Glossar: IT-Sicherheit, ISMS & NIS2

BSI Grundschutz

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methodik zum Aufbau eines ISMS. Bietet einen standardisierten Katalog von Sicherheitsmaßnahmen und ist besonders im deutschsprachigen Raum verbreitet.

Business Continuity Management (BCM)

Managementprozess, der sicherstellt, dass kritische Geschaeftsprozesse auch bei schwerwiegenden Störungen aufrechterhalten oder schnell wiederhergestellt werden koennen. Umfasst Business-Impact-Analyse, Risikoanalyse und Notfallplanung.

Cyber-Sicherheitscheck

Eine systematische Prüfung der IT-Sicherheitslage eines Unternehmens, die technische Schwachstellen, organisatorische Lücken und Compliance-Anforderungen bewertet. Ergebnis ist ein Risiko-Score mit priorisiertem Maßnahmenplan.

Ideal als Einstieg für KMU ohne eigene IT-Abteilung. Dauer: ca. 10 Minuten.

DKIM (DomainKeys Identified Mail)

Ein E-Mail-Authentifizierungsverfahren, das mithilfe kryptografischer Signaturen sicherstellt, dass eine E-Mail tatsaechlich vom angegebenen Absender stammt und auf dem Transportweg nicht manipuliert wurde.

DMARC (Domain-based Message Authentication)

Ein E-Mail-Validierungsprotokoll, das auf SPF und DKIM aufbaut. Es legt fest, wie Empfaengerserver mit E-Mails umgehen sollen, die die Authentifizierungsprüfung nicht bestehen (z. B. ablehnen oder in Quarantaene verschieben).

DSGVO (Datenschutz-Grundverordnung)

EU-Verordnung zum Schutz personenbezogener Daten. Betrifft jedes Unternehmen, das Daten von EU-Buergern verarbeitet. Bei Verstößen drohen Bußgelder bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes.

Incident Response

Strukturierter Prozess zur Erkennung, Eindaemmung, Analyse und Behebung von IT-Sicherheitsvorfällen. Umfasst typischerweise 5 Phasen: Erkennung, Eindaemmung, Analyse, Wiederherstellung, Nachbereitung.

ISMS (Informationssicherheits-Managementsystem)

Ein systematischer Ansatz zum Management sensibler Unternehmensinformationen, bestehend aus Richtlinien, Prozessen und technischen Maßnahmen. Kann nach ISO 27001 oder BSI Grundschutz aufgebaut werden.

Für KMU ab 50 Mitarbeitenden oder bei NIS2-Betroffenheit empfohlen.

ISO 27001

Internationale Norm für Informationssicherheits-Managementsysteme. Definiert Anforderungen an Aufbau, Implementierung, Betrieb und Verbesserung eines ISMS. Eine Zertifizierung weist die Einhaltung gegenueber Kunden und Partnern nach.

MFA (Multi-Faktor-Authentifizierung)

Sicherheitsverfahren, bei dem Nutzer ihre Identitaet durch mindestens zwei unabhaengige Faktoren bestaetigen müssen (z. B. Passwort + SMS-Code oder Authenticator-App). Schützt wirksam gegen Passwort-Diebstahl.

NIS2-Richtlinie

EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive 2). Erweitert den Kreis betroffener Unternehmen erheblich und fordert von diesen u. a. Risikomanagement, Incident-Response-Plaene und Meldepflichten.

Betrifft Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz in regulierten Sektoren.

Penetrationstest (Pentest)

Kontrollierter, autorisierter Angriff auf IT-Systeme durch Sicherheitsexperten, um technische Schwachstellen zu identifizieren. Unterscheidet sich vom Sicherheitscheck durch die aktive Ausnutzung von Schwachstellen.

Kosten: typischerweise 5.000-50.000 EUR. Empfohlen für Unternehmen mit hohem Schutzbedarf.

Phishing

Social-Engineering-Angriff, bei dem Angreifer über gefälschte E-Mails, Websites oder Nachrichten versuchen, Zugangsdaten, Zahlungsinformationen oder andere sensible Daten zu stehlen. Verantwortlich für ca. 58 % aller erfolgreichen Cyberangriffe.

Ransomware

Schadsoftware, die Daten verschlüsselt und Loesegeld für die Entschluesselung fordert. Durchschnittlicher Schaden für KMU: ca. 200.000 EUR inkl. Ausfallzeit, Wiederherstellung und Reputationsverlust.

Risikoanalyse (IT)

Systematische Identifikation, Bewertung und Priorisierung von IT-Risiken. Bewertet Bedrohungen, Schwachstellen und mögliche Auswirkungen, um fundierte Entscheidungen über Sicherheitsmaßnahmen zu treffen.

SPF (Sender Policy Framework)

DNS-basiertes E-Mail-Authentifizierungsverfahren, das festlegt, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Schützt vor E-Mail-Spoofing.

SSL/TLS-Zertifikat

Digitales Zertifikat, das die verschlüsselte Kommunikation zwischen Browser und Webserver ermöglicht (erkennbar am Schloss-Symbol und https://). Schützt übertragene Daten vor Abhören und Manipulation.

Zero-Day-Schwachstelle

Eine Sicherheitslücke in Software, die dem Hersteller noch nicht bekannt ist und für die kein Patch existiert. Besonders gefährlich, da herkoemmliche Schutzmaßnahmen nicht greifen.