Glossar
Advanced Persistent Threats (APT) sind eine besondere Art von Cyber-Angriffen, bei denen die Angreifer versuchen, lange Zeit unbemerkt in das Netzwerk einzudringen und Daten über einen ausgedehnten Zeitraum zu stehlen oder zu sabotieren. Angreifer setzen dabei meist auf eine Kombination verschiedener Angriffsvektoren, die individuell auf die Zielorganisation angepasst und abgestimt sind (z.B. Phishing und Spear-Phishing Angriffe, Social Engineering oder das Ausnutzen von Zero-Day-Vulnerabilities). Nachdem der initiale Angriff erfolgreich ist, versuche die Angreifen ihre Präsenz zu verschleiern, Spuren zu beseitigen und dabei langsam weiter in verbundene IT-Systeme vorzudringen. Bei APT handelt es sich im komplexe und teure Angriffe auf entsprechend attraktive Ziele. Sie sind häufig von staatlichen Akteuren oder anderen organisierten Gruppen durchgeführt.
Mithilfe eines Assessment (Bewertung/Audit) kann der Reifegrad eines Unternehmens im Information Security Management beurteilt werden. In der Folge kann auf Basis dieser Standortbestimmung ein Plan für notwendige Verbesserungsmaßnahmen entwickelt werden.
Betriebliches Kontinuitätsmanagement (Business Continuity Management, BCM) ist ein Prozess, der darauf abzielt im Falle von unerwarteten Ereignissen wie Naturkatastrophen, Cyberangriffen oder anderen Schadensfällen die Fähigkeit eines Unternehmens sicherzustellen, wichtige Geschäftsprozesse aufrechtzuerhalten oder schnell wiederherzustellen. Das Ziel von BCM ist es, das Risiko von Ausfallzeiten und damit verbundenen Verlusten zu minimieren und die Fortführung der Geschäftstätigkeit zu gewährleisten. BCM umfasst die Identifikation von Risiken, die Analyse von Auswirkungen, die Entwicklung von Maßnahmen zur Risikominderung und -bewältigung sowie die Durchführung von Tests und Übungen zur Überprüfung der Wirksamkeit der Maßnahmen.
Die CISA (Cybersecurity and Infrastructure Security Agency) ist eine Behörde des US-Heimatschutzministeriums (Department of Homeland Security, DHS), die für den Schutz der kritischen Infrastruktur und der Bundesnetze des Landes vor Cyberbedrohungen zuständig ist. Sie wurde 2018 gegründet und hat den Auftrag, die Cybersicherheit der US-Regierung und kritischer Infrastrukturen zu verbessern und die Reaktion auf Cybervorfälle zu koordinieren. Das Mandat der CISA umfasst ein breites Spektrum an Aktivitäten, wie z. B.: - Unterstützung von Bundesbehörden und kritischen Infrastruktursektoren im Bereich der Cybersicherheit - Entwicklung und Förderung von Cybersicherheitsstandards, Richtlinien und bewährten Verfahren - Durchführung von Forschungs- und Entwicklungsarbeiten zu Cybersicherheitstechnologien und -praktiken - Durchführung von Schulungen und Sensibilisierung für Cybersicherheit Zusammenarbeit mit Interessengruppen, einschließlich Industrie, Wissenschaft und Zivilgesellschaft, zur Förderung der Cybersicherheit Die CISA spielt eine Schlüsselrolle bei der Unterstützung der US-Regierung und kritischer Infrastruktursektoren bei der Verbesserung ihrer Cybersicherheitslage und bei der Bewältigung der wachsenden Bedrohung durch Cyberangriffe. Ihre Arbeit ist auf dem Gebiet der Cybersicherheit weithin anerkannt und respektiert. Sie ist eine wichtige Quelle von Fachwissen und Leitlinien für Organisationen und Privatpersonen in den USA und weltweit. Das europäische Äquivalent zur CISA ist die ENISA.
Compliance bezieht sich auf die Einhaltung von Gesetzen, Vorschriften, Richtlinien und Standards, die für eine Organisation gelten. Compliance ist ein wichtiger Aspekt des Risikomanagements und der guten Unternehmensführung, die Unternehmen hilft, rechtliche und regulatorische Strafen und Reputationsschäden zu vermeiden. Es gibt viele verschiedene Gesetze, Vorschriften und Standards, die Unternehmen je nach Branche, Größe und Standort einhalten müssen. Dazu können Gesetze und Vorschriften gehören, die sich auf Themen wie Beschäftigung und Arbeitsrecht, Gesundheit und Sicherheit, Umwelt, Datenschutz, Informations- und Cybersicherheit sowie Finanzberichterstattung beziehen. Um die Einhaltung der Vorschriften sicherzustellen, müssen Unternehmen in der Regel Richtlinien und Verfahren implementieren, regelmäßige Schulungen und Audits durchführen und Systeme für Überwachung und Berichterstattung einrichten. In größeren Organisationen wird meist eine eigene Compliance-Abteilung mit den Aufgaben betraut. Bei mittelständischen Unternehmen sind die Aufgaben meist auf verschiedene Abteilungen verteilt oder werden vom Finanzbereich berücksichtigt. Effektive Compliance ist essentiell für den langfristigen Erfolg jeder Organisation und eng verknüpft mit Themen wie Risikomanagement, Governance und Nachhaltigkeit.
Als Cyber-Sicherheit bezeichnet man Maßnahmen zur Abwehr von Cyber-Gefahren zum Schutz von Integrität, Vertraulichkeit und Verfügbarkeit von Informationswerten (z.B. vertrauliche Unternehmensdaten und Geschäftsgeheimnisse) und Informationsträgern (z.B. IT-Systeme und Netzwerke). Sie umfasst Technologien, Prozesse und Vorschriften, die darauf abzielen, Cyber-Bedrohungen wie Hackern, Viren, Malware und anderen Angriffen entgegenzuwirken und die Sicherheit von Netzwerken und Systemen zu gewährleisten.
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung im EU-Recht zum Datenschutz und zur Privatsphäre aller Personen innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Sie befasst sich auch mit dem Export personenbezogener Daten außerhalb der EU und des EWR. Die DSGVO legt eine Reihe von Standards für die Erhebung, Verwendung und den Schutz personenbezogener Daten fest und gibt Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten. Sie gilt für jede Organisation, einschließlich Unternehmen und öffentliche Einrichtungen, die personenbezogene Daten von Einzelpersonen in der EU verarbeitet, unabhängig davon, ob die Organisation ihren Sitz in der EU hat oder nicht. Die DSGVO legt eine Reihe von Rechten für Bürger der Europäischen Union in Bezug auf ihre personenbezogenen Daten fest, darunter das Recht, über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert zu werden, das Recht auf Zugang zu ihren personenbezogenen Daten, das Recht auf Löschung ihrer personenbezogenen Daten (auch bekannt als das "Recht auf Vergessenwerden") und das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Die DSGVO legt Organisationen, die personenbezogene Daten verarbeiten, eine Reihe von Verpflichtungen auf, einschließlich der Notwendigkeit, angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten zu treffen und hinsichtlich ihrer Datenerhebungs- und -verwendungspraktiken transparent zu sein. Die Nichteinhaltung der DSGVO kann zu erheblichen Bußgeldern führen.
Eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf die Rechte und Freiheiten der betroffenen Personen. Siehe Artikel 39 der Verordnung (EU) Nr. 2018/1725 und Artikel 35 der Verordnung (EU) 2016/679.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) ist eine Agentur der Europäischen Union (EU), die für die Förderung der Cybersicherheit in der EU zuständig ist. Es wurde 2004 gegründet, um die EU-Mitgliedstaaten bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen und einen gemeinsamen Ansatz für die Cybersicherheit innerhalb der EU zu entwickeln. Das Mandat der ENISA umfasst eine breite Palette von Aktivitäten, wie zum Beispiel: - Technische und wissenschaftliche Unterstützung der EU und ihrer Mitgliedstaaten in Fragen der Cybersicherheit - Entwicklung und Förderung bewährter Verfahren und Leitlinien zur Cybersicherheit - Durchführung von Forschung und Entwicklung zu Cybersicherheitstechnologien und -praktiken - Bereitstellung von Schulungen und Sensibilisierung für Cybersicherheit - Zusammenarbeit mit Interessenträgern, einschließlich Industrie, Wissenschaft und Zivilgesellschaft, zur Förderung der Cybersicherheit Die ENISA spielt eine wichtige Rolle bei der Unterstützung der EU und ihrer Mitgliedstaaten bei der Verbesserung ihrer Cybersicherheitsposition und bei der Bewältigung der wachsenden Bedrohung durch Cyberangriffe. Ihre Arbeit ist im Bereich der Cybersicherheit weithin anerkannt und respektiert. Sie stellt eine wichtige Quelle für Fachwissen und Leitlinien für Organisationen sowie Einzelpersonen in der EU und weltweit da.
Die ENX Association ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden (u.a. dem Verband der deutschen Automobilindustrie, VDA). Ihr Aufgabe ist, sichere und vertrauenswürdige Zusammenarbeit in industriellen Wertschöpfungsnetzwerken der Automobilbranche zu ermöglichen und zu vereinfachen. Die ENX mit ihrer Vereinsstruktur ist Initiator und Träger gemeinsamer Standards wie TISAX sowie darauf basierender, interoperabler Dienstleistungen.
Unter der Abkürzung GRC werden die zusammenhängenden Bereiche Governance, Risikomanagement und Compliance (engl. "Governance, Risk, Compliance) betitelt.
Governance bezieht sich auf das System von Regeln, Praktiken und Prozessen, durch das eine Organisation geleitet und kontrolliert wird. Governance beinhaltet in der Regel das Gleichgewicht zwischen den wirtschaftlichen und sozialen Zielen einer Organisation und den Mitteln, mit denen diese Ziele festgelegt und verfolgt werden. Good Governance zeichnet sich durch Transparenz, Rechenschaftspflicht und Partizipation aus. Im Unternehmenskontext bezieht sich Governance im Allgemeinen auf die Art und Weise, wie ein Unternehmen geführt, verwaltet und kontrolliert wird. Dazu gehören die Prozesse und Strukturen, die sicherstellen, dass das Unternehmen ethisch und rechtlich geführt wird und dass die Rechte und Interessen der Stakeholder (wie Mitarbeitenden, Kunden und Eigentümer:innen sowie der Gesellschaft insgesamt) geschützt werden. Governance kann auf verschiedenen Ebenen ausgeübt werden, einschließlich auf der Ebene eines Aufsichts- oder Beirats, der Geschäftsleitung und andere Geschäftsbereichen. Es kann auch die Beteiligung externer Interessengruppen wie Aktionären, Aufsichtsbehörden und der Gemeinschaft beinhalten. Effektive Governance ist essentiell für den langfristigen Erfolg eines Unternehmens und eng verknüpft mit Themen wie Risikomanagement, Compliance und Nachhaltigkeit.
ISMS steht für Informationssicherheits-Managementsystem bzw. englisch ""Information Security Management System"". Es bildet ein Rahmen von Richtlinien, Verfahren und Prozessen, die eine Organisation befolgt, um die Sicherheit ihrer Informationen und Informationssysteme zu gewährleisten. Ein ISMS hilft, Risiken zu Informationswerten und -trägern zu identifizieren, zu bewerten und zu managen sowie Kontrollen zu deren Schutz zu implementieren. Es kann auf einer Vielzahl von Standards und Richtlinien basieren, wie z.B. ISO 27001, einem international anerkannten Standard für Informationssicherheits-Managementsysteme. Ein ISMS umfasst neben den Richtlinien, Verfahren und Prozessen zur Steuerung der Informationssicherheit auch die Tools und Technologien, die zu ihrer Unterstützung verwendet werden. Das Ziel eines ISMS ist es, einen strukturierten Ansatz für das Management der Informationssicherheit bereitzustellen und Unternehmen dabei zu unterstützen, ihre sensiblen Informationen und Systeme vor unbefugtem Zugriff oder Angriffen zu schützen. Ein ISMS kann mit oder ohne eine entsprechende Zertifizierung durch einen akkreditierten Prüfdienstleister etabliert und betrieben werden.
ISO ist eine unabhängige, nichtstaatliche internationale Organisation mit 163 nationalen Normungsgremien, wie dem deutschen DIN (Deutsches Institut für Normung). Durch seine Mitglieder bringt sie Experten zusammen, um Wissen zu teilen und internationale Standards zu entwickeln.
Die Norm ISO 27001 legt den Rahmen für die Erarbeitung und Umsetzung eines effektiven ISMS fest. Mit der Zertifizierung nach ISO 27001 haben Unternehmen und Organisationen die Möglichkeit, Risiken in der Informationssicherheit zu senken.
Informationstechnologie (IT) bezieht sich auf die Verwendung von Computern, Software, Netzwerken und anderen digitalen Technologien zur Verarbeitung, Speicherung und Übertragung von Informationen. Es ist ein weit gefasster Begriff, der eine breite Palette von Technologien und Anwendungen umfasst, einschließlich Hardware, Software, Netzwerk, Datenspeicherung und Cloud Computing. Operating Technology (OT) bezieht sich auf den Einsatz von Technologie zur Steuerung, Überwachung und Optimierung physischer Systeme, Prozesse und Geräte. Es wird häufig in Branchen wie Fertigung, Energie, Transport und Versorgungsunternehmen eingesetzt. OT beinhaltet häufig die Verwendung von Sensoren, Controllern und anderen Arten von Hardware und Software, um Daten zu sammeln, Entscheidungen zu treffen und Maßnahmen in Echtzeit zu ergreifen. Während IT und OT beide den Einsatz von Technologie beinhalten, dienen sie unterschiedlichen Zwecken und werden typischerweise in unterschiedlichen Kontexten verwendet. IT wird häufig verwendet, um die Management-, Verwaltungs- und Kommunikationsfunktionen einer Organisation zu unterstützen, während OT sich auf die Steuerung und Optimierung physischer Systeme konzentriert. Es gibt jedoch einen zunehmenden Trend zur Konvergenz von IT und OT, da immer mehr Unternehmen versuchen, digitale Technologien zu nutzen, um die Effizienz und Effektivität ihrer Abläufe zu verbessern.
Unter dem Begriff „Informationssicherheit“ definiert man alle Maßnahmen in technischen und nicht technischen Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit ist ein Überbegriff, der Teilbereiche wie IT-Sicherheit oder Cyber-Sicherheit beinhaltet, jedoch auch nicht digitale Informationen berücksichtigt. Beispiel: Werden vertrauliche Papierdokumente im Hausmüll entsorgt, handelt es sich hierbei in der Regel um einen Vorfall ("Incident") der Informationssicherheit, nicht aber der IT- oder Cyber-Sicherheit.
Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also um das Erkennen von Datenänderungen. Oft wird mit Integrität sogar gefordert, dass Daten überhaupt nicht unberechtigt verändert werden können oder das alle Änderungenan Daten nachvollzogen werden können müssen.
Das National Institute of Standards and Technology (NIST) ist eine Behörde des US-Handelsministeriums, die für die Förderung von Innovation und industrieller Wettbewerbsfähigkeit zuständig ist. NIST ist eine unabhängige Bundesbehörde, die 1901 gegründet wurde und das Mandat hat, Messwissenschaft, Standards und Technologie in einer Vielzahl von Bereichen voranzutreiben. Das NIST betreibt Forschung und Entwicklung und entwickelt und fördert Standards, Richtlinien und Best Practices in einer Vielzahl von Bereichen, einschließlich der Informationstechnologie und Cybersicherheit, aber auch einer Vielzahl anderer Bereiche. Es bietet auch technische Hilfe und Unterstützung für Unternehmen, Regierungsbehörden und andere Organisationen in den USA. Das NIST ist bekannt für seine Arbeit bei der Entwicklung und Förderung von Standards und Richtlinien für die Informationssicherheit, einschließlich des Cybersecurity Framework (CSF) und der Special Publication 800-Reihe, die Leitlinien zu einer Vielzahl von Themen der Informationssicherheit bieten. Die Arbeit des NIST ist auf dem Gebiet der Informationssicherheit weltweit anerkannt und respektiert. Die veröffentlichen Standards und Richtlinien werden oft als Grundlage für andere Informationssicherheitsstandards und -vorschriften verwendet und stehen den Allgemeinheit öffentlich und kostenfrei zur Verfügung.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten da.
Ransomware ist ein Typ bösartiger Software, die die Dateien eines IT-Systems wie SharePoint verschlüsselt. Die Angreifer fordern dann ein Lösegeld vom Opfer, um den Zugriff auf die Dateien wiederherzustellen (engl. "Ransom" = Lösegeld). Es gibt verschiedene Arten von Ransomware, darunter "Locker"-Ransomware, die das Opfer aus seinem System aussperrt, und "Krypto" -Ransomware, die die Dateien des Opfers verschlüsselt. Ransomware kann z.B. durch Phishing-E-Mails, bösartige Websites, USB-Sticks und dem Ausnutzen von ungepatchten Schwachstellen in Software verbreitet werden.
Ransomware-as-a-Service (RaaS) ist eine Angebot von Cyberkriminellen an andere Personen oder Gruppen, die Ransomware-Angriffe durchführen möchten, aber nicht über das technische Fachwissen oder die Ressourcen zur eigenen Entwicklung von Ransomware verfügen. RaaS arbeitet in der Regel mit einem Abomodell, bei dem der RaaS-Anbieter die Ransomware entwickelt und pflegt und sie Kunden gegen eine Gebühr anbietet. Die Kunden können die Ransomware dann an ihre eigenen Ziele verteilen und einen Teil der Lösegeldzahlung für sich behalten - quasi ein bösartiger Sonderfall des klassischen Software-as-a-Service Modells. RaaS hat es nicht-technischen Personen erleichtert, Ransomware-Angriffe durchzuführen und hat in den letzten Jahren zur Zunahme von Ransomware-Vorfällen beigetragen. Es ist ein lukratives Geschäft für RaaS-Anbieter, die erhebliche Gewinne aus den Abonnementgebühren und einem Prozentsatz der Lösegeldzahlungen erzielen können. RaaS erschwert Strafverfolgungsbehörden die Ursprünge von Ransomware-Angriffen zu verfolgen, da die anfängliche Entwicklung und Verbreitung der Ransomware von einer Gruppe übernommen werden kann, während der eigentliche Angriff von einer anderen durchgeführt wird.
Das Self Assessment ist eine Selbsteinschätzung etwa bei der Bewertung (in der Regel operativer) Risiken durch ausgewählte Mitarbeiter und dient der Identifikation und Bewertung von Risiken.
TISAX wurde 2017 vom Verband der Automobilindustrie (VDA) ins Leben gerufen. Dieser Standard orientiert sich dabei stark an der bereits bestehenden Norm ISO 27001. Der Zertifizierungsprozess wird auf Grundlage des VDA Information Security Assessment (VDA ISA) durchgeführt.
Seit dem 1. August 2021 ist eine Eintragung der sog. Wirtschaftlich Berechtigten, Geschäftsführer oder Anteilseigner in das Transparenzregister für fast sämtliche Gesellschaften verpflichtend geworden. Die bisherigen Befreiungen sind weggefallen. Diese Umstellung wurde verpflichtend eingeführt, um auf europäischer Ebene einen einheitlichen Standard aufzubauen. Ausnahmen gibt es lediglich noch für die GbR und eingetragene Vereine.
Die branchenneutralen VdS-Richtlinien 10000 sind ein speziell auf KMU zugeschnittener Maßnahmenkatalog für ein Managementsystem, mit dem der Informationssicherheitsstatus eines Unternehmens sichergestellt wird. Die Richtlinien VdS 10000 basieren auf den Standards ISO 27001 und BSI-Grundschutz.