Das GRC-Vokabular, verfasst von Menschen, die es anwenden.

Ehrliche, meinungsstarke Definitionen für Cybersicherheit, Datenschutz, Risiko und KI-Governance. Geschrieben aus der Perspektive eines aktiven CISO, nicht aus einem Standard kopiert. Jeder Eintrag benennt, was der Begriff in der Praxis wirklich bedeutet, was er nicht bedeutet, und wo der offizielle Text zu finden ist.

Ein Glossar, das Sie zitieren können, ohne wie eine Broschüre zu klingen.

GRC encyclopedia

Practitioner voice

Aus dem Prüfungsraum geschrieben, nicht aus der akademischen Bibliothek. Was der Begriff bedeutet und was häufig falsch verstanden wird.

Quellenangaben und Datum

Offizielle Quellen (EUR-Lex, ANSSI, CNIL, ENISA, ISO) bei jedem Eintrag. Revisionsdaten sichtbar.

Seitenübergreifend verknüpft

Jeder Eintrag verlinkt auf verwandte Begriffe, die Pillar-Seite und die Kohorte, die ihn vermittelt.

Filter by topic
C

14 entries

CIS Controls

Die CIS Critical Security Controls sind ein priorisierter Satz von 18 Kontrollkategorien, veröffentlicht vom Center for Internet Security. Implementierungsgruppen (IG1, IG2, IG3) orientieren sich an der Reife der Organisation. Der schnellste Weg, eine kleine oder mittelgroße Organisation von null auf ein verteidigungsfähiges Niveau zu bringen. Lässt sich sauber auf ISO/IEC 27001 Annex A abbilden.

Cybersecurity operationsRead entry

COBIT

COBIT ist das ISACA-Framework für die Governance und das Management der Unternehmens-IT. Die aktuelle Ausgabe ist COBIT 2019. Die Big Four nutzen dieses Framework zur Bewertung der IT-Governance-Reife; es dient zudem als Referenz für die CGEIT-Zertifizierung. Strategischer ausgerichtet als ISO 27001, weniger präskriptiv als NIST.

Audit & complianceRead entry

CCAK · Certificate of Cloud Auditing Knowledge

CCAK ist die gemeinsame Zertifizierung von ISACA und der Cloud Security Alliance für Cloud-Auditoren. Themen sind Cloud-Governance, CCM, das STAR-Programm sowie hyperscalerspezifische Prüfungsaspekte. Die logische Erweiterung für einen CISA-Inhaber, dessen Prüfungsumfang cloud-first geworden ist.

Certifications & credentialsRead entry

CCOA · Certified Cybersecurity Operations Analyst

CCOA ist das praxisorientierte Cybersecurity-Operations-Zertifikat von ISACA mit Fokus auf SOC-Arbeit: Monitoring, Detection, Response, Recovery. Es ist das technische Pendant zum CISM und richtet sich an Analysten und Incident Responder, nicht an Manager oder Auditoren.

Certifications & credentialsRead entry

CDPSE · Certified Data Privacy Solutions Engineer

CDPSE ist die technische Datenschutz-Zertifizierung von ISACA. Drei Domänen: Privacy Governance, Privacy-Architektur, Datenlebenszyklus. Die technische Ergänzung zu den policy-orientierten DPO/CDPO-Zertifizierungen. Besonders geeignet für Sicherheitsteams, die für die Datenschutz-Implementierung verantwortlich sind, sowie für Architekten, die unter GDPR oder AI Act arbeiten.

Certifications & credentialsRead entry

CISM · Certified Information Security Manager

CISM ist die ISACA-Zertifizierung für Informationssicherheitsmanager: Governance, Programmmanagement, Risikomanagement, Incident Management. Der Goldstandard für Führungsrollen im Sicherheitsbereich, der in etwa 60 % der CISO-Stellenausschreibungen gefordert wird. Andere Perspektive als CISSP: managementorientiert, weniger technisch.

Certifications & credentialsRead entry

CISA · Certified Information Systems Auditor

CISA ist die führende IT-Audit-Zertifizierung, vergeben von ISACA seit 1978. Fünf Domänen decken den Auditprozess, Governance, Beschaffung, Betrieb und Asset-Schutz ab. Die Zertifizierung, auf die Big-Four-Mandate standardmäßig zurückgreifen. Weltweit anerkannt; in regulierten Branchen für viele Internal-Audit- und Compliance-Funktionen obligatorisch.

Certifications & credentialsRead entry

CRISC · Certified in Risk and Information Systems Control

CRISC ist die ISACA-Zertifizierung im Risikobereich für IT-Risk-Praktiker. Identifikation, Bewertung, Reaktion und Überwachung im Kontext von Informationssystemen. Sie verbindet Business- und IT-Risikomanagement. Die natürliche Ergänzung zu CISA für Auditoren, die in den Risikobereich wechseln, sowie zu ISO 27005 / 31000 für ISO-zertifizierte Praktiker, die das ISACA-Vokabular ergänzen möchten.

Certifications & credentialsRead entry

CGEIT · Certified in the Governance of Enterprise IT

CGEIT ist die ISACA-Zertifizierung für erfahrene Fachkräfte, die in der Governance von Enterprise-IT beraten: strategische Ausrichtung, Wertschöpfung, Risiko- und Ressourcenoptimierung. Grundlage ist COBIT. Der Markt ist kleiner als bei CISA / CISM, aber CGEIT ist die richtige Zertifizierung für CIOs, IT-Berater auf Vorstandsebene und Senior Consultants.

Certifications & credentialsRead entry

CISO · Chief Information Security Officer

Der CISO ist die Führungskraft, die für die Informationssicherheitsstrategie verantwortlich ist. Sie verantwortet das Risikoregister, leitet die Incident Response, berichtet dem Vorstand und zeichnet für das Restrisiko. Unter NIS 2 und DORA ist diese Verantwortung nun explizit und persönlich. Die Aufgabe ist Governance, nicht Umsetzung; das Schwierigste ist die Übersetzung in die Sprache des Vorstands.

Certifications & credentialsRead entry

CNIL · Commission nationale de l'informatique et des libertés

Die CNIL ist die französische Datenschutzbehörde, gegründet 1978. Sie setzt den GDPR in Frankreich durch, erlässt verbindliche Entscheidungen und Bußgelder, veröffentlicht Leitlinien (Cookies, Biometrie, KI) und betreibt das PIA-Tool. Sie gehört zu den aktivsten Aufsichtsbehörden in der EU; ihre Entscheidungen setzen häufig EU-weite Maßstäbe.

Standards bodiesRead entry

CRA · Cyber Resilience Act

Der Cyber Resilience Act ist die EU-Verordnung, die grundlegende Sicherheitsanforderungen an Hardware- und Softwareprodukte mit digitalen Elementen stellt, die in Europa vertrieben werden. Herstellerpflichten über den gesamten Lebenszyklus: Security-by-Design, Schwachstellenbehandlung, SBOM, fünf Jahre Patches. Ende 2024 verabschiedet, gilt ab Dezember 2027. Kombinieren Sie ihn mit NIS 2 (organisatorische Perspektive) und dem AI Act (Modellperspektive).

EU regulationsRead entry

CMMC · Cybersecurity Maturity Model Certification

CMMC ist das Cybersecurity-Reifegradmodell, das das US-Verteidigungsministerium seinen Auftragnehmern vorschreibt, die mit Federal Contract Information und Controlled Unclassified Information umgehen. CMMC 2.0 wurde auf drei Stufen reduziert (Foundational, Advanced, Expert), die an NIST SP 800-171 und 800-172 ausgerichtet sind. Wer an das DoD liefert oder Teil seiner Lieferkette ist, fällt in den Geltungsbereich.

EU regulationsRead entry

CSX-P · Cybersecurity Practitioner Certification

CSX-P ist die praxisorientierte ISACA-Zertifizierung für Cybersecurity-Praktiker. Die Prüfung findet in einer Live-Cyber-Range-Umgebung statt und deckt die fünf Funktionen des NIST CSF ab. Weniger bekannt als CISM oder CISA, aber eine der seltenen Zertifizierungen, bei der die Prüfung testet, was Sie tatsächlich tun, nicht was Sie darüber schreiben können.

Certifications & credentialsRead entry
D

6 entries

DPO · Data Protection Officer

Der DPO ist die gemäß GDPR vorgeschriebene Funktion, die die Compliance überwacht, den Verantwortlichen berät und als Anlaufstelle für die Aufsichtsbehörde fungiert. Pflichtrolle für öffentliche Stellen sowie für Verarbeitungstätigkeiten, die eine umfangreiche systematische Überwachung oder die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern. Unabhängigkeit und Zugang zur Leitungsebene sind die zwei Punkte, die Prüfer tatsächlich kontrollieren.

Privacy & data protectionRead entry

DPIA · Datenschutz-Folgenabschätzung

Eine DPIA ist die strukturierte Analyse, die das GDPR vor einer Verarbeitung mit hohem Risiko vorschreibt. Sie dokumentiert Art, Umfang, Kontext und Zwecke der Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit und identifiziert Maßnahmen zur Risikoминimierung. Die CNIL stellt ein kostenloses PIA-Tool bereit. Wer eine erforderliche DPIA weglässt, lädt Aufsichtsbehörden geradezu ein.

Privacy & data protectionRead entry

Defense in Depth

Defense in Depth ist das Prinzip der gestaffelten Kontrollen, damit kein einzelner Ausfall das gesamte System gefährdet. Netzwerk, Endpunkt, Anwendung, Daten, Personal, physische Ebene – jede Schicht verlangsamt den Angreifer, erhöht seinen Aufwand und verschafft Ihnen Zeit zur Erkennung. Grundlegend seit den 1990er Jahren. Auditoren erwarten dieses Prinzip; Anbieter nutzen es gerne, um zusätzliche Schichten zu verkaufen.

Cybersecurity operationsRead entry

DORA · Digital Operational Resilience Act

DORA ist die EU-Verordnung, die Finanzunternehmen und ihren kritischen IKT-Drittanbietern einen einheitlichen Resilienzrahmen vorschreibt. Fünf Säulen: IKT-Risikomanagement, Incident Reporting, Resilienztests einschließlich TLPT, IKT-Drittparteienrisiko, Informationsaustausch. Anwendbar seit dem 17. Januar 2025. Im IKT-Bereich greift DORA schärfer als NIS 2, und als lex specialis hat es für Finanzunternehmen Vorrang.

EU regulationsRead entry

DR · Disaster Recovery

Disaster Recovery ist die IT-fokussierte Teilmenge des BCM: Wiederherstellung von Infrastruktur, Anwendungen und Daten nach einer Betriebsunterbrechung. RPO, RTO und Runbooks sind hier angesiedelt. Ein DR-Plan, der nie vollständig getestet wurde, ist Fiktion. ISO 24762 deckte diesen Bereich früher ab; die aktuelle Praxis verweist auf ISO 22301 in Verbindung mit den operativen Runbooks.

Resilience & continuityRead entry

DDoS · Distributed Denial of Service

DDoS is the attack that floods a service from many sources to exhaust capacity. Volumetric, protocol or application layer. Mitigation has commoditised (Cloudflare, Akamai, AWS Shield). The risk question is no longer "can we block it" but "are critical services routed through the protection, including the API ones we never see in dashboards".

Cybersecurity operationsRead entry
E

5 entries

EBIOS RM · EBIOS Risk Manager

EBIOS Risk Manager ist die Cyber-Risiko-Methode von ANSSI mit Fokus auf strategische Angriffsszenarien. Sie ordnet Geschäftsprozesse den Zielen von Angreifern zu und leitet daraus die technischen Kontrollen ab. Im französischen öffentlichen Sektor und bei Betreibern kritischer Infrastrukturen ist sie Standard. Für das Board eignet sie sich hervorragend, um zu zeigen, WARUM ein bestimmtes Szenario relevant ist; in multinationalen Privatsektor-Audits ist sie weniger verbreitet.

Risk managementRead entry

EU AI Act

Der AI Act ist die weltweit erste umfassende KI-Regulierung. Vier Risikostufen: inakzeptabel (verboten), hoch (umfangreiche Pflichten und Konformitätsbewertung), begrenzt (Transparenz), minimal. Gilt in Phasen bis August 2027. Kombinieren Sie ihn mit ISO 42001, wenn Sie eine Managementsystem-Lösung statt einer Checkliste suchen. Die GPAI-Modellregeln kommen noch hinzu.

EU regulationsRead entry

EDR · Endpoint Detection and Response

EDR ist die agentenbasierte Plattform, die Endpunkt-Aktivitäten aufzeichnet, verdächtiges Verhalten erkennt und Analysten ermöglicht, kompromittierte Hosts zu isolieren oder zu bereinigen. XDR erweitert die Sichtbarkeit auf Endpunkte, Netzwerk und Cloud; MDR ist die verwaltete Servicehülle. Der Endpunkt ist nach wie vor der häufigste Angriffsvektor; EDR ist heute eine Grundvoraussetzung, kein Differenzierungsmerkmal.

Cybersecurity operationsRead entry

ENISA · Europäische Agentur für Cybersicherheit

ENISA ist die EU-Cybersicherheitsbehörde mit Sitz in Athen. Sie unterstützt Mitgliedstaaten und EU-Institutionen in den Bereichen Cybersicherheitspolitik, operative Zusammenarbeit und den EU-Zertifizierungsrahmen. Operativ ist sie in die NIS 2-Kooperation, die Durchführungsstandards zu DORA sowie die Sicherheitsbasislinie des AI Act eingebunden. Ihr Bericht zur Bedrohungslage ist die meistzitierte jährliche Publikation in diesem Bereich.

Standards bodiesRead entry

ePrivacy-Richtlinie

Die ePrivacy-Richtlinie (2002/58/EC, geändert 2009) ist das sogenannte "Cookie-Gesetz", das kaum jemand vollständig umsetzt. Sie regelt die Vertraulichkeit elektronischer Kommunikation sowie Tracking-Technologien auf Nutzergeräten. Älter als die GDPR und nach wie vor in Kraft; die ePrivacy-Verordnung, die sie ersetzen sollte, steckt seit 2017 in den Verhandlungen fest. Nationale Datenschutzbehörden (CNIL, Garante, AEPD) setzen sie jeweils in ihrem Zuständigkeitsbereich durch.

EU regulationsRead entry
I

16 entries

ISO 19011

ISO 19011 ist die Leitliniennorm für die Auditierung von Managementsystemen. Generisch anwendbar – gilt gleichermaßen für Audits nach ISO 27001, 9001 und 22301. Die Norm definiert Auditprinzipien, Auditprogrammmanagement, den Auditzyklus und die Auditorkompetenz. Der Lead Auditor-Kurs vermittelt diese Inhalte; die Auditoren, denen Sie in der Praxis begegnen, wurden auf dieser Grundlage ausgebildet.

Audit & complianceRead entry

ISO 22301

ISO 22301 ist die internationale Norm für Business Continuity Management Systeme (BCMS). Sie legt die Anforderungen fest, um ein BCMS zu planen, zu betreiben, zu überwachen und zu verbessern, das kritische Betriebsabläufe nach einer Störung wiederherstellt. Seit DORA wird sie von Finanzaufsichtsbehörden zunehmend gefordert, ebenso von NIS 2-Aufsichtsbehörden für Betreiber wesentlicher Dienste.

Resilience & continuityRead entry

ISO 31000

ISO 31000 ist der generische Risikomanagement-Standard. Grundsätze, Rahmenwerk und iterativer Prozess. KEIN zertifizierbares Managementsystem; es gibt keinen ISO 31000 Lead Auditor, trotz gegenteiliger Aussagen in manchen Katalogen. Der PECB-Pfad lautet Foundation → Risk Manager → Lead Risk Manager. Setzen Sie diesen Standard ein, wenn das Risikomanagement über die Informationssicherheit hinausgeht.

Risk managementRead entry

ISO/IEC 27001

ISO 27001 ist das zertifizierbare Framework, anhand dessen Auditoren Ihre Informationssicherheit bewerten. Die Revision 2022 hat Annex A auf 93 Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) reduziert. Ihr ISMS steht und fällt mit der Anwendbarkeitserklärung und den operativen Nachweisen. Jeder referenziert es; wenige setzen es konsequent um.

Information securityRead entry

ISO/IEC 27002

ISO 27002 is the implementation guidance for ISO 27001's Annex A controls. Not certifiable on its own. Auditors use it when they want to challenge HOW you operate a control, not just whether it is "in place". Treat it as the operational playbook beside the certification standard.

Information securityRead entry

ISO/IEC 27005

ISO 27005 ist die Informationssicherheits-Risikomanagementmethodik, die auf ISO 27001 aufsetzt. Identifikation, Analyse, Bewertung, Behandlung, Akzeptanz. Die Revision von 2022 orientiert sich an den Grundsätzen der ISO 31000 und klärt die Beziehung zur Klausel 6 der ISO 27001. Weniger präskriptiv als EBIOS RM, jedoch die anerkannte gemeinsame Sprache im Umgang mit Auditoren.

Risk managementRead entry

ISO/IEC 27017

ISO 27017 ist die Cloud-Sicherheitserweiterung zu ISO 27001. Sie ergänzt Cloud-spezifische Controls und klärt die Aufteilung der geteilten Verantwortung zwischen Anbieter und Kunde. Wenn Ihr ISMS-Scope Hyperscaler-Workloads umfasst (AWS, Azure, GCP, OVH), werden Auditoren fragen, welche 27017-Controls Sie zuordnen.

Information securityRead entry

ISO/IEC 27018

ISO 27018 ist die Datenschutz-Kontrollerweiterung zu ISO 27001 für Cloud-Anbieter, die als Auftragsverarbeiter personenbezogener Daten tätig sind. Sie verbindet ISO 27001 mit den GDPR-Pflichten des Auftragsverarbeiters. Die Zertifizierung wird überwiegend von Hyperscalern gehalten und von deren Kunden als Input für die Lieferantensorgfaltsprüfung genutzt.

Privacy & data protectionRead entry

ISO/IEC 27034

ISO 27034 ist der Standard für Anwendungssicherheit. Mehrteilig. Deckt den sicheren Software-Lebenszyklus ab: Anforderungen, Design, Entwicklung, Test, Deployment, Betrieb. Weniger bekannt als 27001, weil er innerhalb des SDLC angesiedelt ist, aber der einzige ISO-Standard, der die Sprache von Entwicklungsteams spricht. Lässt sich natürlich mit OWASP und SBOM-Praktiken kombinieren.

Information securityRead entry

ISO/IEC 27037

ISO 27037 ist der Standard für digitale Forensik: Er regelt die Identifizierung, Erhebung, Sicherung und Aufbewahrung digitaler Beweismittel. Interne Forensik-Teams, CERTs und Litigation-Support-Berater nutzen ihn, um die Chain of Custody lückenlos zu erhalten. Betrachten Sie ihn als das Regelwerk, an dem Auditoren und Rechtsanwälte Ihre Handlungen nach einem Vorfall messen werden.

Cybersecurity operationsRead entry

ISO/IEC 27701

ISO 27701 ist die Erweiterung von ISO 27001 um ein Datenschutz-Informationsmanagementsystem. Es ergänzt das ISMS um Pflichten für Verantwortliche und Auftragsverarbeiter. Nützlich für Organisationen, die ein einziges zertifizierbares Managementsystem für Sicherheit und Datenschutz anstreben. Es lässt sich auf die GDPR abbilden, ersetzt die GDPR-Compliance-Arbeit jedoch nicht.

Privacy & data protectionRead entry

ISO/IEC 42001

ISO 42001 ist der erste internationale Standard für KI-Managementsysteme, veröffentlicht Ende 2023. Das AIMS-Äquivalent zum ISMS gemäß ISO 27001. Konzipiert für Organisationen, die KI-Design, -Einsatz und -Betrieb steuern müssen: Risiko, Verantwortlichkeit, Transparenz, kontinuierliche Verbesserung. Deckt sich direkt mit den Hochrisikopflichten des AI Act.

AI governanceRead entry

IAM · Identity and Access Management

IAM ist die Disziplin, die regelt, wer auf was zugreifen darf, wann, wie und unter welchen Bedingungen. Provisionierung, Authentifizierung, Autorisierung, Deprovisionierung. Die Identität ist der neue Perimeter. Jede Zero-Trust-Architektur ist im Kern ein anspruchsvolles IAM-Problem, das als Netzwerkproblem verkleidet ist.

Cybersecurity operationsRead entry

ISACA · Information Systems Audit and Control Association

ISACA ist die globale Vereinigung für IT-Audit-, Sicherheits-, Risiko- und Governance-Fachleute. Gegründet 1969, Hauptsitz Schaumburg IL, über 165.000 Mitglieder in 188 Ländern. Vergibt CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Veröffentlicht COBIT. Cyber Academy ist ein ISACA Accredited Premium Partner.

Standards bodiesRead entry

ISMS · Informationssicherheits-Managementsystem

Ein ISMS ist das dokumentierte System, das Sie zum Schutz von Informationswerten betreiben: risikobasiert, belegt durch Nachweise, unter Management-Review. Es ist kein Ordner voller Richtlinien. Auditoren bewerten nicht Ihre Richtlinien; sie bewerten Ihre operativen Nachweise. Plan-Do-Check-Act-Zyklus, zertifiziert nach ISO/IEC 27001, mit der SoA als zentralem Artefakt.

Information securityRead entry

Inhärentes vs. Restrisiko

Das inhärente Risiko ist die Risikoexposition vor den Kontrollen. Das Restrisiko ist das, was nach dem Betrieb der Kontrollen verbleibt. Prüfer betrachten die Lücke: Sie muss begründet, von einem namentlich genannten Eigentümer akzeptiert (oder weiterbehandelt) und mit der Risikobereitschaft vereinbar sein. Ein "Restrisiko = null" im Register ist ein Warnsignal, kein Erfolg.

Risk managementRead entry
L

4 entries

Lead Auditor

Lead Auditor ist das PECB-Credential für Praktiker, die Drittpartei- oder interne Audits eines Managementsystems planen und leiten können. Fünftägiger Kurs auf Basis von ISO 19011. Einstiegspunkt für eine Karriere als Auditor bei einer akkreditierten Zertifizierungsstelle. Andere Denkweise als beim Lead Implementer: Nachweise, Stichproben, Berichterstattung, Interviewtechnik.

Certifications & credentialsRead entry

Lead Ethical Hacker

Lead Ethical Hacker ist die PECB-zertifizierte Qualifikation für Offensive-Security-Fachleute. Sie umfasst Methodik, Scoping, Reconnaissance, Exploitation, Reporting und Ethik. Die Akkreditierungsergänzung zu praxisorientierten Zertifizierungen wie OSCP und CRTO. Ideal kombiniert mit Lead Penetration Testing Professional für die Leitung von Einsätzen.

Certifications & credentialsRead entry

Lead Implementer

Lead Implementer ist die PECB-Zertifizierung für Praktiker, die ein Managementsystem auf Basis einer spezifischen ISO-Norm (in der Regel ISO/IEC 27001, ISO/IEC 42001 oder ISO 22301) planen, aufbauen und betreiben können. Fünftägiger Kurs, Prüfung, Zertifikat. Der implementierungsseitige Teil der ISO-Disziplin; ergänzt den Lead Auditor auf der Prüfungsseite.

Certifications & credentialsRead entry

Least Privilege

Least Privilege ist das Prinzip, dass jede Identität (Mensch oder Maschine) nur die minimal erforderlichen Berechtigungen für eine Aufgabe erhält, nicht mehr. Klingt selbstverständlich; wird selten konsequent umgesetzt. Die meisten Datenexfiltrationsvorfälle beginnen mit einem übermäßig berechtigten Service-Account, den niemand bei Nachfrage begründen konnte. Kombinieren Sie dieses Prinzip mit regelmäßigen Access Reviews.

Cybersecurity operationsRead entry
N

5 entries

NIS 1 Directive

NIS 1 (Directive 2016/1148) was the EU's first cross-sector cybersecurity directive, covering operators of essential services and digital service providers. Replaced by NIS 2 in October 2024 because scope was too narrow, enforcement uneven and incident reporting toothless. Cited here mainly so you know what the "old regime" your colleagues still half-remember actually was.

EU regulationsRead entry

NIS 2 Directive

NIS 2 ist die EU-Richtlinie, die Vorstände und Geschäftsleitungen persönlich in die Pflicht nimmt. Mittelgroße und größere Unternehmen in einem der 18 aufgeführten Sektoren fallen in den Anwendungsbereich. Die Uhr läuft ab dem ersten erheblichen Vorfall: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, vollständiger Bericht nach einem Monat. Die Sanktionen sind empfindlich (10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes). Der Umsetzungsstand variiert von Land zu Land.

EU regulationsRead entry

NIST CSF · NIST Cybersecurity Framework

NIST CSF is the cybersecurity framework published by the US National Institute of Standards and Technology. The 2.0 revision (2024) added "Govern" to the existing five functions (Identify, Protect, Detect, Respond, Recover). Not certifiable; used as a maturity reference. Common companion to ISO 27001 in transatlantic organisations.

Information securityRead entry

NIST SP 800-171

NIST SP 800-171 ist der US-amerikanische Standard, der Sicherheitsanforderungen zum Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen definiert. Er bildet das technische Rückgrat von CMMC für Verteidigungsauftragnehmer. Revision 3 (2024) hat die Controls verschärft. Wer an das US-Verteidigungsministerium verkauft, ist zur Einhaltung verpflichtet; wer ausschließlich in Europa tätig ist, kann den Standard als Referenz nutzen.

Information securityRead entry

Nichtkonformität (NC)

Eine Nichtkonformität ist der Befund des Auditors, dass eine Anforderung nicht erfüllt wird. Schwerwiegende NCs gefährden das Zertifikat; geringfügige NCs erfordern einen Korrekturmaßnahmenplan mit einer Frist. Wiederholt auftretende geringfügige NCs im selben Bereich können beim nächsten Überwachungsaudit zu schwerwiegenden NCs eskalieren. Das Ziel ist nicht die Abwesenheit von NCs, sondern eine ehrliche und nachvollziehbare Korrekturmaßnahme.

Audit & complianceRead entry
P

8 entries

PCI DSS

PCI DSS is the Payment Card Industry Data Security Standard. Mandatory for anyone storing, processing or transmitting cardholder data. Version 4.0.1 is the current revision, fully mandatory since 31 March 2025. Scope-reduction (tokenisation, segmentation) is where the smart money goes; "compliant" is binary, but how small you make the scope is everything.

Audit & complianceRead entry

Patch-Management

Patch-Management ist der operative Prozess, der einen veröffentlichten Fix entgegennimmt, ihn gemäß einem definierten SLA unternehmensweit einspielt und dessen Wirksamkeit verifiziert. Häufig das schwächste Glied: Notfall-Patches kollidieren mit Change-Windows, Herstellerkompatibilität und Abhängigkeiten von Drittanbietern. Das Audit fragt stets nach dem SLA, der Ausnahmeliste und den Kennzahlen.

Cybersecurity operationsRead entry

Penetration Testing

Ein Penetrationstest ist eine autorisierte, im Umfang definierte Angriffssimulation, um ausnutzbare Schwachstellen zu finden, bevor echte Angreifer dies tun. Black Box / Grey Box / White Box, intern / extern, Applikation / Infrastruktur. Abzugrenzen vom Vulnerability Scan (automatisiert, breit angelegt) und vom Red Team (mehrere Monate, zielorientiert). Die Berichte speisen den Remediation-Backlog.

Cybersecurity operationsRead entry

Phishing

Phishing ist der Social-Engineering-Angriff, der einen Benutzer dazu verleitet, auf einen schädlichen Link zu klicken, eine schädliche Datei zu öffnen oder Zugangsdaten preiszugeben. Varianten: Spear-Phishing (gezielt), Whaling (Führungskräfte), Smishing (SMS), Vishing (Sprache), BEC (Business Email Compromise). Schulungen sind wichtig; Phishing-resistente MFA ist noch wichtiger.

Cybersecurity operationsRead entry

Privacy by Design und Privacy by Default

Privacy by Design (GDPR Artikel 25) verpflichtet dazu, Datenschutzmaßnahmen bereits in der Anforderungsphase in Systeme einzubauen. Privacy by Default verpflichtet dazu, die Option mit dem höchsten Schutzniveau zum Standard zu machen. Auditoren suchen nach dokumentierten Nachweisen (DPIA, Design-Review, Aufbewahrungsstandards) und nicht nach einem Slogan in einer Richtlinie.

Privacy & data protectionRead entry

PAM · Privileged Access Management

PAM ist die Teilmenge von IAM, die sich auf privilegierte Konten konzentriert: Admins, Root, Service-Accounts, Break-Glass. PAM verwahrt Zugangsdaten in einem Vault, vermittelt Sessions und protokolliert Aktivitäten. Es ist das erste Ziel eines Angreifers nach dem initialen Foothold und die Kontrolle, die Auditoren unter NIS 2 und DORA am intensivsten prüfen.

Cybersecurity operationsRead entry

PECB · Professional Evaluation and Certification Board

PECB ist die in Montreal ansässige akkreditierte Zertifizierungsstelle, die professionelle Zertifikate zu mehr als 30 ISO-Normen in über 150 Ländern ausstellt. Themenbereiche: Informationssicherheit, Risikomanagement, BCM, KI-Governance, Datenschutz, Qualität. Cyber Academy ist PECB Gold Partner. Die Zertifikate tragen das PECB-Branding; die Kurse werden über akkreditierte Partner durchgeführt.

Standards bodiesRead entry

Pseudonymisierung

Pseudonymisierung ist die in GDPR Artikel 4(5) definierte Technik, bei der direkte Identifikatoren durch umkehrbare Token ersetzt werden und der Schlüssel separat gespeichert wird. Sie reduziert das Risiko und schafft Vertrauen bei den Aufsichtsbehörden, doch die Daten gelten weiterhin als personenbezogene Daten. Die Anonymisierung ist die Variante, die vollständig aus dem Anwendungsbereich des GDPR herausfällt; die Pseudonymisierung hingegen nicht. Verwechseln Sie beide Begriffe nicht.

Privacy & data protectionRead entry
R

6 entries

Ransomware

Ransomware ist die Malware-Klasse, die Daten verschlüsselt und eine Zahlung für den Schlüssel fordert, häufig kombiniert mit Datendiebstahl und Erpressung (Double Extortion). Angriffsvektoren: Phishing, exponierte Systeme mit Internetzugang, Lieferkette. Versicherungen leisten weniger, Aufsichtsbehörden prüfen genauer. Das Ergebnis hängt von der Vorbereitung ab (Backups, Segmentierung, IR-Plan), nicht von der Verhandlung.

Cybersecurity operationsRead entry

RTO / RPO · Recovery Time und Recovery Point Objectives

RTO ist die maximal tolerierbare Ausfallzeit eines Geschäftsprozesses, bevor ein nicht hinnehmbarer Schaden entsteht. RPO ist der maximal akzeptable Datenverlust, gemessen in Zeit vor dem Ausfall. Beide Werte werden aus der BIA abgeleitet. Die Kennzahlen, die der CIO ohne Rücksprache mit dem Fachbereich in das BCP schreibt, sind genau die Kennzahlen, die im Ernstfall versagen.

Resilience & continuityRead entry

Risikobehandlung

Risikobehandlung ist das, was Sie tun, sobald Sie das Risiko kennen: vermeiden, reduzieren, übertragen, akzeptieren. Jede Entscheidung wird dokumentiert, durch die Risikobereitschaft begründet und über das SoA zu den Kontrollen und den Betriebsnachweisen nachverfolgt. Die meisten gescheiterten Audits lassen sich auf eine Sache zurückführen: Behandlungsplan und Realität haben sich auseinanderentwickelt, und niemand hat das SoA aktualisiert.

Risk managementRead entry

Risikobereitschaft

Risikobereitschaft ist das Ausmaß und die Art von Risiken, die eine Organisation bereit ist einzugehen, um ihre Ziele zu erreichen. Sie wird schriftlich auf Ebene der Geschäftsführung oder des Vorstands festgelegt. Ohne sie ist jede Risikobehandlungsentscheidung ein persönliches Urteil des Risikoteams – und das Audit wird das auseinandernehmen. Ergänzen Sie die Risikobereitschaft durch die Risikoakzeptanzgrenze (die tolerierte Abweichung von der Risikobereitschaft).

Risk managementRead entry

Risikoregister

Das Risikoregister ist die maßgebliche, fortlaufend gepflegte Liste identifizierter Risiken mit Analyse, Bewertung, Behandlung und Verantwortlichkeit. Kein einmaliges Tabellenblatt. Auditoren erwarten datierte Einträge, namentlich benannte Verantwortliche, nachvollziehbare Änderungen und Überprüfungszyklen, die an das Management Review gekoppelt sind. Die Board-Version ist kürzer; die operative Version enthält alles.

Risk managementRead entry

ROPA · Verzeichnis von Verarbeitungstätigkeiten

Das ROPA ist das dokumentierte Verzeichnis der Verarbeitungstätigkeiten gemäß GDPR Artikel 30. Verantwortliche führen Zweck, Kategorien, Empfänger, Speicherfristen und Übermittlungen auf; Auftragsverarbeiter listen die vertretenen Verantwortlichen, Kategorien und Übermittlungen. Die meisten Organisationen unterschätzen den Pflegeaufwand. Die Aufsichtsbehörde fordert das ROPA als Erstes an, wenn eine Untersuchung beginnt.

Privacy & data protectionRead entry
S

8 entries

SOC 2

SOC 2 ist der AICPA-Prüfbericht über die Kontrollen einer Serviceorganisation, der fünf Trust-Kriterien abdeckt (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). In Nordamerika der Standardnachweis für SaaS-Anbieter; ISO/IEC 27001 ist das europäische Äquivalent. Typ I = Stichtagsbetrachtung; Typ II = Wirksamkeit über 6–12 Monate. Wird häufig im Enterprise-Einkaufsprozess gefordert.

Audit & complianceRead entry

Schrems II

Schrems II ist das EUGH-Urteil von 2020, das das EU-US Privacy Shield aufgehoben und die Anforderung einer Transfer Impact Assessment eingeführt hat. Jede Übermittlung in ein Drittland erfordert nun eine dokumentierte Analyse des lokalen Überwachungsrechts sowie ergänzender Maßnahmen. In der Praxis durch den EU-US Data Privacy Framework (2023) abgelöst, doch die TIA-Disziplin ist geblieben.

Privacy & data protectionRead entry

SIEM · Security Information and Event Management

Ein SIEM aggregiert Logs, normalisiert Events und führt Erkennungsregeln über Ihren gesamten Stack aus. Es bildet die Sichtbarkeitsschicht, auf die das SOC angewiesen ist. Moderne SIEM-Anbieter (Splunk, Sentinel, Elastic, Sumo) bündeln zunehmend SOAR und UEBA. Die eigentliche Arbeit liegt nicht im Kauf des SIEM, sondern im Data Engineering und der anschließenden Detection-as-Code-Pipeline.

Cybersecurity operationsRead entry

SOC · Security Operations Center

Ein SOC ist das Team und die Werkzeuge, die Sicherheitsereignisse in Echtzeit überwachen, erkennen, analysieren und darauf reagieren. Gestufte Analysten (T1 Erkennung, T2 Untersuchung, T3 Threat Hunting), 8x5 oder 24x7. Intern, ausgelagert (MSSP) oder hybrid. Ohne SOC ist das SIEM ein Protokollarchiv; mit einem ist es ein Frühwarnsystem.

Cybersecurity operationsRead entry

SOAR · Security Orchestration, Automation and Response

SOAR ist die Schicht, die SIEM-Alerts verarbeitet und Playbooks ausführt: Anreicherung, Triage, Eindämmung, Ticketing. Ziel: MTTR senken und Analysten von Copy-paste-Arbeit entlasten. Vorsicht vor übertriebenen Versprechen der Anbieter: Ein SOAR ist nur so gut wie die Playbooks, die Sie schreiben und pflegen. Die meisten gescheiterten SOAR-Projekte sind an fehlenden Playbook-Autoren zugrunde gegangen.

Cybersecurity operationsRead entry

Stage 1 / Stage 2 Audit

Initial ISO certification splits into stage 1 (documentation and readiness review, usually 1–2 days) and stage 2 (operational evidence audit, 2–5 days). Stage 1 confirms the management system exists on paper; stage 2 verifies it actually operates. Most "failed" stage 2 audits are stage 1 problems that nobody fixed in between.

Audit & complianceRead entry

SCC · Standardvertragsklauseln

SCCs sind die von der Europäischen Kommission genehmigten Musterklauseln für die Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss. Die SCCs von 2021 ersetzten die älteren Versionen und erfordern seit Schrems II eine Transfer Impact Assessment (TIA). Pflichtdokumentation für jeden, der SaaS-Anbieter außerhalb der EU nutzt.

Privacy & data protectionRead entry

SoA · Statement of Applicability

Das SoA ist das kontrollierte Dokument, das dem Auditor zeigt, welche Annex-A-Controls auf Sie zutreffen, warum das so ist und wo die Nachweise zu finden sind. Pflichtdokument gemäß ISO 27001. Inkonsistenzen zwischen SoA, Risikobehandlungsplan und dem tatsächlichen Betrieb sind die häufigste Ursache für Nichtkonformitäten im Stage-2-Audit.

Information securityRead entry

Suchen Sie die praktische Schulung?

Eine Definition ist der Anfang. Eine Zertifizierung ist der Beweis.

Jeder Enzyklopädieeintrag verlinkt auf die Kohorte, die das Konzept von Anfang bis Ende vermittelt. Von NIS 2 bis ISO 42001 ist der Katalog auf derselben Seite buchbar.