Begriffe & Glossar
Hinweis zur Terminologie:
„Werte“ ≙ „Assets“
„Informationsverbund“ ≙ „Geltungsbereich“ (BSI-Terminologie).
Grundwerte/Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit.
A
Anwender (Benutzer/Endbenutzer/Nutzer/User):
Person, die IT-Services im Arbeitsalltag nutzt (nicht gleich Kunde).
Beispiel: EU-Zahlstelle BW = bearbeitende Stellen, die Fachverfahren nutzen.
Applikation (Anwendungsprogramm/-software/Anwendung):
IT-Unterstützung für Prozesse; fasst IT-Ressourcen zweckgebunden zusammen.
Arbeitsanweisung:
Detaillierte Beschreibung zur wiederholbar qualitätsgerechten Durchführung von Tätigkeiten.
Assets (Werte):
Werthaltige Zielobjekte einer Institution (z. B. Informationen, Systeme, Räume).
Authentisierung:
Nachweis einer Identität (z. B. Passwort, Chipkarte, Biomerkmal).
Authentizität:
Eigenschaft, einer authentisierten Identität tatsächlich zu entsprechen.
Autorisierung:
Prüfung/Bewilligung von Zugriffsrechten auf Ressourcen.
Availability Management (ITIL):
Sicherstellung vereinbarter Verfügbarkeiten von IT-Services inkl. Planung, Messung, Verbesserung.
B
Basis-Sicherheitscheck (BSC):
Interviewbasierter Soll-/Ist-Abgleich zum Umsetzungsgrad von IT-Grundschutz-Maßnahmen (ältere BSI-Standards 100-x).
Baustein (IT-Grundschutz):
Modularer Inhalt mit Kurzbeschreibung, Gefährdungslage, Maßnahmenempfehlungen.
Bedrohung:
Umstand/Ereignis, das über Schwachstellen Schaden an V, I, Vf verursachen kann.
Benutzerkonto (Benutzerkennung/-name):
Identifikationsmerkmal eines Anwenders gegenüber einem IT-System.
Best Practices:
Bewährte Verfahrensweisen.
Biometrie:
IT-gestützte Personenerkennung über körperliche/Verhaltensmerkmale (z. B. Fingerabdruck, Iris).
Bugfix / Hotfix / Patch / Update / Upgrade:
Fehlerbehebung bzw. Funktionserweiterung.
- Hotfix = dringender Patch
- Update = meist Minor
- Upgrade = Major
Bundesamt für Sicherheit in der Informationstechnik (BSI):
Bundesbehörde für IT-Sicherheit; Herausgeber IT-Grundschutz; Zertifizierungsstelle.
Bundesdatenschutzgesetz (BDSG):
Bundesrecht zum Schutz personenbezogener Daten (ergänzt DSGVO, Landesgesetze).
Business Impact Analyse (BIA):
Bewertung potenzieller Auswirkungen von Ausfällen auf Geschäftsprozesse.
C
Capacity Management (ITIL):
Sicherstellung ausreichender Kapazität/Performance (Business/Service/Component-Ebenen).
Change Management (ITIL):
Steuerung risikominimierter Änderungen am IT-Betrieb.
Configuration Item (CI):
Betriebsmittel/Komponente der IT.
Configuration Management (ITIL):
Verwaltung/Verifikation von CI-Informationen.
CMDB (Configuration Management Database):
Datenbank zur Abbildung/Verknüpfung von CIs inkl. Lebenszyklus-Daten.
D
Datenschutz:
Schutz personenbezogener Daten (Grundrecht; u. a. DSGVO/BDSG).
Datensicherheit:
Technisches Ziel, Daten jeglicher Art gegen Verlust/Manipulation zu sichern.
Datensicherung (Backup):
Voll/inkrementell/differenziell; Sicherstellung von V, I, Konsistenz.
Demilitarisierte Zone (DMZ):
Zwischennetz zwischen Netzen unterschiedlicher Sicherheitsniveaus.
Digitale Signatur:
Prüft Urheberschaft und Unverändertheit von Daten.
E
Effektivität:
Zielerreichung (unabhängig vom Aufwand).
Effizienz:
Wirtschaftlichkeit (Aufwand-Nutzen-Relation).
Ergänzende Sicherheitsanalyse:
Feststellung, wo Risikoanalysen über IT-Grundschutz hinaus nötig sind (erhöhter Schutzbedarf, Sonderfälle, untypische Szenarien).
EU-Zahlstelle Baden-Württemberg:
Verwaltungseinheiten für EGFL/ELER-Mittel (Bewilligung/Kontrolle/Auszahlung/Verbuchung).
F
Fachanwendung:
Spezialsoftware für spezifische Anforderungen/Branchen.
Fachaufgabe:
Behördliche Aufgaben zur Planung/Aufbau/Betrieb der EU-Zahlstelle.
Fachlicher Betrieb:
Datenadministration, Anwenderbetreuung, Pflege/Verantwortung Fachverfahren.
Fachverfahren:
IT-Unterstützung zur Beantragung/Durchführung von Verwaltungsleistungen; besteht aus einer oder mehreren Anwendungen.
Financial Management (ITSM):
Budget, Kosten, Leistungsverrechnung für Services.
Firewall (Sicherheitsgateway):
Sichere Netzkopplung, Filterung zulässiger Verbindungen.
G
Gefahr:
Oberbegriff; Gefährdung = konkretisierte Gefahr (z. B. defekter Datenträger).
Gefährdung:
Bedrohung wirkt über Schwachstelle auf Objekt und verursacht Schaden.
Grundwert/Schutzziel:
Vertraulichkeit, Integrität, Verfügbarkeit.
GSTOOL:
Ehem. BSI-Software für Sicherheitskonzepte (Vertrieb eingestellt, Support bis 2016).
H
(—)
I
Incident Management (ITIL):
Minimierung von Störungen, Wiederherstellung des Service; Priorisierung nach Auswirkung/Dringlichkeit.
Informationssicherheit:
Schutz analoger/digitaler Informationen; Abwesenheit unvertretbarer Risiken.
ISB / CISO (IT-Sicherheitsbeauftragter):
Stabsstelle für Informationssicherheit; erstellt/fördert Leitlinien/Konzepte; steuert ISMS.
Informationssicherheits-Ereignis:
Ereignis, das das Sicherheitsniveau beeinträchtigen kann.
Informationssicherheits-Vorfall:
(Eine Serie von) Ereignissen mit Risiko für Geschäftsabläufe/Informationssicherheit.
ISMS (Informationssicherheits-Managementsystem):
Regelungen, Prozesse, Maßnahmen zur Steuerung der Informationssicherheit (kontinuierlich, PDCA).
Informationstechnik (IT):
Mittel zur Verarbeitung/Übertragung von Informationen.
Informationsverbund (IT-Verbund):
Gesamtheit von Objekten (infrastrukturell, organisatorisch, personell, technisch) in einem Anwendungsbereich (≈ Geltungsbereich).
Infrastruktur (IT-Grundschutz):
Gebäude, Räume, Energie, Klima, Verkabelung (ohne IT-Systeme/Koppelelemente).
Institutionen:
Unternehmen, Behörden, sonstige Organisationen.
Integrität:
Abwesenheit unautorisierter Änderungen an Systemen/Daten.
Interne Audits:
Regelmäßige Wirksamkeits-/Konformitätsprüfung des ISMS; Grundlage für Verbesserungen.
Internes Kontrollsystem (IKS):
Grundsätze/Maßnahmen zur Sicherung von Wirksamkeit, Ordnungsmäßigkeit, Rechtskonformität.
ISO-27000-Reihe (ISO27k):
Internationale Normfamilie zur Informationssicherheit.
- ISO 27001: Anforderungen an ISMS (zertifizierbar).
- ISO 27002: Leitfaden zu Maßnahmen (nicht zertifizierbar).
IS-Partialrevision:
Prüfung einzelner Prozesse/Verfahren per IT-Grundschutz-Bausteinen.
ITIL (IT Infrastructure Library):
Best Practices für IT-Service-Management (ITSM).
IT-Sicherheit:
Schutz elektronisch verarbeiteter Informationen (Teilgebiet von Informationssicherheit).
K
Kritische Infrastrukturen (KRITIS):
Einrichtungen mit hoher Bedeutung für Versorgung/Sicherheit.
Kumulationseffekt:
Schutzbedarf steigt durch kumulierte Schäden/Abhängigkeiten.
Kunde:
Käufer/Vertragspartner des IT-Service Providers; SLA-Adressat.
L
Leitlinie zur Informationssicherheit:
Strategisches Dokument zu Zielen, Mitteln, Strukturen und angestrebtem Sicherheitsniveau.
M
Maximum-Prinzip:
Höchster potenzieller Schaden bestimmt Schutzbedarf.
Modellierung (IT-Grundschutz):
Zuordnung von Bausteinen zu Strukturelementen; Basis für Soll-/Ist-Vergleich.
N
Nachvollziehbarkeit (Rückverfolgbarkeit):
Lückenlose Aufzeichnung von Handlungen (Wer/Was/Wann).
Nachweisdokumente:
Ergebnisse von Prozessen (z. B. Pläne, Protokolle, Audit-/Prüfnachweise).
Netzplan:
Bereinigte Übersicht der Strukturelemente/Verbindungen.
Nichtabstreitbarkeit:
Herkunft/Erhalt von Daten kann nicht bestritten werden.
P
Penetrationstest:
Nicht-destruktiver Test zur Wirksamkeit von Sicherheitsmaßnahmen.
Priorisierung:
Ressourcensteuerung nach Auswirkung/Dringlichkeit (Incident Mgmt).
Problem Management (ITIL):
Ursachenbeseitigung/Prävention von Incidents.
Proxy:
Stellvertreter-Knoten zur Weiterleitung/Filterung von Daten.
Prozess:
Strukturierte Aktivitäten zur Umwandlung von Inputs in Outputs.
R
Release Management (ITIL):
Geplante, störungsarme Rollouts von freigegebenen Komponenten.
Restrisiko:
Nach Behandlung verbleibendes Risiko.
Revision:
Unabhängige Prüfung von Eignung/Einhaltung von Richtlinien.
Risiko:
Kombination aus Bedrohung und Schwachstelle; bewertet nach Eintrittswahrscheinlichkeit × Auswirkung.
Risikoakzeptanz:
Bewusste Annahme eines Risikos (temporär/dauerhaft).
Risikoanalyse / -bewertung / -einschätzung / -management:
Identifikation, Analyse, Bewertung, Behandlung, Überwachung von Risiken.
S
Schadprogramm (Malware, Virus, Wurm, Trojaner, Rootkit, Spyware):
Software mit schädlichen Funktionen.
Schutzbedarf / -definitionen / -feststellung:
Einordnung „normal/hoch/sehr hoch“ je Objekt; Ableitung Kriterien und Vererbung.
Schutzziele:
Vertraulichkeit, Integrität, Verfügbarkeit.
Schwachstelle (Vulnerability):
Sicherheitsrelevanter Fehler/Aspekt, der Bedrohungen wirksam werden lässt.
Server:
System, das Dienste für Clients bereitstellt.
Service Level Agreement (SLA):
Vereinbarung von Service-Zielen/Verantwortlichkeiten.
Service Level Management (ITIL):
Aushandlung/Überwachung von SLAs; Reviews/Verbesserungen.
Sicherheitsgateway (Firewall):
Netzkopplung nach Richtlinien.
Sicherheitskonzept / -konzeption:
Dokumente/Planung zur Erreichung der Sicherheitsziele.
Sicherheitsmaßnahme (Measure):
Organisatorisch, personell, technisch, infrastrukturell.
Sicherheitsrichtlinie:
Offizielle Vorgaben mit Schutzzielen und generellen Maßnahmen.
Single Point of Failure (SPOF):
Komponente, deren Ausfall das Gesamtsystem ausfallen lässt.
Strukturanalyse:
Erfassung der relevanten Objekte/Beziehungen eines Informationsverbunds.
Strukturelemente:
Anwendungen, IT-Systeme, Netze, Räume, Gebäude, Verbindungen.
Support (IT-Hotline/IT-Support/Benutzerbetreuung):
1st/2nd/3rd Level-Unterstützung.
Technischer Betrieb:
Standort, Infrastruktur, Hardware, Systemsoftware, DB-Bereitstellung.
U
Underpinning Contracts (UC):
Verträge mit externen Dienstleistern zur Absicherung von Services.
V
Verfügbarkeit:
Bereitstellung von Informationen/Services wie gefordert.
Verschlüsselung:
Umwandlung von Klar- in Geheimtext via Schlüssel.
Verteilungseffekt:
Reduktion von vererbtem Schutzbedarf durch Streuung über Systeme.
Vertraulichkeit:
Schutz vor unberechtigtem Zugriff.
VLAN (Virtuelle lokale Netze):
Logische Netzsegmentierung.
VPN (Virtuelles Privates Netz):
Logisch getrenntes Netz (authentisiert, verschlüsselt).
Vorgabedokumente:
Verbindliche Regelungen mit Umsetzungsverpflichtung.
W–Z
Werte (Assets):
Alles, was der Institution wichtig ist (Vermögen, Wissen, Gegenstände, Gesundheit).
Werteverantwortlicher:
Verantwortet Bewertung, Schutz, Maßnahmenumsetzung für Werte.
Werteverzeichnis:
Zusammenstellung relevanter Informationen zur Unterstützung des Sicherheitskonzepts.
WLAN (Wi-Fi):
Drahtlose Netze (IEEE 802.11).
Zertifizierungsverbund:
Teilmenge des Informationsverbunds für die Zertifizierung.
Zielobjekt (Target Object):
Teil des Informationsverbunds, dem Bausteine zugeordnet werden.
Zugang / Zugriff / Zutritt:
Nutzung von Systemen / Kenntnisnahme von Informationen / Betreten von Orten.
Begriffe aus der fuentis Suite (DE/EN, kompakt)
| Begriff (de) | Begriff (en) | Definition |
|---|---|---|
| Anforderung | Requirement | Sicherheitsanforderung beschreibt Was zu tun ist; Erfüllung durch passende Sicherheitsmaßnahmen. |
| Assets | Assets | Werthaltige Zielobjekte zur Zielerreichung/Wertschöpfung (IT-Grundschutz-Bedeutung). |
| Audit | Audit | Prüfung auf Standard-Einhaltung, Identifikation von Lücken, Grundlage zur Verbesserung (intern/extern). |
| Basis-Absicherung | Basis protection | Breite Erst-Absicherung über alle Prozesse/Fachverfahren als Einstieg. |
| Bausteine | Block | Modularisierte Inhalte (Gefährdungslage, Anforderungen, Hinweise) im IT-Grundschutz. |
| Fragebogen | Questionnaire | Vereinheitlicht die Schutzbedarfsfeststellung. |
| Gefährdungen | Threats | Bedrohungen, die über Schwachstellen wirksam werden. |
| Geltungsbereich | Scope | Gesamtheit relevanter Komponenten eines Anwendungsbereichs. |
| Geschäfts-/Kernprozesse | Business/core processes | Prozesse mit unmittelbarer Wertschöpfung. |
| Katalog | Catalog | Zentrale Veröffentlichung von Sicherheitsstandards (z. B. IT-Grundschutz-Kompendium). |
| Kern-Absicherung | Core protection | Fokus auf besonders gefährdete Prozesse/Assets. |
| Kumulationseffekt | Accumulation effect | Erhöhter Schutzbedarf durch kumulierte Schäden/Mehrfachverarbeitung. |
| Maßnahme | (Security) measure | Aktionen zur Risikosteuerung (org./pers./tech./infra). |
| Maximumprinzip | Maximum principle | Höchster Schaden bestimmt Schutzbedarf. |
| Modellierung | Modeling | Zuordnung von Bausteinen zu Zielobjekten (inkl. Abgrenzung/Voraussetzungen). |
| Risiken | Risks | i. d. R. Häufigkeit × Schadensausmaß (spezielle Form von Unsicherheit). |
| Risikoanalyse | Risk analysis | (Deutschsprachig üblich:) Gesamtprozess der Risikobeurteilung und -behandlung. |
| Schutzbedarfsanalyse | Protection needs analysis | Feststellung Schutzbedarf „normal/hoch/sehr hoch“ inkl. Folgeschäden. |
| Schwachstelle | Vulnerability | Aspekt, der Realisierung eines Risikos ermöglicht. |
| Sicherheitskonzept | Security concept | Geplante Vorgehensweise zur Erreichung der Sicherheitsziele; zentrales Dokument. |
| Standard-Absicherung | Standard protection | Klassische Vorgehensweise (BSI-100-2): breite und tiefe Absicherung. |
| Steuerungsprozesse | Management process | Setzen Ziele und überwachen Fortschritt (Vorgaben/Nachweise). |
| Strukturanalyse | Structural analysis | Erfassung Informationsverbund (Prozesse/Anwendungen/IT/Netze/Räume/Gebäude/Verbindungen). |
| Unterstützungsprozess | Support process | Stellt Ressourcen für Geschäfts-/Steuerungsprozesse. |
| Vererbung | Propagation | Übertragung Schutzbedarf (Maximumprinzip, Abhängigkeiten, Kumulation, Verteilungseffekt). |
| Zielobjekt | Target object | Objekt des Informationsverbunds, dem Bausteine zugeordnet werden. |
| Top-Down-Prinzip | Top-Down principle | Strategien/Anweisungen von oben; Umsetzung/Kontrolle entlang der Hierarchie. |
| Verwaltung | Governance | Regeln/Prozesse/Praktiken für Steuerung, Kontrolle, Compliance, Transparenz. |
| CISO/ISB | CISO/ISB | Chief Information Security Officer / Informationssicherheitsbeauftragter. |
| Risk Owner | Risk Owner | Verantwortet Identifikation, Bewertung, Steuerung und Reporting eines Risikos. |
| RACI-Matrix | RACI matrix | Rollenklärung: Responsible, Accountable, Consulted, Informed. |
| Governance-Gruppe | Governance group | Gremium für Strategie, Richtlinien, Compliance, Risikomanagement. |
| Informationssicherheitsziele | Information Security Objectives | Konkrete Ziele zum Schutz von CIA |
| ISO-Konformität | ISO compliance | Einhaltung relevanter ISO-Standards (insb. ISO 27001/27002) |