den betroffenen Personen die ihnen zustehenden Betroffenenrechte bei Bestehen der gesetzlichen Voraussetzungen unverzüglich und wirksam gewährt werden und die verarbeitende Stelle verpflichtet ist, die entsprechenden Maßnahmen umzusetzen.
ISO / IEC 27001
Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.
IT-Asset
Ein informationstechnischer Wertgegenstand, beispielsweise ein System, eine Anwendung oder eine Infrastrukturkomponente.
IT-Governance
Die IT-Governance regelt die Sicherstellung der Behördenziele mit Hilfe von Informationstechnik.
IT-Grundschutz
siehe BSI-Grundschutzstandard
IT-Grundschutzkompendium
Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des IT-Grundschutzes.
IT-Grundschutzprofil
Ein IT-Grundschutzprofil beinhaltet eine verallgemeinerte Strukturanalyse und Schutzbedarfsfeststellung für bestimmte Organisationsformen (s. hierzu z. B. Grundschutzprofil Basisabsicherung Kommunalverwaltung). Sie beinhaltet umzusetzende IT-Grundschutzbausteine und die sich daraus ergebenden umzusetzenden Sicherheitsmaßnahmen.
IT-Grundschutzprofil Basisabsicherung Kommunalverwaltung
Das IT-Grundschutzprofil Basisabsicherung Kommunalverwaltung beinhaltet eine verallgemeinerte Strukturanalyse und Schutzbedarfsfeststellung für eine modellhafte Kommunalverwaltung. Es definiert hierzu die sich daraus ergebenden umzusetzenden Sicherheitsmaßnahmen.
IT-Verantwortliche:r
Dies Rolle verantwortet den ordnungsgemäßen Betrieb der IT; so sorgt sie z. B. für die Einhaltung der Verfügbarkeitsvorgaben aus dem SLA.
K
Kernabsicherung
Die Kernabsicherung sichert besonders schützenswerte Informationen und Geschäftsprozesse und bietet maximalen Schutz für die „Kronjuwelen“ der Einrichtung.
Kompensierende Maßnahmen
Alternative organisatorische oder technische Maßnahme zur Risikoreduzierung, wenn eine direkte Behebung nicht möglich ist.
Kryptominer
Schadprogramm, das unbefugt Rechenressourcen zur Erzeugung von Kryptowährungen nutzt.
L
Laterale Ausbreitung
Bewegung eines Angreifers innerhalb eines Netzes zur Kompromittierung weiterer Systeme.
Loader
Programm oder Schadcode-Komponente, die weitere Schadsoftware auf ein System nachlädt.
M
Makro-Schadcode
Schadcode, der in Makros von Dokumenten eingebettet ist und beim Ausführen aktiv wird.
N
Nicht-Verkettbarkeit
Anforderung, dass personenbezogene Daten nicht zusammengeführt, also verkettet, werden und somit ggf. zu einem anderen als dem ursprünglich definierten Zweck verarbeitet werden können.
Notfall
Ein Notfall ist ein unerwartetes, oft plötzlich auftretendes Ereignis, das eine sofortige Reaktion erfordert, um Schäden oder Verluste zu minimieren.
Notfallmanagement (BCM)
Das Notfallmanagement (Business Continuity Management) ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren.
Notfallmanagementsystem (BCMS)
Das Notfallmanagementsystem (Business Continuity Management System) beinhaltet Methoden, Verfahren und Regeln zur Sicherstellung der Fortführung kritischer Prozesse bei einem Notfall.
O
OZG-Portalverbund
Der Portalverbund bezeichnet die technische Infrastruktur zur Bereitstellung digitaler Verwaltungsleistungen (Onlinedienste).
P
Patch
siehe Aktualisierung
Passwort
Ein Kennwort, mit dem sich eine Person in Verbindung mit einem Benutzerkonto an einem IT-System authentisiert.
Personalisiertes Benutzerkonto
Ein personalisiertes Benutzerkonto ist einer einzelnen natürlichen Person zugeordnet.
Personenbezogene Daten
Personenbezogene Daten alle Informationen, die sich auf eine bestimmbare natürliche Person beziehen.
R
Ransomware
Schadprogramm, das Daten verschlüsselt oder Systeme sperrt, um Lösegeld zu erpressen.
Reduzierung
Risiken kann man durch die Umsetzung geeigneter Maßnahmen reduzieren; diese Maßnahmen ergeben sich z. B, aus dem IT-Grundschutzkompendium.
Restrisiko
Das nach Umsetzung von Maßnahmen verbleibende Risiko.
Risiko
Ein mögliches Risiko kann man berechnen, indem man eine mögliche Schadenshöhe mit der erwarteten Eintrittswahrscheinlichkeit multipliziert.
Risikoanalyse
Die Risikoanalyse ist ein systematischer Prozess zur Identifikation, Bewertung und Minderung von Risiken.
Risikoakzeptanz
Bewusste Entscheidung, ein verbleibendes Risiko unter definierten Bedingungen zu akzeptieren.
Risikobehandlung
Auswahl und Umsetzung von Maßnahmen zum Umgang mit identifizierten Risiken.
Risikomanagement
Das Risikomanagement kennt verschiedene Risikobehandlungsbehandlungsmethoden. Ziel eines guten Risikomanagements ist die Reduzierung des Restrisikos auf ein vertretbares Maß.
Rootkit
Schadprogramm zur Verschleierung von Angriffen und zur Erlangung dauerhafter, privilegierter Zugriffe.
Rückfallverfahren (Rollback)
Definierte Vorgehensweise zur Wiederherstellung eines vorherigen Betriebszustands bei fehlgeschlagenen Änderungen oder Maßnahmen.
S
Schadprogramm
Software mit schädlichen Funktionen, die ohne Zustimmung der Nutzenden ausgeführt wird.
Schutzbedarf
Der Schutzbedarf bestimmt Art und Umfang der Maßnahmen, um ein akzeptables Restrisiko zu erreichen.
Schutzbedarfsfeststellung
Methode zur Bestimmung des Schutzbedarfs (normal, hoch, sehr hoch) anhand der einzelnen Schutzziele.
Schutzziel
Der BSI-Grundschutzstandard kennt drei Schutzziele und zwar Vertraulichkeit, Integrität und Verfügbarkeit.
Schwachstelle
Eine Eigenschaft oder ein Fehler eines IT-Systems, der die Informationssicherheit beeinträchtigen und ausgenutzt werden kann.
Schwachstellenmanagement
Organisatorischer und technischer Prozess zur Identifikation, Bewertung, Behandlung und Nachverfolgung von Schwachstellen.
Service Level Agreement
Ein Service Level Agreement (SLA) beinhaltet wichtige vertragliche Parameter für den Betrieb von IT-Verfahren oder IT-Infrastrukturen wie z. B. eine erwartete Verfügbarkeit.
Sicherheitsvorfall
Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder IT-Systemen beeinträchtigt oder beeinträchtigen kann.
Signatur
Eindeutiges Erkennungsmerkmal zur Identifikation bekannter Schadprogramme oder Angriffe.
Signatur- und verhaltensbasierte Schadprogrammerkennung
Verfahren zur Erkennung von Schadprogrammen anhand bekannter Merkmale oder auffälliger Aktivitäten.
Spyware
Schadprogramm zur heimlichen Sammlung und Übermittlung von Informationen über Nutzende oder Systeme.
Standardabsicherung
Die Standardabsicherung nach dem BSI-Grundschutzstandard 200-2 beinhaltet alle Sicherheitsmaßnahmen im Bereich der Informationssicherheit, die umzusetzen sind, wenn der Schutzbedarf normal festgelegt wurde.
Standard-Datenschutzmodell
Das Standard-Datenschutzmodell (SDM) beschreibt eine Methodik zur Umsetzung der Gewährleistungsziele des Datenschutzes.
Strukturanalyse
In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben.
Systemadministrator:in
Diese Rolle verwaltet IT-Systeme im Rahmen der ihr übertragenen Aufgaben und Kompetenzen.
Systemkonto
Benutzerkonto, welches ausschließlich in automatisierter Weise von einem IT-System oder einer Anwendung genutzt wird.
T
Tamper Protection
Eine Sicherheitsfunktion zum Schutz von Sicherheitssoftware und deren Konfiguration vor unbefugter Deaktivierung, Veränderung oder Manipulation.eine Sicherheitsfunktion zum Schutz von Sicherheitssoftware und deren Konfiguration vor unbefugter Deaktivierung, Veränderung oder Manipulation.
Technische und organisatorische Maßnahmen
Maßnahmen, die geeignet sind die Schutzziele der Informationssicherheit zu erreichen. Sie ergeben sich i. d. R. aus dem IT-Grundschutzkompendium.
Transparenz
Anforderung, dass in einem unterschiedlichen Maße sowohl Betroffene, als auch die Betreiber von Systemen sowie zuständige Kontrollinstanzen erkennen können, welche Daten wann und für welchen Zweck bei einer Verarbeitungstätigkeit erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden, wohin die Daten zu welchem Zweck fließen und wer die rechtliche Verantwortung für die Daten und Systeme in den verschiedenen Phasen einer Datenverarbeitung besitzt.
V
Verarbeitung
Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Verarbeitungstätigkeit
siehe Verarbeitung
Verfügbarkeit
Der Zugriff auf IT-Systeme und Daten muss innerhalb bestimmter vordefinierter Zeiträume möglich sein; die Anforderungen ergeben sich für gewöhnlich aus einem Service Level Agreement.
Vermeidung
IT-Infrastrukturen oder IT-Verfahren, die nicht betrieben werden, stellen auch kein Risiko dar. Da die meisten behördlichen Aufgaben aber gesetzlich vorgeschrieben sind, kommt eine Vermeidung i. d. R. nicht in Frage.
Vertraulichkeit
Anforderung, dass keine unbefugte Person schutzbedürftige Daten zur Kenntnis nehmen oder nutzen kann
W
Workaround
Vorläufige Maßnahme zur Verringerung des Risikos einer Schwachstelle bis zu ihrer endgültigen Behebung.
Z
Zero-Day-Schwachstelle
Schwachstelle, für die zum Zeitpunkt ihres Bekanntwerdens noch keine wirksame Herstellermaßnahme verfügbar ist.
Zutrittsberechtigung
Berechtigung, ein abgegrenztes Gelände (einen Sicherheitsbereich) zu betreten.
Zugangsberechtigung
Berechtigung auf Computer- und Domänenressourcen zuzugreifen und diese zu nutzen.
Zugriffsrecht
Das Zugriffsrecht regelt, welche Benutzerkonten in welchem Umfang (z. B. lesend, schreibend, ausführend) auf IT-Systeme zugreifen dürfen.