consequa


Unternehmen

Leistungen

Veranstaltungen

Materialien

 + Dokumente

 - Glossar

Referenzen

Kontakt

Impressum

Sitemap

Suche

 

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Begriff

Erläuterung 

A


Access

Englischer Begriff für Zutritt, Zugang oder Zugriff.

Access Management

Die Verwaltung aller Schutzvorkehrungen für Zutritt, Zugang und Zugriff zu oder auf Ressourcen.

Der Prozess gehört gemäß ITIL zur Phase Service Operation.

Account Management

Die Verwaltung der Informationen zur Authentisierung und Autorisierung bei Betriebssystemen und IT-Anwendungen. Üblicherweise handelt es sich dabei um Benutzerkennung, Passwort und Berechtigungen.

Das Account Management ist ein Bestandteil des Access Managements.

Administration

Die Steuerung von IT-Systemen durch Eingriffe in Konfigurationen, Berechtigungen und Abläufe. Da hier die Grundlagen für die IT-Anwendungen manipuliert werden können, unterliegt die Administration besonderen Anforderungen im Hinblick auf die Sicherheit.

Die Aufgaben im Account Management, Problem Management und Change Management, aber auch im Bereich des täglichen IT-Betriebs, sind nur unter Nutzung administrativer Berechtigungen möglich. In Bezug auf die Arbeit an den IT-Systemen werden diese Rollen daher auch als Administratoren bezeichnet.

AktG

Aktiengesetz.

Das AktG regelt die Verhältnisse von Aktiengesellschaften (AG).

In Bezug auf die Verantwortung von Vorständen und Aufsichtsräten sind relevant:

  • § 91 Organisation; Buchführung,

  • § 93 Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder,

  • § 116 Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder.

§ 91 regelt insbesondere, dass ein Überwachungssystem einzurichten ist, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Dies ist die Basis für das Risikomanagement in AGen.

Alarmierung

Information von Personen und Institutionen nach Eintritt von definierten Ereignissen (z.B. Feuer, Bombendrohung, Virenbefall, Notfall), die zu Schäden führen können.

Ziel der Alarmierung ist es, verantwortliche Entscheider und Akteure möglichst schnell und zuverlässig so zu informieren, dass mit gezielten Maßnahmen zur Abwendung, Begrenzung und Bewältigung von Schäden begonnen werden kann.

Alarmverfahren

Vorab geplanter Ablauf einer Alarmierung.

Anonymisierung

Veränderung von personenbezogenen Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (gemäß BDSG).

AO

Abgabenordnung.

Die AO ist die Grundlage des deutschen Steuerrechts.

Relevant ist insbesondere:

  • § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen.

Danach sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie auch Buchungsbelege zehn Jahre geordnet aufzubewahren. Andere für die Besteuerung wichtige Unterlagen sind 6 Jahre geordnet aufzubewahren.

Application Management

Funktion nach ITIL, die für die Betreuung von IT-Anwendungen durch den gesamten Lebenszyklus verantwortlich ist. Sie ist meist nach den Anwendungsgebieten in mehrere Organisationseinheiten aufgeteilt.

Archivierung

Die langfristige Aufbewahrung von Daten.

Daten, die für die Rechnungslegung relevant sind, müssen bis zu 10 Jahren aufbewahrt werden.

So weit Daten für die IT-Sicherheit relevant sind, ergeben sich Mindestfristen aus den üblichen Prüfungszyklen. Ggf. sind branchenspezifische Vorgaben (z.B. nach MaRisk (BA) 2 Jahre) zu beachten.

ASIS

American Society for Industrial Security (ASIS). In den USA erfolgt die Entwicklung von Standards für die ANSI u.a. durch die ASIS.

Asset

Englischer Begriff für den werthaften Bestand eines Unternehmens. Im Rahmen der Informationssicherheit sind insbesondere Informationswerte und die Bestandteile der Infrastruktur gemeint.

Audit

Untersuchungsverfahren, das durch einen Auditor durchgeführt wird. Je nach der Position des Auditors handelt es sich um einen internen oder einen externen Audit.

Je nach Zielsetzung wird bei einem Audit ein Ist-Zustand analysiert oder aber ein Vergleich von ursprünglichen Vorgaben und Zielen mit deren tatsächlicher Umsetzung ermittelt. Oft soll ein Audit auch dazu dienen, allgemeine Probleme oder einen Verbesserungsbedarf aufzuspüren, damit sie beseitigt werden können.

Als Methoden für Audits sind Interviews, Untersuchungen und Tests gebräuchlich.

Im Folgenden sind gebräuchliche Audit-Typen aufgeführt:

  • Zertifizierungs-Audit (zur Erlangung eines Zertifikats, das zum Nachweis der Einhaltung bestimmter Standards dient wie z.B.ISO 9001 , ISO/IEC 27001 oder IT-Grundschutz),

  • Lieferanten-Audit (üblicherweise von dem Management-Beauftragten eines Kunden bei seinem Lieferanten),

  • Compliance-Audit (Überprüfung der Übereinstimmung mit einem Regelwerk), z.B. ein IT-Sicherheits-Audit,

  • System-Audit (betrachtet das Management-System),

  • Prozess-Audit (betrachtet einzelne Prozesse).

Ausfall

Im Hinblick auf Unternehmens-Ressourcen die Verhinderung der Nutzung (sind die Ressourcen noch teilweise verfügbar, spricht man von einer Betriebseinschränkung).

Man kann zwischen geplanten Ausfällen (z.B. wegen vorhergesehener Wartungsarbeiten) und ungeplanten Ausfällen (z.B. als Folge eines Defekts) unterscheiden. Bei den ungeplanten Ausfällen können wiederum zwei Kategorien unterschieden werden:

  • Vorhersehbare Ausfälle (z.B. aufgrund eines Hardware-Defekts eines Rechners): Für diese Art von Ausfällen können vorsorglich spezifische Maßnahmen ergriffen werden, die im Sinne von Business Continuity entweder den Ausfall von vornherein verhindern (Prävention) oder die Folgen mindern (Reaktion). Die vorsorgliche Ergreifung geeigneter Maßnahmen ist vor allem dann wichtig, wenn ein Ausfall innerhalb kurzer Zeit zu bedrohlichen Folgeschäden führt. Um dies vorab festzustellen, ist die Durchführung einer Business Impact Analysis ratsam.

  • Unvorhersehbare Ausfälle: Für diese Ausfälle kann nicht sinnvoll geplant werden. Die einzigen für diesen Fall sinnvollen vorsorglichen Maßnahmen sind die Einrichtung von übergreifenden Prozessen und Strukturen wie Incident Management und Krisenmanagement.

Ausfallsicherheit

Die definierte Sicherheit gegen einen Ausfall. Sie umfasst die Ausfallvorsorge, die Ausfallerkennung und die reaktive Behandlung. Die Ausfallsicherheit kann vorsorglich z.B. durch den Einsatz von Redundanzen erhöht werden. Alle Maßnahmen zur Ausfallsicherheit dienen der Erhöhung der Verfügbarkeit.

Ausfallzeit

Zeitraum, in dem Ressourcen nach einem Notfall oder einer Störung nicht genutzt werden können.

Die Ausfallzeit entspricht bei der Notfallvorsorge der Zeit bis zum Beginn des Notbetriebs, also der Wiederanlaufzeit.

Ausweich-Arbeitsplatz

Arbeitsplatz, der nach Eintritt eines Notfalls, der einen Ausfall des normalen Arbeitsplatzes bewirkt hat, bezogen wird, um dort die Arbeit fortzusetzen.

Ausweich-Rechenzentrum

Rechenzentrum, in dem der Wiederanlauf der IT-Systeme nach einem Notfall erfolgt, wenn der IT-Betrieb nicht mehr in dem ursprünglichen Standort aufgenommen werden kann.

Ein Ausweich-Rechenzentrum kann gleichzeitig auch Komponenten enthalten, die für den Normalbetrieb benötigt werden, so dass die Datenverarbeitung auf zwei Standorte verteilt ist. In diesem Fall spricht man auch von Primär- und Sekundär-Rechenzentrum oder gleichgestellten Rechenzentren.

Ausweich-Standort

Standort, in dem der Geschäftsbetrieb nach Eintritt eines Notfalls, der eine temporäre oder nachhaltige Unbenutzbarkeit eines primären Standorts beinhaltet, wieder aufgenommen wird.

Der primäre und der Ausweich-Standort sollten voneinander so weit entfernt sein, dass das Restrisiko einer gleichzeitigen Beeinträchtigung akzeptabel ist.

Im Rahmen der Notfallvorsorge sollten Ausweich-Standorte für die IT (Ausweich-Rechenzentrum) und Arbeitsplätze (Ausweich-Arbeitsplätze) definiert werden.

Authentisierung

Feststellung der Identität von Personen. Dabei wird geprüft, ob eine Person tatsächlich diejenige ist, die sie vorgibt zu sein. Dies wird über Abgleiche, z.B. Passwortabfrage, Einlesen von Karten oder im Rahmen von Verfahren der Biometrie, erreicht. Werden zwei dieser Verfahren kombiniert, spricht man von starker oder Zwei-Faktor-Authentisierung.

Authentizität

Eigenschaft von Personen, Systemen oder Informationen, die die Echtheit im Sinne der Identität oder des Ursprungs bezeichnet. Zur Sicherstellung wird eine Authentisierung benötigt.

In IT-Systemen sind Personen immer durch Benutzerkennungen vertreten. Um diese nutzen zu können, müssen Benutzer ihre Authentizität nachweisen.

Authentizität wird oft als ein Bestandteil der Verbindlichkeit betrachtet.

Automatisierte Verarbeitung

Erhebung, Verarbeitung oder Nutzung von Informationen unter Einsatz von IT (im BDSG für personenbezogene Daten definiert).

Autorisierung

Kontrolle, ob eine Person oder ein System zur Durchführung einer bestimmten Aktion auf einem IT-System oder in einer IT-Anwendung berechtigt ist, und Zuweisung entsprechender Rechte.

Availability

Englischer Begriff für Verfügbarkeit.

Availability Management

Die Gewährleistung der Verfügbarkeit aller kritischen Ressourcen in einer IT-Umgebung.

Der Prozess gehört gemäß ITIL zur Phase Service Design.

B


Backdoor

In Bezug auf die IT-Sicherheit ein Programmteil, das einer Person bei Aufruf einen Zugang zum IT-System ermöglicht, ohne die etablierten Schutzmechanismen beachten zu müssen.

BaFin

Bundesanstalt für Finanzdienstleistungsaufsicht.

Dem Bundesministerium für Finanzen angegliederte Aufsichtsbehörde für Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Wertpapierhandelsunternehmen und Investmentgesellschaften. Die BaFin hat mit den MaRisk (BA), den MaRisk VA und den InvMaRisk die Anforderungen im Hinblick auf die Ordnungsmäßigkeit des Geschäfts spezifiziert.

Basel II

Gesamtheit der Eigenkapitalvorschriften des Baseler Ausschusses für Bankenaufsicht, einem Ausschuss der Bank für internationalen Zahlungsausgleich.

Seit Ende 2006 gilt die entsprechende Richtlinie 2006/48/EG der Europäischen Union, die in Deutschland als Solvabilitätsverordnung (SolvV) umgesetzt ist. Ziel ist die Sicherung einer angemessenen Eigenkapitalausstattung von Banken und die Schaffung einheitlicher Wettbewerbsbedingungen für die Kreditvergabe sowie den Kredithandel.

In Basel II Teil 2 Abschnitt V sind die Anforderungen für das Management operationeller Risiken einschließlich geeigneter Messmethoden niedergelegt.

Basel III

Reform von Basel II des Baseler Ausschusses für Bankenaufsicht, einem Ausschuss der Bank für internationalen Zahlungsausgleich.

Die Änderungen gegenüber Basel II beziehen sich vor allem auf eine Erweiterung der Risikoanalyse und eine Erhöhung des Eigenkapitals zur Abdeckung der Risiken.

Zur rechtlichen Umsetzung in der Europäischen Union sind eine Verordnung und eine Richtlinie geplant.

Battle Box

Aus dem militärischen Sprachgebrauch stammender Begriff für ein Behältnis, in dem sich wichtige Unterlagen und Materialien für die Arbeit eines Krisenstabs befinden. Typische Inhalte sind Notfallpläne, Funkgeräte, Radioempfänger, Vordrucke usw.. Im Deutschen werden häufig die Begriffe Notfallkoffer oder Notfallschrank synonym verwendet.

BBK

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, eine Behörde des Bundesministeriums des Innern.

Das BBK koordiniert auf Bundesebene die überregionalen Maßnahmen der öffentlichen Schutz- oder gemeinnützigen Hilfsorganisationen wie z.B. Bundeswehr, Polizei, Feuerwehr, Vereinigungen für Katastrophenmedizin, THW, Deutsches Rotes Kreuz, Arbeiter-Samariter-Bund, Johanniter Unfall-Hilfe, Malteser Hilfsdienst und DLRG.

Das BBK plant und koordiniert auch die LÜKEX-Übungen zur Vorbereitung auf umfassende Gefahrenlagen.

BC

Abkürzung für Business Continuity.

BCI

Business Continuity Institute. Britische, von den Mitgliedern getragene Non-Profit-Organisation, die Interessierten Unterstützung zum Thema Business Continuity anbietet.

International ist das BCI im Rahmen von Foren tätig, die in mehreren Ländern existieren.

BCM

Abkürzung für Business Continuity Management.

BCP

Abkürzung für Business Continuity Planning (Notfallvorsorge) für die Geschäftsbereiche des Unternehmens oder Business Continuity Plan (Notfallplan).

BDSG

Bundesdatenschutzgesetz.

Das deutsche BDSG regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten.

Bedrohung

Spezifische Gefahr, der eine Person, eine Sache, eine Information oder ein Prozess ausgesetzt ist.

Bedrohungen gefährden u.a. die Verfügbarkeit, Vertraulichkeit und/oder Integrität von Unternehmensressourcen und damit auch den Unternehmenserfolg.

Abhängig von dem mit einer Bedrohung verbundenen Risiko ist die Realisierung von Schutzmaßnahmen erforderlich.

Benutzerkennung

Name einer Instanz (Benutzerkonto) in IT-Systemen im Rahmen des Access Managements, durch die Personen oder Systeme vertreten werden und die mit bestimmten Berechtigungen (z.B. Zugriffsrechten) ausgestattet ist. Nach angemessener Authentisierung kann die Benutzerkennung und damit ihre Berechtigungen genutzt werden.

Die Benutzerkennung wird auch User-Id, das Benutzerkonto auch User-Account genannt.

Berechtigung

Erlaubnis zu bestimmten Handlungen. In IT-Systemen werden mit Berechtigungen der Zugriff auf und die Möglichkeit der Arbeit mit Ressourcen geregelt.

Betriebliche Kontinuität

In der Betriebswirtschaftslehre bedeutet "betriebliche Kontinuität" die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhergesehen erschwerten Bedingungen. Das betriebliche Kontinuitätsmanagement (englisch BCM) bezeichnet Konzepte, Planungen und Maßnahmen, die zur Absicherung der Geschäftstätigkeit gegenüber Risiken und Krisen beitragen sollen.

Betriebseinschränkung

Eine Betriebseinschränkung von Unternehmensressourcen bedeutet, dass diese nicht mehr im vorgesehenen Umfang genutzt werden können. Einschränkungen bei IT-Systemen können z.B. die Leistungsfähigkeit, die Betriebszeiten oder die Anzahl unterstützter Benutzer betreffen.

Ist eine Ressource überhaupt nicht mehr nutzbar, spricht man von einem Ausfall.

Betriebsstörung

Störung des betrieblichen Ablaufs für ein(en Teil eines) Unternehmen(s). Es handelt sich dabei um

  • ein beherrschbares Ereignis

  • von nicht existenzbedrohendem Umfang.

Eine Betriebsstörung wird im Rahmen der normalen Aufbau- und Ablauforganisation innerhalb der kritischen Ausfallzeiten behoben. Die Umsetzung adäquater Gegenmaßnahmen bzw. von Maßnahmen zur Abmilderung der Folgen der Betriebsstörung erfordern keine einheitliche/zentrale Koordination durch ein unternehmensweit agierendes Notfallgremium. Das Agieren der Linienorganisation ist ausreichend.

Beispiele für Betriebsstörungen sind:

  • der Ausfall einer einzelnen IT-Komponente, z.B. eines Servers,

  • der Ausfall der Telefonanlage in einem Bürogebäude.

Jede Betriebsstörung kann in ihrer Entwicklung oder nach Überschreiten der kritischen Ausfallzeit zu einem Notfall eskalieren.

Betriebssystem

Zentrale Software auf einem Rechner, die die notwendigen Grundfunktionen für den Ablauf weiterer Software wie z.B. IT-Anwendungen bereitstellt und den Zugang zum Rechner regelt.

Betroffener

Bestimmte oder bestimmbare natürliche Person, über die Einzelangaben über persönliche oder sachliche Verhältnisse erhoben, verarbeitet oder genutzt werden (gemäß BDSG).

BetrVG

Betriebsverfassungsgesetz.

Das BetrVG regelt die Verhältnisse innerhalb von Unternehmen.

Relevant sind insbesondere:

  • § 81 Unterrichtungs- und Erörterungspflicht des Arbeitgebers,

  • § 83 Einsicht in die Personalakten,

  • § 87 Mitbestimmungsrechte.

Nach § 87 sind insbesondere die vorübergehende Verkürzung oder Verlängerung der betriebsüblichen Arbeitszeit (z.B. in Notfällen) sowie die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (z.B. zur Steigerung der Qualität), mitbestimmungspflichtig.

BGB

Bürgerliches Gesetzbuch.

Das BGB ist die Grundlage des deutschen Zivilrechts.

In Bezug auf Haftungsfragen sind relevant:

  • § 276 Verantwortlichkeit des Schuldners,

  • § 278 Verantwortlichkeit des Schuldners für Dritte,

  • § 309 Klauselverbote ohne Wertungsmöglichkeit,

  • § 676a Vertragstypische Pflichten; Kündigung,

  • § 823 Schadensersatzpflicht,

  • § 831 Haftung für den Verrichtungsgehilfen,

  • § 1004 Beseitigungs- und Unterlassungsanspruch.

Diese Paragrafen regeln die Verhältnisse sowohl von Privatpersonen als auch von kleinen Personengesellschaften.

BIA

Abkürzung für Business Impact Analysis.

BilMoG

Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz).

Das BilMoG regelt das Vorgehen für den Jahresabschluss von Unternehmen. Es sieht für Unternehmen von öffentlichem Interesse Prüfungsausschüsse vor, die direkt dem Aufsichtsgremium unterstellt sind.

Mit dem BilMoG ist in Deutschland die EU-Richtlinie Euro-SOX umgesetzt.

Biometrie

Untersuchungsgebiet der Erkennung von Personen durch technische Systeme anhand körperlicher Merkmale.

Es werden z.B. Gesichtszüge, Fingerabdrücke, Iris-Strukturen der Augen, Stimmproben oder Verhaltensmerkmale wie Handschrift oder Tastaturnutzung herangezogen.

BNetzA

Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen.

Dem Bundesministerium für Wirtschaft und Technologie angegliederte Regulierungs- und Aufsichtsbehörde für die Märkte Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen. Insbesondere geht es darum, die knappen Ressourcen der jeweiligen Netzinfrastrukturen gerecht zu verteilen und die Sicherheit dieser Netzinfrastrukturen für die Öffentlichkeit zu gewährleisten.

Botnet

Von einem Botnet spricht man, wenn Rechner über ein Datennetz ungewollt ferngesteuert werden können. Die Möglichkeit zur Fernsteuerung wird durch z.B. Würmer oder Trojanische Pferde erreicht, die Rechner infizieren und auf Anweisungen von einer zentralen Steuerungsinstanz warten. Die Fernsteuerung wird zur Ausführung schädlicher Aktionen genutzt (z.B. Angriffe zum Denial of Service oder Versendung von Spam-Mail).

BS 25999

Britische Norm des BSI, die die Anforderungen an und die Umsetzung von Business Continuity beschreibt.

Die BS 25999 wurde in zwei Teilen veröffentlicht:

  • BS 25999-1 im Dezember 2006 mit Empfehlungen („Code of Practice“) zur Umsetzung,

  • BS 25999-2 im November 2007 mit den Anforderungen („Specification“) dazu.

Eine Zertifizierung nach dem Standard BS 25999-2 ist möglich.

BSI

British Standards Institute. Britische Standardisierungskörperschaft, die unter anderem weit verbreitete Standards zu den Themen IT Security (BS 7799, Vorläufer des ISO/IEC 27002, siehe ISO/IEC 2700x), Business Continuity (BS 25999) und IT Service Management (BS 15000, Vorläufer des ISO/IEC 20000) herausgegeben hat.

BSI

Bundesamt für Sicherheit in der Informationstechnik, eine Behörde des Bundesministeriums des Innern.

Das BSI dient als zentraler IT-Sicherheits-Dienstleister des Bundes. Es leistet Grundlagenarbeit im Bereich der Informationssicherheit und ist z.B. Herausgeber der in Deutschland viel beachteten IT-Grundschutz-Standards und -Kataloge.

Business Continuity

Der Begriff lässt sich als betriebliche Kontinuität übersetzen.

BS 25999-1:2006 definiert Business Continuity wie folgt:

Strategische und taktische Fähigkeit einer Organisation, in Bezug auf mögliche Störfälle und Geschäftsunterbrechungen vorsorglich zu planen und auf deren Eintreten zu reagieren, mit dem Ziel, den Geschäftsbetrieb in einem akzeptablen, zuvor festgelegten Maße weiterzuführen.

Business Continuity Management

Steuerung der Planungen und Maßnahmen, die zur Absicherung der Geschäftstätigkeit gegenüber operationellen Risiken sowie Notfällen und Betriebsstörungen beitragen sollen.

BS 25999-1:2006 definiert den Begriff Business Continuity Management wie folgt:

Ganzheitlicher Management-Prozess,

  • mit dessen Hilfe mögliche Bedrohungen für eine Organisation sowie die bei deren Eintritt resultierenden Auswirkungen auf den Geschäftsbetrieb identifiziert werden,

  • der einen Rahmen bildet, um die Widerstandsfähigkeit der Organisation durch die Fähigkeit zu einer wirksamen Reaktion auszubauen,

  • so dass die Belange der wichtigsten Interessensgruppen gewährleistet sind

  • sowie das Ansehen, der Markenname und die wertschöpfenden Tätigkeiten der Organisation geschützt werden.

Business Impact

Englischer Begriff für Schadenspotential im Hinblick auf das Geschäft eines Unternehmens.

Business Impact Analysis

Englischer Begriff für Schadenspotential-Analyse.

Business Recovery

Wiederherstellung von ausgefallenen Unternehmensressourcen (wie Arbeitsplätzen, Arbeitsmitteln und Archiven), die nach einem Notfall von den Geschäftsbereichen für den Wiederanlauf des Geschäftsbetriebs benötigt werden.

Business-Continuity-Konzept

Konzept zur Umsetzung der Business-Continuity-Strategie. Darin werden mögliche Krisen- und Notfallszenarien festgelegt und ihre Folgeschäden dargestellt.

Zu den Wiederanlaufanforderungen der Geschäftsbereiche werden technische und organisatorische Lösungen für die Geschäftsfortführung und den Wiederanlauf der IT und von Arbeitsplätzen vorgeschlagen. Neben den Kosten für vorsorgliche Maßnahmen werden auch die verbleibenden Restrisiken dokumentiert.

Ein Business-Continuity-Konzept wird erstellt, wenn die Notfallvorsorge in einem Unternehmen neu aufgebaut wird oder weitreichende technische oder organisatorische Änderungen vollzogen wurden. Es dient der Geschäftsleitung als Entscheidungsgrundlage für das weitere Vorgehen.

Business-Continuity-Strategie

Grundsätze einer Organisation zur Reaktion auf Beeinträchtigungen der Verfügbarkeit wesentlicher Ressourcen, die zum Betrieb benötigt werden. Insbesondere bildet die Strategie den Rahmen zum Umgang mit Krisen und Notfällen.

C


Capacity Management

Die Steuerung, Dokumentation und Überwachung von Kapazität und Auslastung einer IT-Umgebung.

Der Prozess gehört gemäß ITIL zur Phase Service Design.

CERT

Abkürzung für Computer Emergency Response Team.

Change Management

Die Planung, Koordinierung und Verwaltung von Änderungen, hier vor allem an einer IT-Umgebung. Die Änderungen können u.a. vom Problem Management vorgegeben werden. Die Umsetzung der Änderungen erfolgt durch das Release Management.

Der Prozess gehört gemäß ITIL zur Phase Service Transition.

CIRT

Abkürzung für Computer Incident Response Team (siehe Computer Security Incident Response Team).

Cluster

Redundante Konfiguration von Rechnern zur Steigerung der Verfügbarkeit. Ein Cluster besteht aus mehreren Rechnersystemen (Knoten). Tritt auf einem Knoten des Clusters ein Fehler auf, werden die dort laufenden Dienste durch einen anderen Knoten übernommen. Die meisten Cluster besitzen 2 Knoten. Es existieren zwei Arten von Clustern:

  • aktiv-aktiv bzw. symmetrisch oder hot-standby, bei denen ständig auf allen Knoten Dienste laufen,

  • aktiv-passiv oder asymmetrisch, bei denen nicht alle Knoten aktiv sind.

Im Rahmen der Notfallvorsorge müssen die Cluster-Knoten so räumlich voneinander getrennt sein, dass sie nicht alle durch ein Notfallszenario ausfallen können, und jeweils über eine komplette eigene Peripherie (Platten, Netzanbindung usw.) verfügen. Dies bedingt oft den Einsatz von Verfahren zur Datenreplikation bzw. Datenspiegelung.

CMMI

Abkürzung für Capability Maturity Model Integration. Unter diesem Namen veröffentlicht die Carnegie Mellon University in Pittsburgh/USA Modelle zur Beurteilung und Verbesserung der Qualität von Prozessen zur Erbringung von Produkten und Dienstleistungen.

CMM bezog sich ursprünglich nur auf die Software-Entwicklung und wurde als CMMI auch auf die Organisationsentwicklung erweitert. Es beschreibt, wie Prozesse gemäß bestimmter Ziele verbessert werden können. Passend zu den Zielen sind Fähigkeits- (Capability Level) und Reifegrade (Maturity Level) definiert, an denen die Prozesse gemessen werden können.

Es gibt:

  • CMMI-DEV: CMMI for Development,

  • CMMI-ACQ: CMMI for Acquisition,

  • CMMI-SVC: CMMI for Services.

CobiT

Abkürzung für Control Objectives for Information und Related Technology. Es handelt sich hierbei um einen Quasi-Standard des IT Governance Institute, einer Unterorganisation der ISACA, für die Prüfung der IT durch die interne Revision und externe Wirtschaftsprüfer im Unternehmen. Aktuell ist die Version 5 aus dem Jahr 2012.

Compliance

Einhaltung von Vorgaben. Für Unternehmen sind dies vor allem relevante Gesetze sowie eigene Regelwerke. Im Deutschen kommt der Begriff Ordnungsmäßigkeit dem Begriff Compliance am nächsten.

Compliance Management

Steuerung, Dokumentation und Überwachung aller relevanten Prozesse unter Berücksichtigung aller zu erfüllenden Vorgaben zur Sicherstellung der Compliance eines Unternehmens, oft als Stabsstelle organisiert.

Computer Emergency Response Team

Organisation, die sich mit IT-Sicherheit befasst, Warnungen vor Sicherheitslücken herausgibt, Lösungsansätze bietet und an der Bewältigung aufgetretener Sicherheitsvorfälle arbeitet.

Der Begriff CERT ist geschützt. Eine Organisation darf sich daher nur mit nur mit Erlaubnis des CERT/CC des Software Engineering Instituts der Carnegie Mellon University in Pittsburgh/USA als CERT bezeichnen.

Weltweit existieren weit mehr als 100 CERT-Organisationen, darunter auch einige in Deutschland. Diese sind teilweise innerhalb von Konzernen oder Wirtschaftsverbänden organisiert, teilweise aber auch staatlich organisiert, z.B.:

  • CERT-Bund (Bundesbehörden),

  • CERTBw (Bundeswehr),

  • DFN-CERT (Deutsches Forschungsnetz),

  • RUS-CERT (Universität Stuttgart).

Computer Security Incident Response Team

Organisationseinheit, die meist ähnliche Funktionen wie ein CERT (Computer Emergency Response Team) hat:

  • Warnungen vor Lücken der Rechnersicherheit,

  • Erarbeitung von Lösungsansätzen,

  • Bewältigung aufgetretener Sicherheitsvorfälle.

In der Unternehmenspraxis sind häufige anzutreffende Unterscheidungsmerkmale zu einem CERT:

  • Nur wenige (oder keine) fest zugeordneten Mitarbeiter, stattdessen Zusammenstellung als ad-hoc Team,

  • oft eher reaktiver Schwerpunkt,

  • kein 24 Stunden / 7 Tage Service.

Im Gegensatz zum Begriff CERT dürfen die Abkürzungen CIRT und CSIRT ohne Einschränkungen genutzt werden.

Confidentiality

Englischer Begriff für Vertraulichkeit.

Configuration Management

Die Zusammenstellung und Dokumentation von IT-Systemen und ihrer Komponenten, auch im Hinblick auf Historienführung.

Das Configuration Management bildet gemeinsam mit dem Service Asset Management gemäß ITIL einen Prozess in der Phase Service Transition.

Contingency

Englischer Begriff für Notfall.

Continual Service Improvement

Die fünfte Phase im Lebenszyklus eines IT-Services nach ITIL.

Das Continual Service Improvement regelt die permanente Verbesserung einer IT-Dienstleistung über ihren gesamten Lebenszyklus hinweg.

Continuity

Englischer Begriff für Kontinuität, hier vor allem benutzt für die Kontinuität des Betriebs eines Unternehmens.

Control

Englischer Begriff für Regel oder Kontrolle. Von Controls wird vor allem im Zusammenhang mit Regelwerken zur Unterstützung von Prüfungen (wie z.B. CobiT) oder Zertifizierungen (Normen) gesprochen.

Crisis Management

Englischer Begriff für Krisenmanagement.

Cross Site Scripting

Angriffstechnik auf Web-Auftritte, mittels derer schädliche Inhalte in die Original-Seiten des Web-Auftritts eingeblendet werden.

CSIRT

Abkürzung für Computer Security Incident Response Team.

D


Daten

Aufzeichnungen von Informationen, die unter Verwendung von Codes auf technischen Umgebungen verarbeitet werden.

Datengeheimnis

Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten (gemäß BDSG).

Personen müssen bei der Aufnahme einer Beschäftigung auf das Datengeheimnis verpflichtet werden, das auch nach Beendigung ihrer Tätigkeit fortbesteht.

Datenreplikation

Redundante Haltung von Daten auf mehreren Speichersystemen zum Zweck der Datensicherung oder der Verbesserung des Durchsatzes.

Datenschutz

Ziel des Datenschutzes ist der Schutz des Einzelnen davor, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen.

Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht. Er ist im Grundgesetz allerdings nicht explizit erwähnt. Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen und Privatpersonen). Daneben regeln die Landesdatenschutzgesetze der Bundesländer den Datenschutz in Landes- und Kommunalbehörden.

Innerhalb der Europäischen Union ist die EU-Datenschutzrichtlinie für alle Mitgliedstaaten verbindlich und in nationales Recht umgesetzt. Geregelt wird darin auch die Übermittlung von personenbezogenen Daten in Drittstaaten, die nicht Mitglied der EU sind: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der Drittstaat ein „angemessenes Schutzniveau“ gewährleistet.

Darüberhinaus existieren international gültige Richtlinien mit den Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung).

Hauptprinzipien des Datenschutzes in Deutschland sind

Für vorhandene Daten müssen technisch-organisatorische Maßnahmen zur Gewährleistung des Datenschutzes getroffen werden (Datensicherheit).

Datenschutz-Audit

Maßnahme zur Überprüfung des Datenschutzes. Es handelt sich um einen Compliance-Audit mit dem Ziel, die Vollständigkeit und Angemessenheit der Umsetzung von Datenschutzvorgaben zu untersuchen. Als Folge werden Verletzungen sichtbar gemacht und Maßnahmen zu ihrer Behebung vorgeschlagen.

Datenschutzbeauftragter

Verantwortlicher für den Datenschutz innerhalb einer Organisation. Im Datenschutzrecht wird diese Organisation als Stelle bezeichnet.

Unternehmen in Deutschland sind verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn:

  • sie personenbezogene Daten erheben, verarbeiten oder nutzen (z.B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten),

  • mindestens 10 Personen (bzw. 20 Personen bei nicht automatisierter Verarbeitung) mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Teilzeitkräfte gelten hierbei als ganze Beschäftigte.

Damit diese Funktion unabhängig wahrgenommen werden kann, darf kein Interessenskonflikt bestehen. Personen aus der Geschäftsleitung, leitende Positionen aus dem Personalwesen oder der IT-Abteilung kommen daher in der Regel nicht in Frage. Zulässig ist aber die Bestellung eines externen Datenschutzbeauftragten.

Datensicherheit

Sicherheit aller in einer Organisation vorhandenen Daten im Hinblick auf Verfügbarkeit, Integrität (einschließlich Verbindlichkeit) und Vertraulichkeit.

Sie bezieht sich nur auf einen Teil der Informationssicherheit, da sie nur Daten in IT-Systemen, aber z.B. keine Papierdokumente oder das gesprochene Wort umfasst.

Datensicherung

Kopie von Daten, um den Verlust des Originals kompensieren zu können.

Datensicherungen werden üblicherweise in regelmäßigen Zeitintervallen auf Platten, Kassetten oder auch optischen Medien erstellt. Es sollte darauf geachtet werden, dass eine Datensicherung an einem anderen Ort als die Originaldaten gelagert wird.

Datenspiegelung

Redundante Haltung von Daten auf mehreren Speichersystemen, so dass die Speichersysteme zu jeder Zeit oder zumindest annähernd zeitgleich einen identischen Datenstand haben.

Man unterscheidet zwischen synchroner und asynchroner Datenspiegelung:

  • Bei der synchronen Datenspiegelung ist eine Schreib- oder Löschaktion für das veranlassende IT-System erst dann abgeschlossen, wenn die Datenänderung auf allen gespiegelten Speichersystemen vollzogen worden ist.

  • Bei der asynchronen Datenspiegelung ist eine Schreib- oder Löschaktion für das veranlassende IT-System bereits dann abgeschlossen, wenn die Datenänderung auf einem der gespiegelten Speichersysteme vollzogen worden ist. Auf den anderen Datensystemen wird die Änderung allerdings zeitnah nachvollzogen.

Datensynchronität

Datenbestände von IT-Anwendungen, die untereinander Daten austauschen, müssen nach einem Notfall anwendungsübergreifend in einem konsistenten Zustand wiederhergestellt werden. Dieser Zustand wird als Datensynchronität bezeichnet.

Datenverarbeitung im Auftrag

Durchführung von IT-Aufgaben nicht für eigene Zwecke, sondern im Auftrag einer anderen Stelle (im BDSG für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten definiert).

Der Beauftragende wird durch die Vergabe der Arbeiten nicht von der Verantwortung enthoben, er behält alle Pflichten im Rahmen der Compliance.

Datenverlustzeit

Zeitraum zwischen der letzten Datensicherung eines IT-Systems und dem Eintritt einer Betriebsstörung bzw. eines Notfalls, bei dem die auf dem System befindlichen Daten zerstört werden.

Alle in diesem Zeitraum auf dem System vorgenommenen Datenänderungen sind verloren und müssen erneut vorgenommen werden.

Datenvermeidung

Prinzip des Datenschutzes, nach dem sich Gestaltung und Auswahl von IT-Systemen an dem Ziel ausrichten sollen, die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu minimieren, auch Datensparsamkeit genannt.

Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Demand Management

Die Untersuchung und Steuerung des Bedarfs von externen Kunden oder internen Nutzern nach Services.

Der Prozess gehört gemäß ITIL zur Phase Service Strategy.

Demilitarisierte Zone

Netz zwischen mehreren anderen Netzen, über das diese Netze gekoppelt und gleichzeitig voreinander geschützt werden. Die Demilitarized Zone (DMZ) ist an den Kopplungsstellen durch Firewalls begrenzt, die einen begrenzten Zugriff auf die DMZ erlauben.

Denial of Access

Englischer Begriff für die Nichtverfügbarkeit von Zutritt, Zugang oder Zugriff, also die Nichtzugänglichkeit.

Denial of Service

Englischer Begriff für die Nichtverfügbarkeit von Diensten.

Als Denial-of-Service-Attacke bezeichnet man Angriffe auf die IT mit dem Ziel, die Verfügbarkeit von IT-Services zu beeinträchtigen.

Deployment Management

Die Steuerung des kontrollierten Einsatzes neuer oder geänderter Ressourcen.

Das Deployment Management bildet gemeinsam mit dem Release Management gemäß ITIL einen Prozess in der Phase Service Transition.

DIN

Deutsches Institut für Normung. Das DIN ist die nationale Normungsorganisation Deutschlands.

Disaster Recovery

Englischer Begriff für den Wiederanlauf des Geschäftsbetriebs nach einem Notfall. Dies beinhaltet Maßnahmen zur Wiederherstellung betroffener IT (IT Recovery) sowie zur Wiederherstellung betroffener Arbeitsplätze (Business Recovery).

DMZ

Abkürzung für Demilitarisierte Zone.

DoA

Abkürzung für Denial of Access.

DoS

Abkürzung für Denial of Service.

DS

Abkürzung für Datenschutz.

DSB

Abkürzung für Datenschutzbeauftragter.

E


Effektivität

Maß für die Erreichung vorgegebener Ziele. Die Ziele können erfüllt werden, aber auch sowohl unter- als auch übererfüllt.

Effizienz

Das Verhältnis zwischen einem erreichten Nutzen und dem Aufwand, der dafür erforderlich war.

Einsatzfreigabe

Für ein Programm die Beurteilung der organisatorischen und technischen Prozesse der Anwender, die den Einsatz innerhalb der vorhandenen Umgebung bestimmen, sowie der Gewährleistung der Funktionsfähigkeit von Schnittstellenprozessen zu vor- und nachgelagerten IT-Anwendungen und der Belastbarkeit im Echtbetrieb. Ist dies Alles zufriedenstellend geregelt, kann das Programm mit formaler Bestätigung in den IT-Betrieb übernommen werden.

Eintrittswahrscheinlichkeit

Wahrscheinlichkeit des Eintritts eines Ereignisses.

ENISA

Europäische Agentur für Netz- und Informationssicherheit (engl. European Network and Information Security Agency). Die ENISA ist eine Einrichtung der Europäischen Union zur gemeinsamen Förderung der Informationssicherheit in den Migliedsstaaten der EU.

Entschlüsselung

Rückgewinnung des ursprünglichen Datenformats aus Daten, die einer Verschlüsselung unterzogen wurden. Dazu werden üblicherweise der Verschlüsselungs-Algorithmus und ein Schlüssel benötigt.

EnWG

Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz).

Das EnWG regelt den Markt für Elektrizitäts- und Gasversorger.

Relevant ist insbesondere:

  • § 49 Anforderungen an Energieanlagen.

Danach sind Energieanlagen sind so zu errichten und zu betreiben, dass die technische Sicherheit gemäß den allgemein anerkannten Regeln der Technik gewährleistet ist.

Erforderlichkeit

Prinzip des Datenschutzes, nach dem die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur dann erlaubt ist, wenn der Zweck nicht auch auf anderem Wege erreichbar ist..

Erhebung

Beschaffung von Informationen über einen Sachverhalt (im BDSG für personenbezogene Daten definiert).

eSCM-SP

Abkürzung für eSourcing Capability Model for Service Providers. Es handelt sich hierbei um Best Practices für IT-Dienstleister von der Carnegie Mellon University in Pittsburgh/USA.

eSCM-SP soll IT-Dienstleistern die Möglichkeit bieten, ihre Services zu verbessern, sich dadurch vom Wettbewerb zu unterscheiden und dies für potentielle Kunden messbar zu machen. Es werden Vorschläge für den gesamten Lebenszyklus eines IT-Services unterbreitet, die auf mehreren Gebieten zur Erreichung abgestufter Leistungsfähigkeit geeignet sind.

Euro-SOX

Richtlinie 2006/43/EG der Europäischen Union über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen der EU, die in der Folge des amerikanischen Sarbanes Oxley Acts entstand.

Die Richtlinie macht Vorgaben für Wirtschaftsprüfer. Für zu prüfende Unternehmen von öffentlichem Interesse schreibt sie ein Vorgehen nach internationalen Rechnungslegungsstandards vor.

In Deutschland wurde Euro-SOX durch das BilMoG umgesetzt.

Event Management

Die Steuerung der Bearbeitung von Ereignissen, vor allem von Meldungen, die über Konsolen von Tools zur Systemadministration abgegeben werden.

Der Prozess gehört gemäß ITIL zur Phase Service Operation.

Examination

Englischer Begriff für Untersuchung.

F


Facilities Management

Die Verwaltung von Immobilien und der darin vorhandenen Einrichtungen.

Fahrlässigkeit

Verletzung der Sorgfaltspflicht. Gemäß § 309 BGB, einem Teil des AGB-Rechts (Recht für Allgemeine Geschäftsbedingungen), und der darauf basierenden Rechtsprechung kann hierfür die Haftung ausgeschlossen werden.

Eine Steigerungsform ist die grobe Fahrlässigkeit, die mit einer offensichtlichen Verletzung der Sorgfaltspflicht gleichzusetzen ist. Dabei ist eine Haftung immer gegeben für Unternehmensvertreter und leitende Angestellte (Beurteilung nach Personalhoheit, Prokura usw.), nur für andere Personen ist die Haftung ausschließbar.

FAIT

Fachausschuss Informationstechnik des Instituts der Wirtschaftsprüfer (IDW).

Unter FAIT werden oft auch die Stellungnahmen des FAIT zur Rechnungslegung (IDW RS FAIT) verstanden.

Financial Management

Die kosteneffektive Verwaltung von Ressourcen.

Der Prozess gehört gemäß ITIL zur Phase Service Strategy.

Firewall

System, mit dem Netze gekoppelt und gleichzeitig gegenseitige Schutzmechanismen mit Hilfe von Filterregeln realisiert werden.

Folgeschaden

Schaden, der nicht unmittelbar durch ein Ereignis verursacht ist (z.B. Brandschaden bei Feuer), sondern erst als Folge entsteht (z.B. Geschäftsausfall, der dadurch verursacht wird, dass Arbeitsplätze von Geschäftsbereichen in Folge eines Brandes nicht mehr verfügbar sind). Der Folgeschaden übersteigt den unmittelbaren Schaden oft um ein Vielfaches.

Ziel einer Schadenspotential-Analyse oder Schutzbedarfs-Analyse ist es, Folgeschäden abzuschätzen, um darauf aufbauend wirtschaftliche Konzepte zur IT-Sicherheit bzw. Notfallvorsorge zu entwickeln. Die Konzepte haben das Ziel, den Eintritt der Schadensereignisse zu verhindern bzw. die Folgeschäden so zu begrenzen, dass die Existenz des Unternehmens nicht bedroht ist.

Funktion

Im hier betrachteten Zusammenhang der Verantwortungsbereich von Personen oder Organisationseinheiten.

Im Zusammenhang mit ITIL handelt es sich bei der Funktion um eine Organisationseinheit zusammen mit den von ihr genutzten Hilfsmitteln zur Ausführung bestimmter (wiederkehrender) Aufgaben.

Funktionstrennung

Im Rahmen einer Funktionstrennung wird festgelegt, welche Geschäftsfunktionen nicht von einer Person (bzw. nicht innerhalb einer Organisationseinheit) gleichzeitig wahrgenommen werden dürfen, da sich daraus relevante Risiken ergeben könnten.

Beispielsweise sollten zur Vermeidung von Interessenkonflikten operative Funktionen nicht mit kontrollierenden Funktionen verbunden werden.

Funktionsübertragung

Übernahme von Aufgaben von einer anderen Stelle mit allen Rechten und Pflichten, also auch Chancen und Risiken. Die Aufgabe wird fortan in eigener Verantwortung weiter geführt.

Mit der Funktionsübertragung gehen auch alle Pflichten im Rahmen der Compliance auf die neue Stelle über.

G


GDPdU

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, erlassen vom Bundesministerium der Finanzen.

Es handelt sich hierbei um eine deutsche Regelung zur Vorhaltung von elektronischen Daten für die Betriebsprüfung durch Finanzbehörden.

Man unterscheidet drei Arten des Datenzugriffs durch den Betriebsprüfer:

  • den unmittelbaren Lesezugriff,

  • den mittelbaren Zugriff über Auswertungen,

  • die Datenüberlassung in verschiedenen zugelassenen Formaten, die in eine Prüf-Software eingelesen werden können.

Gefährdung

Kombination aus Bedrohung und Schwachstelle, so dass die Bedrohung sich auswirken und einen Schaden verursachen kann.

Geschäftsfortführung

Durchführung des Geschäftbetriebs nach einem Notfall unter besonderen, eingeschränkten Bedingungen. Hierzu gehören die Umstellung auf manuelle Verfahren, vorzunehmende Priorisierungen zur Nutzung nicht ausreichender Ressourcen oder anderweitige Übergangslösungen.

Geschäftsfortführungsplan

Bestandteil des Notfallplans, der sich auf die Tätigkeiten bezieht, die zur Geschäftsfortführung erforderlich sind.

Geschäftsfunktion

Aufgabe oder Position einer Person oder einer Gruppe von Personen im Rahmen einer Organisation. Sie ist darauf spezialisiert, bestimmte Arbeiten auszuüben, und ist für deren Ergebnisse verantwortlich.

Eine Geschäftsfunktion ist ein Teil der Aufbauorganisation eines Unternehmens oder einer Behörde.

Geschäftsprozess

Prozess, der zur Wertschöpfung einer Organisation beiträgt.

Ein Geschäftsprozess ist ein Teil der Ablauforganisation eines Unternehmens oder einer Behörde.

GmbHG

Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbH-Gesetz).

Das GmbHG regelt die Verhältnisse von GmbHs.

In Bezug auf die Verantwortung der Geschäftsführungen ist relevant:

  • § 43 Haftung des Geschäftsführers.

Darin geht es um die Pflicht zur Sorgfalt eines ordentlichen Geschäftsmannes.

GoBS

Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, erlassen vom Bundesministerium der Finanzen.

Die GoBS nennen die Bedingungen für die Zulässigkeit von Buchführungsvorgängen unter Zuhilfenahme von Informationstechnik. Sie sind trotz ihres Alters (von 1995) nach wie vor gültig. Eine geignete Fortschreibung ist in den Stellungnahmen des FAIT des IDW zu sehen.

Governance

Englischer Begriff für Steuerung.

GRC

Abkürzung für die Zusammenfassung von Governance, Risk and Compliance. Die Management-Prinzipien Unternehmenssteuerung, Risikomanagement und das Handeln in Übereinstimmung mit den geltenden Vorschriften werden oft gemeinsam betrachtet. Zur Unterstützung dieser Disziplinen sind am Markt sogenannte GRC-Tools oder GRC-Suiten verfügbar. Information Security Management und Business Continuity Management sind beide Bestandteile von GRC.

Grundschutz

Abkürzung für IT-Grundschutz.

H


Hacker

Person, die Rechner einsetzt, um unerlaubt in fremde Rechner und Netzwerke einzudringen, oft verbunden mit der Absicht, dort Schaden anzurichten.

Haftung

Konsequenz aus der Verletzung von Pflichten, die mit einer Verantwortung gekoppelt sind. Hierzu gehört u.A. die Zahlung von Schadensersatz.

Die Haftung ist grundsätzlich im BGB geregelt, spezielle weitere Haftungstatbestände für Geschäftsleitungen ergeben sich z.B. aus HGB, AktG und GmbHG.

Hardware

Physische Bestandteile eines IT-Systems.

Härtung

Im Hinblick auf IT-Systeme die Absicherung der IT gegen Angriffe durch die Entfernung aller Software-Bestandteile bzw. -Funktionalitäten, die zur Erfüllung der vorgesehenen Aufgabe nicht zwingend notwendig sind.

HGB

Handelsgesetzbuch.

Das HGB ist die Grundlage des deutschen Wirtschaftsrechts.

In Bezug auf die Verantwortung von Geschäftsleitungen sind relevant:

  • § 252 Allgemeine Bewertungsgrundsätze,

  • § 257 Aufbewahrung von Unterlagen; Aufbewahrungsfristen,

  • § 317 Gegenstand und Umfang der Prüfung,

  • § 321 Prüfungsbericht.

Diese Paragrafen regeln die Bedingungen für alle Gesellschaften, so weit nicht Spezialregeln in anderen Gesetzen (wie z.B. AktG und GmbHG) verankert sind.

I


IDS

Abkürzung für Intrusion Detection System.

IDW

Institut der Wirtschaftsprüfer. Das IDW ist die freiwillige Vereinigung der in Deutschland tätigen Wirtschaftsprüfer und gibt Verlautbarungen zur Vorgehensweise bei Prüfungen heraus. Es arbeitet abgestimmt mit der Wirtschaftsprüferkammer (WPK), die als bundesweite Körperschaft des öffentlichen Rechts Wirtschaftsprüfer belehrt, prüft, bestellt, beaufsichtigt und abberuft.

IDW PS 330

Prüfungsstandard des IDW für eine umfassende IT-Systemprüfung („Abschlussprüfung bei Einsatz von Informationstechnologie“). Er prüft die Sicherheit von rechnungsrelevanten Systemen. Prüfungsgebiete sind:

  • IT-Umfeld und Organisation,

  • IT-Infrastruktur,

  • IT-Anwendungen,

  • IT-gestützte Geschäftsprozesse,

  • IT-Überwachungssystem,

  • IT-Outsourcing.

Als zusätzliche Unterlage zur Durchführung der Prüfung dient IDW PH 9.330.1, IDW Prüfungshinweis: Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie.

IDW PS 951

Prüfungsstandard des IDW zur Prüfung des internen Kontrollsystems bei einem Dienstleistungsunternehmen für Funktionen, die auf das Dienstleistungsunternehmen ausgelagert wurden. Der PS 951 enthält konzeptionell die Anforderungen des SAS 70 und verweist in Bezug auf die Prüfung der IT auf den IDW PS 330.

IDW RS FAIT

Stellungnahmen des FAIT (Fachausschuss Informationstechnik des IDW) zur Rechnungslegung (RS). Derzeit existieren folgende für die Informationstechnik relevante Stellungnahmen:

  • IDW RS FAIT 1 - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie von 2002. Sie enthält in Fortführung der GoBS Vorgaben zu prüfungsrelevanten Themen im Rahmen des Einsatzes von IT in Rechnungslegung und Buchführung.

  • IDW RS FAIT 2 - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce von 2003. Sie enthält Vorgaben zu prüfungsrelevanten Themen im Rahmen der Anbahnung und Abwicklung von Geschäftsvorfällen auf elektronischem Wege.

  • IDW RS FAIT 3 - Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren von 2006. Sie enthält Vorgaben zu prüfungsrelevanten Themen im Rahmen der Speicherung rechnungsrelevanter Unterlagen auf maschinenlesbaren Datenträgern, auch als Folge der GDPdU.

IEC

International Electrotechnical Commission. Die IEC ist eine internationale Normungsorganisation für Elektrik und Elektronik, sie bildet zusammen mit der ISO den Rahmen für die Herausgabe internationaler Normen.

IFAC

International Federation of Accountants. Die IFAC ist eine weltweite Vereinigung von Wirtschaftsprüfungsgesellschaften und verwandten Organisationen, die u.a. Standards für die Wirtschaftsprüfung veröffentlicht.

IKT

Abkürzung für Informations- und Kommunikationstechnik.

Incident Management

Die Steuerung von Annahme und Verwaltung von Ereignissen, hier vor allem von Störungen im IT-Betrieb. Der Betrieb kann durch Umgehungslösungen gewährleistet werden, für die Behebung der Ursachen erfolgt eine Weitergabe an das Problem Management.

Der Prozess gehört gemäß ITIL zur Phase Service Operation.

Information

Kenntnis über Sachverhalte und Vorgänge. Der Inhalt einer Information ist stets an einen Träger gekoppelt.

Informationen können als Wirtschaftsgut bedeutend für eine Organisation sein.

Information Security

Englischer Begriff für Informationssicherheit.

Information Security Management

Steuerung der Planungen und Maßnahmen, die zur Gewährleistung der Informationssicherheit dienen.

Der Prozess gehört gemäß ITIL zur Phase Service Design.

Informationssicherheit

Sicherheit aller in einer Organisation vorhandenen Informationen im Hinblick auf Verfügbarkeit, Integrität (einschließlich Verbindlichkeit) und Vertraulichkeit.

Die Informationssicherheit schließt damit die Sicherheit aller kritischen Ressourcen ein, die Träger von Informationen sind oder zu ihrer Erhebung, Speicherung, Verarbeitung, Übermittlung oder Nutzung beitragen. Sie geht über die IT-Sicherheit hinaus, da sie nicht nur Daten in IT-Systemen, sondern z.B. auch Medien wie Papierdokumente und das gesprochene Wort sowie Tätigkeiten wie Kopieren und Faxen umfasst.

Informationstechnik

Gesamtheit der Ressourcen, die zur Speicherung, Verarbeitung und Übermittlung von Informationen in elektronischer oder anderer technisch geprägter Form dienen. Die Ressourcen zur Übermittlung werden auch Kommunikationstechnik genannt.

Infrastruktur

Grundlegende Einrichtungen, die für die Gesellschaft oder eine einzelne Organisation eine Bedingung für deren Funktionieren bilden.

Die Infrastruktur wird oft mit Standorten oder technischen Einrichtungen in Verbindung gebracht, kann sich aber auch auf ideelle Konstrukte wie die Rechtssicherheit in einem Staat beziehen.

Integrität

Im Rahmen der Informationssicherheit die Eigenschaft einer Information, dass deren Inhalt richtig ist. Die Integrität stellt sicher, dass Informationen vollständig und unverändert sind.

Beeinträchtigungen der Integrität ergeben sich beispielsweise durch fehlerhafte Dateneingabe oder durch betrügerische Verfälschung von Informationen.

Integrity

Englischer Begriff für Integrität.

Interview

Methode zur Klärung von Sachverhalten in einem Gespräch zwischen einem oder mehreren Fragestellern und einem oder mehreren Antwortgebern. Fragen und Antworten werden dokumentiert und ggf. bewertet.

Intrusion Detection System

System zur Analyse von IT-Systemen mit dem Ziel, Angriffe auf die IT-Sicherheit frühzeitig zu erkennen und zu melden.

InvG

Investmentgesetz.

Das InvG regelt den Markt für Kapitalanlage- und Investmentgesellschaften.

Relevant ist insbesondere § 9a Organisationspflichten. Er enthält Anforderungen zur ordnungsgemäßen Geschäftsorganisation. Unter der Verantwortung der Geschäftsleitung sind u.a. ein angemessenes Risikomanagement, geeignete Regelungen für Geschäfte und Vermögensanlagen, angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung, eine vollständige Dokumentation sowie ein angemessenes Kontrollverfahren mit einer internen Revision sicher zu stellen.

InvMaRisk

Rundschreiben der BaFin zu den Mindestanforderungen an das Risikomanagement von Kapitalanlage- und Investmentgesellschaften vom Juni 2010.

Die InvMaRisk basieren auf § 9a InvG und sind als zentrales Regelwerk der Finanzaufsicht verbindlich.

IS

Abkürzung für Information Security.

ISACA

Information Systems Audit and Control Association. Die ISACA ist der internationale Verband der EDV-Prüfer. Sie hat CobiT entwickelt.

ISAE 3402

Standard der IFAC aus dem Jahr 2011 über die Prüfung von Dienstleistern. Dabei handelt es sich um die internationale Form des amerikanischen SAS 70 und des deutschen IDW PS 951.

Er ergänzt den Standard der IFAC ISA 402 aus dem Jahr 2011 zur Prüfung bei Organisationen, die Dienstleistungen ausgelagert haben.

ISO

International Organization for Standardization. Die ISO ist die internationale Vereinigung der Normungsorganisationen, sie bildet neben der IEC und der ITU den Rahmen für die Herausgabe internationaler Normen.

ISO 2230x

Reihe von internationalen Normen, die die Erstellung, den Betrieb und die Steuerung eines Management-Systems zur Sicherheit der Gesellschaft beinhalten. Zu dieser Serie gehören u.a.:

  • ISO 22300, veröffentlicht im Mai 2012, mit in der Normenreihe verwendeten Begriffen,

  • ISO 22301, veröffentlicht im Mai 2012, mit den Anforderungen an ein Management-System für Business Continuity,

  • ISO 22320, veröffentlicht im November 2011, mit Anforderungen an eine Notfallreaktion.

Die Norm ISO 22301 wurde u.a. aus der britischen Norm BS 25999 entwickelt.

ISO 310xx

Reihe von internationalen Normen, die die Gestaltung eines Risikomanagements beinhalten. Zu dieser Serie gehören u.a.:

  • ISO 31000, veröffentlicht im November 2009, mit den allgemeinen Prinzipien und einer Prozessbeschreibung,

  • ISO/IEC 31010, veröffentlicht im Dezember 2009, mit Beschreibungen verschiedener Verfahren zur Risikobeurteilung.

ISO 900x

Reihe von internationalen Normen, die die Erstellung, den Betrieb und die Steuerung eines Qualitäts-Management-Systems beinhalten. Zu dieser Serie gehören u.a.:

  • ISO 9000, veröffentlicht im September 2005, mit einer Einführung in die Normenreihe und dort verwendeten Begriffen,

  • ISO 9001, veröffentlicht zuletzt im November 2008 und die ehemaligen Standards ISO 9001, ISO 9002 und ISO 9003 enthaltend, mit den Anforderungen an ein Qualitäts-Management-System, nach der eine Zertifizierung vorgenommen werden kann,

  • ISO 9004, veröffentlicht im Dezember 2008, mit Vorschlägen zur Verbesserung eines Qualitäts-Management-Systems.

Zu dieser Serie werden auch eine Vielzahl weiterer Normen gezählt, die aber nicht diesem Nummernschema entsprechen. Sie adressieren oft spezifische Themen einzelner Branchen.

ISO Guide 73

Internationale Norm von 2002, die Begriffsklärungen und allgemeine Vorgehensweisen für das Risikomanagement enthält, im November 2009 im Zusammenhang mit ISO/IEC 310xx neu erschienen.

ISO/IEC 20000

Internationale Norm, die die Anforderungen an ein professionelles IT-Service-Management beschreibt.

Die ISO/IEC 20000 basiert ursprünglich auf der britischen Norm BS 15000 und wurde im Dezember 2005 veröffentlicht. Sie besteht aus zwei Teilen:

  • ISO/IEC 20000-1 mit den Anforderungen („Specification“) an das IT-Service-Management,

  • ISO/IEC 20000-2 mit Empfehlungen („Code of Practice“) zur Umsetzung dazu.

Später wurden Ergänzungen veröffentlicht:

  • ISO/IEC 20000-3 mit Hilfen zur Definition des Gültigkeitsbereichs der Norm („Guidance on scope definition and applicability“) im Oktober 2009,

  • ISO/IEC 20000-5 mit einem Beispielplan zur Implementation („Exemplar implementation plan“) im April 2010.

Nach dem Standard ISO/IEC 20000-1 kann eine Zertifizierung vorgenommen werden. Sie ist insbesondere dann möglich, wenn ein Dienstleister sich an ITIL ausgerichtet hat.

ISO/IEC 2700x

Reihe von internationalen Normen, die die Erstellung, den Betrieb und die Steuerung eines Management-Systems zur Informationssicherheit beinhalten. Zu dieser Serie gehören u.a.:

  • ISO/IEC 27000, veröffentlicht im April 2009, mit einer Einführung in die Normenreihe und dort verwendeten Begriffen,

  • ISO/IEC 27001, veröffentlicht im Oktober 2005, mit den Anforderungen („Specification“) an ein solches System (seit 2008 auch als DIN-Norm verfügbar), nach der eine Zertifizierung vorgenommen werden kann,

  • ISO/IEC 27002, seit Juli 2007, veröffentlicht ursprünglich als ISO/IEC 17799, mit Empfehlungen („Code of Practice“) zur Umsetzung dazu,

  • ISO/IEC 27003, veröffentlicht im Februar 2010, zur Unterstützung der Implementierung eines Management-Systems,

  • ISO/IEC 27004, veröffentlicht im Dezember 2009, mit Verfahren zur Messung des Erfolgs der Umsetzung des Systems,

  • ISO/IEC 27005, veröffentlicht im Juni 2008, mit Verfahren zur Beurteilung der Sicherheitsrisiken,

  • ISO/IEC 27006, veröffentlicht im Februar 2007, mit Anforderungen an Auditoren und Zertifizierer,

  • ISO/IEC 27007, veröffentlicht im November 2011, mit Richtlinien zur Auditierung,

  • ISO/IEC 27031, veröffentlicht im März 2011, mit Empfehlungen für die Unterstützung der Business Continuity durch IKT,

  • ISO/IEC 27035, veröffentlicht im August 2011, mit Empfehlungen zum Management von Sicherheitsvorfällen.

Die Normen ISO/IEC 27001 und ISO/IEC 27002 basieren ursprünglich auf der britischen Norm BS 7799.

IT

Abkürzung für Informationstechnik.

IT Operations Control

Überwachung von Komponenten und Abläufen, die zum IT-Betrieb beitragen. Hierzu wird oft ein Control Center geschaffen, in dem alle entstehenden Meldungen von Systemen, Geräten oder Anwendungen zusammen geführt werden, um gemeinsam verarbeitet zu werden. Von hier aus werden dann ggf. weitere Aktivitäten koordiniert.

IT Operations Management

Funktion nach ITIL, die für den laufenden IT-Betrieb verantwortlich ist.

Das IT Operations Management enthält gemäß ITIL u.a.:

IT Recovery

Englischer Begriff für Maßnahmen, die nach einem Notfall zur Wiederherstellung der Informationstechnik eingeleitet werden. Dazu zählt sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer IT-Infrastruktur.

Bei einer Disaster-Recovery-Lösung sind insbesondere die Wiederanlaufzeit, die Datenverlustzeit sowie die Wahrung der Datensynchronität zu beachten.

IT Security

Englischer Begriff für IT-Sicherheit.

IT Security Policy

Englischer Begriff für IT-Sicherheits-Leitlinie oder für ein Regelwerk zur Sicherheit eines IT-Teilbereichs (z.B. E-Mail Policy).

IT Service Continuity Management

Die Sicherstellung des Weiter- und Wiederanlaufens von IT-Services nach Aus- oder Notfällen.

Der Prozess gehört gemäß ITIL zur Phase Service Design.

IT Service Management

Englischer Begriff für die Steuerung von IT-Services. Er bezeichnet die Gesamtheit der zur Erbringung der Services erforderlichen Management-Aufgaben.

Die Vorstellung vom IT Service Management wird stark geprägt durch ITIL. Dort wird die Aufgabe in eine Vielzahl von Prozessen und Funktionen aufgeteilt.

IT-Anwendung

Synonym für ein Programm oder ein Programmsystem, welches auf dem Betriebssystem eines Rechners ausgeführt werden kann.

IT-Asset

Eine im Rahmen der Verarbeitung von Informationen eingesetzte Ressource, deren Beeinträchtigung kritische Konsequenzen für das Unternehmen hätte.

IT-Assets sind in erster Linie IT-Anwendungen und Datenbestände. Daneben können aber auch z.B. physische IT-Komponenten, die einen sehr hohen materiellen Wert besitzen, ein IT-Asset darstellen.

IT-Betrieb

Einsatz und Aufrechterhaltung einer IT-Infrastruktur zur Lieferung von IT-Services.

Um den IT-Betrieb zu gewährleisten, ist eine Überwachung notwendig.

IT-Grundschutz

Methodik und Empfehlungen zur Sicherstellung der IT-Sicherheit einer Organisation.

Der IT-Grundschutz wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelt und wird regelmäßig aktualisiert.

ITIL

Abkürzung für „IT Infrastructure Library“, ein Best-Practice-Ansatz des Office of Government Commerce (OGC) in Großbritannien.

Es handelt sich hierbei um ein Organisationskonzept für die Lieferung von IT als Service zur Unterstützung von Geschäftsprozessen. Es gliedert und beschreibt die für den Betrieb von IT-Services notwendigen Ressourcen und Maßnahmen.

In der Version 3 aus dem Jahr 2007 ist das Gesamtwerk in 5 Bände nach Phasen unterteilt:

ITIL sieht für einige Teile des Lebenszyklus keine Best Practices vor, statt dessen wird auf weitere verwiesen. Dies ist insbesondere der Fall für folgende Themen:

IT-Infrastruktur

Gesamtheit der Ressourcen, die für die Erbringung von IT-Services notwendig sind.

Zu diesen Ressourcen zählen zentrale Einrichtungen wie ein Rechenzentrum oder ein Archiv, die Vernetzung und dezentrale Einrichtungen wie PCs und Drucker.

IT-Service

Service, der unter Einsatz von IT erbracht wird.

IT-Sicherheit

Gesamtheit der Sicherheitsmerkmale Verfügbarkeit, Vertraulichkeit und Integrität sowie Verbindlichkeit, jeweils in Bezug auf die in einer Organisation genutzte IT.

Es ist ein Unternehmensziel, eine angemessene Sicherheit der IT zu gewährleisten.

IT-Sicherheits-Audit

Maßnahme zur Überprüfung der IT-Sicherheit. Es handelt sich um einen Compliance-Audit mit dem Ziel, die Vollständigkeit, Angemessenheit und Umsetzung von Sicherheitsvorgaben zu untersuchen. Als Folge werden Schwachstellen sichtbar gemacht und Maßnahmen zu ihrer Behebung vorgeschlagen.

IT-Sicherheits-Leitlinie

Dokument mit den Vorgaben der Geschäftsleitung für die Gewährleistung einer angemessenen IT-Sicherheit für das Unternehmen.

IT-Sicherheits-Richtlinie

Umfassendes, unternehmensweit verbindliches Regelwerk für die Gewährleistung einer angemessenen IT-Sicherheit.

Die IT-Sicherheits-Richtlinie wird aus der IT-Sicherheits-Leitlinie abgeleitet. Sie bildet die Grundlage für aufeinander abgestimmte organisatorische und technische Konzepte und Schutzmaßnahmen, die den Schutz der Unternehmens-IT vor Bedrohungen gewährleisten.

IT-Sicherheits-Strategie

Gleichbedeutend mit IT-Sicherheits-Leitlinie.

IT-Sicherheits-Überprüfung

Überprüfung der IT-Sicherheit einer Organisation.

Geschäftsleitung und IT-Leitung tragen die Verantwortung, dass Risiken aus dem Einsatz von Informationstechnik in angemessener Weise beherrscht werden. Dies schließt ein, dass vorhandene Sicherheits-Zielsetzungen und -Maßnahmen überprüft werden müssen.

Überprüfungsmaßnahmen umfassen z.B. IT-Sicherheits-Audits sowie auch Penetration-Tests und Netzwerk-Scans.

ITSM

Abkürzung für IT Service Management.

IT-Strategie

Dokument der Geschäftsleitung, in dem die in der Unternehmensstrategie definierten Unternehmensziele auf die IT bezogen und detailliert werden. Die Erstellung einer IT-Strategie ist überall dort sinnvoll, wo die IT einen wesentlichen Bestandteil der wertschöpfenden Geschäftsprozesse darstellt.

IT-System

Umgebung für die Nutzung von IT-Anwendungen.

Ein IT-System setzt sich aus mehreren Komponenten zusammen. Dazu gehören Rechner, Speicher, Netzverbindungen und Peripherie zur Ein- oder Ausgabe. Alle diese Geräte enthalten Hardware und Software.

ITU

International Telecommunication Union. Die ITU ist die Unterorganisation der Vereinten Nationen für Themen der Telekommunikation, sie gibt internationale Empfehlungen heraus.

IT-Vorfall

Nicht geplantes Ereignis, welches die IT betrifft und bearbeitet werden muss. IT-Vorfälle sind beispielsweise:

  • Störungsmeldungen, die durch Anwender gemeldet werden (Incidents),

  • durch Überwachungssysteme generierte Alarme (Events),

  • Sicherheitswarnungen, wie sie beispielsweise von Info-Diensten generiert werden.

J


K


Katastrophe

Ein nur mit sehr großem Aufwand oder überhaupt nicht zu beherrschendes, existenzbedrohendes Schadensereignis, das nicht nur ein Unternehmen bzw. eine Organisation betrifft, sondern auch eine Bedrohung für die Öffentlichkeit darstellt.

Juristisch wird eine "Katastrophe" von Großschadensereignissen bzw. dessen Synonymen Großschadenslage und Großunfall insofern abgegrenzt, als die "Katastrophe" generell ein Hinzuziehen von Strukturen des staatlichen Katastrophenschutzes zu ihrer Bewältigung erfordert.

Weiter ist Voraussetzung zur Verwendung des Begriffs "Katastrophe" im operativen Sinn, dass adäquate Gegenmaßnahmen nur in Abstimmung mit Abwehrmaßnahmen durch Katastrophenschutzbehörden erfolgen können und Mittel des Katastrophenschutzes für die Beseitigung der Katastrophe bzw. die Abmilderung ihrer Folgen herangezogen werden müssen.

Beispiele für Katastrophen sind:

  • ein Austritt von radioaktiven oder chemischen Substanzen,

  • Naturkatastrophen.

Ein detaillierte, vorsorgliche Planung für Katastrophen ist aus Sicht eines betroffenen Unternehmens im Gegensatz zu Notfällen nur erschwert möglich, da es keine volle Handlungshoheit mehr besitzt.

Für die Bewältigung einer Katastrophe ist aus Unternehmenssicht in der Regel ein funktionierendes Krisenmanagement erforderlich. Notfallpläne können ebenfalls oft zumindest teilweise verwendet werden.

Key Performance Indicator

Parameter, anhand derer Aussagen über die Qualität von Services oder den Fortschritt von Organisationen getroffen werden können. Dazu muss der Wert der Parameter bestimmt, besser noch gemessen werden.

Üblicherweise werden Wertebereiche festgelegt, in denen sich der Wert bewegen darf. Die Grenzen dieser Wertebereiche heißen Schwellwerte.

Keylogger

Einrichtung zur Aufzeichnung von Tastatureingaben an der IT. So können z.B. Passwörter ausgespäht und weitergegeben werden.

KM

Abkürzung für Krisenmanagement.

Knowledge Management

Aufbereitung und Vorhaltung von Wissen und Erfahrungen im Zusammenhang mit betrieblichen Vorgängen.

Der Prozess gehört gemäß ITIL zur Phase Service Transition.

Konfiguration

Aufbau eines Systems, hier vor allem eines IT-Systems. Die Konfiguration beinhaltet sowohl die Zusammenstellung der Hardware als auch die Einstellungen in der Software.

Konformität

Übereinstimmung der Realität mit bestehenden Anforderungen.

Kontinuität

Stetigkeit oder auch gleichmäßiger Fortgang, der nicht unterbrochen oder abrupt verändert wird.

KonTraG

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich von 1998.

Das KonTraG beinhaltet Änderungen in einer Reihe von anderen Gesetzen:

  • Handelsgesetzbuch (HGB),

  • Aktiengesetz (AktG),

  • GmbH-Gesetz (GmbHG),

  • Gesetz über Kapitalanlagegesellschaften,

  • Genossenschaftsgesetz,

  • Wertpapierhandelsgesetz,

  • Börsenzulassungsverordnung,

  • Publizitätsgesetz,

  • Wirtschaftsprüferordnung,

  • Gesetz über Angelegenheiten der freien Gerichtsbarkeit.

Das gemeinsame Ziel der Änderungen ist die Steigerung der Möglichkeiten von Anteilseignern von Unternehmen und teilweise auch der Öffentlichkeit, Einsicht in die Geschäftslage zu nehmen.

Kontrolle

Soll-Ist-Abgleich zur Sicherstellung, dass ein vorgegebenes Ziel erreicht wird.

Kosten-Nutzen-Analyse

Untersuchung, die die Kosten und den Nutzen einer Maßnahme vergleicht.

KPI

Abkürzung für Key Performance Indicator.

Krise

Aus Unternehmenssicht eine Situation, welche eines oder mehrere der nachstehenden Merkmale besitzt. Sie:

  • tritt unvorhergesehen ein,

  • kann sich so zuspitzen, dass sie schwer beherrschbar wird,

  • birgt Gefahr für Leib und Leben von Personen in sich,

  • kann die Aufmerksamkeit der Medien, von Kontrollinstanzen oder öffentlichen Stellen auf sich ziehen,

  • kann den Geschäftserfolg in unternehmensbedrohendem Ausmaß beeinträchtigen.

Typische Beispiele für Krisen sind:

  • offene oder verdeckte Erpressung,

  • Entführungen und Geiselnahmen,

  • Sabotagehandlungen,

  • Bombendrohungen,

  • Großbrände, Explosionen,

  • betriebliche Massenunfälle,

  • Unfälle mit erheblichen Umweltschäden,

  • Naturkatastrophen,

  • schwere Fälle von Wirtschafts-Spionage.

Krisenbewältigung

Alle Aktionen, die nach Auftreten einer Krise unternommen werden mit dem Ziel, die Krisensituation zu beherrschen und so schnell wie möglich zu beenden.

Krisenmanagement

Steuerung sowohl der vorsorglichen Regelung von Alarmverfahren, Organisationsformen und Abläufen, die bei jeglichen Krisen zum Einsatz kommen, als auch des Handelns in der Krise.

Ziel des Krisenmanagements ist es, die Entscheidungsfähigkeit der Organisation im Krisenfall sicherzustellen und eine zielgerichtete und koordinierte Krisenbewältigung zu ermöglichen.

Krisenstab

Steuerndes Grundelement einer Organisation zur Krisenbewältigung. Der Krisenstab besteht aus Mitgliedern, die den Krisenstabsleiter bei der Beurteilung der Lage beraten, Entscheidungen vorbereiten sowie die Ausführung koordinieren und überwachen.

Im Krisenfall hat der Krisenstab die Aufgabe:

  • die Aktionen zur Krisenbewältigung zu planen, zu veranlassen, zu überwachen und zu dokumentieren,

  • Kontakte zu Behörden, Polizei und Feuerwehr zu unterhalten,

  • die Kommunikation nach außen mit Kunden, Partnern, Anteilseignern und den Medien zu steuern.

Der Krisenstab kann nur durch periodische Krisenübungen für seine Aufgaben trainiert werden.

Zur Ausübung seiner Tätigkeit müssen dem Krisenstab geeignete Räumlichkeiten zur Verfügung stehen. Diese müssen gesichert und zu jeder Tages- und Nachtzeit erreichbar sein, Kommunikationseinrichtungen und IT-Einrichtungen beinhalten, Arbeitsplätze für die Stabsmitglieder bieten sowie Handbücher, Notfallpläne, Lagepläne und Arbeitsmittel bereitstellen.

Krisenstabsleiter

Oberster, alleinverantwortlicher Entscheider bei der Krisenbewältigung. Zum Krisenstabsleiter sollte stets eine führungserfahrene und äußerst belastbare Person bestellt werden, die einen breiten Überblick über die von der Krise betroffene Organisation hat. Der Krisenstabsleiter ist daher oft ein Mitglied der Geschäftsleitung. Der Krisenstabsleiter wird bei seiner Arbeit durch den Krisenstab unterstützt.

Krisenstabsleitfaden

Dokumentation, die die Arbeitsgrundlage für den Krisenstab in der Krise bildet. Darin sind die handelnden Rollen, die Arbeitsumgebung und die notwendigen Aktivitäten beschrieben.

Krisenübung

Üben der im Rahmen des Krisenmanagements etablierten Prozeduren und Nutzung der dafür vorgesehenen Einrichtungen, damit die Krisenorganisation in der Krise arbeitsfähig ist.

KRITIS

Abkürzung für Kritische Infrastrukturen.

Kritische Infrastrukturen

Einrichtungen und Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

In Deutschland orientiert sich die Zugehörigkeit einer Organisation zu den Kritischen Infrastrukturen vor allem an der Zugehörigkeit zu einem der insgesamt acht KRITIS-Sektoren.

KRITIS-Sektor

In Deutschland werden zu den Kritischen Infrastrukturen folgende Sektoren gezählt:

  • Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Postwesen, Straße, Bahn, Nahverkehr),

  • Energie (Elektrizität, Kernkraftwerke, Gas, Mineralöl),

  • Gefahrstoffe (Chemie und Biostoffe, Gefahrguttransporte, Rüstungsindustrie),

  • Informationstechnik / Telekommunikation,

  • Finanz-, Geld- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen),

  • Versorgung (Gesundheit, Notfall- und Rettungswesen, Katastrophenschutz, Lebensmittelversorgung, Wasserversorgung, Entsorgung),

  • Behörden, Verwaltung und Justiz (staatliche Einrichtungen),

  • Sonstiges (Medien, Großforschungseinrichtungen, herausragende oder symbolträchtige Bauwerke, Kulturgut).

KRITIS-Strategie

Nationale Strategie zum Schutz Kritischer Infrastrukturen, von der Bundesregierung im Juni 2009 beschlossen.

Die KRITIS-Strategie verpflichtet alle Organisationen, die KRITIS-Sektoren angehören, zur Zusammenarbeit in Bezug auf die Vorbereitung auf und die Bewältigung von Krisensituationen nationalen Ausmaßes.

Kryptologie

Untersuchungsgebiet zu technischen Verfahren zur Gewährleistung der Vertraulichkeit und Verbindlichkeit von Informationen. Insbesondere geht es dabei um Verschlüsselung und Signaturen sowie die dazu notwendigen Infrastrukturen zur Schlüsselverwaltung (PKI).

KWG

Gesetz über das Kreditwesen (Kreditwesengesetz).

Das KWG regelt den Markt für Kreditinstitute und Finanzdienstleister.

Relevant sind insbesondere:

  • § 24c Automatisierter Abruf von Kontoinformationen,

  • § 25a Besondere organisatorische Pflichten von Instituten,

  • § 29 Besondere Pflichten des Prüfers.

§ 24c verlangt Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit.

§ 25a enthält Anforderungen zur ordnungsgemäßen Geschäftsorganisation. Unter der Verantwortung der Geschäftsleitung sind u.a. eine angemessene Risikostrategie, aufbau- und ablauforganisatorische Regelungen, Prozesse zum Umgang mit den Risiken, eine angemessene personelle und technisch-organisatorische Ausstattung und ein Notfallkonzept sicher zu stellen, eine vollständige Dokumentation der Geschäftstätigkeit ist für 5 Jahre aufzubewahren. Auch im Falle der Auslagerung von Aktivitäten oder Prozessen darf die Erfüllung dieser Anforderungen nicht beeinträchtigt werden.

L


Leitfaden

Orientierungshilfe für Tätigkeiten. Ein Leitfaden ist zunächst unverbindlich und enthält Tipps zum Umgang mit einem bestimmten Thema. Wird er von einer Instanz für verbindlich erklärt, dann erhält er den Charakter einer Leitlinie, einer Richtlinie oder einer Anweisung.

Leitlinie

Vorschrift auf höchster Ebene, die in allgemeiner Form Ziele und Verantwortlichkeiten benennt. Sie muss konform zu bestehenden Strategien sein und durch Richtlinien und Anweisungen konkretisiert werden.

Leitwarte

Raum zur Überwachung einer Gebäude-, Versorgungs- oder Produktions-Infrastruktur. Hier laufen insbesondere Meldungen von Alarmsystemen und der Gebäudeleittechnik zusammen, so dass angemessen reagiert werden kann. Die Leitwarte ist das technische Zentrum der Haus- bzw. Produktionstechnik.

Logging

Englischer Begriff für Protokollierung.

Löschung

Unkenntlichmachung von Informationen (im BDSG für personenbezogene Daten definiert).

LÜKEX

Länder-Übergreifende Krisen-Exercise, eine Übungsreihe für das nationale Krisenmanagement der Bundesrepublik Deutschland, die vom BBK geplant und koordiniert wird.

An den Übungen, die etwa im Zwei-Jahres-Abstand stattfinden, nehmen immer mehrere Bundesländer einschließlich einiger kommunaler Körperschaften und auch Unternehmen vor allem aus den KRITIS-Sektoren teil. Neben diesen „Kernübungsländern“ können weitere Bundesländer sich durch Stäbe vertreten lassen.

Die Übungsreihe dient zur Vorbereitung auf umfangreiche Gefahrenlagen wie z.B. Naturkatastrophen, Stromausfälle, Pandemien und Terroranschläge.

M


Malware

Kunstwort aus „Malicious Code“ (schädlicher Programmcode) und Software, das die Gesamtheit der Schadprogramme bezeichnet. Hierzu gehören Viren, Trojanische Pferde, Würmer, Backdoors und andere Programmtypen.

Malware-Schutz

Schutzmaßnahmen gegen Malware, vor allem Verfahren, die Programme und Daten nach Mustern untersuchen (scannen), die schädliche Wirkungen erzeugen können, und diese ggf. entfernen.

Management-System

Rahmen für die Steuerung einer Organisation. Er besteht aus Strategien, Prozessen, Regeln und Ressourcen.

MaRisk (BA)

Rundschreiben der BaFin zu den Mindestanforderungen an das Risikomanagement von Kredit- und Finanzdienstleistungsinstituten vom Oktober 2007.

Die MaRisk (BA), ursprünglich nur MaRisk und später in Abgrenzung zu weiteren Rundschreiben zum Risikomanagement dann MaRisk BA genannt, basieren auf § 25a KWG und sind als zentrales Regelwerk der Bankenaufsicht verbindlich. Die MaRisk haben die vormals gültigen MaH, MaK und MaIR abgelöst.

MaRisk VA

Rundschreiben der BaFin zu den Mindestanforderungen an das Risikomanagement von Versicherern vom Januar 2009.

Die MaRisk VA basieren auf § 64a VAG und sind als zentrales Regelwerk der Versicherungsaufsicht verbindlich.

Mindestressourcen

Der Wiederanlauf der IT und der Geschäftsfunktionen erfolgt nach einem Notfall im Allgemeinen zunächst nicht in einem Ausmaß, das dem normalen Geschäftsbetrieb entspricht, sondern mit definierten Mindestressourcen, die darauf ausgerichtet sind, das Überleben des Unternehmens für einen definierten Zeitraum abzusichern.

Durch die Festlegung von Mindestressourcen können Vorhaltungskosten für Ausweich-Rechenzentren und Ausweich-Arbeitsplätze minimiert werden.

N


NAC

Abkürzung von Network Admission Control.

Network Admission Control

Mittels Network Admission Control werden Endgeräte, die sich an einem IT-Netzwerk anmelden wollen, auf die Einhaltung definierter Sicherheitsvorgaben geprüft (z.B. das Vorhandensein aller aktuellen Sicherheits-Patches und einen aktuellen Virenscanner). Der Netzwerkzugriff auf die vom Benutzer gewünschten IT-Ressourcen wird nur gewährt, wenn die Vorgaben erfüllt sind.

NFPA

National Fire Protection Association. Es handelt sich um eine Amerikanische Organisation für die Entwicklung von Standards zur Notfallvorsorge.

Nichtabstreitbarkeit

Gewährleistung, dass Tatsachen nicht geleugnet werden können. In Bezug auf die Kommunikation zwischen Partnern bedeutet dies, dass weder die Versendung noch der Erhalt einer Nachricht geleugnet werden kann.

Nichtabstreitbarkeit wird z.B. über Bestätigungsprotokolle und digitale Signaturen erreicht.

Nichtabstreitbarkeit wird oft als ein Bestandteil der Verbindlichkeit betrachtet.

Nicht-Öffentliche Stelle

Natürliche oder juristische Person oder Gesellschaft, die keine öffentliche Stelle ist (gemäß BDSG).

Non-Repudiation

Englischer Begriff für Nichtabstreitbarkeit.

Notfall

Schadensereignis im Bereich zwischen einer Betriebsstörung und einer Katastrophe. Es handelt sich hierbei um ein Ereignis, das

  • zu einer Beeinträchtigung von Unternehmensressourcen führt, die den Geschäftsbetrieb völlig zum Erliegen bringt bzw. in einer für das Unternehmen kritischen Form behindert,

  • nur durch spezielle im Rahmen einer Notfallvorsorge getroffene Maßnahmen innerhalb angemessener Zeit bewältigt werden kann,

  • in der Regel ohne Hilfe von Strukturen des (staatlichen) Katastrophenschutzes bewältigt werden kann.

Der Notfall muss zunächst von einer verantwortlichen Funktion festgestellt und eskaliert werden. Die anschließende Durchführung adäquater Maßnahmen wird zentral koordiniert und erfolgt durch Einheiten einer speziellen Notfallorganisation. Maßnahmen und Organisation orientieren sich dabei an vorsorglich vorbereiteten Geschäftsfortführungs- und Wiederanlaufplänen.

Beispiele für Notfälle sind:

  • die längere Nichtzugänglichkeit eines zentralen Gebäudes,

  • ein Brand in einem Rechenzentrum,

  • der Ausfall von wichtigen Dienstleistern wie z.B. Stromversorgern oder TK-Providern.

Notfallbeauftragter

Mitarbeiter, der für die Aufrechterhaltung der Notfallvorsorge verantwortlich ist. Zu seinen Aufgaben gehören u.a.:

Notfallbewältigung

Alle Aktionen, die nach Eintritt eines Notfalls unternommen werden mit dem Ziel, einen angemessenen Notbetrieb ausgefallener Geschäftsfunktionen in möglichst kurzer Zeit zu ermöglichen, um die Folgeschäden für das Unternehmen so niedrig wie möglich zu halten.

Eine erfolgreiche Notfallbewältigung ist im Allgemeinen nur dann möglich, wenn eine angemessene Notfallvorsorge etabliert wurde.

Notfallhandbuch

Handbuch, in dem ein oder mehrere Notfallpläne zusammengefasst sind.

Notfallorganisation

Teams, die für die Notfallbewältigung zuständig sind

  • Notfallteams,

  • Krisenstab.

Notfallplan

Dokumentation, die alle wichtigen Informationen enthält, um nach Eintritt eines Notfalls gezielt und angemessen zu reagieren und den Betrieb einer Organisation oder eines Teils davon fortzuführen oder wieder aufzunehmen.

Der Notfallplan wird im Rahmen der Notfallvorsorge erstellt. Typische Inhalte sind Alarmverfahren, Aktionspläne, Personenverzeichnisse usw..

Es ist darauf zu achten, dass der Zugriff auf den Notfallplan nach einem Notfall auf jeden Fall möglich ist. Dazu sollte der Notfallplan in Papierform und ggf. auch elektronisch zur Verfügung stehen.

Notfallplanung

Gleichbedeutend mit Notfallvorsorge.

Notfallszenario

Szenario, das einen Notfall darstellt.

Die Notfallvorsorge wird im Allgemeinen auf der Basis von Szenarien aufgebaut. Meist handelt es sich dabei um Wirkungsszenarien, da die Ursache des Notfalls für die Geschäftsfortführung und den Wiederanlauf in den meisten Fällen nicht relevant ist.

Notfallteam

Gruppe von Personen, die nach Eintritt eines Notfalls definierte Aufgaben wahrnimmt, z.B. die Wiederherstellung von Infrastruktur oder der Notbetrieb eines Geschäftsprozesses. Im Rahmen des Business Continuity Managements werden Notfallteams vorsorglich definiert, mit ausgesuchten Personen besetzt und die zu erfüllenden Aufgaben in Notfallplänen beschrieben. Jedes Notfallteam hat für gewöhnlich einen Leiter, der die Tätigkeiten der Teammitglieder koordiniert und den Gegebenheiten anpasst. Die zentrale Koordination mehrerer Notfallteams erfolgt meistens aus dem Krisenstab heraus.

Notfalltest

Test der im Rahmen der Notfallvorsorge etablierten Einrichtungen, um ihre Funktionsfähigkeit im Notfall zu überprüfen.

Notfallübung

Üben der im Rahmen der Notfallvorsorge etablierten Pläne, um die Notfallorganisation reaktionsfähig zu halten.

Notfallvorsorge

Maßnahmenbündel, dass vor dem Eintritt eines Notfalls realisiert wird, um den möglichen Schaden nach Eintritt eines Notfalls so zu begrenzen, dass das Überleben des Unternehmens gesichert ist. Darin enthalten ist auch die Erstellung eines Notfallplans (bzw. eines Notfallhandbuchs).

Typische Einzelmaßnahmen der Notfallvorsorge sind z.B. die Einrichtung von Ausweich-Rechenzentren und -Ausweich-Arbeitsplätzen oder die Etablierung effektiver Alarmverfahren.

NPSI

Nationaler Plan zum Schutz der Informationsinfrastrukturen, von der Bundesregierung im Juli 2005 beschlossen.

Der NPSI benennt vor dem Hintergrund der Abhängigkeit der Gesellschaft von der Informationstechnik Maßnahmen im Bereich von Prävention, Reaktion und Nachhaltigkeit zum Schutz der damit gebildeten Infrastrukturen. Er zielt in zwei Richtungen, konkretisiert jeweils durch spezifische Umsetzungspläne:

  • auf die Bundesbehörden im Rahmen des Umsetzungsplans Bund (UP BUND),

  • auf eine Kooperation zwischen staatlichen Organen und Organisationen in den KRITIS-Sektoren im Rahmen des Umsetzungsplans KRITIS (UP KRITIS).

Nutzung

Verwendung von Ressourcen zur Erreichung von Zielen, für den Datenschutz Verwendung von Informationen, so weit es sich nicht um Verarbeitung handelt (im BDSG für personenbezogene Daten definiert).

O


Octave

Abkürzung für Operationally Critical Threat, Asset, and Vulnerability Evaluation. Es handelt sich hierbei um eine Methode zur Risikoanalyse vom Software Engineering Institute (SEI) der der Carnegie Mellon University in Pittsburgh/USA.

Octave dient dem Information Security Risk Assessment.

Öffentliche Stelle

Behörde oder andere Einrichtung des Staates (gemäß BDSG).

OLA

Abkürzung für Operational Level Agreement.

Operation

Englischer Begriff für Betrieb.

Operational Continuity

Ausdehnung des Begriffs Business Continuity auf Organisationen, die nicht nach Gewinn streben, z.B. Behörden.

Operational Level Agreement

Betriebsinterne Vereinbarung zwischen einem Service-Geber und einem Service-Nehmer, welche die erforderliche Qualität des Services festlegt.

Das Operational Level Agreement ist gemäß ITIL das interne Pendant zum Service Level Agreement.

Operational Resilience

Englischer Begriff für die Widerstandsfähigkeit einer Organisation und deren Bestandteile gegen Unterbrechungen des Geschäftsbetriebs

Operationelles Risiko

Nach Basel II (analog auch bei Solvency II) die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken.

Ordnungsmäßigkeit

Ein Verfahren oder Produkt ist dann ordnungsgemäß, wenn es relevanten Vorschriften und gesetzlichen Vorgaben entspricht.

Die Gewährleistung der Ordnungsmäßigkeit spielt insbesondere für die Buchführung von Unternehmen eine wesentliche Rolle. Laut IDW umfasst die Ordnungsmäßigkeit folgende Kriterien:

  • Vollständigkeit,

  • Richtigkeit,

  • Zeitgerechtheit,

  • Ordnung,

  • Nachvollziehbarkeit,

  • Unveränderlichkeit.

Voraussetzung für die Ordnungsmäßigkeit der IT-gestützten Buchführung ist auch die Gewährleistung einer angemessenen IT-Sicherheit.

Organisationsverschulden

Nach der Rechtsprechung des Bundesgerichtshofs gilt die Verantwortlichkeit von Leitenden einschließlich der Haftung bei Vorsatz oder grober Fahrlässigkeit nicht nur für eigene Entscheidungen, sondern auch für eine ausreichende Organisation des Betriebs, so dass ein Eingriff in geschützte Rechtsgüter Dritter verhindert wird. Wird dieser Verantwortung nicht nachgekommen, dann spricht man von Organisationsverschulden.

P


Pandemie

Länder- und kontinentübergreifende Ausbreitung einer Krankheit, im engeren Sinn einer Infektionskrankheit.

Die Bewältigung einer Pandemie ist für ein Unternehmen nicht vollständig planbar. Es sollte deshalb ein funktionierendes Krisenmanagement vorhanden sein.

Passwort

Einfaches und übliches Hilfsmittel zur Authentisierung. Ein Passwort ist eine Zeichenfolge, die von einem Benutzer in ein IT-System einzugeben ist. Es basiert auf einem Wissen, das nur berechtigte Benutzer besitzen und darf deshalb nicht weitergegeben werden.

PCI DSS

Abkürzung für Payment Card Industry (PCI) Data Security Standard (DSS).

Der Standard enthält Sicherheitsanforderungen an die Verarbeitung und Speicherung von Kreditkarteninformationen (in erster Linie der Primary Account Number). Er ist vom PCI Security Standards Council herausgegeben.

PDCA

Abkürzung für Plan Do Check Act (Planen - Ausführen - Überprüfen - Verbessern). Dieser nach William Edwards Deming benannte Zyklus wird in vielen Magement-Disziplinen angewendet. Die Aufteilung von Tätigkeiten nach PDCA findet sich in zahlreichen Standards zu BCM und Notfallvorsorge sowie zur Informationssicherheit.

Penetration Test

Im Bereich der IT-Sicherheit die Simulation von Hacker-Angriffen auf die IT. Ziel des Tests ist es, die Wirksamkeit der Maßnahmen zu überprüfen, die den Erfolg von Hacker-Angriffen verhindern sollen.

Personenbezogene Daten

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (gemäß BDSG). Diese Informationen können sowohl auf IT-Systemen als auch manuell (auf Papier) geführt werden.

PKI

Abkürzung für Public Key Infrastructure.

Policy

Englischer Begriff für Leitlinie.

Prävention

Handlung zur Vermeidung zukünftig möglicher Schäden. Dabei werden Maßnahmen getroffen, die die Ursachen von Schäden, also Bedrohungen oder Schwachstellen, minimieren.

PRINCE2

Abkürzung für Projects in Controlled Environments. Es handelt sich hierbei um eine Methode zum Projektmanagement, die vom Office of Government Commerce (OGC) in Großbritannien zu beziehen ist.

PRINCE2 beschreibt die für ein erfolgreiches Projektmanagement erforderlichen Schritte für die gesamte Dauer eines Projekts vom Beginn bis zum Abschluss. Dazu gehört insbesondere auch die Vorphase, die zum Mandat für das Projekt führt. Während der Projektlaufzeit sind Planung und Überwachung permanent durchzuführen. Besonderes Augenmerk wird auf ein abgestuftes Vorgehen gelegt.

Privacy

Englischer Begriff für Privatsphäre und Geheimhaltung, insbesondere auch genutzt für Datenschutz.

Problem Management

Der Umgang mit und die Verwaltung von Problemen, also Ursachen von Störungen und Schwachstellen in der IT-Umgebung. Die Probleme sind zu analysieren und einer Lösung zuzuführen. Sie können vom Incident Management an das Problem Management herangetragen werden. Ggf. muss für eine Behebung das Change Management eingeschaltet werden.

Der Prozess gehört gemäß ITIL zur Phase Service Operation.

Programm

Im IT-Bereich eine Abfolge von Anweisungen an einen Rechner. Synonym werden auch Begriffe wie Modul, IT-Anwendung u.ä. verwendet.

Darunter sind auch die Programmkomponenten zu verstehen, die auf der Basis eines Trägersystems für die aufgabenorientierte Bearbeitung von vorgegebenen Daten geschaffen wurden (z.B. Arbeitsblätter einer Tabellenkalkulation mit hinterlegten Formeln, Datenbanken mit integrierten Berechnungsmodulen, Workflow-Anwendungen, Programmerweiterungen auf der Basis von Script-Sprachen sowie Anwendungen, die auf Basis von Web-Technologien zur Nutzung angeboten werden).

Programm-einsatzverfahren

Verfahren zur Sicherstellung, dass nur Programme zum Einsatz gelangen, deren fachliche Eignung für den vorgesehenen Zweck nachgewiesen ist und die in das vorhandene technische Umfeld integriert werden können. Sie müssen in ausreichendem Umfang die Umsetzung der IT-Strategie und der Qualitätskriterien des Unternehmens gewährleisten.

Teile des Programmeinsatzverfahrens sind die Programmfreigabe und die Einsatzfreigabe.

Programmfreigabe

Beurteilung der fachlichen Eignung eines Programms entsprechend den Anforderungen des Fachkonzepts, der sachgerechten Umsetzung in der Programmierung innerhalb eines geordneten Programmentwicklungsverfahrens, des erfolgreichen Tests von Verarbeitungsfunktionen und -regeln innerhalb der IT-Anwendung (ggf. einschließlich Schnittstellen) sowie des Vorliegens einer aktuellen Verfahrensdokumentation.

Projekt

Ein nur einmalig durchzuführender, gesteuerter Ablauf von Tätigkeiten mit definierten Zielen. Die Ziele beziehen sich auf:

  • den Inhalt: Von klar vorgegebenen Ergebnissen bis hin zu allgemein formulierten Richtungsangaben (bei Forschungsprojekten) ist eine große Spanne möglich.

  • die Umstände: Vor allem werden Termine (in Form von Meilensteinen) und Aufwand (als Projektbudget) geplant. Der Aufwand wiederum gliedert sich in Personalaufwand für interne Mitwirkung sowie Kosten für externe Unterstützung und Sachmittel (Investitionsbudget).

Projektmanagement

Planung und Steuerung von Projekten zur Erreichung der Projektziele. Dazu gehören insbesondere eine Risikosteuerung und die interne und externe Kommunikation (Berichtswesen).

Die Organisation eines Projekts ist mindestens dreistufig:

  • Lenkungsausschuss: Ein Gremium, das vom Auftraggeber besetzt wird. An ihn muss berichtet werden, er entscheidet über Ziele und notwendige Änderungen am Projekt.

  • Projektleitung: Person (ggf. unterstützt von weiteren Personen), die die Verantwortung für die Durchführung des Projekts trägt und die notwendigen Kompetenzen übertragen bekommen hat.

  • Projektteam: Gruppe von Personen, die die Aufgaben im Projekt nach ihren Fähigkeiten in Arbeitsteilung erledigen. Oft sind sie speziellen Themenbereichen zugeordnet.

Protokollierung

Im Rahmen der IT-Sicherheit die Dokumentation ausgewählter Aktionen von Benutzern und Prozessen auf IT-Systemen in Dateien (bzw. Datenbanken) in der Form von Abfolgen von Ereignissen.

Die so gesammelten Daten können z.B. hilfreich sein, um Störungen oder Sicherheitsvorfälle frühzeitig zu erkennen oder sie nachvollziehen zu können.

Falls die Protokolldaten personenbezogene Daten beinhalten, muss die Protokollierung mit dem Datenschutzbeauftragten und ggf. mit dem Personal- oder Betriebsrat abgestimmt werden.

Prozedur

Nach festen Regeln ablaufende Folge von Aktivitäten oder Handlungen. Die Folge kann organisatorisch oder auch in einem Programm festgelegt sein.

Prozess

Menge von koordinierten Aktivitäten, die Ressourcen und Kompetenzen kombinieren und einsetzen, um ein Ergebnis zu erzielen.

Ein Prozess sollte klar definiert sein und ist auf Wiederholung angelegt. Er sollte anhand von Leistungsindikatoren (KPI) überwacht werden. Im Laufe vieler Iterationen kann er im Hinblick auf die Ziele verbessert werden.

ITIL beschreibt das IT Service Management anhand einer Vielzahl von Prozessen.

Prüfung

Überprüfung durch die interne Revision oder externe Prüfungsinstanzen im Rahmen einer Wirtschafts- oder Betriebsprüfung.

Pseudonymisierung

Veränderung von personenbezogenen Daten derart, dass der Name und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt werden, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (gemäß BDSG).

Public Key Infrastructure

Gesamtheit von Einrichtungen zur Schaffung, Verteilung, Verwaltung und Zurückziehung von Zertifikaten.

Zu den Einrichtungen gehört eine zentrale Autorität mit Glaubwürdigkeit für alle Beteiligten, die die Korrektheit der Zertifikate zusichert.

Q


Qualität

Qualität ist die Erfüllung von Anforderungen in Bezug auf eine Menge von bestimmten, messbaren Merkmalen.

Im Unternehmensumfeld spricht man von angemessener Qualität, wenn die Beschaffenheit eines Produktes oder einer Dienstleistung die Zwecke des Kunden erfüllt.

Im IT-Bereich wird die Qualität von IT-Services über Service-Level-Agreements geregelt.

Quality

Englischer Begriff für Qualität.

R


Reaktion

Aktion als Antwort auf eine Situation oder eine Handlung, im Zusammenhang mit Schadensereignissen Aktivität zur Verminderung möglicher Folgeschäden. Dabei werden Maßnahmen getroffen, die Wirkungsketten unterbrechen oder deren Ergebnis minimieren.

Recovery

Gleichbedeutend mit Wiederanlauf.

Redundanz

Mehrfaches Vorkommen. Redundanz wird eingesetzt, um schnellen Ersatz bei z.B. Ausfällen zu ermöglichen.

Redundanz

Mehrfaches Vorkommen. Redundanz wird eingesetzt, um schnellen Ersatz bei z.B. Ausfällen zu ermöglichen. Beispiel: Eine redundante Verkabelung ist mindestens doppelt und kreuzungsfrei ausgelegt.

Reifegrad

Im Zusamenhang mit Qualität ein Maß in Form eines Stufenmodells für das Erreichen von zuverlässigen Prozessen.

Reifegrade werden u.a. im CMMI genutzt. Typische Stufen sind:

  • initial: kaum voraussagbar und nicht gesteuert,

  • verwaltet: in Teilen bekannt, aber meist reaktiv,

  • definiert: durchgängig beschrieben und mit vorsorglichen Elementen versehen,

  • gesteuert: anhand von Schwellwerten gemessen und kontrolliert,

  • optimierend: einem permanenten Verbesserungsprozess unterworfen.

Release Management

Die Steuerung, Überwachung und Dokumentation der Implementation von Änderungen. Die Änderungen werden vom Change Management vorgegeben und ggf. gesammelt in die IT-Umgebung eingebracht.

Das Release Management bildet gemeinsam mit dem Deployment Management gemäß ITIL einen Prozess in der Phase Service Transition.

Request Fulfillment Management

Die Steuerung von Annahme, Bearbeitung und Erfüllung von Anfragen und Anforderungen.

Der Prozess gehört gemäß ITIL zur Phase Service Operation.

Residual Risk

Englischer Begriff für Restrisiko.

Resilience

Englischer Begriff für Robustheit.

Ressource

Mittel zur Umsetzung eines Ziels.

In der Betriebswirtschaft gehören zu den Ressourcen z.B. Boden, Rohstoffe, Energie, Technik, Kapital, Personal, Informationen und Fähigkeiten. Als externe Ressourcen einer Organisation können Lieferanten und Dienstleister angesehen werden.

Restrisiko

Nicht abgesichertes Risiko. Eine vollständige Absicherung gegen alle Risiken ist technisch und wirtschaftlich nicht möglich bzw. sinnvoll, daher wird stets ein Restrisiko hingenommen.

Review

Verfahren zur Beurteilung und Kommentierung von Verfahren, Zuständen, Programmen oder Dokumenten.

Revision

Systematische Prüfung der Einhaltung von Kriterien.

In der Betriebswirtschaft wird darunter eine unabhängige und neutrale Stelle innerhalb einer Organisation verstanden, die die Einhaltung der Ordnungsmäßigkeit prüft und der Geschäftsleitung Bericht erstattet.

Revisionssicherheit

In Ableitung der Vorschriften des HGB gelten u.a. folgende Kriterien für die Revisionssicherheit:

  • Ordnungsmäßigkeit,

  • Gewährleistung der Vollständigkeit,

  • Verfügbarkeit während bestimmter Aufbewahrungsfristen,

  • Schutz vor unbefugtem Zugriff,

  • Unveränderbarkeit,

  • Nachvollziehbarkeit,

  • Prüfbarkeit.

Richtlinie

Allgemeine Vorschrift oder Empfehlung für einen bestimmten Anwendungsbereich. Oft enthalten Richtlinien Zielvorgaben, was zu erreichen ist, oder Regeln, wie etwas umzusetzen ist, ohne auf einzelne Details einzugehen.

Risiko

Wirkung von Unsicherheit auf die Erreichung von Zielen.

Risiko ist eine Funktion:

Das Risiko kann in der Risikoanalyse entweder quantitativ oder qualitativ ermittelt und ausgedrückt werden.

Risikoabnahme

Formaler Beschluss der Leitung einer Organisation, die bestehenden Risiken gemäß den vom Risikomanagement entwickelten Vorgaben zu behandeln. Dazu gehört auch die Akzeptanz von Restrisiken.

Risikoanalyse

Systematisches Vorgehen zur Ermittlung des Ausmaßes bestehender Risiken in Bezug auf ein definiertes Untersuchungsobjekt, meist ein Asset.

Für die in der Risikoidentifikation erhobenen Risiken sind deren mögliches Schadenspotential in der Höhe und in der Wahrscheinlichkeit abzuschätzen. Hieraus werden Szenarien abgeleitet, die die Grundlage für die weitere Betrachtung und Behandlung der Risiken sein sollen.

Risikobehandlung

Auswahl und Umsetzung von Maßnahmen zum Umgang mit Risiken.

Es gibt vier grundsätzliche Möglichkeiten:

Risikobeurteilung

Abschätzung der Bedeutung von Risiken für eine Organisation.

Die Risikobeurteilung besteht aus der Risikoidentifikation, der Risikoanalyse und der Risikoeinordnung.

Risikoeinordnung

Abgleich ermittelter Risiken mit vorgegebenen Kriterien einer Organisation, um die Bedeutung der Risiken für diese zu erfassen.

Risikoidentifikation

Auffindung, Erkennung und Beschreibung vorhandener Risiken. Dabei sollen die Assets und die Bedrohungen, die auf sie wirken, sowie die vorhandenen Schutzmaßnahmen und die danach verbleibenden Schwachstellen erkannt werden. Außerdem sind mögliche Konsequenzen, vor allem Schäden, aus der sich so zusammensetzenden Lage zu ermitteln.

Risikokommunikation

Austausch von Informationen über Risiken. Insbesondere geht es hier darum, dass eine Organisation ihre Risiken gegenüber allen Stellen, die ein berechtigtes Interesse daran haben, in korrekter Weise darstellt.

Risikolandkarte

Darstellung von Risiken als Verteilung in einer Matrix mit den Dimensionen Eintrittswahrscheinlichkeit und Schadenspotential. Eine Risikolandkarte bezieht sich auf ein Asset, dessen Bedrohungen analysiert werden und als Punkte oder Flächen in der Matrix erscheinen.

Risikomanagement

Steuerung des Umgangs mit Risiken. Es wird zunehmend von Unternehmen und anderen Organisationen gesetzlich gefordert.

Die Aufgaben des Risikomanagements werden als zyklisch immer wiederkehrend begriffen. Es sind gemäß ISO Guide 73:

Risikoübernahme

Entscheidung, ein Risiko selbst zu tragen, ohne darauf irgendwie einzuwirken.

Risikoüberwälzung

Vereinbarung mit anderen Parteien, die eigenen Risiken mitzutragen. Eine typische Form der Risikoüberwälzung ist eine Versicherung.

Risikoveränderung

Veränderung, meist Verminderung der Eintrittswahrscheinlichkeit oder des Schadenspotentials von Risiken.

Risikovermeidung

Entscheidung, ein Risiko nicht einzugehen. Die Umsetzung dieser Entscheidung verlangt Maßnahmen zur Schadensabwendung, ggf. die Aufgabe eines Vorhabens, z.B. eines Geschäftszweigs oder eines Produkts.

Risikoverminderung

Verminderung der Eintrittswahrscheinlichkeit oder des Schadenspotentials von Risiken.

Risk Acceptance

Englischer Begriff für Risikoabnahme.

Risk Analysis

Englischer Begriff für Risikoanalyse.

Risk Assessment

Englischer Begriff für Risikobeurteilung.

Risk Avoidance

Englischer Begriff für Risikovermeidung.

Risk Communication

Englischer Begriff für Risikokommunikation.

Risk Evaluation

Englischer Begriff für Risikoeinordnung.

Risk Identification

Englischer Begriff für Risikoidentifikation.

Risk Management

Englischer Begriff für Risikomanagement.

Risk Modification

Englischer Begriff für Risikoveränderung.

Risk Reduction

Englischer Begriff für Risikoverminderung.

Risk Retention

Englischer Begriff für Risikoübernahme.

Risk Sharing

Englischer Begriff für Risikoüberwälzung.

Risk Transfer

Englischer Begriff für Risikoüberwälzung.

Risk Treatment

Englischer Begriff für Risikobehandlung.

Robustheit

Widerstandsfähigkeit gegen Schadensereignisse. Für Organisationen, Infrastrukturen oder technische Einrichtungen ist darin z.B. die Ausfallsicherheit enthalten.

Rolling Desaster

Ein Rolling Desaster ist die Ausweitung einer Betriebsstörung zu einem Notfall.

Rootkit

Software, die dazu dient, auf einem Rechner vorhandene und ablaufende Malware möglichst gut zu verstecken, so dass sie selbst von Administratoren und Abwehrprogrammen nicht mehr erkannt wird.

RPO

Recovery Point Objective, englischer Begriff für Datenverlustzeit.

RTO

Recovery Time Objective, englischer Begriff für Wiederanlaufzeit.

S


Safety

Englischer Begriff für Sicherheit.

Die englische Sprache unterscheidet zwischen Safety und Security. Dabei bezieht sich Safety eher auf die Sicherheit von Personen (insbesondere bei der Arbeit, z.B. Job Safety oder Fire Safety).

Sammelpunkt

Im Voraus festgelegter Ort, an dem sich nach einer Evakuierung eines Gebäudes oder eines Geländes die evakuierten Personen versammeln.

Sarbanes Oxley Act

US-Gesetz aus dem Jahr 2002 zur Verbesserung der Unternehmensberichtserstattung in Folge mehrerer Bilanzskandale. Es gilt für alle an US-Börsen notierten Unternehmen und auch deren ausländische Tochterunternehmen.

Teil des Nachweises der Erfüllung ist auch die Definition angemessener Prozesse zu IT-Planung und IT-Betrieb und die Überprüfung von deren Anwendung. Dies beinhaltet unter anderem auch die Themen Information Security und Business Continuity.

SAS 70

Amerikanischer Audit-Standard (herausgegeben vom American Institute of Certified Public Accountants) zur Prüfung ausgelagerter Geschäftsprozesse. Er dient zum Nachweis der Angemessenheit des internen Kontrollsystems für die ausgelagerten Prozesse und wird von einem Certified Public Accountant (CPA: Wirtschaftsprüfer, USA) durchgeführt.

Es gibt zwei Prüfungstypen:

  • Typ I: Prüfung des Kontroll-Designs,

  • Typ II: Prüfung der Kontroll-Effektivität.

Schaden

Wertverlust. Typische Arten von Schäden sind:

  • physische und psychische Schädigung von Personen,

  • Zerstörung oder Beschädigung von Sachen,

  • direkte finanzielle Auswirkungen,

  • Verstoß gegen Gesetze / Vorschriften / Verträge,

  • Beeinträchtigung des Geschäftsablaufs,

  • negative Außenwirkung,

  • Knowhow-Abfluss.

Schadensabwendung

Vorkehrungen zur Verhinderung von Schadensereignissen. Es handelt sich um Prävention.

Schadensbegrenzung

Vorkehrungen zur Verminderung von Schäden, die nach Eintritt eines Schadensereignisses wirksam werden. Es handelt sich um Maßnahmen der Reaktion, die aber vorbeugend geplant werden können.

Schadensereignis

Ereignis, das einen Schaden nach sich zieht.

Schadenspotential

Maximale Höhe, die ein Schaden erreichen kann. Das Schadenspotential beinhaltet:

  • den unmittelbaren Schaden, der durch die Zerstörung von Werten entsteht,

  • den Folgeschaden, der dadurch entsteht, dass beispielsweise Geschäftsfunktionen beeinträchtigt werden oder das Vertrauen von Kunden in das Unternehmen beeinträchtigt wird.

Das Schadenspotential kann manchmal quantitativ (in Geld), oft aber nur qualitativ ausgedrückt werden.

Schadenspotential-Analyse

Abschätzung des Schadenspotentials für ein Schadensereignis wie z.B. einen Notfall.

Im Rahmen der Notfallvorsorge ist es oft sinnvoll, das Schadenspotential nach Eintritt eines Notfalls im Zeitverlauf darzustellen.

Schlüssel

Zusatzinformation zu einer verschlüsselten Information, die dazu dient, diese Information zugänglich zu machen.

Im Rahmen der Kryptologie wurden eine Vielzahl von Verfahren zur Verschlüsselung und Entschlüsselung entwickelt. Unterschieden werden insbesondere:

  • Symmetrische Verfahren: Mehrere Partner vereinbaren einen gemeinsamen Schlüssel, der sowohl zur Ver- als auch zur Entschlüsselung genutzt wird.

  • Asymmetrische Verfahren: Jeder Person wird sowohl ein privater Schlüssel als auch ein öffentlicher Schlüssel zugeordnet. Der private Schlüssel ist nur dieser Person bekannt, der öffentliche Schlüssel wird verbreitet. Sofern die die korrekte Zuordnung der Schlüssel zu den Personen gegeben ist (z.B. durch Zertifikate im Rahmen einer gemeinsamen PKI), können nun beliebig viele so ausgestattete Personen vertraulich miteinander kommunizieren. Sie ver- und entschlüsseln unter wechselweiser Nutzung von öffentlichen und privaten Schlüsseln. Auch eine Signatur ist damit möglich (bei umgekehrter Nutzung der Schlüssel).

Schutzbedarf

Das notwendige Maß an Schutz für ein bestimmtes zu schützendes Objekt. Der Schutzbedarf wird aus dem Schadenspotential bestimmt, orientiert sich also an den Schäden, die mit einer Beeinträchtigung des zu schützenden Objekts verbunden sein können.

Schutzbedarfs-Analyse

Untersuchung des Schutzbedarfs von Objekten, insbesondere von Informationen / Daten oder Prozessen / IT-Anwendungen bezüglich Verfügbarkeit, Vertraulichkeit, Integrität und ggf. Verbindlichkeit.

Da der Schutzbedarf meist nicht quantifizierbar ist, beschränkt sich z.B. der IT-Grundschutz auf eine qualitative Aussage, indem der Schutzbedarf in drei Kategorien unterteilt wird:

  • "niedrig bis mittel" - Die Schadensauswirkungen sind begrenzt und überschaubar.

  • "hoch" - Die Schadensauswirkungen können beträchtlich sein.

  • "sehr hoch" - Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.

Schutzbedarfs-Feststellung

Gleichbedeutend mit Schutzbedarfs-Analyse.

Schwachstelle

Situation, die dazu führen kann, dass eine Bedrohung sich so auswirken kann, dass ein Schaden entsteht.

Schwellwert

Festgelegter Wert, der nicht unter- oder überschritten werden soll. U.a. werden für bestimmte Parameter in SLAs oder für KPIs Schwellwerte vereinbart bzw. gesetzt. Wird der Schwellwert nicht eingehalten, sind damit i.Allg. Konsequenzen wie z.B. Konventionalstrafen verbunden.

Security

Englischer Begriff für Sicherheit.

Die englische Sprache unterscheidet zwischen Security und Safety. Dabei bezieht sich Security eher auf die Sicherheit von Werten (auch finanzieller Art, z.B. Collateral Security).

Security Policy

Englischer Begriff für Sicherheits-Leitlinie.

Service

Englischer Begriff für Dienstleistung.

Ein Service ist die Lieferung von Werten an Kunden oder Nutzer. Damit wird diesen die Erreichung der von ihnen gewünschten Ziele ermöglicht, ohne dass sie die Verantwortung für spezifische Aufwände (Knowhow, Infrastruktur, Betrieb usw.) tragen müssen, die mit der Art und Weise der Erbringung des Services verbunden sind.

Die Verantwortung für das mit dem Service verbundene Risiko verbleibt beim Auftraggeber.

Service Asset Management

Verwaltung der IT-Infrastruktur, die zur Erbringung von IT-Services wesentlich ist.

Das Service Asset Management bildet gemeinsam mit dem Configuration Management gemäß ITIL einen Prozess in der Phase Service Transition.

Service Catalogue Management

Die Entwicklung und Verwaltung von Services.

Der Prozess gehört gemäß ITIL zur Phase Service Design.

Service Design

Die zweite Phase im Lebenszyklus eines IT-Services nach ITIL.

Das Service Design umfasst die Planung und Ausgestaltung einer IT-Dienstleistung. Zugeordnete Prozesse sind Service Catalogue Management, Service Level Management, Capacity Management, Availability Management, IT Service Continuity Management, Information Security Management und Supplier Management.

Service Desk

Ansprechstelle für die Nutzer von Services, wo Störungsmeldungen, Anforderungen und andere Themen auflaufen.

Gemäß ITIL handelt es sich beim Service Desk um eine Funktion, in der alle entsprechenden Kommunikationswege gebündelt werden und die die Bearbeitung aller eingehenden Anfragen koordiniert.

Service Level

Englischer Begriff für die Beschreibung eines Services anhand von Zieleigenschaften. Die zu dessen Überwachung definierten Parameter werden oft als Key Performance Indicators (KPI) bezeichnet.

Service Level Agreement

Vereinbarung zwischen einem Service-Geber und einem Service-Nehmer, welche die erforderliche Qualität eines Services festlegt. Sie wird zwischen zwei Unternehmen abgeschlossen und ist im Allgemeinen Teil des Dienstleistungsvertrags.

Vorteile, die dadurch erreicht werden können, sind z.B. Kostentransparenz und Sicherstellung einer angemessenen Service-Qualität. Service Level Agreements (SLAs) sind häufig im IT-Umfeld anzutreffen.

Wichtiger Bestandteil eines SLAs ist der Nachweis der erbrachten Service-Qualität und Regelungen für den Fall, dass diese nicht erbracht wird.

Service Level Management

Die Vereinbarung und Überwachung der Erreichung von Zielen für eine Dienstleistung (Service Level).

Der Prozess gehört gemäß ITIL zur Phase Service Design.

Service Operation

Die vierte Phase im Lebenszyklus eines IT-Services nach ITIL.

Die Service Operation umfasst den laufenden Betrieb einer IT-Umgebung zur Erbringung von IT-Dienstleistungen. Zugeordnete Prozesse sind Access Management, Request Fulfillment Management, Event Management, Incident Management und Problem Management. Dieser Phase sind außerdem die Funktionen Service Desk, Technical Management, IT Operations Management und Application Management zugeordnet.

Service Portfolio Management

Die Positionierung des Service Portfolios im Markt.

Der Prozess gehört gemäß ITIL zur Phase Service Strategy.

Service Quality

Die Qualität, mit der eine Dienstleistung erbracht wird.

Sie kann als Service Level ausgedrückt werden.

Service Strategy

Die erste Phase im Lebenszyklus eines IT-Services nach ITIL.

Die Service Strategy befasst sich mit der Gesamtheit von Services eines IT-Dienstleisters und deren Marktgerechtheit. Zugeordnete Prozesse sind Service Portfolio Management, Financial Management und Demand Management.

Service Transition

Die dritte Phase im Lebenszyklus eines IT-Services nach ITIL.

Die Service Transition umfasst den Übergang einer IT-Dienstleistung oder von Ressourcen, die dazu notwendig sind, von der Entwicklung in den Betrieb. Zugeordnete Prozesse sind Service Asset Management and Configuration Management, Release Management and Deployment Management, Change Management und Knowledge Management.

Service-Bereich

Organisatorische Einheit im Unternehmen, deren Aufgabe es ist, Geschäftsbereiche bei der Erfüllung ihrer Aufgaben zu unterstützen.

Typische Service-Bereiche sind beispielsweise die IT-Organisation, das Personal- und das Rechnungswesen.

SGB

Sozialgesetzbuch.

Das SGB ist die Grundlage des deutschen Sozialrechts. Die Verwaltung und Auszahlung von Ansprüchen ist im Hinblick auf den Datenschutz von besonderer Bedeutung. Dazu gibt es Regelungen im SGB X, dem zehnten Buch des SGB mit dem Titel „Sozialverwaltungsverfahren und Sozialdatenschutz“.

Im 2. Kapitel des SGB X (Schutz der Sozialdaten) wird auf Datenerhebung, -verarbeitung und -nutzung (§§ 67a-78), organisatorische Vorkehrungen zum Schutz der Sozialdaten (§§ 78a-80) sowie Rechte des Betroffenen (§§ 81-85a) eingegangen.

Sicherheit

Zustand, der mit der Ausnahme tolerierter Restrisiken frei von Risiken der Beeinträchtigung ist bzw. als gefahrenfrei angesehen wird.

Der Begriff Sicherheit wird in vielen Zusammenhängen verwendet:

  • Betriebssicherheit,

  • technische Sicherheit (z.B. IT-Sicherheit),

  • individuelle Sicherheit,

  • öffentliche Sicherheit,

  • kollektive Sicherheit,

  • wirtschaftliche Sicherheit,

  • Rechtssicherheit.

Sicherheits-Konzept

Konzept zur Erreichung eines angemessen sicheren Zustands.

Sicherheits-Leitlinie

Dokument mit den Vorgaben der Geschäftsleitung für die Gewährleistung einer angemessenen Sicherheit für das Unternehmen.

SigG

Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz).

Das SigG regelt die Rahmenbedingungen für den Umgang mit elektronischen Signaturen. Es legt fest, unter welchen Umständen Zertifikate ausgestellt werden dürfen.

Signatur

Teil eines Dokuments oder Zusatz daran, mit dem die Herkunft des Dokuments nachgewiesen werden kann.

In klassischen Dokumenten bestand die Signatur z.B. aus Unterschrift, Stempel und Siegel, bei Nutzung der IT wird eine digitale oder elektronische Signatur genutzt.

Single Point of Failure

Bestandteil eines technischen Systems, dessen Versagen den Ausfall des gesamten Systems nach sich zieht.

Single Sign On

Die Steuerung der Authentifizierung und der Autorisierung über mehrere IT-Systeme und auch Netze.

Das Single Sign On soll es ermöglichen, dass Benutzer von mehreren Systemen gleichermaßen identifiziert und mit den ihnen gemäßen Rechten ausgestattet werden, sie aber die entsprechende Prozedur nur einmal ausführen müssen. Hierzu benötigen die Systeme untereinander eine Vertrauensstellung.

Six Sigma

Verfahren zur Verbesserung der Qualität von Prozessergebnissen und zur Reduzierung von Kosten, entwickelt vom Unternehmen Motorola.

Six Sigma basiert auf dem Bestreben, Fehler (defects) zu vermeiden und die Variation von Ergebnissen möglichst eng zu halten. Es werden eine Reihe von statistischen Verfahren angewandt, um den Ablauf von Prozessen unter Kontrolle zu halten. Die gemessenen Werte sollen dabei über die Zeit eine immer geringere Standardabweichung (in der Mathematik mit dem griechischen Buchstaben sigma dargestellt) aufweisen, womit die Effizienz steigt.

SLA

Abkürzung für Service Level Agreement.

Software

Nicht-physische Bestandteile eines IT-Systems, also Programme und Daten. Der Begriff wird oft auch nur für die Programme verwendet.

Software-Patch

Behebung von Fehlern in Software.

Solvency II

Richtlinie 2009/138/EG der Europäischen Union für Versicherer, auch Solvabilität II genannt. Ziel ist die Sicherung einer angemessenen, europaweit gleichartigen Eigenkapitalausstattung von Versicherungsunternehmen.

In Solvency II Kapitel VI Abschnitt 4 sind die Anforderungen zur Bewertung u.a. operationeller Risiken niedergelegt.

Sorgfalt

Gründliches Vorgehen, das alle relevanten Aspekte eines Sachverhalts berücksichtigt. Sogfaltspflichten sind sowohl gesetzlich als auch in diversen Standesregeln festgelegt.

SOX

Abkürzung für Sarbanes Oxley Act.

Spam

E-Mails und andere elektronische Informationen, die unverlangt und massenhaft verteilt werden. Sie beinhalten oft Werbung oder dienen zu Verbreitung von Malware.

Speicherung

Erfassung, Aufnahme oder Aufbewahrung von Informationen (im BDSG für personenbezogene Daten definiert).

Sperrung

Kennzeichnung von Informationen, um ihre Verarbeitung oder Nutzung einzuschränken (im BDSG für personenbezogene Daten definiert).

SPOF

Abkürzung für Single Point of Failure

Spyware

Kunstwort aus „Spy“ (Spion) und Software, das Schadprogramme bezeichnet, die zur unbefugten Gewinnung vertraulicher Informationen dienen.

Stakeholder

Natürliche oder juristische Person, die ein vitales Interesse an den Geschäftsprozessen einer Organisation und deren Ergebnissen haben. Typische Beispiele sind:

  • Eigentümer

  • Aufsichtsräte

  • Kreditgeber

  • Kunden

  • Lieferanten

  • Dienstleister

  • Mitarbeiter

  • Aufsichtsbehörden

  • Anrainer

StGB

Strafgesetzbuch.

Das StGB ist die Grundlage des deutschen Strafrechts.

In Bezug auf Informationen und IT sind relevant:

  • § 201 Verletzung der Vertraulichkeit des Wortes,

  • § 202 Verletzung des Briefgeheimnisses,

  • § 202a Ausspähen von Daten,

  • § 202b Abfangen von Daten,

  • § 202c Vorbereiten des Ausspähens und Abfangens von Daten,

  • § 206 Verletzung des Post- oder Fernmeldegeheimnisses,

  • § 263 Betrug,

  • § 263a Computerbetrug,

  • § 265a Erschleichen von Leistungen,

  • § 267 Urkundenfälschung,

  • § 268 Fälschung technischer Aufzeichnungen,

  • § 269 Fälschung beweiserheblicher Daten,

  • § 270 Täuschung im Rechtsverkehr bei Datenverarbeitung,

  • § 271 Mittelbare Falschbeurkundung,

  • § 274 Urkundenunterdrückung, Veränderung einer Grenzbezeichnung,

  • § 303a Datenveränderung,

  • § 303b Computersabotage,

  • § 317 Störung von Telekommunikationsanlagen.

Strukturanalyse

Für die IT die Untersuchung der Topologie und Konfiguration komplexer IT-Systeme.

Supplier Management

Die Pflege der Beziehungen zu Lieferanten und Dienstleistern.

Der Prozess gehört gemäß ITIL zur Phase Service Design.

Szenario

Ausgangssituation und Folgeereignisse, die daraufhin eintreten.

Szenarien werden häufig als Ausgangspunkt für die Vorsorge auf Schadensereignisse gewählt, z.B. bei der Notfallvorsorge.

Je nach Schwerpunktsetzung können unterschieden werden:

T


Technical Management

Funktion nach ITIL, die Ressourcen und Kompetenzen bereitstellt, um den laufenden IT-Betrieb der IT-Infrastruktur zu unterstützen. Sie kann eine Organisationseinheit oder in mehrere solche aufgeteilt sein.

Test

Praktischer Versuch, mit dem überprüft werden soll, ob technische Vorkehrungen oder organisatorische Abläufe den an sie gestellten Anforderungen genügen oder nicht.

Typische Testverfahren sind z.B.:

TKG

Telekommunikationsgesetz.

Das TKG regelt den Markt für Telekommunikations-Anbieter.

Relevant im Hinblick auf die Sicherheit und verwandte Themen sind insbesondere:

  • § 88 Fernmeldegeheimnis,

  • § 89 Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen,

  • § 90 Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen,

  • § 91 Anwendungsbereich (für den Datenschutz),

  • § 93 Informationspflichten,

  • § 100 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten,

  • § 107 Nachrichtenübermittlungssysteme mit Zwischenspeicherung,

  • § 108 Notruf,

  • § 109 Technische Schutzmaßnahmen

  • § 109a Datensicherheit.

Diese Paragrafen (und einige weitere) spezifizieren, auf welche Weise dem Fernmeldegeheimnis, dem Datenschutz und der öffentlichen Sicherheit Genüge getan werden muss.

Nach § 109 müssen die Betreiber von Telekommunikationsanlagen für die Öffentlichkeit einen Sicherheitsbeauftragten ernennen und der BNetzA ein Sicherheitskonzept vorlegen. Damit sind angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen führen, und gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen. Die Vorkehrungen müssen den Stand der technischen Entwicklung berücksichtigen.

TMG

Telemediengesetz.

Das TMG regelt den Markt für elektronische Informations- und Kommunikations-Diensteanbieter.

Relevant sind für den Datenschutz:

  • § 12 Grundsätze,

  • § 13 Pflichten des Diensteanbieters.

Das TMG regelt daneben vor allem die Verantwortung, die der Diensteanbieter für Inhalte trägt, die er speichert oder überträgt.

Transition

Englischer Begriff für Übergang.

Trojanisches Pferd

In Bezug auf die IT-Sicherheit ein Programm, das wie eine sinnvolle IT-Anwendung erscheint, jedoch versteckt andere, unerwünschte Funktionen (wie z.B. die Übermittlung vertraulicher Daten zu Spionagezwecken) ausführt.

U


Übermittlung

Weitergabe oder Bereithaltung zur Einsicht oder zum Abruf von Informationen (im BDSG für personenbezogene Daten definiert).

Überprüfung

Die korrekte Umsetzung von Zielen, Vorgaben und Konzepten wird durch Überprüfungen abgesichert. Darunter fallen Tests und Audits.

Übung

Durchführung von Maßnahmen in einem speziell dafür vorgesehenen Umfeld. Das Umfeld stellt sicher, dass Fehler gemacht werden dürfen und sich nicht auf die reale Welt auswirken.

Übungen werden eingesetzt, um Menschen in die Lage zu versetzen, in zukünftigen Situationen angemessen zu agieren.

Übungsart

Methode der Durchführung einer Übung. Übungen können mit unterschiedlicher Beteiligung und Tiefe durchgeführt werden. Das Spektrum reicht von einfachen Planbesprechungen (Table Top Exercise) über die Einbeziehung von Stäben oder Teams bis zu Vollübungen, die einen Ernstfall möglichst weitgehend simulieren.

Untersuchung

Beobachtung, Studium oder Analyse von Sachverhalten, um ein Verständnis oder eine Klärung herbeizuführen. Es kann sich z.B. um das Lesen von Dokumentationen, Begehungen, technische Inspektionen oder die Verfolgung von Prozessen handeln.

Ursachenszenario

Störungs- bzw. Notfallszenario, bei dem im Gegensatz zu einem Wirkungsszenario die Ursache für den Notfall bzw. die Störung beschrieben wird. Beispiele für Ursachenszenarien sind z.B. ein Wassereinbruch von außen, der zu einer Überflutung eines Rechenzentrums führt, oder eine Epidemie, deren Folge der Ausfall von Personal ist.

Von Ursachenszenarien muss bei der Planung von Maßnahmen zur Prävention ausgegangen werden, die verhindern sollen, dass sie zu Schadensfällen führen. Dies geschieht z.B. im Rahmen der IT-Sicherheit.

UWG

Gesetz gegen den unlauteren Wettbewerb.

Das UWG setzt die Regeln, denen konkurrierende Unternehmen am Markt unterliegen.

In Bezug auf Informationen sind relevant:

  • § 7 Unzumutbare Belästigungen,

  • § 17 Verrat von Geschäfts- und Betriebsgeheimnissen.

Diese Paragrafen verbieten Spam und Betriebsspionage.

V


VAG

Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz).

Das VAG regelt den Markt für Versicherungen und Pensionsfonds.

Relevant sind insbesondere:

  • § 55c Vorlage des Risikoberichts und des Revisionsberichts,

  • § 64a Geschäftsorganisation.

§ 64a enthält Anforderungen zur ordnungsgemäßen Geschäftsorganisation. Unter der Verantwortung der Geschäftsleitung sind u.a. eine angemessene Risikostrategie, aufbau- und ablauforganisatorische Regelungen, ein internes Steuerungs- und Kontrollsystem und eine interne Revision sicher zu stellen, zu dokumentieren und für 6 Jahre aufzubewahren. Auch im Falle der Ausgliederung von Funktionen oder der Auslagerung von Dienstleistungen darf die Erfüllung dieser Anforderungen nicht beeinträchtigt werden.

Veränderung

Inhaltliche Umgestaltung von Informationen (im BDSG für personenbezogene Daten definiert).

Verantwortliche Stelle

Person oder Organisation, die für sich selbst die Erhebung, Verarbeitung oder Nutzung von Informationen vornimmt oder dies durch andere im Auftrag vornehmen lässt (im BDSG für personenbezogene Daten definiert).

Verarbeitung

Speicherung, Veränderung, Übermittlung, Sperrung und Löschung von Informationen (im BDSG für personenbezogene Daten definiert).

Verbindlichkeit

Gewährleistung der eindeutigen und nachweisbaren Zuordnung von Aktionen oder Informationen zu den Personen, Organisationen oder Systemen, die für sie verantwortlich sind. Die Verbindlichkeit stellt sicher, dass der Verursacher von Tätigkeiten stets nachvollziehbar bleibt. Darin enthalten sind die Authentizität und die Nichtabstreitbarkeit.

Verbindlichkeit bedeutet, dass übermittelte Aufträge auch tatsächlich rechtsgültig sind. Sie führt gewollte Rechtsfolgen bindend herbei.

Die Verbindlichkeit wird oft als Unterkategorie der Integrität zugeordnet. Sie gewinnt jedoch mit zunehmendem Umfang des E-Commerce an eigenständiger Bedeutung.

Verfügbarkeit

Eigenschaft einer Ressource (z.B. Information, Betriebsmittel oder Service), in gewünschter Weise am gewünschten Ort zur gewünschten Zeit zu sein. Die Verfügbarkeit stellt sicher, dass dazu berechtigte Personen, Organisationen oder Systeme in ausreichender Form und Qualität Zugang zu Informationen und Services haben, wenn Sie diese benötigen.

Beeinträchtigungen der Verfügbarkeit ergeben sich beispielsweise durch technische Störungen von Trägersystemen oder Diebstahl.

Verfügbarkeits-Anforderungen

Anforderungen an die Verfügbarkeit von Ressourcen, im Zusammenhang mit IT von IT-Systemen, IT-Anwendungen, Daten und Netzen für den Betrieb.

Darunter fallen beispielsweise Parameter wie:

  • die tägliche Bereitstellungszeit,

  • die Verfügbarkeit bezogen auf einen Zeitraum,

  • die maximale Ausfallzeit nach Notfällen.

Verschlüsselung

Gezielte Veränderung einer Information nach einem definierten Verfahren (Verschlüsselungs-Algorithmus) mit dem Ziel, die Information für alle Personen, Organisationen oder Systeme unzugänglich zu machen, die nicht im Besitz einer Zusatzinformation (Schlüssel) sind, mit dem das ursprüngliche Informationsformat wiedergewonnen werden kann (Entschlüsselung). Ver- und Entschlüsselung werden auch als Chiffrierung bzw. Dechiffrierung bezeichnet.

Vertraulichkeit

Eigenschaft einer Information, nur für eine eingeschränkte Menge von Personen, Organisationen oder Systemen vorgesehen zu sein. Die Vertraulichkeit soll sicherstellen, dass Informationen nur für diejenigen zugänglich sind, die dazu berechtigt sind.

Beeinträchtigungen der Vertraulichkeit ergeben sich beispielsweise durch Verletzungen des Zugriffsschutzes oder Abhören.

Virenschutz

Anderer Begriff für Malware-Schutz.

Virtual Private Network

Teilnetz eines physischen Gesamtnetzes, das logische Verbindungen zwischen Endstellen herstellt, indem es Tunneltechniken nutzt. Mit Virtual Private Networks (VPNs) kann die Vertraulichkeit von Informationen gewährleistet werden, indem innerhalb der Tunnel Verschlüsselungstechniken genutzt werden.

Virtualisierung

Virtualisierung ermöglicht es:

  • mehrere IT-Ressourcen (z.B. Betriebssysteme, Speicher, Netze), die auf einer gemeinsamen Hardware-Plattform betrieben werden, den Benutzern als scheinbar eigenständige, von einander getrennte IT-Systeme zur Verfügung zur stellen,

  • mehrere (heterogene) Hardware-Ressourcen zu einer für den Benutzer homogenen Umgebung zusammenzufügen.

Virus

In Bezug auf die IT-Sicherheit ein Programm, das bei Aufruf Programm-Code in andere Programme einbaut. So kann es sich selbst vervielfältigen. Es besteht die Möglichkeit, dass auf diese Weise schädliche Programme schnell Verbreitung finden.

Viren waren die ersten Schadprogramme, die bekannt wurden. Deshalb werden auch andere schädliche Programme wie Trojanische Pferde und Würmer oft als Viren bezeichnet.

Vital Records

Informationen auf beliebigen Speichermedien (z. B. elektronisch oder gedruckt), die zum Wiederanlauf und zur Fortführung des Geschäftsbetriebs nach einem Notfall benötigt werden. Der englische Begriff wird auch im Deutschen verwendet und nicht übersetzt.

Vorsatz

Absicht. Aus § 309 BGB, einem Teil des AGB-Rechts (Recht für Allgemeine Geschäftsbedingungen), und der darauf basierenden Rechtsprechung ergibt sich, dass für vorsätzliche Handlungen immer eine unbeschränkte Haftung gilt.

VPN

Abkürzung für Virtual Private Network.

Vulnerability

Englischer Begriff für Schwachstelle.

W


Wahrscheinlichkeit

Wert zwischen 0 und 1, der ausdrückt, ob ein Zufallsereignis in einer vorgegebenen Situation eintreffen wird. 0 bedeutet, dass das Ereignis nicht, 1 bedeutet, dass es sicher eintritt. Die Wahrscheinlichkeit wird häufig auch als Prozentzahl zwischen 0% und 100% ausgedrückt.

Sofern vorhanden, sind zur Einschätzung der Wahrscheinlichkeit Statistiken über die Häufigkeit von Ereignissen in der Vergangenheit heranzuziehen. In Anlehnung daran können auch qualitative Klassifikationen (z.B. nie, selten, manchmal, häufig, immer) genutzt werden.

Um z.B. die Beeinträchtigung durch Störungen abschätzen zu können, muss die Angabe zu einem Zeitraum im Verhältnis stehen, so etwa bei einer Störungswahrscheinlichkeit von 0,01% pro Monat.

WAK

Abkürzung für Wiederanlaufklasse.

Wiederanlauf

Der Vorgang, Unternehmensressourcen und Services nach einem Ausfall den Anwendern wieder zur Verfügung zu stellen. Er ist von den internen oder externen Service-Erbringern einer Organisation umzusetzen. Hierzu gehören vor allem Facilities Management, Informationstechnik, Personal und Einkauf.

Wiederanlauf­Anforderungen

Anforderungen an die Wiederherstellung von Arbeitsplatz-Ausstattungen, IT-Systemen, IT-Anwendungen, Daten und Netzen nach einem Notfall. Dazu zählen die Wiederanlaufzeit, die Datenverlustzeit sowie die erforderlichen Mindestressourcen.

Wiederanlaufklasse

Konstrukt zur vereinfachten Erhebung der Wiederanlauf-Anforderungen von Geschäftsfunktionen und IT-Anwendungen.

Jede Klasse ist durch eine bestimmte Zeitspanne charakterisiert, innerhalb derer der Wiederanlauf erfolgt sein muss (z.B. 3 Arbeitstage). Bei IT-Anwendungen enthält jede Klasse zusätzlich eine Angabe zur maximal akzeptablen Datenverlustzeit (z.B. 24 Stunden). Die Klassen sollten mit technischen und organisatorischen Lösungsmöglichkeiten korrespondieren.

Wiederanlaufplan

Bestandteil des Notfallplans, der sich auf die Bereitstellung der benötigten Ressourcen bezieht.

Wiederanlaufzeit

Zeit, die benötigt wird, bis Ressourcen nach einem Notfall bzw. einer Betriebsstörung wieder zur Verfügung stehen.

Die Wiederanlaufzeit kann auch als Ausfallzeit bezeichnet werden.

Wirkungsszenario

Störungs- bzw. Notfallszenario, bei dem im Gegensatz zu einem Ursachenszenario der Schwerpunkt auf die Auswirkung eines Ausfalls gelegt wird, ohne auf die Ursache einzugehen. Ein Beispiel für ein Wirkungsszenario ist z.B. der Ausfall eines Gebäudes unabhängig davon, ob der Gebäudeausfall durch Stromausfall, Absperrmaßnahmen, einen Brand oder Wassereinbruch verursacht wurde.

In der Notfallvorsorge wird meist von Wirkungsszenarien ausgegangen.

Wurm

In Bezug auf die IT-Sicherheit ein Programm, das sich selbst im Rahmen von Berechtigungen anderer über das Netzwerk verbreitet. Auf diese Weise können schädliche Programme sehr schnell zu vielen Rechnern Zugang finden.

X


Y


Z


Zertifikat

Nachweis, dass eine Person, eine Institution oder eine Sache bestimmte Kriterien erfüllt. Das Zertifikat wird von einer unabhängigen, neutralen Stelle erstellt.

In der Kryptologie handelt es sich um den Nachweis, dass ein öffentlicher Schlüssel oder eine Signatur zu einer bestimmten Person gehört.

Zertifizierung

Vorgang, der zu einem Zertifikat führt.

Zugang

Anmeldung an Netzen, IT-Systemen oder -Komponenten, verbunden mit der Berechtigung zum Lesen oder zur Veränderung von Daten darauf, englisch als Access bezeichnet.

Zugangsschutz

Schutzmaßnahmen gegen unberechtigten Zugang. Er wird i.d.R. durch einen Authentisierungsvorgang unterstützt.

Zugriff

Lesen oder Veränderung von Daten in IT-Systemen, englisch als Access bezeichnet.

Zugriffsschutz

Schutzmaßnahmen gegen unberechtigten Zugriff. Er wird i.d.R. durch Autorisierungsvorgänge gewährleistet.

Zutritt

Betreten von Räumen und physischer Kontakt zu Ressourcen, englisch als Access bezeichnet.

Zutrittsschutz

Schutzmaßnahmen gegen unberechtigten Zutritt.

Zuverlässigkeit

Verlässlichkeit von Services oder Ressourcen, insbesondere Organisationen oder Personen.

Zuverlässigkeit ist zu verstehen als Übereinstimmung von Plänen, Ankündigungen oder Vereinbarungen mit der Realität.

Zweckbindung

Prinzip des Datenschutzes, nach dem die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sich immer an einem Zweck zu orientieren hat.

Es ist daher verboten, personenbezogene Daten zu einem anderen Zweck zu verarbeiten oder zu nutzen als zu dem, der bei der Erhebung maßgebend war.