GRC encyclopedia
Ehrliche, meinungsstarke Definitionen für Cybersicherheit, Datenschutz, Risiko und KI-Governance. Geschrieben aus der Perspektive eines aktiven CISO, nicht aus einem Standard kopiert. Jeder Eintrag benennt, was der Begriff in der Praxis wirklich bedeutet, was er nicht bedeutet, und wo der offizielle Text zu finden ist.
Ein Glossar, das Sie zitieren können, ohne wie eine Broschüre zu klingen.
Practitioner voice
Aus dem Prüfungsraum geschrieben, nicht aus der akademischen Bibliothek. Was der Begriff bedeutet und was häufig falsch verstanden wird.
Quellenangaben und Datum
Offizielle Quellen (EUR-Lex, ANSSI, CNIL, ENISA, ISO) bei jedem Eintrag. Revisionsdaten sichtbar.
Seitenübergreifend verknüpft
Jeder Eintrag verlinkt auf verwandte Begriffe, die Pillar-Seite und die Kohorte, die ihn vermittelt.
3 entries
AI Risk Manager ist die Zertifizierung (PECB / ISACA emerging) für Praktiker, die KI-spezifische Risikoprogramme verantworten: Modellrisiko, Bias, Drift, Transparenz, Drittanbieter-Modellrisiko. Operative Schicht, die ISO 42001 (Systemebene) und den AI Act (regulatorische Ebene) ergänzt. Häufige Ergänzung zu einem CISO oder Lead AI Auditor.
AAIA ist die weiterführende ISACA-Zertifizierung für die Prüfung von KI-Systemen, KI-Modellen und KI-Governance. Neu ab 2024. Setzt eine bestehende CISA oder gleichwertige Qualifikation voraus. Konzipiert für erfahrene Prüfer, die ihre KI-Kompetenz ausbauen. Ausgerichtet an ISO/IEC 42001 sowie den Hochrisikopflichten des EU AI Act.
ANSSI ist die französische nationale Behörde für Cybersicherheit, die seit 2009 dem Premierminister unterstellt ist. Als nationale Behörde für Cybersicherheitspolitik in Frankreich qualifiziert sie Produkte und Dienstleister, veröffentlicht EBIOS Risk Manager und fungiert als zuständige Behörde für die Umsetzung von NIS 2. Ihre Qualifizierungen (SecNumCloud, PVID, PASSI) gelten als Goldstandard im französischen öffentlichen Sektor.
3 entries
BCM ist die Disziplin, die Bedrohungen für Ihre kritischen Betriebsabläufe identifiziert und anschließend die Pläne und Verfahren entwickelt, um diese bei einer Störung aufrechtzuerhalten. Kein einmaliges Projekt. Das BCM-Team, das bei einem realen Vorfall liefert, ist dasjenige, das vor vier Monaten eine Tabletop-Übung durchgeführt und dokumentiert hat, was dabei versagt hat.
BEC ist ein gezielter Social-Engineering-Angriff, bei dem ein Angreifer eine Führungskraft oder einen Lieferanten imitiert, um eine Zahlung umzuleiten oder einen Mitarbeiter zur Freigabe zu verleiten. Keine Malware erforderlich; reines Pretexting. Der durchschnittliche Schaden pro Vorfall übersteigt den bei Ransomware. Prozesskontrollen (Funktionstrennung, Rückrufverifikation) erkennen ihn; Technologie allein nicht.
Eine BIA ist die strukturierte Analyse, die die Auswirkungen einer Unterbrechung auf jede kritische Aktivität über die Zeit quantifiziert. Die Ergebnisse umfassen den Recovery Time Objective, den Recovery Point Objective und den Minimum Business Continuity Objective. Pflichtgrundlage für ISO 22301 und DORA. Gut durchgeführt, wird sie zum Dokument, das der Vorstand tatsächlich liest.
14 entries
Die CIS Critical Security Controls sind ein priorisierter Satz von 18 Kontrollkategorien, veröffentlicht vom Center for Internet Security. Implementierungsgruppen (IG1, IG2, IG3) orientieren sich an der Reife der Organisation. Der schnellste Weg, eine kleine oder mittelgroße Organisation von null auf ein verteidigungsfähiges Niveau zu bringen. Lässt sich sauber auf ISO/IEC 27001 Annex A abbilden.
COBIT ist das ISACA-Framework für die Governance und das Management der Unternehmens-IT. Die aktuelle Ausgabe ist COBIT 2019. Die Big Four nutzen dieses Framework zur Bewertung der IT-Governance-Reife; es dient zudem als Referenz für die CGEIT-Zertifizierung. Strategischer ausgerichtet als ISO 27001, weniger präskriptiv als NIST.
CCAK ist die gemeinsame Zertifizierung von ISACA und der Cloud Security Alliance für Cloud-Auditoren. Themen sind Cloud-Governance, CCM, das STAR-Programm sowie hyperscalerspezifische Prüfungsaspekte. Die logische Erweiterung für einen CISA-Inhaber, dessen Prüfungsumfang cloud-first geworden ist.
CCOA ist das praxisorientierte Cybersecurity-Operations-Zertifikat von ISACA mit Fokus auf SOC-Arbeit: Monitoring, Detection, Response, Recovery. Es ist das technische Pendant zum CISM und richtet sich an Analysten und Incident Responder, nicht an Manager oder Auditoren.
CDPSE ist die technische Datenschutz-Zertifizierung von ISACA. Drei Domänen: Privacy Governance, Privacy-Architektur, Datenlebenszyklus. Die technische Ergänzung zu den policy-orientierten DPO/CDPO-Zertifizierungen. Besonders geeignet für Sicherheitsteams, die für die Datenschutz-Implementierung verantwortlich sind, sowie für Architekten, die unter GDPR oder AI Act arbeiten.
CISM ist die ISACA-Zertifizierung für Informationssicherheitsmanager: Governance, Programmmanagement, Risikomanagement, Incident Management. Der Goldstandard für Führungsrollen im Sicherheitsbereich, der in etwa 60 % der CISO-Stellenausschreibungen gefordert wird. Andere Perspektive als CISSP: managementorientiert, weniger technisch.
CISA ist die führende IT-Audit-Zertifizierung, vergeben von ISACA seit 1978. Fünf Domänen decken den Auditprozess, Governance, Beschaffung, Betrieb und Asset-Schutz ab. Die Zertifizierung, auf die Big-Four-Mandate standardmäßig zurückgreifen. Weltweit anerkannt; in regulierten Branchen für viele Internal-Audit- und Compliance-Funktionen obligatorisch.
CRISC ist die ISACA-Zertifizierung im Risikobereich für IT-Risk-Praktiker. Identifikation, Bewertung, Reaktion und Überwachung im Kontext von Informationssystemen. Sie verbindet Business- und IT-Risikomanagement. Die natürliche Ergänzung zu CISA für Auditoren, die in den Risikobereich wechseln, sowie zu ISO 27005 / 31000 für ISO-zertifizierte Praktiker, die das ISACA-Vokabular ergänzen möchten.
CGEIT ist die ISACA-Zertifizierung für erfahrene Fachkräfte, die in der Governance von Enterprise-IT beraten: strategische Ausrichtung, Wertschöpfung, Risiko- und Ressourcenoptimierung. Grundlage ist COBIT. Der Markt ist kleiner als bei CISA / CISM, aber CGEIT ist die richtige Zertifizierung für CIOs, IT-Berater auf Vorstandsebene und Senior Consultants.
Der CISO ist die Führungskraft, die für die Informationssicherheitsstrategie verantwortlich ist. Sie verantwortet das Risikoregister, leitet die Incident Response, berichtet dem Vorstand und zeichnet für das Restrisiko. Unter NIS 2 und DORA ist diese Verantwortung nun explizit und persönlich. Die Aufgabe ist Governance, nicht Umsetzung; das Schwierigste ist die Übersetzung in die Sprache des Vorstands.
Die CNIL ist die französische Datenschutzbehörde, gegründet 1978. Sie setzt den GDPR in Frankreich durch, erlässt verbindliche Entscheidungen und Bußgelder, veröffentlicht Leitlinien (Cookies, Biometrie, KI) und betreibt das PIA-Tool. Sie gehört zu den aktivsten Aufsichtsbehörden in der EU; ihre Entscheidungen setzen häufig EU-weite Maßstäbe.
Der Cyber Resilience Act ist die EU-Verordnung, die grundlegende Sicherheitsanforderungen an Hardware- und Softwareprodukte mit digitalen Elementen stellt, die in Europa vertrieben werden. Herstellerpflichten über den gesamten Lebenszyklus: Security-by-Design, Schwachstellenbehandlung, SBOM, fünf Jahre Patches. Ende 2024 verabschiedet, gilt ab Dezember 2027. Kombinieren Sie ihn mit NIS 2 (organisatorische Perspektive) und dem AI Act (Modellperspektive).
CMMC ist das Cybersecurity-Reifegradmodell, das das US-Verteidigungsministerium seinen Auftragnehmern vorschreibt, die mit Federal Contract Information und Controlled Unclassified Information umgehen. CMMC 2.0 wurde auf drei Stufen reduziert (Foundational, Advanced, Expert), die an NIST SP 800-171 und 800-172 ausgerichtet sind. Wer an das DoD liefert oder Teil seiner Lieferkette ist, fällt in den Geltungsbereich.
CSX-P ist die praxisorientierte ISACA-Zertifizierung für Cybersecurity-Praktiker. Die Prüfung findet in einer Live-Cyber-Range-Umgebung statt und deckt die fünf Funktionen des NIST CSF ab. Weniger bekannt als CISM oder CISA, aber eine der seltenen Zertifizierungen, bei der die Prüfung testet, was Sie tatsächlich tun, nicht was Sie darüber schreiben können.
6 entries
Der DPO ist die gemäß GDPR vorgeschriebene Funktion, die die Compliance überwacht, den Verantwortlichen berät und als Anlaufstelle für die Aufsichtsbehörde fungiert. Pflichtrolle für öffentliche Stellen sowie für Verarbeitungstätigkeiten, die eine umfangreiche systematische Überwachung oder die Verarbeitung besonderer Kategorien personenbezogener Daten erfordern. Unabhängigkeit und Zugang zur Leitungsebene sind die zwei Punkte, die Prüfer tatsächlich kontrollieren.
Eine DPIA ist die strukturierte Analyse, die das GDPR vor einer Verarbeitung mit hohem Risiko vorschreibt. Sie dokumentiert Art, Umfang, Kontext und Zwecke der Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit und identifiziert Maßnahmen zur Risikoминimierung. Die CNIL stellt ein kostenloses PIA-Tool bereit. Wer eine erforderliche DPIA weglässt, lädt Aufsichtsbehörden geradezu ein.
Defense in Depth ist das Prinzip der gestaffelten Kontrollen, damit kein einzelner Ausfall das gesamte System gefährdet. Netzwerk, Endpunkt, Anwendung, Daten, Personal, physische Ebene – jede Schicht verlangsamt den Angreifer, erhöht seinen Aufwand und verschafft Ihnen Zeit zur Erkennung. Grundlegend seit den 1990er Jahren. Auditoren erwarten dieses Prinzip; Anbieter nutzen es gerne, um zusätzliche Schichten zu verkaufen.
DORA ist die EU-Verordnung, die Finanzunternehmen und ihren kritischen IKT-Drittanbietern einen einheitlichen Resilienzrahmen vorschreibt. Fünf Säulen: IKT-Risikomanagement, Incident Reporting, Resilienztests einschließlich TLPT, IKT-Drittparteienrisiko, Informationsaustausch. Anwendbar seit dem 17. Januar 2025. Im IKT-Bereich greift DORA schärfer als NIS 2, und als lex specialis hat es für Finanzunternehmen Vorrang.
Disaster Recovery ist die IT-fokussierte Teilmenge des BCM: Wiederherstellung von Infrastruktur, Anwendungen und Daten nach einer Betriebsunterbrechung. RPO, RTO und Runbooks sind hier angesiedelt. Ein DR-Plan, der nie vollständig getestet wurde, ist Fiktion. ISO 24762 deckte diesen Bereich früher ab; die aktuelle Praxis verweist auf ISO 22301 in Verbindung mit den operativen Runbooks.
DDoS is the attack that floods a service from many sources to exhaust capacity. Volumetric, protocol or application layer. Mitigation has commoditised (Cloudflare, Akamai, AWS Shield). The risk question is no longer "can we block it" but "are critical services routed through the protection, including the API ones we never see in dashboards".
5 entries
EBIOS Risk Manager ist die Cyber-Risiko-Methode von ANSSI mit Fokus auf strategische Angriffsszenarien. Sie ordnet Geschäftsprozesse den Zielen von Angreifern zu und leitet daraus die technischen Kontrollen ab. Im französischen öffentlichen Sektor und bei Betreibern kritischer Infrastrukturen ist sie Standard. Für das Board eignet sie sich hervorragend, um zu zeigen, WARUM ein bestimmtes Szenario relevant ist; in multinationalen Privatsektor-Audits ist sie weniger verbreitet.
Der AI Act ist die weltweit erste umfassende KI-Regulierung. Vier Risikostufen: inakzeptabel (verboten), hoch (umfangreiche Pflichten und Konformitätsbewertung), begrenzt (Transparenz), minimal. Gilt in Phasen bis August 2027. Kombinieren Sie ihn mit ISO 42001, wenn Sie eine Managementsystem-Lösung statt einer Checkliste suchen. Die GPAI-Modellregeln kommen noch hinzu.
EDR ist die agentenbasierte Plattform, die Endpunkt-Aktivitäten aufzeichnet, verdächtiges Verhalten erkennt und Analysten ermöglicht, kompromittierte Hosts zu isolieren oder zu bereinigen. XDR erweitert die Sichtbarkeit auf Endpunkte, Netzwerk und Cloud; MDR ist die verwaltete Servicehülle. Der Endpunkt ist nach wie vor der häufigste Angriffsvektor; EDR ist heute eine Grundvoraussetzung, kein Differenzierungsmerkmal.
ENISA ist die EU-Cybersicherheitsbehörde mit Sitz in Athen. Sie unterstützt Mitgliedstaaten und EU-Institutionen in den Bereichen Cybersicherheitspolitik, operative Zusammenarbeit und den EU-Zertifizierungsrahmen. Operativ ist sie in die NIS 2-Kooperation, die Durchführungsstandards zu DORA sowie die Sicherheitsbasislinie des AI Act eingebunden. Ihr Bericht zur Bedrohungslage ist die meistzitierte jährliche Publikation in diesem Bereich.
Die ePrivacy-Richtlinie (2002/58/EC, geändert 2009) ist das sogenannte "Cookie-Gesetz", das kaum jemand vollständig umsetzt. Sie regelt die Vertraulichkeit elektronischer Kommunikation sowie Tracking-Technologien auf Nutzergeräten. Älter als die GDPR und nach wie vor in Kraft; die ePrivacy-Verordnung, die sie ersetzen sollte, steckt seit 2017 in den Verhandlungen fest. Nationale Datenschutzbehörden (CNIL, Garante, AEPD) setzen sie jeweils in ihrem Zuständigkeitsbereich durch.
16 entries
ISO 19011 ist die Leitliniennorm für die Auditierung von Managementsystemen. Generisch anwendbar – gilt gleichermaßen für Audits nach ISO 27001, 9001 und 22301. Die Norm definiert Auditprinzipien, Auditprogrammmanagement, den Auditzyklus und die Auditorkompetenz. Der Lead Auditor-Kurs vermittelt diese Inhalte; die Auditoren, denen Sie in der Praxis begegnen, wurden auf dieser Grundlage ausgebildet.
ISO 22301 ist die internationale Norm für Business Continuity Management Systeme (BCMS). Sie legt die Anforderungen fest, um ein BCMS zu planen, zu betreiben, zu überwachen und zu verbessern, das kritische Betriebsabläufe nach einer Störung wiederherstellt. Seit DORA wird sie von Finanzaufsichtsbehörden zunehmend gefordert, ebenso von NIS 2-Aufsichtsbehörden für Betreiber wesentlicher Dienste.
ISO 31000 ist der generische Risikomanagement-Standard. Grundsätze, Rahmenwerk und iterativer Prozess. KEIN zertifizierbares Managementsystem; es gibt keinen ISO 31000 Lead Auditor, trotz gegenteiliger Aussagen in manchen Katalogen. Der PECB-Pfad lautet Foundation → Risk Manager → Lead Risk Manager. Setzen Sie diesen Standard ein, wenn das Risikomanagement über die Informationssicherheit hinausgeht.
ISO 27001 ist das zertifizierbare Framework, anhand dessen Auditoren Ihre Informationssicherheit bewerten. Die Revision 2022 hat Annex A auf 93 Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) reduziert. Ihr ISMS steht und fällt mit der Anwendbarkeitserklärung und den operativen Nachweisen. Jeder referenziert es; wenige setzen es konsequent um.
ISO 27002 is the implementation guidance for ISO 27001's Annex A controls. Not certifiable on its own. Auditors use it when they want to challenge HOW you operate a control, not just whether it is "in place". Treat it as the operational playbook beside the certification standard.
ISO 27005 ist die Informationssicherheits-Risikomanagementmethodik, die auf ISO 27001 aufsetzt. Identifikation, Analyse, Bewertung, Behandlung, Akzeptanz. Die Revision von 2022 orientiert sich an den Grundsätzen der ISO 31000 und klärt die Beziehung zur Klausel 6 der ISO 27001. Weniger präskriptiv als EBIOS RM, jedoch die anerkannte gemeinsame Sprache im Umgang mit Auditoren.
ISO 27017 ist die Cloud-Sicherheitserweiterung zu ISO 27001. Sie ergänzt Cloud-spezifische Controls und klärt die Aufteilung der geteilten Verantwortung zwischen Anbieter und Kunde. Wenn Ihr ISMS-Scope Hyperscaler-Workloads umfasst (AWS, Azure, GCP, OVH), werden Auditoren fragen, welche 27017-Controls Sie zuordnen.
ISO 27018 ist die Datenschutz-Kontrollerweiterung zu ISO 27001 für Cloud-Anbieter, die als Auftragsverarbeiter personenbezogener Daten tätig sind. Sie verbindet ISO 27001 mit den GDPR-Pflichten des Auftragsverarbeiters. Die Zertifizierung wird überwiegend von Hyperscalern gehalten und von deren Kunden als Input für die Lieferantensorgfaltsprüfung genutzt.
ISO 27034 ist der Standard für Anwendungssicherheit. Mehrteilig. Deckt den sicheren Software-Lebenszyklus ab: Anforderungen, Design, Entwicklung, Test, Deployment, Betrieb. Weniger bekannt als 27001, weil er innerhalb des SDLC angesiedelt ist, aber der einzige ISO-Standard, der die Sprache von Entwicklungsteams spricht. Lässt sich natürlich mit OWASP und SBOM-Praktiken kombinieren.
ISO 27037 ist der Standard für digitale Forensik: Er regelt die Identifizierung, Erhebung, Sicherung und Aufbewahrung digitaler Beweismittel. Interne Forensik-Teams, CERTs und Litigation-Support-Berater nutzen ihn, um die Chain of Custody lückenlos zu erhalten. Betrachten Sie ihn als das Regelwerk, an dem Auditoren und Rechtsanwälte Ihre Handlungen nach einem Vorfall messen werden.
ISO 27701 ist die Erweiterung von ISO 27001 um ein Datenschutz-Informationsmanagementsystem. Es ergänzt das ISMS um Pflichten für Verantwortliche und Auftragsverarbeiter. Nützlich für Organisationen, die ein einziges zertifizierbares Managementsystem für Sicherheit und Datenschutz anstreben. Es lässt sich auf die GDPR abbilden, ersetzt die GDPR-Compliance-Arbeit jedoch nicht.
ISO 42001 ist der erste internationale Standard für KI-Managementsysteme, veröffentlicht Ende 2023. Das AIMS-Äquivalent zum ISMS gemäß ISO 27001. Konzipiert für Organisationen, die KI-Design, -Einsatz und -Betrieb steuern müssen: Risiko, Verantwortlichkeit, Transparenz, kontinuierliche Verbesserung. Deckt sich direkt mit den Hochrisikopflichten des AI Act.
IAM ist die Disziplin, die regelt, wer auf was zugreifen darf, wann, wie und unter welchen Bedingungen. Provisionierung, Authentifizierung, Autorisierung, Deprovisionierung. Die Identität ist der neue Perimeter. Jede Zero-Trust-Architektur ist im Kern ein anspruchsvolles IAM-Problem, das als Netzwerkproblem verkleidet ist.
ISACA ist die globale Vereinigung für IT-Audit-, Sicherheits-, Risiko- und Governance-Fachleute. Gegründet 1969, Hauptsitz Schaumburg IL, über 165.000 Mitglieder in 188 Ländern. Vergibt CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Veröffentlicht COBIT. Cyber Academy ist ein ISACA Accredited Premium Partner.
Ein ISMS ist das dokumentierte System, das Sie zum Schutz von Informationswerten betreiben: risikobasiert, belegt durch Nachweise, unter Management-Review. Es ist kein Ordner voller Richtlinien. Auditoren bewerten nicht Ihre Richtlinien; sie bewerten Ihre operativen Nachweise. Plan-Do-Check-Act-Zyklus, zertifiziert nach ISO/IEC 27001, mit der SoA als zentralem Artefakt.
Das inhärente Risiko ist die Risikoexposition vor den Kontrollen. Das Restrisiko ist das, was nach dem Betrieb der Kontrollen verbleibt. Prüfer betrachten die Lücke: Sie muss begründet, von einem namentlich genannten Eigentümer akzeptiert (oder weiterbehandelt) und mit der Risikobereitschaft vereinbar sein. Ein "Restrisiko = null" im Register ist ein Warnsignal, kein Erfolg.
4 entries
Lead Auditor ist das PECB-Credential für Praktiker, die Drittpartei- oder interne Audits eines Managementsystems planen und leiten können. Fünftägiger Kurs auf Basis von ISO 19011. Einstiegspunkt für eine Karriere als Auditor bei einer akkreditierten Zertifizierungsstelle. Andere Denkweise als beim Lead Implementer: Nachweise, Stichproben, Berichterstattung, Interviewtechnik.
Lead Ethical Hacker ist die PECB-zertifizierte Qualifikation für Offensive-Security-Fachleute. Sie umfasst Methodik, Scoping, Reconnaissance, Exploitation, Reporting und Ethik. Die Akkreditierungsergänzung zu praxisorientierten Zertifizierungen wie OSCP und CRTO. Ideal kombiniert mit Lead Penetration Testing Professional für die Leitung von Einsätzen.
Lead Implementer ist die PECB-Zertifizierung für Praktiker, die ein Managementsystem auf Basis einer spezifischen ISO-Norm (in der Regel ISO/IEC 27001, ISO/IEC 42001 oder ISO 22301) planen, aufbauen und betreiben können. Fünftägiger Kurs, Prüfung, Zertifikat. Der implementierungsseitige Teil der ISO-Disziplin; ergänzt den Lead Auditor auf der Prüfungsseite.
Least Privilege ist das Prinzip, dass jede Identität (Mensch oder Maschine) nur die minimal erforderlichen Berechtigungen für eine Aufgabe erhält, nicht mehr. Klingt selbstverständlich; wird selten konsequent umgesetzt. Die meisten Datenexfiltrationsvorfälle beginnen mit einem übermäßig berechtigten Service-Account, den niemand bei Nachfrage begründen konnte. Kombinieren Sie dieses Prinzip mit regelmäßigen Access Reviews.
3 entries
MITRE ATT&CK ist die offene Wissensdatenbank mit Adversary Tactics, Techniques and Procedures (TTPs), die in der Praxis beobachtet wurden. Sie bildet das Standardvokabular für eine bedrohungsbasierte Verteidigung: Erkennungsregeln, Red-Team-Szenarien, SOC-Analystenschulungen. Kontinuierlich aktualisiert, kostenlos nutzbar. Wenn Ihre SIEM-Regeln keine ATT&CK-Technik-IDs referenzieren, arbeiten Sie unnötig aufwendig.
MTTD ist die durchschnittliche Zeitspanne vom Beginn eines Vorfalls bis zu seiner Erkennung. MTTR ist die durchschnittliche Zeitspanne von der Erkennung bis zur Wiederherstellung. Zusammen bilden sie die zentralen operativen Kennzahlen eines SOC und eines Incident-Response-Programms. Branchenbenchmarks liegen im Bereich von Tagen oder Wochen; reife Programme zielen auf Stunden ab.
MFA is the requirement that authentication uses two or more factors from different categories (knowledge, possession, inherence). Not all MFA is equal: SMS and email codes are phishable, push notifications get fatigued, hardware tokens and passkeys are the strong forms. NIS 2 and DORA both mandate "strong" MFA on critical access.
5 entries
NIS 1 (Directive 2016/1148) was the EU's first cross-sector cybersecurity directive, covering operators of essential services and digital service providers. Replaced by NIS 2 in October 2024 because scope was too narrow, enforcement uneven and incident reporting toothless. Cited here mainly so you know what the "old regime" your colleagues still half-remember actually was.
NIS 2 ist die EU-Richtlinie, die Vorstände und Geschäftsleitungen persönlich in die Pflicht nimmt. Mittelgroße und größere Unternehmen in einem der 18 aufgeführten Sektoren fallen in den Anwendungsbereich. Die Uhr läuft ab dem ersten erheblichen Vorfall: Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden, vollständiger Bericht nach einem Monat. Die Sanktionen sind empfindlich (10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes). Der Umsetzungsstand variiert von Land zu Land.
NIST CSF is the cybersecurity framework published by the US National Institute of Standards and Technology. The 2.0 revision (2024) added "Govern" to the existing five functions (Identify, Protect, Detect, Respond, Recover). Not certifiable; used as a maturity reference. Common companion to ISO 27001 in transatlantic organisations.
NIST SP 800-171 ist der US-amerikanische Standard, der Sicherheitsanforderungen zum Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen definiert. Er bildet das technische Rückgrat von CMMC für Verteidigungsauftragnehmer. Revision 3 (2024) hat die Controls verschärft. Wer an das US-Verteidigungsministerium verkauft, ist zur Einhaltung verpflichtet; wer ausschließlich in Europa tätig ist, kann den Standard als Referenz nutzen.
Eine Nichtkonformität ist der Befund des Auditors, dass eine Anforderung nicht erfüllt wird. Schwerwiegende NCs gefährden das Zertifikat; geringfügige NCs erfordern einen Korrekturmaßnahmenplan mit einer Frist. Wiederholt auftretende geringfügige NCs im selben Bereich können beim nächsten Überwachungsaudit zu schwerwiegenden NCs eskalieren. Das Ziel ist nicht die Abwesenheit von NCs, sondern eine ehrliche und nachvollziehbare Korrekturmaßnahme.
8 entries
PCI DSS is the Payment Card Industry Data Security Standard. Mandatory for anyone storing, processing or transmitting cardholder data. Version 4.0.1 is the current revision, fully mandatory since 31 March 2025. Scope-reduction (tokenisation, segmentation) is where the smart money goes; "compliant" is binary, but how small you make the scope is everything.
Patch-Management ist der operative Prozess, der einen veröffentlichten Fix entgegennimmt, ihn gemäß einem definierten SLA unternehmensweit einspielt und dessen Wirksamkeit verifiziert. Häufig das schwächste Glied: Notfall-Patches kollidieren mit Change-Windows, Herstellerkompatibilität und Abhängigkeiten von Drittanbietern. Das Audit fragt stets nach dem SLA, der Ausnahmeliste und den Kennzahlen.
Ein Penetrationstest ist eine autorisierte, im Umfang definierte Angriffssimulation, um ausnutzbare Schwachstellen zu finden, bevor echte Angreifer dies tun. Black Box / Grey Box / White Box, intern / extern, Applikation / Infrastruktur. Abzugrenzen vom Vulnerability Scan (automatisiert, breit angelegt) und vom Red Team (mehrere Monate, zielorientiert). Die Berichte speisen den Remediation-Backlog.
Phishing ist der Social-Engineering-Angriff, der einen Benutzer dazu verleitet, auf einen schädlichen Link zu klicken, eine schädliche Datei zu öffnen oder Zugangsdaten preiszugeben. Varianten: Spear-Phishing (gezielt), Whaling (Führungskräfte), Smishing (SMS), Vishing (Sprache), BEC (Business Email Compromise). Schulungen sind wichtig; Phishing-resistente MFA ist noch wichtiger.
Privacy by Design (GDPR Artikel 25) verpflichtet dazu, Datenschutzmaßnahmen bereits in der Anforderungsphase in Systeme einzubauen. Privacy by Default verpflichtet dazu, die Option mit dem höchsten Schutzniveau zum Standard zu machen. Auditoren suchen nach dokumentierten Nachweisen (DPIA, Design-Review, Aufbewahrungsstandards) und nicht nach einem Slogan in einer Richtlinie.
PAM ist die Teilmenge von IAM, die sich auf privilegierte Konten konzentriert: Admins, Root, Service-Accounts, Break-Glass. PAM verwahrt Zugangsdaten in einem Vault, vermittelt Sessions und protokolliert Aktivitäten. Es ist das erste Ziel eines Angreifers nach dem initialen Foothold und die Kontrolle, die Auditoren unter NIS 2 und DORA am intensivsten prüfen.
PECB ist die in Montreal ansässige akkreditierte Zertifizierungsstelle, die professionelle Zertifikate zu mehr als 30 ISO-Normen in über 150 Ländern ausstellt. Themenbereiche: Informationssicherheit, Risikomanagement, BCM, KI-Governance, Datenschutz, Qualität. Cyber Academy ist PECB Gold Partner. Die Zertifikate tragen das PECB-Branding; die Kurse werden über akkreditierte Partner durchgeführt.
Pseudonymisierung ist die in GDPR Artikel 4(5) definierte Technik, bei der direkte Identifikatoren durch umkehrbare Token ersetzt werden und der Schlüssel separat gespeichert wird. Sie reduziert das Risiko und schafft Vertrauen bei den Aufsichtsbehörden, doch die Daten gelten weiterhin als personenbezogene Daten. Die Anonymisierung ist die Variante, die vollständig aus dem Anwendungsbereich des GDPR herausfällt; die Pseudonymisierung hingegen nicht. Verwechseln Sie beide Begriffe nicht.
6 entries
Ransomware ist die Malware-Klasse, die Daten verschlüsselt und eine Zahlung für den Schlüssel fordert, häufig kombiniert mit Datendiebstahl und Erpressung (Double Extortion). Angriffsvektoren: Phishing, exponierte Systeme mit Internetzugang, Lieferkette. Versicherungen leisten weniger, Aufsichtsbehörden prüfen genauer. Das Ergebnis hängt von der Vorbereitung ab (Backups, Segmentierung, IR-Plan), nicht von der Verhandlung.
RTO ist die maximal tolerierbare Ausfallzeit eines Geschäftsprozesses, bevor ein nicht hinnehmbarer Schaden entsteht. RPO ist der maximal akzeptable Datenverlust, gemessen in Zeit vor dem Ausfall. Beide Werte werden aus der BIA abgeleitet. Die Kennzahlen, die der CIO ohne Rücksprache mit dem Fachbereich in das BCP schreibt, sind genau die Kennzahlen, die im Ernstfall versagen.
Risikobehandlung ist das, was Sie tun, sobald Sie das Risiko kennen: vermeiden, reduzieren, übertragen, akzeptieren. Jede Entscheidung wird dokumentiert, durch die Risikobereitschaft begründet und über das SoA zu den Kontrollen und den Betriebsnachweisen nachverfolgt. Die meisten gescheiterten Audits lassen sich auf eine Sache zurückführen: Behandlungsplan und Realität haben sich auseinanderentwickelt, und niemand hat das SoA aktualisiert.
Risikobereitschaft ist das Ausmaß und die Art von Risiken, die eine Organisation bereit ist einzugehen, um ihre Ziele zu erreichen. Sie wird schriftlich auf Ebene der Geschäftsführung oder des Vorstands festgelegt. Ohne sie ist jede Risikobehandlungsentscheidung ein persönliches Urteil des Risikoteams – und das Audit wird das auseinandernehmen. Ergänzen Sie die Risikobereitschaft durch die Risikoakzeptanzgrenze (die tolerierte Abweichung von der Risikobereitschaft).
Das Risikoregister ist die maßgebliche, fortlaufend gepflegte Liste identifizierter Risiken mit Analyse, Bewertung, Behandlung und Verantwortlichkeit. Kein einmaliges Tabellenblatt. Auditoren erwarten datierte Einträge, namentlich benannte Verantwortliche, nachvollziehbare Änderungen und Überprüfungszyklen, die an das Management Review gekoppelt sind. Die Board-Version ist kürzer; die operative Version enthält alles.
Das ROPA ist das dokumentierte Verzeichnis der Verarbeitungstätigkeiten gemäß GDPR Artikel 30. Verantwortliche führen Zweck, Kategorien, Empfänger, Speicherfristen und Übermittlungen auf; Auftragsverarbeiter listen die vertretenen Verantwortlichen, Kategorien und Übermittlungen. Die meisten Organisationen unterschätzen den Pflegeaufwand. Die Aufsichtsbehörde fordert das ROPA als Erstes an, wenn eine Untersuchung beginnt.
8 entries
SOC 2 ist der AICPA-Prüfbericht über die Kontrollen einer Serviceorganisation, der fünf Trust-Kriterien abdeckt (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). In Nordamerika der Standardnachweis für SaaS-Anbieter; ISO/IEC 27001 ist das europäische Äquivalent. Typ I = Stichtagsbetrachtung; Typ II = Wirksamkeit über 6–12 Monate. Wird häufig im Enterprise-Einkaufsprozess gefordert.
Schrems II ist das EUGH-Urteil von 2020, das das EU-US Privacy Shield aufgehoben und die Anforderung einer Transfer Impact Assessment eingeführt hat. Jede Übermittlung in ein Drittland erfordert nun eine dokumentierte Analyse des lokalen Überwachungsrechts sowie ergänzender Maßnahmen. In der Praxis durch den EU-US Data Privacy Framework (2023) abgelöst, doch die TIA-Disziplin ist geblieben.
Ein SIEM aggregiert Logs, normalisiert Events und führt Erkennungsregeln über Ihren gesamten Stack aus. Es bildet die Sichtbarkeitsschicht, auf die das SOC angewiesen ist. Moderne SIEM-Anbieter (Splunk, Sentinel, Elastic, Sumo) bündeln zunehmend SOAR und UEBA. Die eigentliche Arbeit liegt nicht im Kauf des SIEM, sondern im Data Engineering und der anschließenden Detection-as-Code-Pipeline.
Ein SOC ist das Team und die Werkzeuge, die Sicherheitsereignisse in Echtzeit überwachen, erkennen, analysieren und darauf reagieren. Gestufte Analysten (T1 Erkennung, T2 Untersuchung, T3 Threat Hunting), 8x5 oder 24x7. Intern, ausgelagert (MSSP) oder hybrid. Ohne SOC ist das SIEM ein Protokollarchiv; mit einem ist es ein Frühwarnsystem.
SOAR ist die Schicht, die SIEM-Alerts verarbeitet und Playbooks ausführt: Anreicherung, Triage, Eindämmung, Ticketing. Ziel: MTTR senken und Analysten von Copy-paste-Arbeit entlasten. Vorsicht vor übertriebenen Versprechen der Anbieter: Ein SOAR ist nur so gut wie die Playbooks, die Sie schreiben und pflegen. Die meisten gescheiterten SOAR-Projekte sind an fehlenden Playbook-Autoren zugrunde gegangen.
Initial ISO certification splits into stage 1 (documentation and readiness review, usually 1–2 days) and stage 2 (operational evidence audit, 2–5 days). Stage 1 confirms the management system exists on paper; stage 2 verifies it actually operates. Most "failed" stage 2 audits are stage 1 problems that nobody fixed in between.
SCCs sind die von der Europäischen Kommission genehmigten Musterklauseln für die Übermittlung personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss. Die SCCs von 2021 ersetzten die älteren Versionen und erfordern seit Schrems II eine Transfer Impact Assessment (TIA). Pflichtdokumentation für jeden, der SaaS-Anbieter außerhalb der EU nutzt.
Das SoA ist das kontrollierte Dokument, das dem Auditor zeigt, welche Annex-A-Controls auf Sie zutreffen, warum das so ist und wo die Nachweise zu finden sind. Pflichtdokument gemäß ISO 27001. Inkonsistenzen zwischen SoA, Risikobehandlungsplan und dem tatsächlichen Betrieb sind die häufigste Ursache für Nichtkonformitäten im Stage-2-Audit.
3 entries
Eine Tabletop-Übung ist eine diskussionsbasierte Simulation eines Störungsszenarios mit dem Response-Team am Tisch. Kostengünstig, schnell und deckt Lücken auf, die kein Dokumentenreview aufzeigt. Pflichtpraxis gemäß ISO 22301, NIS 2 und DORA sowie die Maßnahme mit dem höchsten ROI in einem BCM-Programm. Planen Sie sie vierteljährlich ein, nicht jährlich.
TPRM ist die Disziplin, die das durch Lieferanten, Unterauftragnehmer und Dienstleister eingebrachte Risiko steuert. Onboarding-Due-Diligence, Vertragsklauseln, laufende Überwachung, Offboarding. Vorgeschrieben durch NIS 2 (Supply-Chain-Sicherheit) und DORA (IKT-Drittparteienrisiko). Der Crowdstrike-Ausfall und der SolarWinds-Vorfall haben TPRM zu einem Thema auf Vorstandsebene gemacht.
TLPT ist die von der Aufsichtsbehörde beaufsichtigte Red-Team-Übung, die DORA für bedeutende Finanzunternehmen vorschreibt. Sie basiert auf dem TIBER-EU-Framework (Threat Intelligence-Based Ethical Red Teaming). Die Übung erstreckt sich über mehrere Monate, ist geheimdienstlich gesteuert und wird von der nationalen Behörde überwacht. Es ist der anspruchsvollste Test, dem ein CISO sich stellen muss, und derjenige, der das SOC so zeigt, wie es wirklich ist.
Suchen Sie die praktische Schulung?
Jeder Enzyklopädieeintrag verlinkt auf die Kohorte, die das Konzept von Anfang bis Ende vermittelt. Von NIS 2 bis ISO 42001 ist der Katalog auf derselben Seite buchbar.