consequa GmbH - Glossar

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Begriff	Erläuterung
A
Access	Englischer Begriff für Zutritt, Zugang oder Zugriff.
Access Management	Die Verwaltung aller Schutzvorkehrungen für Zutritt, Zugang und Zugriff zu oder auf Ressourcen. Der Prozess gehört gemäß ITIL zur Phase Service Operation.
Account Management	Die Verwaltung der Informationen zur Authentisierung und Autorisierung bei Betriebssystemen und IT-Anwendungen. Üblicherweise handelt es sich dabei um Benutzerkennung, Passwort und Berechtigungen. Das Account Management ist ein Bestandteil des Access Managements.
Administration	Die Steuerung von IT-Systemen durch Eingriffe in Konfigurationen, Berechtigungen und Abläufe. Da hier die Grundlagen für die IT-Anwendungen manipuliert werden können, unterliegt die Administration besonderen Anforderungen im Hinblick auf die Sicherheit. Die Aufgaben im Account Management, Problem Management und Change Management, aber auch im Bereich des täglichen IT-Betriebs, sind nur unter Nutzung administrativer Berechtigungen möglich. In Bezug auf die Arbeit an den IT-Systemen werden diese Rollen daher auch als Administratoren bezeichnet.
AktG	Aktiengesetz. Das AktG regelt die Verhältnisse von Aktiengesellschaften (AG). In Bezug auf die Verantwortung von Vorständen und Aufsichtsräten sind relevant: § 91 Organisation; Buchführung, § 93 Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder, § 116 Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder. § 91 regelt insbesondere, dass ein Überwachungssystem einzurichten ist, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Dies ist die Basis für das Risikomanagement in AGen.
Alarmierung	Information von Personen und Institutionen nach Eintritt von definierten Ereignissen (z.B. Feuer, Bombendrohung, Virenbefall, Notfall), die zu Schäden führen können. Ziel der Alarmierung ist es, verantwortliche Entscheider und Akteure möglichst schnell und zuverlässig so zu informieren, dass mit gezielten Maßnahmen zur Abwendung, Begrenzung und Bewältigung von Schäden begonnen werden kann.
Alarmverfahren	Vorab geplanter Ablauf einer Alarmierung.
Anonymisierung	Veränderung von personenbezogenen Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (gemäß BDSG).
ANSI	American National Standards Institute (ANSI). Amerikanische Stelle zur Normung industrieller Verfahrensweisen.
AO	Abgabenordnung. Die AO ist die Grundlage des deutschen Steuerrechts. Relevant ist insbesondere: § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen. Danach sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen sowie auch Buchungsbelege zehn Jahre geordnet aufzubewahren. Andere für die Besteuerung wichtige Unterlagen sind 6 Jahre geordnet aufzubewahren.
Application Management	Funktion nach ITIL, die für die Betreuung von IT-Anwendungen durch den gesamten Lebenszyklus verantwortlich ist. Sie ist meist nach den Anwendungsgebieten in mehrere Organisationseinheiten aufgeteilt.
Archivierung	Die langfristige Aufbewahrung von Daten. Daten, die für die Rechnungslegung relevant sind, müssen bis zu 10 Jahren aufbewahrt werden. So weit Daten für die IT-Sicherheit relevant sind, ergeben sich Mindestfristen aus den üblichen Prüfungszyklen. Ggf. sind branchenspezifische Vorgaben (z.B. nach MaRisk (BA) 2 Jahre) zu beachten.
ASIS	American Society for Industrial Security (ASIS). In den USA erfolgt die Entwicklung von Standards für die ANSI u.a. durch die ASIS.
Asset	Englischer Begriff für den werthaften Bestand eines Unternehmens. Im Rahmen der Informationssicherheit sind insbesondere Informationswerte und die Bestandteile der Infrastruktur gemeint.
Audit	Untersuchungsverfahren, das durch einen Auditor durchgeführt wird. Je nach der Position des Auditors handelt es sich um einen internen oder einen externen Audit. Je nach Zielsetzung wird bei einem Audit ein Ist-Zustand analysiert oder aber ein Vergleich von ursprünglichen Vorgaben und Zielen mit deren tatsächlicher Umsetzung ermittelt. Oft soll ein Audit auch dazu dienen, allgemeine Probleme oder einen Verbesserungsbedarf aufzuspüren, damit sie beseitigt werden können. Im Folgenden sind gebräuchliche Audit-Typen aufgeführt: Zertifizierungs-Audit (zur Erlangung eines Zertifikats, das zum Nachweis der Einhaltung bestimmter Standards dient wie z.B.ISO 9001 , ISO/IEC 27001 oder IT-Grundschutz), Lieferanten-Audit (üblicherweise von dem Management-Beauftragten eines Kunden bei seinem Lieferanten), Compliance-Audit (Überprüfung der Übereinstimmung mit einem Regelwerk), z.B. ein IT-Sicherheits-Audit, System-Audit (betrachtet das Management-System), Prozess-Audit (betrachtet einzelne Prozesse).
Ausfall	Im Hinblick auf Unternehmens-Ressourcen die Verhinderung der Nutzung (sind die Ressourcen noch teilweise verfügbar, spricht man von einer Betriebseinschränkung). Man kann zwischen geplanten Ausfällen (z.B. wegen vorhergesehener Wartungsarbeiten) und ungeplanten Ausfällen (z.B. als Folge eines Defekts) unterscheiden. Bei den ungeplanten Ausfällen können wiederum zwei Kategorien unterschieden werden: Vorhersehbare Ausfälle (z.B. aufgrund eines Hardware-Defekts eines Rechners): Für diese Art von Ausfällen können vorsorglich spezifische Maßnahmen ergriffen werden, die im Sinne von Business Continuity entweder den Ausfall von vornherein verhindern (Prävention) oder die Folgen mindern (Reaktion). Die vorsorgliche Ergreifung geeigneter Maßnahmen ist vor allem dann wichtig, wenn ein Ausfall innerhalb kurzer Zeit zu bedrohlichen Folgeschäden führt. Um dies vorab festzustellen, ist die Durchführung einer Business Impact Analysis ratsam. Unvorhersehbare Ausfälle: Für diese Ausfälle kann nicht sinnvoll geplant werden. Die einzigen für diesen Fall sinnvollen vorsorglichen Maßnahmen sind die Einrichtung von übergreifenden Prozessen und Strukturen wie Incident Management und Krisenmanagement.
Ausfallsicherheit	Die definierte Sicherheit gegen einen Ausfall. Sie umfasst die Ausfallvorsorge, die Ausfallerkennung und die reaktive Behandlung. Die Ausfallsicherheit kann vorsorglich z.B. durch den Einsatz von Redundanzen erhöht werden. Alle Maßnahmen zur Ausfallsicherheit dienen der Erhöhung der Verfügbarkeit.
Ausfallzeit	Zeitraum, in dem Ressourcen nach einem Notfall oder einer Störung nicht genutzt werden können. Die Ausfallzeit entspricht bei der Notfallvorsorge der Zeit bis zum Beginn des Notbetriebs, also der Wiederanlaufzeit.
Ausweich-Arbeitsplatz	Arbeitsplatz, der nach Eintritt eines Notfalls, der einen Ausfall des normalen Arbeitsplatzes bewirkt hat, bezogen wird, um dort die Arbeit fortzusetzen.
Ausweich-Rechenzentrum	Rechenzentrum, in dem der Wiederanlauf der IT-Systeme nach einem Notfall erfolgt, wenn der IT-Betrieb nicht mehr in dem ursprünglichen Standort aufgenommen werden kann. Ein Ausweich-Rechenzentrum kann gleichzeitig auch Komponenten enthalten, die für den Normalbetrieb benötigt werden, so dass die Datenverarbeitung auf zwei Standorte verteilt ist. In diesem Fall spricht man auch von Primär- und Sekundär-Rechenzentrum oder gleichgestellten Rechenzentren.
Ausweich-Standort	Standort, in dem der Geschäftsbetrieb nach Eintritt eines Notfalls, der eine temporäre oder nachhaltige Unbenutzbarkeit eines primären Standorts beinhaltet, wieder aufgenommen wird. Der primäre und der Ausweich-Standort sollten voneinander so weit entfernt sein, dass das Restrisiko einer gleichzeitigen Beeinträchtigung akzeptabel ist. Im Rahmen der Notfallvorsorge sollten Ausweich-Standorte für die IT (Ausweich-Rechenzentrum) und Arbeitsplätze (Ausweich-Arbeitsplätze) definiert werden.
Authentisierung	Feststellung der Identität von Personen. Dabei wird geprüft, ob eine Person tatsächlich diejenige ist, die sie vorgibt zu sein. Dies wird über Abgleiche, z.B. Passwortabfrage, Einlesen von Karten oder im Rahmen von Verfahren der Biometrie, erreicht. Werden zwei dieser Verfahren kombiniert, spricht man von starker oder Zwei-Faktor-Authentisierung.
Authentizität	Eigenschaft von Personen, Systemen oder Informationen, die die Echtheit im Sinne der Identität oder des Ursprungs bezeichnet. Zur Sicherstellung wird eine Authentisierung benötigt. In IT-Systemen sind Personen immer durch Benutzerkennungen vertreten. Um diese nutzen zu können, müssen Benutzer ihre Authentizität nachweisen. Authentizität wird oft als ein Bestandteil der Verbindlichkeit betrachtet.
Automatisierte Verarbeitung	Erhebung, Verarbeitung oder Nutzung von Informationen unter Einsatz von IT (im BDSG für personenbezogene Daten definiert).
Autorisierung	Kontrolle, ob eine Person oder ein System zur Durchführung einer bestimmten Aktion auf einem IT-System oder in einer IT-Anwendung berechtigt ist, und Zuweisung entsprechender Rechte.
Availability	Englischer Begriff für Verfügbarkeit.
Availability Management	Die Gewährleistung der Verfügbarkeit aller kritischen Ressourcen in einer IT-Umgebung. Der Prozess gehört gemäß ITIL zur Phase Service Design.
B
Backdoor	In Bezug auf die IT-Sicherheit ein Programmteil, das einer Person bei Aufruf einen Zugang zum IT-System ermöglicht, ohne die etablierten Schutzmechanismen beachten zu müssen.
BaFin	Bundesanstalt für Finanzdienstleistungsaufsicht. Dem Bundesministerium für Finanzen angegliederte Aufsichtsbehörde für Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Wertpapierhandelsunternehmen und Investmentgesellschaften. Die BaFin hat mit den MaRisk (BA), den MaRisk VA und den InvMaRisk die Anforderungen im Hinblick auf die Ordnungsmäßigkeit des Geschäfts spezifiziert.
Basel II	Gesamtheit der Eigenkapitalvorschriften des Baseler Ausschusses für Bankenaufsicht, einem Ausschuss der Bank für internationalen Zahlungsausgleich. Seit Ende 2006 gilt die entsprechende Richtlinie 2006/48/EG der Europäischen Union, die in Deutschland als Solvabilitätsverordnung (SolvV) umgesetzt ist. Ziel ist die Sicherung einer angemessenen Eigenkapitalausstattung von Banken und die Schaffung einheitlicher Wettbewerbsbedingungen für die Kreditvergabe sowie den Kredithandel. In Basel II Teil 2 Abschnitt V sind die Anforderungen für das Management operationeller Risiken einschließlich geeigneter Messmethoden niedergelegt.
Battle Box	Aus dem militärischen Sprachgebrauch stammender Begriff für ein Behältnis, in dem sich wichtige Unterlagen und Materialien für die Arbeit eines Krisenstabs befinden. Typische Inhalte sind Notfallpläne, Funkgeräte, Radioempfänger, Vordrucke usw.. Im Deutschen werden häufig die Begriffe Notfallkoffer oder Notfallschrank synonym verwendet.
BBK	Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, eine Behörde des Bundesministeriums des Innern. Das BBK koordiniert auf Bundesebene die überregionalen Maßnahmen der öffentlichen Schutz- oder gemeinnützigen Hilfsorganisationen wie z.B. Bundeswehr, Polizei, Feuerwehr, Vereinigungen für Katastrophenmedizin, THW, Deutsches Rotes Kreuz, Arbeiter-Samariter-Bund, Johanniter Unfall-Hilfe, Malteser Hilfsdienst und DLRG. Das BBK plant und koordiniert auch die LÜKEX-Übungen zur Vorbereitung auf umfassende Gefahrenlagen.
BC	Abkürzung für Business Continuity.
BCI	Business Continuity Institute. Britische, von den Mitgliedern getragene Non-Profit-Organisation, die Interessierten Unterstützung zum Thema Business Continuity anbietet. International ist das BCI im Rahmen von Foren tätig, die in mehreren Ländern existieren.
BCM	Abkürzung für Business Continuity Management.
BCP	Abkürzung für Business Continuity Planning (Notfallvorsorge) für die Geschäftsbereiche des Unternehmens oder Business Continuity Plan (Notfallplan).
BDSG	Bundesdatenschutzgesetz. Das deutsche BDSG regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten.
Bedrohung	Spezifische Gefahr, der eine Person, eine Sache, eine Information oder ein Prozess ausgesetzt ist. Bedrohungen gefährden u.a. die Verfügbarkeit, Vertraulichkeit und/oder Integrität von Unternehmensressourcen und damit auch den Unternehmenserfolg. Abhängig von dem mit einer Bedrohung verbundenen Risiko ist die Realisierung von Schutzmaßnahmen erforderlich.
Benutzerkennung	Name einer Instanz (Benutzerkonto) in IT-Systemen im Rahmen des Access Managements, durch die Personen oder Systeme vertreten werden und die mit bestimmten Berechtigungen (z.B. Zugriffsrechten) ausgestattet ist. Nach angemessener Authentisierung kann die Benutzerkennung und damit ihre Berechtigungen genutzt werden. Die Benutzerkennung wird auch User-Id, das Benutzerkonto auch User-Account genannt.
Berechtigung	Erlaubnis zu bestimmten Handlungen. In IT-Systemen werden mit Berechtigungen der Zugriff auf und die Möglichkeit der Arbeit mit Ressourcen geregelt.
Betriebliche Kontinuität	In der Betriebswirtschaftslehre bedeutet "betriebliche Kontinuität" die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhergesehen erschwerten Bedingungen. Das betriebliche Kontinuitätsmanagement (englisch BCM) bezeichnet Konzepte, Planungen und Maßnahmen, die zur Absicherung der Geschäftstätigkeit gegenüber Risiken und Krisen beitragen sollen.
Betriebseinschränkung	Eine Betriebseinschränkung von Unternehmensressourcen bedeutet, dass diese nicht mehr im vorgesehenen Umfang genutzt werden können. Einschränkungen bei IT-Systemen können z.B. die Leistungsfähigkeit, die Betriebszeiten oder die Anzahl unterstützter Benutzer betreffen. Ist eine Ressource überhaupt nicht mehr nutzbar, spricht man von einem Ausfall.
Betriebsstörung	Störung des betrieblichen Ablaufs für ein(en Teil eines) Unternehmen(s). Es handelt sich dabei um ein beherrschbares Ereignis von nicht existenzbedrohendem Umfang. Eine Betriebsstörung wird im Rahmen der normalen Aufbau- und Ablauforganisation innerhalb der kritischen Ausfallzeiten behoben. Die Umsetzung adäquater Gegenmaßnahmen bzw. von Maßnahmen zur Abmilderung der Folgen der Betriebsstörung erfordern keine einheitliche/zentrale Koordination durch ein unternehmensweit agierendes Notfallgremium. Das Agieren der Linienorganisation ist ausreichend. Beispiele für Betriebsstörungen sind: der Ausfall einer einzelnen IT-Komponente, z.B. eines Servers, der Ausfall der Telefonanlage in einem Bürogebäude. Jede Betriebsstörung kann in ihrer Entwicklung oder nach Überschreiten der kritischen Ausfallzeit zu einem Notfall eskalieren.
Betriebssystem	Zentrale Software auf einem Rechner, die die notwendigen Grundfunktionen für den Ablauf weiterer Software wie z.B. IT-Anwendungen bereitstellt und den Zugang zum Rechner regelt.
Betroffener	Bestimmte oder bestimmbare natürliche Person, über die Einzelangaben über persönliche oder sachliche Verhältnisse erhoben, verarbeitet oder genutzt werden (gemäß BDSG).
BetrVG	Betriebsverfassungsgesetz. Das BetrVG regelt die Verhältnisse innerhalb von Unternehmen. Relevant sind insbesondere: § 81 Unterrichtungs- und Erörterungspflicht des Arbeitgebers, § 83 Einsicht in die Personalakten, § 87 Mitbestimmungsrechte. Nach § 87 sind insbesondere die vorübergehende Verkürzung oder Verlängerung der betriebsüblichen Arbeitszeit (z.B. in Notfällen) sowie die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (z.B. zur Steigerung der Qualität), mitbestimmungspflichtig.
BGB	Bürgerliches Gesetzbuch. Das BGB ist die Grundlage des deutschen Zivilrechts. In Bezug auf Haftungsfragen sind relevant: § 276 Verantwortlichkeit des Schuldners, § 278 Verantwortlichkeit des Schuldners für Dritte, § 309 Klauselverbote ohne Wertungsmöglichkeit, § 676a Vertragstypische Pflichten; Kündigung, § 823 Schadensersatzpflicht, § 831 Haftung für den Verrichtungsgehilfen, § 1004 Beseitigungs- und Unterlassungsanspruch. Diese Paragrafen regeln die Verhältnisse sowohl von Privatpersonen als auch von kleinen Personengesellschaften.
BIA	Abkürzung für Business Impact Analysis.
BilMoG	Gesetz zur Modernisierung des Bilanzrechts (Bilanzrechtsmodernisierungsgesetz). Das BilMoG regelt das Vorgehen für den Jahresabschluss von Unternehmen. Es sieht für Unternehmen von öffentlichem Interesse Prüfungsausschüsse vor, die direkt dem Aufsichtsgremium unterstellt sind. Mit dem BilMoG ist in Deutschland die EU-Richtlinie Euro-SOX umgesetzt.
Biometrie	Untersuchungsgebiet der Erkennung von Personen durch technische Systeme anhand körperlicher Merkmale. Es werden z.B. Gesichtszüge, Fingerabdrücke, Iris-Strukturen der Augen, Stimmproben oder Verhaltensmerkmale wie Handschrift oder Tastaturnutzung herangezogen.
BNetzA	Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen. Dem Bundesministerium für Wirtschaft und Technologie angegliederte Regulierungs- und Aufsichtsbehörde für die Märkte Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen. Insbesondere geht es darum, die knappen Ressourcen der jeweiligen Netzinfrastrukturen gerecht zu verteilen und die Sicherheit dieser Netzinfrastrukturen für die Öffentlichkeit zu gewährleisten.
Botnet	Von einem Botnet spricht man, wenn Rechner über ein Datennetz ungewollt ferngesteuert werden können. Die Möglichkeit zur Fernsteuerung wird durch z.B. Würmer oder Trojanische Pferde erreicht, die Rechner infizieren und auf Anweisungen von einer zentralen Steuerungsinstanz warten. Die Fernsteuerung wird zur Ausführung schädlicher Aktionen genutzt (z.B. Angriffe zum Denial of Service oder Versendung von Spam-Mail).
BS 25999	Britische Norm des BSI, die die Anforderungen an und die Umsetzung von Business Continuity beschreibt. Die BS 25999 wurde in zwei Teilen veröffentlicht: BS 25999-1 im Dezember 2006 mit Empfehlungen („Code of Practice“) zur Umsetzung, BS 25999-2 im November 2007 mit den Anforderungen („Specification“) dazu. Eine Zertifizierung nach dem Standard BS 25999-2 ist möglich.
BSI	British Standards Institute. Britische Standardisierungskörperschaft, die unter anderem weit verbreitete Standards zu den Themen IT Security (BS 7799, Vorläufer des ISO/IEC 27002, siehe ISO/IEC 2700x), Business Continuity (BS 25999) und IT Service Management (BS 15000, Vorläufer des ISO/IEC 20000) herausgegeben hat.
BSI	Bundesamt für Sicherheit in der Informationstechnik, eine Behörde des Bundesministeriums des Innern. Das BSI dient als zentraler IT-Sicherheits-Dienstleister des Bundes. Es leistet Grundlagenarbeit im Bereich der Informationssicherheit und ist z.B. Herausgeber der in Deutschland viel beachteten IT-Grundschutz-Standards und -Kataloge.
Business Continuity	Der Begriff lässt sich als betriebliche Kontinuität übersetzen. BS 25999-1:2006 definiert Business Continuity wie folgt: Strategische und taktische Fähigkeit einer Organisation, in Bezug auf mögliche Störfälle und Geschäftsunterbrechungen vorsorglich zu planen und auf deren Eintreten zu reagieren, mit dem Ziel, den Geschäftsbetrieb in einem akzeptablen, zuvor festgelegten Maße weiterzuführen.
Business Continuity Management	Steuerung der Planungen und Maßnahmen, die zur Absicherung der Geschäftstätigkeit gegenüber operationellen Risiken sowie Notfällen und Betriebsstörungen beitragen sollen. BS 25999-1:2006 definiert den Begriff Business Continuity Management wie folgt: Ganzheitlicher Management-Prozess, mit dessen Hilfe mögliche Bedrohungen für eine Organisation sowie die bei deren Eintritt resultierenden Auswirkungen auf den Geschäftsbetrieb identifiziert werden, der einen Rahmen bildet, um die Widerstandsfähigkeit der Organisation durch die Fähigkeit zu einer wirksamen Reaktion auszubauen, so dass die Belange der wichtigsten Interessensgruppen gewährleistet sind sowie das Ansehen, der Markenname und die wertschöpfenden Tätigkeiten der Organisation geschützt werden.
Business Impact	Englischer Begriff für Schadenspotential im Hinblick auf das Geschäft eines Unternehmens.
Business Impact Analysis	Englischer Begriff für Schadenspotential-Analyse.
Business Recovery	Wiederherstellung von ausgefallenen Unternehmensressourcen (wie Arbeitsplätzen, Arbeitsmitteln und Archiven), die nach einem Notfall von den Geschäftsbereichen für den Wiederanlauf des Geschäftsbetriebs benötigt werden.
Business-Continuity-Konzept	Konzept zur Umsetzung der Business-Continuity-Strategie. Darin werden mögliche Krisen- und Notfallszenarien festgelegt und ihre Folgeschäden dargestellt. Zu den Wiederanlaufanforderungen der Geschäftsbereiche werden technische und organisatorische Lösungen für die Geschäftsfortführung und den Wiederanlauf der IT und von Arbeitsplätzen vorgeschlagen. Neben den Kosten für vorsorgliche Maßnahmen werden auch die verbleibenden Restrisiken dokumentiert. Ein Business-Continuity-Konzept wird erstellt, wenn die Notfallvorsorge in einem Unternehmen neu aufgebaut wird oder weitreichende technische oder organisatorische Änderungen vollzogen wurden. Es dient der Geschäftsleitung als Entscheidungsgrundlage für das weitere Vorgehen.
Business-Continuity-Strategie	Grundsätze einer Organisation zur Reaktion auf Beeinträchtigungen der Verfügbarkeit wesentlicher Ressourcen, die zum Betrieb benötigt werden. Insbesondere bildet die Strategie den Rahmen zum Umgang mit Krisen und Notfällen.
C
Capacity Management	Die Steuerung, Dokumentation und Überwachung von Kapazität und Auslastung einer IT-Umgebung. Der Prozess gehört gemäß ITIL zur Phase Service Design.
CERT	Abkürzung für Computer Emergency Response Team.
Change Management	Die Planung, Koordinierung und Verwaltung von Änderungen, hier vor allem an einer IT-Umgebung. Die Änderungen können u.a. vom Problem Management vorgegeben werden. Die Umsetzung der Änderungen erfolgt durch das Release Management. Der Prozess gehört gemäß ITIL zur Phase Service Transition.
CIRT	Abkürzung für Computer Incident Response Team (siehe Computer Security Incident Response Team).
Cluster	Redundante Konfiguration von Rechnern zur Steigerung der Verfügbarkeit. Ein Cluster besteht aus mehreren Rechnersystemen (Knoten). Tritt auf einem Knoten des Clusters ein Fehler auf, werden die dort laufenden Dienste durch einen anderen Knoten übernommen. Die meisten Cluster besitzen 2 Knoten. Es existieren zwei Arten von Clustern: aktiv-aktiv bzw. symmetrisch oder hot-standby, bei denen ständig auf allen Knoten Dienste laufen, aktiv-passiv oder asymmetrisch, bei denen nicht alle Knoten aktiv sind. Im Rahmen der Notfallvorsorge müssen die Cluster-Knoten so räumlich voneinander getrennt sein, dass sie nicht alle durch ein Notfallszenario ausfallen können, und jeweils über eine komplette eigene Peripherie (Platten, Netzanbindung usw.) verfügen. Dies bedingt oft den Einsatz von Verfahren zur Datenreplikation bzw. Datenspiegelung.
CMMI	Abkürzung für Capability Maturity Model Integration. Unter diesem Namen veröffentlicht die Carnegie Mellon University in Pittsburgh/USA Modelle zur Beurteilung und Verbesserung der Qualität von Prozessen zur Erbringung von Produkten und Dienstleistungen. CMM bezog sich ursprünglich nur auf die Software-Entwicklung und wurde als CMMI auch auf die Organisationsentwicklung erweitert. Es beschreibt, wie Prozesse gemäß bestimmter Ziele verbessert werden können. Passend zu den Zielen sind Fähigkeits- (Capability Level) und Reifegrade (Maturity Level) definiert, an denen die Prozesse gemessen werden können. Es gibt: CMMI-DEV: CMMI for Development, CMMI-ACQ: CMMI for Acquisition, CMMI-SVC: CMMI for Services.
CobiT	Abkürzung für Control Objectives for Information und Related Technology. Es handelt sich hierbei um einen Quasi-Standard des IT Governance Institute, einer Unterorganisation der ISACA, für die Prüfung der IT durch die interne Revision und externe Wirtschaftsprüfer im Unternehmen. CobiT gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt). CobiT definiert hierbei nicht, wie die Ziele umzusetzen sind, sondern nur, was umgesetzt werden soll.
Compliance	Einhaltung von Vorgaben. Für Unternehmen sind dies vor allem relevante Gesetze sowie eigene Regelwerke. Im Deutschen kommt der Begriff Ordnungsmäßigkeit dem Begriff Compliance am nächsten.
Compliance Management	Steuerung, Dokumentation und Überwachung aller relevanten Prozesse unter Berücksichtigung aller zu erfüllenden Vorgaben zur Sicherstellung der Compliance eines Unternehmens, oft als Stabsstelle organisiert.
Computer Emergency Response Team	Organisation, die sich mit IT-Sicherheit befasst, Warnungen vor Sicherheitslücken herausgibt, Lösungsansätze bietet und an der Bewältigung aufgetretener Sicherheitsvorfälle arbeitet. Der Begriff CERT ist geschützt. Eine Organisation darf sich daher nur mit nur mit Erlaubnis des CERT/CC des Software Engineering Instituts der Carnegie Mellon University in Pittsburgh/USA als CERT bezeichnen. Weltweit existieren weit mehr als 100 CERT-Organisationen, darunter auch einige in Deutschland. Diese sind teilweise innerhalb von Konzernen oder Wirtschaftsverbänden organisiert, teilweise aber auch staatlich organisiert, z.B.: CERT-Bund (Bundesbehörden), CERTBw (Bundeswehr), DFN-CERT (Deutsches Forschungsnetz), RUS-CERT (Universität Stuttgart).
Computer Security Incident Response Team	Organisationseinheit, die meist ähnliche Funktionen wie ein CERT (Computer Emergency Response Team) hat: Warnungen vor Lücken der Rechnersicherheit, Erarbeitung von Lösungsansätzen, Bewältigung aufgetretener Sicherheitsvorfälle. In der Unternehmenspraxis sind häufige anzutreffende Unterscheidungsmerkmale zu einem CERT: Nur wenige (oder keine) fest zugeordneten Mitarbeiter, stattdessen Zusammenstellung als ad-hoc Team, oft eher reaktiver Schwerpunkt, kein 24 Stunden / 7 Tage Service. Im Gegensatz zum Begriff CERT dürfen die Abkürzungen CIRT und CSIRT ohne Einschränkungen genutzt werden.
Confidentiality	Englischer Begriff für Vertraulichkeit.
Configuration Management	Die Zusammenstellung und Dokumentation von IT-Systemen und ihrer Komponenten, auch im Hinblick auf Historienführung. Das Configuration Management bildet gemeinsam mit dem Service Asset Management gemäß ITIL einen Prozess in der Phase Service Transition.
Contingency	Englischer Begriff für Notfall.
Continual Service Improvement	Die fünfte Phase im Lebenszyklus eines IT-Services nach ITIL. Das Continual Service Improvement regelt die permanente Verbesserung einer IT-Dienstleistung über ihren gesamten Lebenszyklus hinweg.
Continuity	Englischer Begriff für Kontinuität, hier vor allem benutzt für die Kontinuität des Betriebs eines Unternehmens.
Control	Englischer Begriff für Regel oder Kontrolle. Von Controls wird vor allem im Zusammenhang mit Regelwerken zur Unterstützung von Prüfungen (wie z.B. CobiT) oder Zertifizierungen (Normen) gesprochen.
Crisis Management	Englischer Begriff für Krisenmanagement.
Cross Site Scripting	Angriffstechnik auf Web-Auftritte, mittels derer schädliche Inhalte in die Original-Seiten des Web-Auftritts eingeblendet werden.
CSIRT	Abkürzung für Computer Security Incident Response Team.
D
Daten	Aufzeichnungen von Informationen, die unter Verwendung von Codes auf technischen Umgebungen verarbeitet werden.
Datengeheimnis	Verbot der unbefugten Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten (gemäß BDSG). Personen müssen bei der Aufnahme einer Beschäftigung auf das Datengeheimnis verpflichtet werden, das auch nach Beendigung ihrer Tätigkeit fortbesteht.
Datenreplikation	Redundante Haltung von Daten auf mehreren Speichersystemen zum Zweck der Datensicherung oder der Verbesserung des Durchsatzes.
Datenschutz	Ziel des Datenschutzes ist der Schutz des Einzelnen davor, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird. Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht. Er ist im Grundgesetz allerdings nicht explizit erwähnt. Auf Bundesebene regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen und Privatpersonen). Daneben regeln die Landesdatenschutzgesetze der Bundesländer den Datenschutz in Landes- und Kommunalbehörden. Innerhalb der Europäischen Union ist die EU-Datenschutzrichtlinie für alle Mitgliedstaaten verbindlich und in nationales Recht umgesetzt. Geregelt wird darin auch die Übermittlung von personenbezogenen Daten in Drittstaaten, die nicht Mitglied der EU sind: Gemäß Artikel 25 ist die Übermittlung nur dann zulässig, wenn der Drittstaat ein „angemessenes Schutzniveau“ gewährleistet. Darüberhinaus existieren international gültige Richtlinien mit den Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung). Hauptprinzipien des Datenschutzes in Deutschland sind Datenvermeidung und Datensparsamkeit, Erforderlichkeit, Zweckbindung. Für vorhandene Daten müssen technisch-organisatorische Maßnahmen zur Gewährleistung des Datenschutzes getroffen werden (Datensicherheit).
Datenschutz-Audit	Maßnahme zur Überprüfung des Datenschutzes. Es handelt sich um einen Compliance-Audit mit dem Ziel, die Vollständigkeit und Angemessenheit der Umsetzung von Datenschutzvorgaben zu untersuchen. Als Folge werden Verletzungen sichtbar gemacht und Maßnahmen zu ihrer Behebung vorgeschlagen.
Datenschutzbeauftragter	Verantwortlicher für den Datenschutz innerhalb einer Organisation. Im Datenschutzrecht wird diese Organisation als Stelle bezeichnet. Unternehmen in Deutschland sind verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn: sie personenbezogene Daten erheben, verarbeiten oder nutzen (z.B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten), mindestens 10 Personen (bzw. 20 Personen bei nicht automatisierter Verarbeitung) mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Teilzeitkräfte gelten hierbei als ganze Beschäftigte. Damit diese Funktion unabhängig wahrgenommen werden kann, darf kein Interessenskonflikt bestehen. Personen aus der Geschäftsleitung, leitende Positionen aus dem Personalwesen oder der IT-Abteilung kommen daher in der Regel nicht in Frage. Zulässig ist aber die Bestellung eines externen Datenschutzbeauftragten.
Datensicherheit	Sicherheit aller in einer Organisation vorhandenen Daten im Hinblick auf Verfügbarkeit, Integrität (einschließlich Verbindlichkeit) und Vertraulichkeit. Sie bezieht sich nur auf einen Teil der Informationssicherheit, da sie nur Daten in IT-Systemen, aber z.B. keine Papierdokumente oder das gesprochene Wort umfasst.
Datensicherung	Kopie von Daten, um den Verlust des Originals kompensieren zu können. Datensicherungen werden üblicherweise in regelmäßigen Zeitintervallen auf Platten, Kassetten oder auch optischen Medien erstellt. Es sollte darauf geachtet werden, dass eine Datensicherung an einem anderen Ort als die Originaldaten gelagert wird.
Datenspiegelung	Redundante Haltung von Daten auf mehreren Speichersystemen, so dass die Speichersysteme zu jeder Zeit oder zumindest annähernd zeitgleich einen identischen Datenstand haben. Man unterscheidet zwischen synchroner und asynchroner Datenspiegelung: Bei der synchronen Datenspiegelung ist eine Schreib- oder Löschaktion für das veranlassende IT-System erst dann abgeschlossen, wenn die Datenänderung auf allen gespiegelten Speichersystemen vollzogen worden ist. Bei der asynchronen Datenspiegelung ist eine Schreib- oder Löschaktion für das veranlassende IT-System bereits dann abgeschlossen, wenn die Datenänderung auf einem der gespiegelten Speichersysteme vollzogen worden ist. Auf den anderen Datensystemen wird die Änderung allerdings zeitnah nachvollzogen.
Datensynchronität	Datenbestände von IT-Anwendungen, die untereinander Daten austauschen, müssen nach einem Notfall anwendungsübergreifend in einem konsistenten Zustand wiederhergestellt werden. Dieser Zustand wird als Datensynchronität bezeichnet.
Datenverarbeitung im Auftrag	Durchführung von IT-Aufgaben nicht für eigene Zwecke, sondern im Auftrag einer anderen Stelle (im BDSG für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten definiert). Der Beauftragende wird durch die Vergabe der Arbeiten nicht von der Verantwortung enthoben, er behält alle Pflichten im Rahmen der Compliance.
Datenverlustzeit	Zeitraum zwischen der letzten Datensicherung eines IT-Systems und dem Eintritt einer Betriebsstörung bzw. eines Notfalls, bei dem die auf dem System befindlichen Daten zerstört werden. Alle in diesem Zeitraum auf dem System vorgenommenen Datenänderungen sind verloren und müssen erneut vorgenommen werden.
Datenvermeidung	Prinzip des Datenschutzes, nach dem sich Gestaltung und Auswahl von IT-Systemen an dem Ziel ausrichten sollen, die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu minimieren, auch Datensparsamkeit genannt. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Demand Management	Die Untersuchung und Steuerung des Bedarfs von externen Kunden oder internen Nutzern nach Services. Der Prozess gehört gemäß ITIL zur Phase Service Strategy.
Demilitarisierte Zone	Netz zwischen mehreren anderen Netzen, über das diese Netze gekoppelt und gleichzeitig voreinander geschützt werden. Die Demilitarized Zone (DMZ) ist an den Kopplungsstellen durch Firewalls begrenzt, die einen begrenzten Zugriff auf die DMZ erlauben.
Denial of Access	Englischer Begriff für die Nichtverfügbarkeit von Zutritt, Zugang oder Zugriff, also die Nichtzugänglichkeit.
Denial of Service	Englischer Begriff für die Nichtverfügbarkeit von Diensten. Als Denial-of-Service-Attacke bezeichnet man Angriffe auf die IT mit dem Ziel, die Verfügbarkeit von IT-Services zu beeinträchtigen.
Deployment Management	Die Steuerung des kontrollierten Einsatzes neuer oder geänderter Ressourcen. Das Deployment Management bildet gemeinsam mit dem Release Management gemäß ITIL einen Prozess in der Phase Service Transition.
DIN	Deutsches Institut für Normung. Das DIN ist die nationale Normungsorganisation Deutschlands.
Disaster Recovery	Englischer Begriff für den Wiederanlauf des Geschäftsbetriebs nach einem Notfall. Dies beinhaltet Maßnahmen zur Wiederherstellung betroffener IT (IT Recovery) sowie zur Wiederherstellung betroffener Arbeitsplätze (Business Recovery).
DMZ	Abkürzung für Demilitarisierte Zone.
DoA	Abkürzung für Denial of Access.
DoS	Abkürzung für Denial of Service.
DS	Abkürzung für Datenschutz.
DSB	Abkürzung für Datenschutzbeauftragter.
E
Effektivität	Maß für die Erreichung vorgegebener Ziele. Die Ziele können erfüllt werden, aber auch sowohl unter- als auch übererfüllt.
Effizienz	Das Verhältnis zwischen einem erreichten Nutzen und dem Aufwand, der dafür erforderlich war.
Einsatzfreigabe	Für ein Programm die Beurteilung der organisatorischen und technischen Prozesse der Anwender, die den Einsatz innerhalb der vorhandenen Umgebung bestimmen, sowie der Gewährleistung der Funktionsfähigkeit von Schnittstellenprozessen zu vor- und nachgelagerten IT-Anwendungen und der Belastbarkeit im Echtbetrieb. Ist dies Alles zufriedenstellend geregelt, kann das Programm mit formaler Bestätigung in den IT-Betrieb übernommen werden.
Eintrittswahrscheinlichkeit	Wahrscheinlichkeit des Eintritts eines Ereignisses.
ENISA	Europäische Agentur für Netz- und Informationssicherheit (engl. European Network and Information Security Agency). Die ENISA ist eine Einrichtung der Europäischen Union zur gemeinsamen Förderung der Informationssicherheit in den Migliedsstaaten der EU.
Entschlüsselung	Rückgewinnung des ursprünglichen Datenformats aus Daten, die einer Verschlüsselung unterzogen wurden. Dazu werden üblicherweise der Verschlüsselungs-Algorithmus und ein Schlüssel benötigt.
EnWG	Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz). Das EnWG regelt den Markt für Elektrizitäts- und Gasversorger. Relevant ist insbesondere: § 49 Anforderungen an Energieanlagen. Danach sind Energieanlagen sind so zu errichten und zu betreiben, dass die technische Sicherheit gemäß den allgemein anerkannten Regeln der Technik gewährleistet ist.
Erforderlichkeit	Prinzip des Datenschutzes, nach dem die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur dann erlaubt ist, wenn der Zweck nicht auch auf anderem Wege erreichbar ist..
Erhebung	Beschaffung von Informationen über einen Sachverhalt (im BDSG für personenbezogene Daten definiert).
eSCM-SP	Abkürzung für eSourcing Capability Model for Service Providers. Es handelt sich hierbei um Best Practices für IT-Dienstleister von der Carnegie Mellon University in Pittsburgh/USA. eSCM-SP soll IT-Dienstleistern die Möglichkeit bieten, ihre Services zu verbessern, sich dadurch vom Wettbewerb zu unterscheiden und dies für potentielle Kunden messbar zu machen. Es werden Vorschläge für den gesamten Lebenszyklus eines IT-Services unterbreitet, die auf mehreren Gebieten zur Erreichung abgestufter Leistungsfähigkeit geeignet sind.
Euro-SOX	Richtlinie 2006/43/EG der Europäischen Union über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen der EU, die in der Folge des amerikanischen Sarbanes Oxley Acts entstand. Die Richtlinie macht Vorgaben für Wirtschaftsprüfer. Für zu prüfende Unternehmen von öffentlichem Interesse schreibt sie ein Vorgehen nach internationalen Rechnungslegungsstandards vor. In Deutschland wurde Euro-SOX durch das BilMoG umgesetzt.
Event Management	Die Steuerung der Bearbeitung von Ereignissen, vor allem von Meldungen, die über Konsolen von Tools zur Systemadministration abgegeben werden. Der Prozess gehört gemäß ITIL zur Phase Service Operation.
F
Facilities Management	Die Verwaltung von Immobilien und der darin vorhandenen Einrichtungen.
Facility	Englischer Begriff für Anlage oder Einrichtung.
Fahrlässigkeit	Verletzung der Sorgfaltspflicht. Gemäß § 309 BGB, einem Teil des AGB-Rechts (Recht für Allgemeine Geschäftsbedingungen), und der darauf basierenden Rechtsprechung kann hierfür die Haftung ausgeschlossen werden. Eine Steigerungsform ist die grobe Fahrlässigkeit, die mit einer offensichtlichen Verletzung der Sorgfaltspflicht gleichzusetzen ist. Dabei ist eine Haftung immer gegeben für Unternehmensvertreter und leitende Angestellte (Beurteilung nach Personalhoheit, Prokura usw.), nur für andere Personen ist die Haftung ausschließbar.
FAIT	Fachausschuss Informationstechnik des Instituts der Wirtschaftsprüfer (IDW). Unter FAIT werden oft auch die Stellungnahmen des FAIT zur Rechnungslegung (IDW RS FAIT) verstanden.
Financial Management	Die kosteneffektive Verwaltung von Ressourcen. Der Prozess gehört gemäß ITIL zur Phase Service Strategy.
Firewall	System, mit dem Netze gekoppelt und gleichzeitig gegenseitige Schutzmechanismen mit Hilfe von Filterregeln realisiert werden.
Folgeschaden	Schaden, der nicht unmittelbar durch ein Ereignis verursacht ist (z.B. Brandschaden bei Feuer), sondern erst als Folge entsteht (z.B. Geschäftsausfall, der dadurch verursacht wird, dass Arbeitsplätze von Geschäftsbereichen in Folge eines Brandes nicht mehr verfügbar sind). Der Folgeschaden übersteigt den unmittelbaren Schaden oft um ein Vielfaches. Ziel einer Schadenspotential-Analyse oder Schutzbedarfs-Analyse ist es, Folgeschäden abzuschätzen, um darauf aufbauend wirtschaftliche Konzepte zur IT-Sicherheit bzw. Notfallvorsorge zu entwickeln. Die Konzepte haben das Ziel, den Eintritt der Schadensereignisse zu verhindern bzw. die Folgeschäden so zu begrenzen, dass die Existenz des Unternehmens nicht bedroht ist.
Funktion	Im hier betrachteten Zusammenhang der Verantwortungsbereich von Personen oder Organisationseinheiten. Im Zusammenhang mit ITIL handelt es sich bei der Funktion um eine Organisationseinheit zusammen mit den von ihr genutzten Hilfsmitteln zur Ausführung bestimmter (wiederkehrender) Aufgaben.
Funktionstrennung	Im Rahmen einer Funktionstrennung wird festgelegt, welche Geschäftsfunktionen nicht von einer Person (bzw. nicht innerhalb einer Organisationseinheit) gleichzeitig wahrgenommen werden dürfen, da sich daraus relevante Risiken ergeben könnten. Beispielsweise sollten zur Vermeidung von Interessenkonflikten operative Funktionen nicht mit kontrollierenden Funktionen verbunden werden.
Funktionsübertragung	Übernahme von Aufgaben von einer anderen Stelle mit allen Rechten und Pflichten, also auch Chancen und Risiken. Die Aufgabe wird fortan in eigener Verantwortung weiter geführt. Mit der Funktionsübertragung gehen auch alle Pflichten im Rahmen der Compliance auf die neue Stelle über.
G
GDPdU	Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, erlassen vom Bundesministerium der Finanzen. Es handelt sich hierbei um eine deutsche Regelung zur Vorhaltung von elektronischen Daten für die Betriebsprüfung durch Finanzbehörden. Man unterscheidet drei Arten des Datenzugriffs durch den Betriebsprüfer: den unmittelbaren Lesezugriff, den mittelbaren Zugriff über Auswertungen, die Datenüberlassung in verschiedenen zugelassenen Formaten, die in eine Prüf-Software eingelesen werden können.
Gefährdung	Kombination aus Bedrohung und Schwachstelle, so dass die Bedrohung sich auswirken und einen Schaden verursachen kann.
Geschäftsbereich	Organisatorische Einheit eines Unternehmens. Dabei können unterschieden werden: Kernbereiche, die direkt am Markt agieren, Service-Bereiche, die die Kernbereiche bei der Durchführung ihrer Aufgaben unterstützen.
Geschäftsfortführung	Durchführung des Geschäftbetriebs nach einem Notfall unter besonderen, eingeschränkten Bedingungen. Hierzu gehören die Umstellung auf manuelle Verfahren, vorzunehmende Priorisierungen zur Nutzung nicht ausreichender Ressourcen oder anderweitige Übergangslösungen.
Geschäftsfortführungsplan	Bestandteil des Notfallplans, der sich auf die Tätigkeiten bezieht, die zur Geschäftsfortführung erforderlich sind.
Geschäftsfunktion	Aufgabe oder Position einer Person oder einer Gruppe von Personen im Rahmen einer Organisation. Sie ist darauf spezialisiert, bestimmte Arbeiten auszuüben, und ist für deren Ergebnisse verantwortlich. Eine Geschäftsfunktion ist ein Teil der Aufbauorganisation eines Unternehmens oder einer Behörde.
Geschäftsprozess	Prozess, der zur Wertschöpfung einer Organisation beiträgt. Ein Geschäftsprozess ist ein Teil der Ablauforganisation eines Unternehmens oder einer Behörde.
GmbHG	Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbH-Gesetz). Das GmbHG regelt die Verhältnisse von GmbHs. In Bezug auf die Verantwortung der Geschäftsführungen ist relevant: § 43 Haftung des Geschäftsführers. Darin geht es um die Pflicht zur Sorgfalt eines ordentlichen Geschäftsmannes.
GoBS	Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme, erlassen vom Bundesministerium der Finanzen. Die GoBS nennen die Bedingungen für die Zulässigkeit von Buchführungsvorgängen unter Zuhilfenahme von Informationstechnik. Sie sind trotz ihres Alters (von 1995) nach wie vor gültig. Eine geignete Fortschreibung ist in den Stellungnahmen des FAIT des IDW zu sehen.
Governance	Englischer Begriff für Steuerung.
GRC	Abkürzung für die Zusammenfassung von Governance, Risk and Compliance. Die Management-Prinzipien Unternehmenssteuerung, Risikomanagement und das Handeln in Übereinstimmung mit den geltenden Vorschriften werden oft gemeinsam betrachtet. Zur Unterstützung dieser Disziplinen sind am Markt sogenannte GRC-Tools oder GRC-Suiten verfügbar. Information Security Management und Business Continuity Management sind beide Bestandteile von GRC.
Großschadensereignis	Synonym für Katastrophe
Grundschutz	Abkürzung für IT-Grundschutz.
H
Hacker	Person, die Rechner einsetzt, um unerlaubt in fremde Rechner und Netzwerke einzudringen, oft verbunden mit der Absicht, dort Schaden anzurichten.
Haftung	Konsequenz aus der Verletzung von Pflichten, die mit einer Verantwortung gekoppelt sind. Hierzu gehört u.A. die Zahlung von Schadensersatz. Die Haftung ist grundsätzlich im BGB geregelt, spezielle weitere Haftungstatbestände für Geschäftsleitungen ergeben sich z.B. aus HGB, AktG und GmbHG.
Hardware	Physische Bestandteile eines IT-Systems.
Härtung	Im Hinblick auf IT-Systeme die Absicherung der IT gegen Angriffe durch die Entfernung aller Software-Bestandteile bzw. -Funktionalitäten, die zur Erfüllung der vorgesehenen Aufgabe nicht zwingend notwendig sind.
Hazard	Englischer Begriff für Gefahr.
HGB	Handelsgesetzbuch. Das HGB ist die Grundlage des deutschen Wirtschaftsrechts. In Bezug auf die Verantwortung von Geschäftsleitungen sind relevant: § 252 Allgemeine Bewertungsgrundsätze, § 257 Aufbewahrung von Unterlagen; Aufbewahrungsfristen, § 317 Gegenstand und Umfang der Prüfung, § 321 Prüfungsbericht. Diese Paragrafen regeln die Bedingungen für alle Gesellschaften, so weit nicht Spezialregeln in anderen Gesetzen (wie z.B. AktG und GmbHG) verankert sind.
I
IDS	Abkürzung für Intrusion Detection System.
IDW	Institut der Wirtschaftsprüfer. Das IDW ist die freiwillige Vereinigung der in Deutschland tätigen Wirtschaftsprüfer und gibt Verlautbarungen zur Vorgehensweise bei Prüfungen heraus. Es arbeitet abgestimmt mit der Wirtschaftsprüferkammer (WPK), die als bundesweite Körperschaft des öffentlichen Rechts Wirtschaftsprüfer belehrt, prüft, bestellt, beaufsichtigt und abberuft.
IDW PS 330	Prüfungsstandard des IDW für eine umfassende IT-Systemprüfung („Abschlussprüfung bei Einsatz von Informationstechnologie“). Er prüft die Sicherheit von rechnungsrelevanten Systemen. Prüfungsgebiete sind: IT-Umfeld und Organisation, IT-Infrastruktur, IT-Anwendungen, IT-gestützte Geschäftsprozesse, IT-Überwachungssystem, IT-Outsourcing. Als zusätzliche Unterlage zur Durchführung der Prüfung dient IDW PH 9.330.1, IDW Prüfungshinweis: Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie.
IDW PS 951	Prüfungsstandard des IDW zur Prüfung des internen Kontrollsystems bei einem Dienstleistungsunternehmen für Funktionen, die auf das Dienstleistungsunternehmen ausgelagert wurden. Der PS 951 enthält konzeptionell die Anforderungen des SAS 70 und verweist in Bezug auf die Prüfung der IT auf den IDW PS 330.
IDW RS FAIT	Stellungnahmen des FAIT (Fachausschuss Informationstechnik des IDW) zur Rechnungslegung (RS). Derzeit existieren folgende für die Informationstechnik relevante Stellungnahmen: IDW RS FAIT 1 - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie von 2002. Sie enthält in Fortführung der GoBS Vorgaben zu prüfungsrelevanten Themen im Rahmen des Einsatzes von IT in Rechnungslegung und Buchführung. IDW RS FAIT 2 - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce von 2003. Sie enthält Vorgaben zu prüfungsrelevanten Themen im Rahmen der Anbahnung und Abwicklung von Geschäftsvorfällen auf elektronischem Wege. IDW RS FAIT 3 - Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren von 2006. Sie enthält Vorgaben zu prüfungsrelevanten Themen im Rahmen der Speicherung rechnungsrelevanter Unterlagen auf maschinenlesbaren Datenträgern, auch als Folge der GDPdU.
IEC	International Electrotechnical Commission. Die IEC ist eine internationale Normungsorganisation für Elektrik und Elektronik, sie bildet zusammen mit der ISO den Rahmen für die Herausgabe internationaler Normen.
IKT	Abkürzung für Informations- und Kommunikationstechnik.
Incident	Englischer Begriff für Schadensereignis.
Incident Management	Die Steuerung von Annahme und Verwaltung von Ereignissen, hier vor allem von Störungen im IT-Betrieb. Der Betrieb kann durch Umgehungslösungen gewährleistet werden, für die Behebung der Ursachen erfolgt eine Weitergabe an das Problem Management. Der Prozess gehört gemäß ITIL zur Phase Service Operation.
Information	Kenntnis über Sachverhalte und Vorgänge. Der Inhalt einer Information ist stets an einen Träger gekoppelt. Informationen können als Wirtschaftsgut bedeutend für eine Organisation sein.
Information Security	Englischer Begriff für Informationssicherheit.
Information Security Management	Steuerung der Planungen und Maßnahmen, die zur Gewährleistung der Informationssicherheit dienen. Der Prozess gehört gemäß ITIL zur Phase Service Design.
Informationssicherheit	Sicherheit aller in einer Organisation vorhandenen Informationen im Hinblick auf Verfügbarkeit, Integrität (einschließlich Verbindlichkeit) und Vertraulichkeit. Die Informationssicherheit schließt damit die Sicherheit aller kritischen Ressourcen ein, die Träger von Informationen sind oder zu ihrer Erhebung, Speicherung, Verarbeitung, Übermittlung oder Nutzung beitragen. Sie geht über die IT-Sicherheit hinaus, da sie nicht nur Daten in IT-Systemen, sondern z.B. auch Medien wie Papierdokumente und das gesprochene Wort sowie Tätigkeiten wie Kopieren und Faxen umfasst.
Informationstechnik	Gesamtheit der Ressourcen, die zur Speicherung, Verarbeitung und Übermittlung von Informationen in elektronischer oder anderer technisch geprägter Form dienen. Die Ressourcen zur Übermittlung werden auch Kommunikationstechnik genannt.
Infrastruktur	Grundlegende Einrichtungen, die für die Gesellschaft oder eine einzelne Organisation eine Bedingung für deren Funktionieren bilden. Die Infrastruktur wird oft mit Standorten oder technischen Einrichtungen in Verbindung gebracht, kann sich aber auch auf ideelle Konstrukte wie die Rechtssicherheit in einem Staat beziehen.
Integrität	Im Rahmen der Informationssicherheit die Eigenschaft einer Information, dass deren Inhalt richtig ist. Die Integrität stellt sicher, dass Informationen vollständig und unverändert sind. Beeinträchtigungen der Integrität ergeben sich beispielsweise durch fehlerhafte Dateneingabe oder durch betrügerische Verfälschung von Informationen.
Integrity	Englischer Begriff für Integrität.
Intrusion Detection System	System zur Analyse von IT-Systemen mit dem Ziel, Angriffe auf die IT-Sicherheit frühzeitig zu erkennen und zu melden.
InvG	Investmentgesetz. Das InvG regelt den Markt für Kapitalanlage- und Investmentgesellschaften. Relevant ist insbesondere § 9a Organisationspflichten. Er enthält Anforderungen zur ordnungsgemäßen Geschäftsorganisation. Unter der Verantwortung der Geschäftsleitung sind u.a. ein angemessenes Risikomanagement, geeignete Regelungen für Geschäfte und Vermögensanlagen, angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung, eine vollständige Dokumentation sowie ein angemessenes Kontrollverfahren mit einer internen Revision sicher zu stellen.
InvMaRisk	Rundschreiben der BaFin zu den Mindestanforderungen an das Risikomanagement von Kapitalanlage- und Investmentgesellschaften vom Juni 2010. Die InvMaRisk basieren auf § 9a InvG und sind als zentrales Regelwerk der Finanzaufsicht verbindlich.
IS	Abkürzung für Information Security.
ISACA	Information Systems Audit and Control Association. Die ISACA ist der internationale Verband der EDV-Prüfer. Sie hat CobiT entwickelt.
ISO	International Organization for Standardization. Die ISO ist die internationale Vereinigung der Normungsorganisationen, sie bildet neben der IEC und der ITU den Rahmen für die Herausgabe internationaler Normen.
ISO 900x	Reihe von internationalen Normen, die die Erstellung, den Betrieb und die Steuerung eines Qualitäts-Management-Systems beinhalten. Zu dieser Serie gehören u.a.: ISO 9000, veröffentlicht im September 2005, mit einer Einführung in die Normenreihe und dort verwendeten Begriffen, ISO 9001, veröffentlicht zuletzt im November 2008 und die ehemaligen Standards ISO 9001, ISO 9002 und ISO 9003 enthaltend, mit den Anforderungen an ein Qualitäts-Management-System, nach der eine Zertifizierung vorgenommen werden kann, ISO 9004, veröffentlicht im Dezember 2008, mit Vorschlägen zur Verbesserung eines Qualitäts-Management-Systems. Zu dieser Serie werden auch eine Vielzahl weiterer Normen gezählt, die aber nicht diesem Nummernschema entsprechen. Sie adressieren oft spezifische Themen einzelner Branchen.
ISO Guide 73	Internationale Norm von 2002, die Begriffsklärungen und allgemeine Vorgehensweisen für das Risikomanagement enthält, im November 2009 im Zusammenhang mit ISO/IEC 310xx neu erschienen.
ISO/IEC 20000	Internationale Norm, die die Anforderungen an ein professionelles IT-Service-Management beschreibt. Die ISO/IEC 20000 basiert ursprünglich auf der britischen Norm BS 15000 und wurde im Dezember 2005 veröffentlicht. Sie besteht aus zwei Teilen: ISO/IEC 20000-1 mit den Anforderungen („Specification“) an das IT-Service-Management, ISO/IEC 20000-2 mit Empfehlungen („Code of Practice“) zur Umsetzung dazu. Später wurden Ergänzungen veröffentlicht: ISO/IEC 20000-3 mit Hilfen zur Definition des Gültigkeitsbereichs der Norm („Guidance on scope definition and applicability“) im Oktober 2009, ISO/IEC 20000-5 mit einem Beispielplan zur Implementation („Exemplar implementation plan“) im April 2010. Nach dem Standard ISO/IEC 20000-1 kann eine Zertifizierung vorgenommen werden. Sie ist insbesondere dann möglich, wenn ein Dienstleister sich an ITIL ausgerichtet hat.
ISO/IEC 2700x	Reihe von internationalen Normen, die die Erstellung, den Betrieb und die Steuerung eines Management-Systems zur Informationssicherheit beinhalten. Zu dieser Serie gehören u.a.: ISO/IEC 27000, veröffentlicht im April 2009, mit einer Einführung in die Normenreihe und dort verwendeten Begriffen, ISO/IEC 27001, veröffentlicht im Oktober 2005, mit den Anforderungen („Specification“) an ein solches System (seit 2008 auch als DIN-Norm verfügbar), nach der eine Zertifizierung vorgenommen werden kann, ISO/IEC 27002, seit Juli 2007, veröffentlicht ursprünglich als ISO/IEC 17799, mit Empfehlungen („Code of Practice“) zur Umsetzung dazu, ISO/IEC 27003, veröffentlicht im Februar 2010, zur Unterstützung der Implementierung eines Management-Systems, ISO/IEC 27004, veröffentlicht im Dezember 2009, mit Verfahren zur Messung des Erfolgs der Umsetzung des Systems, ISO/IEC 27005, veröffentlicht im Juni 2008, mit Verfahren zur Beurteilung der Sicherheitsrisiken, ISO/IEC 27006, veröffentlicht im Februar 2007, mit Anforderungen an Auditoren und Zertifizierer, ISO/IEC 27007, Veröffentlichung geplant, mit Richtlinien zur Auditierung. Die Normen ISO/IEC 27001 und ISO/IEC 27002 basieren ursprünglich auf der britischen Norm BS 7799.
ISO/IEC 310xx	Reihe von internationalen Normen, die die Gestaltung eines Risikomanagements beinhalten. Zu dieser Serie gehören u.a.: ISO 31000, veröffentlicht im November 2009, mit den allgemeinen Prinzipien und einer Prozessbeschreibung, ISO/IEC 31010, veröffentlicht im Dezember 2009, mit Beschreibungen verschiedener Verfahren zur Risikobeurteilung.
IT	Abkürzung für Informationstechnik.
IT Operations Control	Überwachung von Komponenten und Abläufen, die zum IT-Betrieb beitragen. Hierzu wird oft ein Control Center geschaffen, in dem alle entstehenden Meldungen von Systemen, Geräten oder Anwendungen zusammen geführt werden, um gemeinsam verarbeitet zu werden. Von hier aus werden dann ggf. weitere Aktivitäten koordiniert.
IT Operations Management	Funktion nach ITIL, die für den laufenden IT-Betrieb verantwortlich ist. Das IT Operations Management enthält gemäß ITIL u.a.: IT Operations Control für die Überwachung des IT-Betriebs, Facilities Management zur Verwaltung der Gebäude- und Versorgungs-Infrastruktur, die dem IT-Betrieb zu Grunde liegt.
IT Recovery	Englischer Begriff für Maßnahmen, die nach einem Notfall zur Wiederherstellung der Informationstechnik eingeleitet werden. Dazu zählt sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer IT-Infrastruktur. Bei einer Disaster-Recovery-Lösung sind insbesondere die Wiederanlaufzeit, die Datenverlustzeit sowie die Wahrung der Datensynchronität zu beachten.
IT Security	Englischer Begriff für IT-Sicherheit.
IT Security Policy	Englischer Begriff für IT-Sicherheits-Leitlinie oder für ein Regelwerk zur Sicherheit eines IT-Teilbereichs (z.B. E-Mail Policy).
IT Service Continuity Management	Die Sicherstellung des Weiter- und Wiederanlaufens von IT-Services nach Aus- oder Notfällen. Der Prozess gehört gemäß ITIL zur Phase Service Design.
IT Service Management	Englischer Begriff für die Steuerung von IT-Services. Er bezeichnet die Gesamtheit der zur Erbringung der Services erforderlichen Management-Aufgaben. Die Vorstellung vom IT Service Management wird stark geprägt durch ITIL. Dort wird die Aufgabe in eine Vielzahl von Prozessen und Funktionen aufgeteilt.
IT-Anwendung	Synonym für ein Programm oder ein Programmsystem, welches auf dem Betriebssystem eines Rechners ausgeführt werden kann.
IT-Asset	Eine im Rahmen der Verarbeitung von Informationen eingesetzte Ressource, deren Beeinträchtigung kritische Konsequenzen für das Unternehmen hätte. IT-Assets sind in erster Linie IT-Anwendungen und Datenbestände. Daneben können aber auch z.B. physische IT-Komponenten, die einen sehr hohen materiellen Wert besitzen, ein IT-Asset darstellen.
IT-Betrieb	Einsatz und Aufrechterhaltung einer IT-Infrastruktur zur Lieferung von IT-Services. Um den IT-Betrieb zu gewährleisten, ist eine Überwachung notwendig.
IT-Grundschutz	Methodik und Empfehlungen zur Sicherstellung der IT-Sicherheit einer Organisation. Der IT-Grundschutz wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) entwickelt und wird regelmäßig aktualisiert.
ITIL	Abkürzung für „IT Infrastructure Library“, ein Best-Practice-Ansatz des Office of Government Commerce (OGC) in Großbritannien. Es handelt sich hierbei um ein Organisationskonzept für die Lieferung von IT als Service zur Unterstützung von Geschäftsprozessen. Es gliedert und beschreibt die für den Betrieb von IT-Services notwendigen Ressourcen und Maßnahmen. In der Version 3 aus dem Jahr 2007 ist das Gesamtwerk in 5 Bände nach Phasen unterteilt: Service Strategy mit generellen Prinzipien für die Einordnung von IT-Services in den Markt, Service Design mit Vorschlägen für die Planung von IT-Services, Service Transition mit der Beschreibung der Übernahme von IT-Services in den Betrieb, Service Operation mit Empfehlungen zum Betrieb von IT-Services, Continual Service Improvement mit den Verfahren, die zur Verbesserung im Lebenszyklus eingesetzt werden können. ITIL sieht für einige Teile des Lebenszyklus keine Best Practices vor, statt dessen wird auf weitere verwiesen. Dies ist insbesondere der Fall für folgende Themen: (Software-)Entwicklung, hier soll CMMI angewendet werden, Projektmanagement, hier wird PRINCE2 empfohlen, Spezifika für IT-Provider, hier soll eSCM-SP gelten.
IT-Infrastruktur	Gesamtheit der Ressourcen, die für die Erbringung von IT-Services notwendig sind. Zu diesen Ressourcen zählen zentrale Einrichtungen wie ein Rechenzentrum oder ein Archiv, die Vernetzung und dezentrale Einrichtungen wie PCs und Drucker.
IT-Service	Service, der unter Einsatz von IT erbracht wird.
IT-Sicherheit	Gesamtheit der Sicherheitsmerkmale Verfügbarkeit, Vertraulichkeit und Integrität sowie Verbindlichkeit, jeweils in Bezug auf die in einer Organisation genutzte IT. Es ist ein Unternehmensziel, eine angemessene Sicherheit der IT zu gewährleisten.
IT-Sicherheits-Audit	Maßnahme zur Überprüfung der IT-Sicherheit. Es handelt sich um einen Compliance-Audit mit dem Ziel, die Vollständigkeit, Angemessenheit und Umsetzung von Sicherheitsvorgaben zu untersuchen. Als Folge werden Schwachstellen sichtbar gemacht und Maßnahmen zu ihrer Behebung vorgeschlagen.
IT-Sicherheits-Leitlinie	Dokument mit den Vorgaben der Geschäftsleitung für die Gewährleistung einer angemessenen IT-Sicherheit für das Unternehmen.
IT-Sicherheits-Richtlinie	Umfassendes, unternehmensweit verbindliches Regelwerk für die Gewährleistung einer angemessenen IT-Sicherheit. Die IT-Sicherheits-Richtlinie wird aus der IT-Sicherheits-Leitlinie abgeleitet. Sie bildet die Grundlage für aufeinander abgestimmte organisatorische und technische Konzepte und Schutzmaßnahmen, die den Schutz der Unternehmens-IT vor Bedrohungen gewährleisten.
IT-Sicherheits-Strategie	Gleichbedeutend mit IT-Sicherheits-Leitlinie.
IT-Sicherheits-Überprüfung	Überprüfung der IT-Sicherheit einer Organisation. Geschäftsleitung und IT-Leitung tragen die Verantwortung, dass Risiken aus dem Einsatz von Informationstechnik in angemessener Weise beherrscht werden. Dies schließt ein, dass vorhandene Sicherheits-Zielsetzungen und -Maßnahmen überprüft werden müssen. Überprüfungsmaßnahmen umfassen z.B. IT-Sicherheits-Audits sowie auch Penetration-Tests und Netzwerk-Scans.
ITSM	Abkürzung für IT Service Management.
IT-Strategie	Dokument der Geschäftsleitung, in dem die in der Unternehmensstrategie definierten Unternehmensziele auf die IT bezogen und detailliert werden. Die Erstellung einer IT-Strategie ist überall dort sinnvoll, wo die IT einen wesentlichen Bestandteil der wertschöpfenden Geschäftsprozesse darstellt.
IT-System	Umgebung für die Nutzung von IT-Anwendungen. Ein IT-System setzt sich aus mehreren Komponenten zusammen. Dazu gehören Rechner, Speicher, Netzverbindungen und Peripherie zur Ein- oder Ausgabe. Alle diese Geräte enthalten Hardware und Software.
ITU	International Telecommunication Union. Die ITU ist die Unterorganisation der Vereinten Nationen für Themen der Telekommunikation, sie gibt internationale Empfehlungen heraus.
IT-Vorfall	Nicht geplantes Ereignis, welches die IT betrifft und bearbeitet werden muss. IT-Vorfälle sind beispielsweise: Störungsmeldungen, die durch Anwender gemeldet werden (Incidents), durch Überwachungssysteme generierte Alarme (Events), Sicherheitswarnungen, wie sie beispielsweise von Info-Diensten generiert werden.
J
K
Katastrophe	Ein nur mit sehr großem Aufwand oder überhaupt nicht zu beherrschendes, existenzbedrohendes Schadensereignis, das nicht nur ein Unternehmen bzw. eine Organisation betrifft, sondern auch eine Bedrohung für die Öffentlichkeit darstellt. Juristisch wird eine "Katastrophe" von Großschadensereignissen bzw. dessen Synonymen Großschadenslage und Großunfall insofern abgegrenzt, als die "Katastrophe" generell ein Hinzuziehen von Strukturen des staatlichen Katastrophenschutzes zu ihrer Bewältigung erfordert. Weiter ist Voraussetzung zur Verwendung des Begriffs "Katastrophe" im operativen Sinn, dass adäquate Gegenmaßnahmen nur in Abstimmung mit Abwehrmaßnahmen durch Katastrophenschutzbehörden erfolgen können und Mittel des Katastrophenschutzes für die Beseitigung der Katastrophe bzw. die Abmilderung ihrer Folgen herangezogen werden müssen. Beispiele für Katastrophen sind: ein Austritt von radioaktiven oder chemischen Substanzen, Naturkatastrophen. Ein detaillierte, vorsorgliche Planung für Katastrophen ist aus Sicht eines betroffenen Unternehmens im Gegensatz zu Notfällen nur erschwert möglich, da es keine volle Handlungshoheit mehr besitzt. Für die Bewältigung einer Katastrophe ist aus Unternehmenssicht in der Regel ein funktionierendes Krisenmanagement erforderlich. Notfallpläne können ebenfalls oft zumindest teilweise verwendet werden.
Key Performance Indicator	Parameter, anhand derer Aussagen über die Qualität von Services oder den Fortschritt von Organisationen getroffen werden können. Dazu muss der Wert der Parameter bestimmt, besser noch gemessen werden. Üblicherweise werden Wertebereiche festgelegt, in denen sich der Wert bewegen darf. Die Grenzen dieser Wertebereiche heißen Schwellwerte.
Keylogger	Einrichtung zur Aufzeichnung von Tastatureingaben an der IT. So können z.B. Passwörter ausgespäht und weitergegeben werden.
KM	Abkürzung für Krisenmanagement.
Knowledge Management	Aufbereitung und Vorhaltung von Wissen und Erfahrungen im Zusammenhang mit betrieblichen Vorgängen. Der Prozess gehört gemäß ITIL zur Phase Service Transition.
Konfiguration	Aufbau eines Systems, hier vor allem eines IT-Systems. Die Konfiguration beinhaltet sowohl die Zusammenstellung der Hardware als auch die Einstellungen in der Software.
Konformität	Übereinstimmung der Realität mit bestehenden Anforderungen.
Kontinuität	Stetigkeit oder auch gleichmäßiger Fortgang, der nicht unterbrochen oder abrupt verändert wird.
KonTraG	Gesetz zur Kontrolle und Transparenz im Unternehmensbereich von 1998. Das KonTraG beinhaltet Änderungen in einer Reihe von anderen Gesetzen: Handelsgesetzbuch (HGB), Aktiengesetz (AktG), GmbH-Gesetz (GmbHG), Gesetz über Kapitalanlagegesellschaften, Genossenschaftsgesetz, Wertpapierhandelsgesetz, Börsenzulassungsverordnung, Publizitätsgesetz, Wirtschaftsprüferordnung, Gesetz über Angelegenheiten der freien Gerichtsbarkeit. Das gemeinsame Ziel der Änderungen ist die Steigerung der Möglichkeiten von Anteilseignern von Unternehmen und teilweise auch der Öffentlichkeit, Einsicht in die Geschäftslage zu nehmen.
Kontrolle	Soll-Ist-Abgleich zur Sicherstellung, dass ein vorgegebenes Ziel erreicht wird.
Kosten-Nutzen-Analyse	Untersuchung, die die Kosten und den Nutzen einer Maßnahme vergleicht.
KPI	Abkürzung für Key Performance Indicator.
Krise	Aus Unternehmenssicht eine Situation, welche eines oder mehrere der nachstehenden Merkmale besitzt. Sie: tritt unvorhergesehen ein, kann sich so zuspitzen, dass sie schwer beherrschbar wird, birgt Gefahr für Leib und Leben von Personen in sich, kann die Aufmerksamkeit der Medien, von Kontrollinstanzen oder öffentlichen Stellen auf sich ziehen, kann den Geschäftserfolg in unternehmensbedrohendem Ausmaß beeinträchtigen. Typische Beispiele für Krisen sind: offene oder verdeckte Erpressung, Entführungen und Geiselnahmen, Sabotagehandlungen, Bombendrohungen, Großbrände, Explosionen, betriebliche Massenunfälle, Unfälle mit erheblichen Umweltschäden, Naturkatastrophen, schwere Fälle von Wirtschafts-Spionage.
Krisenbewältigung	Alle Aktionen, die nach Auftreten einer Krise unternommen werden mit dem Ziel, die Krisensituation zu beherrschen und so schnell wie möglich zu beenden.
Krisenmanagement	Steuerung sowohl der vorsorglichen Regelung von Alarmverfahren, Organisationsformen und Abläufen, die bei jeglichen Krisen zum Einsatz kommen, als auch des Handelns in der Krise. Ziel des Krisenmanagements ist es, die Entscheidungsfähigkeit der Organisation im Krisenfall sicherzustellen und eine zielgerichtete und koordinierte Krisenbewältigung zu ermöglichen.
Krisenstab	Steuerndes Grundelement einer Organisation zur Krisenbewältigung. Der Krisenstab besteht aus Mitgliedern, die den Krisenstabsleiter bei der Beurteilung der Lage beraten, Entscheidungen vorbereiten sowie die Ausführung koordinieren und überwachen. Im Krisenfall hat der Krisenstab die Aufgabe: die Aktionen zur Krisenbewältigung zu planen, zu veranlassen, zu überwachen und zu dokumentieren, Kontakte zu Behörden, Polizei und Feuerwehr zu unterhalten, die Kommunikation nach außen mit Kunden, Partnern, Anteilseignern und den Medien zu steuern. Der Krisenstab kann nur durch periodische Krisenübungen für seine Aufgaben trainiert werden. Zur Ausübung seiner Tätigkeit müssen dem Krisenstab geeignete Räumlichkeiten zur Verfügung stehen. Diese müssen gesichert und zu jeder Tages- und Nachtzeit erreichbar sein, Kommunikationseinrichtungen und IT-Einrichtungen beinhalten, Arbeitsplätze für die Stabsmitglieder bieten sowie Handbücher, Notfallpläne, Lagepläne und Arbeitsmittel bereitstellen.
Krisenstabsleiter	Oberster, alleinverantwortlicher Entscheider bei der Krisenbewältigung. Zum Krisenstabsleiter sollte stets eine führungserfahrene und äußerst belastbare Person bestellt werden, die einen breiten Überblick über die von der Krise betroffene Organisation hat. Der Krisenstabsleiter ist daher oft ein Mitglied der Geschäftsleitung. Der Krisenstabsleiter wird bei seiner Arbeit durch den Krisenstab unterstützt.
Krisenstabsleitfaden	Dokumentation, die die Arbeitsgrundlage für den Krisenstab in der Krise bildet. Darin sind die handelnden Rollen, die Arbeitsumgebung und die notwendigen Aktivitäten beschrieben.
Krisenübung	Üben der im Rahmen des Krisenmanagements etablierten Prozeduren und Nutzung der dafür vorgesehenen Einrichtungen, damit die Krisenorganisation in der Krise arbeitsfähig ist.
KRITIS	Abkürzung für Kritische Infrastrukturen.
Kritische Infrastrukturen	Einrichtungen und Organisationen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. In Deutschland orientiert sich die Zugehörigkeit einer Organisation zu den Kritischen Infrastrukturen vor allem an der Zugehörigkeit zu einem der insgesamt acht KRITIS-Sektoren.
KRITIS-Sektor	In Deutschland werden zu den Kritischen Infrastrukturen folgende Sektoren gezählt: Transport und Verkehr (Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Postwesen, Straße, Bahn, Nahverkehr), Energie (Elektrizität, Kernkraftwerke, Gas, Mineralöl), Gefahrstoffe (Chemie und Biostoffe, Gefahrguttransporte, Rüstungsindustrie), Informationstechnik / Telekommunikation, Finanz-, Geld- und Versicherungswesen (Banken, Versicherungen, Finanzdienstleister, Börsen), Versorgung (Gesundheit, Notfall- und Rettungswesen, Katastrophenschutz, Lebensmittelversorgung, Wasserversorgung, Entsorgung), Behörden, Verwaltung und Justiz (staatliche Einrichtungen), Sonstiges (Medien, Großforschungseinrichtungen, herausragende oder symbolträchtige Bauwerke, Kulturgut).
KRITIS-Strategie	Nationale Strategie zum Schutz Kritischer Infrastrukturen, von der Bundesregierung im Juni 2009 beschlossen. Die KRITIS-Strategie verpflichtet alle Organisationen, die KRITIS-Sektoren angehören, zur Zusammenarbeit in Bezug auf die Vorbereitung auf und die Bewältigung von Krisensituationen nationalen Ausmaßes.
Kryptologie	Untersuchungsgebiet zu technischen Verfahren zur Gewährleistung der Vertraulichkeit und Verbindlichkeit von Informationen. Insbesondere geht es dabei um Verschlüsselung und Signaturen sowie die dazu notwendigen Infrastrukturen zur Schlüsselverwaltung (PKI).
KWG	Gesetz über das Kreditwesen (Kreditwesengesetz). Das KWG regelt den Markt für Kreditinstitute und Finanzdienstleister. Relevant sind insbesondere: § 24c Automatisierter Abruf von Kontoinformationen, § 25a Besondere organisatorische Pflichten von Instituten, § 29 Besondere Pflichten des Prüfers. § 24c verlangt Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit. § 25a enthält Anforderungen zur ordnungsgemäßen Geschäftsorganisation. Unter der Verantwortung der Geschäftsleitung sind u.a. eine angemessene Risikostrategie, aufbau- und ablauforganisatorische Regelungen, Prozesse zum Umgang mit den Risiken, eine angemessene personelle und technisch-organisatorische Ausstattung und ein Notfallkonzept sicher zu stellen, eine vollständige Dokumentation der Geschäftstätigkeit ist für 5 Jahre aufzubewahren. Auch im Falle der Auslagerung von Aktivitäten oder Prozessen darf die Erfüllung dieser Anforderungen nicht beeinträchtigt werden.
L
Leitfaden	Orientierungshilfe für Tätigkeiten. Ein Leitfaden ist zunächst unverbindlich und enthält Tipps zum Umgang mit einem bestimmten Thema. Wird er von einer Instanz für verbindlich erklärt, dann erhält er den Charakter einer Leitlinie, einer Richtlinie oder einer Anweisung.
Leitlinie	Vorschrift auf höchster Ebene, die in allgemeiner Form Ziele und Verantwortlichkeiten benennt. Sie muss konform zu bestehenden Strategien sein und durch Richtlinien und Anweisungen konkretisiert werden.
Leitwarte	Raum zur Überwachung einer Gebäude-, Versorgungs- oder Produktions-Infrastruktur. Hier laufen insbesondere Meldungen von Alarmsystemen und der Gebäudeleittechnik zusammen, so dass angemessen reagiert werden kann. Die Leitwarte ist das technische Zentrum der Haus- bzw. Produktionstechnik.
Logging	Englischer Begriff für Protokollierung.
Löschung	Unkenntlichmachung von Informationen (im BDSG für personenbezogene Daten definiert).
LÜKEX	Länder-Übergreifende Krisen-Exercise, eine Übungsreihe für das nationale Krisenmanagement der Bundesrepublik Deutschland, die vom BBK geplant und koordiniert wird. An den Übungen, die etwa im Zwei-Jahres-Abstand stattfinden, nehmen immer mehrere Bundesländer einschließlich einiger kommunaler Körperschaften und auch Unternehmen vor allem aus den KRITIS-Sektoren teil. Neben diesen „Kernübungsländern“ können weitere Bundesländer sich durch Stäbe vertreten lassen. Die Übungsreihe dient zur Vorbereitung auf umfangreiche Gefahrenlagen wie z.B. Naturkatastrophen, Stromausfälle, Pandemien und Terroranschläge.
M
Malware	Kunstwort aus „Malicious Code“ (schädlicher Programmcode) und Software, das die Gesamtheit der Schadprogramme bezeichnet. Hierzu gehören Viren, Trojanische Pferde, Würmer, Backdoors und andere Programmtypen.
Malware-Schutz	Schutzmaßnahmen gegen Malware, vor allem Verfahren, die Programme und Daten nach Mustern untersuchen (scannen), die schädliche Wirkungen erzeugen können, und diese ggf. entfernen.
Management-System	Rahmen für die Steuerung einer Organisation. Er besteht aus Strategien, Prozessen, Regeln und Ressourcen.
MaRisk (BA)	Rundschreiben der BaFin zu den Mindestanforderungen an das Risikomanagement von Kredit- und Finanzdienstleistungsinstituten vom Oktober 2007. Die MaRisk (BA), ursprünglich nur MaRisk und später in Abgrenzung zu weiteren Rundschreiben zum Risikomanagement dann MaRisk BA genannt, basieren auf § 25a KWG und sind als zentrales Regelwerk der Bankenaufsicht verbindlich. Die MaRisk haben die vormals gültigen MaH, MaK und MaIR abgelöst.
MaRisk VA	Rundschreiben der BaFin zu den Mindestanforderungen an das Risikomanagement von Versicherern vom Januar 2009. Die MaRisk VA basieren auf § 64a VAG und sind als zentrales Regelwerk der Versicherungsaufsicht verbindlich.
Maturity Level	Englischer Begriff für Reifegrad.
Mindestressourcen	Der Wiederanlauf der IT und der Geschäftsfunktionen erfolgt nach einem Notfall im Allgemeinen zunächst nicht in einem Ausmaß, das dem normalen Geschäftsbetrieb entspricht, sondern mit definierten Mindestressourcen, die darauf ausgerichtet sind, das Überleben des Unternehmens für einen definierten Zeitraum abzusichern. Durch die Festlegung von Mindestressourcen können Vorhaltungskosten für Ausweich-Rechenzentren und Ausweich-Arbeitsplätze minimiert werden.
N
NAC	Abkürzung von Network Admission Control.
Network Admission Control	Mittels Network Admission Control werden Endgeräte, die sich an einem IT-Netzwerk anmelden wollen, auf die Einhaltung definierter Sicherheitsvorgaben geprüft (z.B. das Vorhandensein aller aktuellen Sicherheits-Patches und einen aktuellen Virenscanner). Der Netzwerkzugriff auf die vom Benutzer gewünschten IT-Ressourcen wird nur gewährt, wenn die Vorgaben erfüllt sind.
NFPA	National Fire Protection Association. Es handelt sich um eine Amerikanische Organisation für die Entwicklung von Standards zur Notfallvorsorge.
Nichtabstreitbarkeit	Gewährleistung, dass Tatsachen nicht geleugnet werden können. In Bezug auf die Kommunikation zwischen Partnern bedeutet dies, dass weder die Versendung noch der Erhalt einer Nachricht geleugnet werden kann. Nichtabstreitbarkeit wird z.B. über Bestätigungsprotokolle und digitale Signaturen erreicht. Nichtabstreitbarkeit wird oft als ein Bestandteil der Verbindlichkeit betrachtet.
Nicht-Öffentliche Stelle	Natürliche oder juristische Person oder Gesellschaft, die keine öffentliche Stelle ist (gemäß BDSG).
Non-Repudiation	Englischer Begriff für Nichtabstreitbarkeit.
Notfall	Schadensereignis im Bereich zwischen einer Betriebsstörung und einer Katastrophe. Es handelt sich hierbei um ein Ereignis, das zu einer Beeinträchtigung von Unternehmensressourcen führt, die den Geschäftsbetrieb völlig zum Erliegen bringt bzw. in einer für das Unternehmen kritischen Form behindert, nur durch spezielle im Rahmen einer Notfallvorsorge getroffene Maßnahmen innerhalb angemessener Zeit bewältigt werden kann, in der Regel ohne Hilfe von Strukturen des (staatlichen) Katastrophenschutzes bewältigt werden kann. Der Notfall muss zunächst von einer verantwortlichen Funktion festgestellt und eskaliert werden. Die anschließende Durchführung adäquater Maßnahmen wird zentral koordiniert und erfolgt durch Einheiten einer speziellen Notfallorganisation. Maßnahmen und Organisation orientieren sich dabei an vorsorglich vorbereiteten Geschäftsfortführungs- und Wiederanlaufplänen. Beispiele für Notfälle sind: die längere Nichtzugänglichkeit eines zentralen Gebäudes, ein Brand in einem Rechenzentrum, der Ausfall von wichtigen Dienstleistern wie z.B. Stromversorgern oder TK-Providern.
Notfallbeauftragter	Mitarbeiter, der für die Aufrechterhaltung der Notfallvorsorge verantwortlich ist. Zu seinen Aufgaben gehören u.a.: Festlegen der Anforderungen für die Notfallbewältigung, Festlegung der Notfallorganisation, Vorschlag und Verfolgung vorsorglicher Maßnahmen zu Notfallbewältigung, Planung und Auswertung von Notfalltests, Redaktion des Notfallhandbuchs, Sicherstellung der Aktualität der Notfallplanung.
Notfallbewältigung	Alle Aktionen, die nach Eintritt eines Notfalls unternommen werden mit dem Ziel, einen angemessenen Notbetrieb ausgefallener Geschäftsfunktionen in möglichst kurzer Zeit zu ermöglichen, um die Folgeschäden für das Unternehmen so niedrig wie möglich zu halten. Eine erfolgreiche Notfallbewältigung ist im Allgemeinen nur dann möglich, wenn eine angemessene Notfallvorsorge etabliert wurde.
Notfallhandbuch	Handbuch, in dem ein oder mehrere Notfallpläne zusammengefasst sind.
Notfallorganisation	Teams, die für die Notfallbewältigung zuständig sind Notfallteams, Krisenstab.
Notfallplan	Dokumentation, die alle wichtigen Informationen enthält, um nach Eintritt eines Notfalls gezielt und angemessen zu reagieren und den Betrieb einer Organisation oder eines Teils davon fortzuführen oder wieder aufzunehmen. Der Notfallplan wird im Rahmen der Notfallvorsorge erstellt. Typische Inhalte sind Alarmverfahren, Aktionspläne, Personenverzeichnisse usw.. Es ist darauf zu achten, dass der Zugriff auf den Notfallplan nach einem Notfall auf jeden Fall möglich ist. Dazu sollte der Notfallplan in Papierform und ggf. auch elektronisch zur Verfügung stehen.
Notfallplanung	Gleichbedeutend mit Notfallvorsorge.
Notfallszenario	Szenario, das einen Notfall darstellt. Die Notfallvorsorge wird im Allgemeinen auf der Basis von Szenarien aufgebaut. Meist handelt es sich dabei um Wirkungsszenarien, da die Ursache des Notfalls für die Geschäftsfortführung und den Wiederanlauf in den meisten Fällen nicht relevant ist.
Notfallteam	Gruppe von Personen, die nach Eintritt eines Notfalls definierte Aufgaben wahrnimmt, z.B. die Wiederherstellung von Infrastruktur oder der Notbetrieb eines Geschäftsprozesses. Im Rahmen des Business Continuity Managements werden Notfallteams vorsorglich definiert, mit ausgesuchten Personen besetzt und die zu erfüllenden Aufgaben in Notfallplänen beschrieben. Jedes Notfallteam hat für gewöhnlich einen Leiter, der die Tätigkeiten der Teammitglieder koordiniert und den Gegebenheiten anpasst. Die zentrale Koordination mehrerer Notfallteams erfolgt meistens aus dem Krisenstab heraus.
Notfalltest	Test der im Rahmen der Notfallvorsorge etablierten Einrichtungen, um ihre Funktionsfähigkeit im Notfall zu überprüfen.
Notfallübung	Üben der im Rahmen der Notfallvorsorge etablierten Pläne, um die Notfallorganisation reaktionsfähig zu halten.
Notfallvorsorge	Maßnahmenbündel, dass vor dem Eintritt eines Notfalls realisiert wird, um den möglichen Schaden nach Eintritt eines Notfalls so zu begrenzen, dass das Überleben des Unternehmens gesichert ist. Darin enthalten ist auch die Erstellung eines Notfallplans (bzw. eines Notfallhandbuchs). Typische Einzelmaßnahmen der Notfallvorsorge sind z.B. die Einrichtung von Ausweich-Rechenzentren und -Ausweich-Arbeitsplätzen oder die Etablierung effektiver Alarmverfahren.
NPSI	Nationaler Plan zum Schutz der Informationsinfrastrukturen, von der Bundesregierung im Juli 2005 beschlossen. Der NPSI benennt vor dem Hintergrund der Abhängigkeit der Gesellschaft von der Informationstechnik Maßnahmen im Bereich von Prävention, Reaktion und Nachhaltigkeit zum Schutz der damit gebildeten Infrastrukturen. Er zielt in zwei Richtungen, konkretisiert jeweils durch spezifische Umsetzungspläne: auf die Bundesbehörden im Rahmen des Umsetzungsplans Bund (UP BUND), auf eine Kooperation zwischen staatlichen Organen und Organisationen in den KRITIS-Sektoren im Rahmen des Umsetzungsplans KRITIS (UP KRITIS).
Nutzung	Verwendung von Ressourcen zur Erreichung von Zielen, für den Datenschutz Verwendung von Informationen, so weit es sich nicht um Verarbeitung handelt (im BDSG für personenbezogene Daten definiert).
O
Octave	Abkürzung für Operationally Critical Threat, Asset, and Vulnerability Evaluation. Es handelt sich hierbei um eine Methode zur Risikoanalyse vom Software Engineering Institute (SEI) der der Carnegie Mellon University in Pittsburgh/USA. Octave dient dem Information Security Risk Assessment.
Öffentliche Stelle	Behörde oder andere Einrichtung des Staates (gemäß BDSG).
OLA	Abkürzung für Operational Level Agreement.
Operation	Englischer Begriff für Betrieb.
Operational Continuity	Ausdehnung des Begriffs Business Continuity auf Organisationen, die nicht nach Gewinn streben, z.B. Behörden.
Operational Level Agreement	Betriebsinterne Vereinbarung zwischen einem Service-Geber und einem Service-Nehmer, welche die erforderliche Qualität des Services festlegt. Das Operational Level Agreement ist gemäß ITIL das interne Pendant zum Service Level Agreement.
Operational Resilience	Englischer Begriff für die Widerstandsfähigkeit einer Organisation und deren Bestandteile gegen Unterbrechungen des Geschäftsbetriebs
Operationelles Risiko	Nach Basel II (analog auch bei Solvency II) die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein, beinhaltet aber nicht strategische Risiken oder Reputationsrisiken.
Ordnungsmäßigkeit	Ein Verfahren oder Produkt ist dann ordnungsgemäß, wenn es relevanten Vorschriften und gesetzlichen Vorgaben entspricht. Die Gewährleistung der Ordnungsmäßigkeit spielt insbesondere für die Buchführung von Unternehmen eine wesentliche Rolle. Laut IDW umfasst die Ordnungsmäßigkeit folgende Kriterien: Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit, Unveränderlichkeit. Voraussetzung für die Ordnungsmäßigkeit der IT-gestützten Buchführung ist auch die Gewährleistung einer angemessenen IT-Sicherheit.
Organisationsverschulden	Nach der Rechtsprechung des Bundesgerichtshofs gilt die Verantwortlichkeit von Leitenden einschließlich der Haftung bei Vorsatz oder grober Fahrlässigkeit nicht nur für eigene Entscheidungen, sondern auch für eine ausreichende Organisation des Betriebs, so dass ein Eingriff in geschützte Rechtsgüter Dritter verhindert wird. Wird dieser Verantwortung nicht nachgekommen, dann spricht man von Organisationsverschulden.
P
Pandemie	Länder- und kontinentübergreifende Ausbreitung einer Krankheit, im engeren Sinn einer Infektionskrankheit. Die Bewältigung einer Pandemie ist für ein Unternehmen nicht vollständig planbar. Es sollte deshalb ein funktionierendes Krisenmanagement vorhanden sein.
Passwort	Einfaches und übliches Hilfsmittel zur Authentisierung. Ein Passwort ist eine Zeichenfolge, die von einem Benutzer in ein IT-System einzugeben ist. Es basiert auf einem Wissen, das nur berechtigte Benutzer besitzen und darf deshalb nicht weitergegeben werden.
PCI DSS	Abkürzung für Payment Card Industry (PCI) Data Security Standard (DSS). Der Standard enthält Sicherheitsanforderungen an die Verarbeitung und Speicherung von Kreditkarteninformationen (in erster Linie der Primary Account Number). Er ist vom PCI Security Standards Council herausgegeben.
PDCA	Abkürzung für Plan Do Check Act (Planen - Ausführen - Überprüfen - Verbessern). Dieser nach William Edwards Deming benannte Zyklus wird in vielen Magement-Disziplinen angewendet. Die Aufteilung von Tätigkeiten nach PDCA findet sich in zahlreichen Standards zu BCM und Notfallvorsorge sowie zur Informationssicherheit.
Penetration Test	Im Bereich der IT-Sicherheit die Simulation von Hacker-Angriffen auf die IT. Ziel des Tests ist es, die Wirksamkeit der Maßnahmen zu überprüfen, die den Erfolg von Hacker-Angriffen verhindern sollen.
Personenbezogene Daten	Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (gemäß BDSG). Diese Informationen können sowohl auf IT-Systemen als auch manuell (auf Papier) geführt werden.
PKI	Abkürzung für Public Key Infrastructure.
Policy	Englischer Begriff für Leitlinie.
Prävention	Handlung zur Vermeidung zukünftig möglicher Schäden. Dabei werden Maßnahmen getroffen, die die Ursachen von Schäden, also Bedrohungen oder Schwachstellen, minimieren.
PRINCE2	Abkürzung für Projects in Controlled Environments. Es handelt sich hierbei um eine Methode zum Projektmanagement, die vom Office of Government Commerce (OGC) in Großbritannien zu beziehen ist. PRINCE2 beschreibt die für ein erfolgreiches Projektmanagement erforderlichen Schritte für die gesamte Dauer eines Projekts vom Beginn bis zum Abschluss. Dazu gehört insbesondere auch die Vorphase, die zum Mandat für das Projekt führt. Während der Projektlaufzeit sind Planung und Überwachung permanent durchzuführen. Besonderes Augenmerk wird auf ein abgestuftes Vorgehen gelegt.
Privacy	Englischer Begriff für Privatsphäre und Geheimhaltung, insbesondere auch genutzt für Datenschutz.
Problem Management	Der Umgang mit und die Verwaltung von Problemen, also Ursachen von Störungen und Schwachstellen in der IT-Umgebung. Die Probleme sind zu analysieren und einer Lösung zuzuführen. Sie können vom Incident Management an das Problem Management herangetragen werden. Ggf. muss für eine Behebung das Change Management eingeschaltet werden. Der Prozess gehört gemäß ITIL zur Phase Service Operation.
Programm	Im IT-Bereich eine Abfolge von Anweisungen an einen Rechner. Synonym werden auch Begriffe wie Modul, IT-Anwendung u.ä. verwendet. Darunter sind auch die Programmkomponenten zu verstehen, die auf der Basis eines Trägersystems für die aufgabenorientierte Bearbeitung von vorgegebenen Daten geschaffen wurden (z.B. Arbeitsblätter einer Tabellenkalkulation mit hinterlegten Formeln, Datenbanken mit integrierten Berechnungsmodulen, Workflow-Anwendungen, Programmerweiterungen auf der Basis von Script-Sprachen sowie Anwendungen, die auf Basis von Web-Technologien zur Nutzung angeboten werden).
Programm-einsatzverfahren	Verfahren zur Sicherstellung, dass nur Programme zum Einsatz gelangen, deren fachliche Eignung für den vorgesehenen Zweck nachgewiesen ist und die in das vorhandene technische Umfeld integriert werden können. Sie müssen in ausreichendem Umfang die Umsetzung der IT-Strategie und der Qualitätskriterien des Unternehmens gewährleisten. Teile des Programmeinsatzverfahrens sind die Programmfreigabe und die Einsatzfreigabe.
Programmfreigabe	Beurteilung der fachlichen Eignung eines Programms entsprechend den Anforderungen des Fachkonzepts, der sachgerechten Umsetzung in der Programmierung innerhalb eines geordneten Programmentwicklungsverfahrens, des erfolgreichen Tests von Verarbeitungsfunktionen und -regeln innerhalb der IT-Anwendung (ggf. einschließlich Schnittstellen) sowie des Vorliegens einer aktuellen Verfahrensdokumentation.
Projekt	Ein nur einmalig durchzuführender, gesteuerter Ablauf von Tätigkeiten mit definierten Zielen. Die Ziele beziehen sich auf: den Inhalt: Von klar vorgegebenen Ergebnissen bis hin zu allgemein formulierten Richtungsangaben (bei Forschungsprojekten) ist eine große Spanne möglich. die Umstände: Vor allem werden Termine (in Form von Meilensteinen) und Aufwand (als Projektbudget) geplant. Der Aufwand wiederum gliedert sich in Personalaufwand für interne Mitwirkung sowie Kosten für externe Unterstützung und Sachmittel (Investitionsbudget).
Projektmanagement	Planung und Steuerung von Projekten zur Erreichung der Projektziele. Dazu gehören insbesondere eine Risikosteuerung und die interne und externe Kommunikation (Berichtswesen). Die Organisation eines Projekts ist mindestens dreistufig: Lenkungsausschuss: Ein Gremium, das vom Auftraggeber besetzt wird. An ihn muss berichtet werden, er entscheidet über Ziele und notwendige Änderungen am Projekt. Projektleitung: Person (ggf. unterstützt von weiteren Personen), die die Verantwortung für die Durchführung des Projekts trägt und die notwendigen Kompetenzen übertragen bekommen hat. Projektteam: Gruppe von Personen, die die Aufgaben im Projekt nach ihren Fähigkeiten in Arbeitsteilung erledigen. Oft sind sie speziellen Themenbereichen zugeordnet.
Protokollierung	Im Rahmen der IT-Sicherheit die Dokumentation ausgewählter Aktionen von Benutzern und Prozessen auf IT-Systemen in Dateien (bzw. Datenbanken) in der Form von Abfolgen von Ereignissen. Die so gesammelten Daten können z.B. hilfreich sein, um Störungen oder Sicherheitsvorfälle frühzeitig zu erkennen oder sie nachvollziehen zu können. Falls die Protokolldaten personenbezogene Daten beinhalten, muss die Protokollierung mit dem Datenschutzbeauftragten und ggf. mit dem Personal- oder Betriebsrat abgestimmt werden.
Prozedur	Nach festen Regeln ablaufende Folge von Aktivitäten oder Handlungen. Die Folge kann organisatorisch oder auch in einem Programm festgelegt sein.
Prozess	Menge von koordinierten Aktivitäten, die Ressourcen und Kompetenzen kombinieren und einsetzen, um ein Ergebnis zu erzielen. Ein Prozess sollte klar definiert sein und ist auf Wiederholung angelegt. Er sollte anhand von Leistungsindikatoren (KPI) überwacht werden. Im Laufe vieler Iterationen kann er im Hinblick auf die Ziele verbessert werden. ITIL beschreibt das IT Service Management anhand einer Vielzahl von Prozessen.
Prüfung	Überprüfung durch die interne Revision oder externe Prüfungsinstanzen im Rahmen einer Wirtschafts- oder Betriebsprüfung.
Pseudonymisierung	Veränderung von personenbezogenen Daten derart, dass der Name und andere Identifikationsmerkmale durch ein Kennzeichen ersetzt werden, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (gemäß BDSG).
Public Key Infrastructure	Gesamtheit von Einrichtungen zur Schaffung, Verteilung, Verwaltung und Zurückziehung von Zertifikaten. Zu den Einrichtungen gehört eine zentrale Autorität mit Glaubwürdigkeit für alle Beteiligten, die die Korrektheit der Zertifikate zusichert.
Q
Qualität	Qualität ist die Erfüllung von Anforderungen in Bezug auf eine Menge von bestimmten, messbaren Merkmalen. Im Unternehmensumfeld spricht man von angemessener Qualität, wenn die Beschaffenheit eines Produktes oder einer Dienstleistung die Zwecke des Kunden erfüllt. Im IT-Bereich wird die Qualität von IT-Services über Service-Level-Agreements geregelt.
Quality	Englischer Begriff für Qualität.
R
Reaktion	Aktion als Antwort auf eine Situation oder eine Handlung, im Zusammenhang mit Schadensereignissen Aktivität zur Verminderung möglicher Folgeschäden. Dabei werden Maßnahmen getroffen, die Wirkungsketten unterbrechen oder deren Ergebnis minimieren.
Recovery	Gleichbedeutend mit Wiederanlauf.
Redundanz	Mehrfaches Vorkommen. Redundanz wird eingesetzt, um schnellen Ersatz bei z.B. Ausfällen zu ermöglichen. Beispiel: Eine redundante Verkabelung ist mindestens doppelt und kreuzungsfrei ausgelegt.
Reifegrad	Im Zusamenhang mit Qualität ein Maß in Form eines Stufenmodells für das Erreichen von zuverlässigen Prozessen. Reifegrade werden u.a. im CMMI genutzt. Typische Stufen sind: initial: kaum voraussagbar und nicht gesteuert, verwaltet: in Teilen bekannt, aber meist reaktiv, definiert: durchgängig beschrieben und mit vorsorglichen Elementen versehen, gesteuert: anhand von Schwellwerten gemessen und kontrolliert, optimierend: einem permanenten Verbesserungsprozess unterworfen.
Release Management	Die Steuerung, Überwachung und Dokumentation der Implementation von Änderungen. Die Änderungen werden vom Change Management vorgegeben und ggf. gesammelt in die IT-Umgebung eingebracht. Das Release Management bildet gemeinsam mit dem Deployment Management gemäß ITIL einen Prozess in der Phase Service Transition.
Request Fulfillment Management	Die Steuerung von Annahme, Bearbeitung und Erfüllung von Anfragen und Anforderungen. Der Prozess gehört gemäß ITIL zur Phase Service Operation.
Residual Risk	Englischer Begriff für Restrisiko.
Resilience	Englischer Begriff für Robustheit.
Ressource	Mittel zur Umsetzung eines Ziels. In der Betriebswirtschaft gehören zu den Ressourcen z.B. Boden, Rohstoffe, Energie, Technik, Kapital, Personal, Informationen und Fähigkeiten. Als externe Ressourcen einer Organisation können Lieferanten und Dienstleister angesehen werden.
Restrisiko	Nicht abgesichertes Risiko. Eine vollständige Absicherung gegen alle Risiken ist technisch und wirtschaftlich nicht möglich bzw. sinnvoll, daher wird stets ein Restrisiko hingenommen.
Review	Verfahren zur Beurteilung und Kommentierung von Verfahren, Zuständen, Programmen oder Dokumenten.
Revision	Systematische Prüfung der Einhaltung von Kriterien. In der Betriebswirtschaft wird darunter eine unabhängige und neutrale Stelle innerhalb einer Organisation verstanden, die die Einhaltung der Ordnungsmäßigkeit prüft und der Geschäftsleitung Bericht erstattet.
Revisionssicherheit	In Ableitung der Vorschriften des HGB gelten u.a. folgende Kriterien für die Revisionssicherheit: Ordnungsmäßigkeit, Gewährleistung der Vollständigkeit, Verfügbarkeit während bestimmter Aufbewahrungsfristen, Schutz vor unbefugtem Zugriff, Unveränderbarkeit, Nachvollziehbarkeit, Prüfbarkeit.
Richtlinie	Allgemeine Vorschrift oder Empfehlung für einen bestimmten Anwendungsbereich. Oft enthalten Richtlinien Zielvorgaben, was zu erreichen ist, oder Regeln, wie etwas umzusetzen ist, ohne auf einzelne Details einzugehen.
Risiko	Wirkung von Unsicherheit auf die Erreichung von Zielen. Risiko ist eine Funktion: der Eintrittswahrscheinlichkeit einer gegebenen Bedrohung für ein Objekt unter Berücksichtigung der vorhandenen Schwachstellen und Schutzmaßnahmen, dem Schadenspotential, falls die Bedrohung nicht abgewendet werden kann. Das Risiko kann in der Risikoanalyse entweder quantitativ oder qualitativ ermittelt und ausgedrückt werden.
Risikoabnahme	Formaler Beschluss der Leitung einer Organisation, die bestehenden Risiken gemäß den vom Risikomanagement entwickelten Vorgaben zu behandeln. Dazu gehört auch die Akzeptanz von Restrisiken.
Risikoanalyse	Systematisches Vorgehen zur Ermittlung der Art und des Ausmaßes bestehender Risiken in Bezug auf ein definiertes Untersuchungsobjekt. Dabei sollen die möglichen Bedrohungen erkannt und dann unter Berücksichtigung vorhandener Schwachstellen und Schutzmaßnahmen die Eintrittswahrscheinlichkeiten für die Bedrohungen bestimmt werden. Andererseits ist das Schadenspotential der Folgen abzuschätzen.
Risikobehandlung	Auswahl und Umsetzung von Maßnahmen zum Umgang mit Risiken. Es gibt vier grundsätzliche Möglichkeiten: Risikovermeidung, Risikoverminderung, Risikoüberwälzung, Risikoübernahme.
Risikobeurteilung	Abschätzung der Bedeutung von Risiken für eine Organisation. Die Risikobeurteilung besteht aus der Risikoidentifikation, der Risikoanalyse und der Risikoeinordnung.
Risikoeinordnung	Abgleich ermittelter Risiken mit vorgegebenen Kriterien einer Organisation, um die Bedeutung der Risiken für diese zu erfassen.
Risikoidentifikation	Auffindung, Erkennung und Beschreibung vorhandener Risiken.
Risikokommunikation	Austausch von Informationen über Risiken. Insbesondere geht es hier darum, dass eine Organisation ihre Risiken gegenüber allen Stellen, die ein berechtigtes Interesse daran haben, in korrekter Weise darstellt.
Risikolandkarte	Darstellung von Risiken als Verteilung in einer Matrix mit den Dimensionen Eintrittswahrscheinlichkeit und Schadenspotential. Eine Risikolandkarte bezieht sich auf ein Objekt, dessen Bedrohungen analysiert werden und als Punkte oder Flächen in der Matrix erscheinen.
Risikomanagement	Steuerung des Umgangs mit Risiken. Es wird zunehmend von Unternehmen und anderen Organisationen gesetzlich gefordert. Die Aufgaben des Risikomanagements werden als zyklisch immer wiederkehrend begriffen. Es sind gemäß ISO Guide 73: die Risikobeurteilung, die Risikobehandlung, die Risikoabnahme, die Risikokommunikation.
Risikoübernahme	Entscheidung, ein Risiko selbst zu tragen, ohne darauf irgendwie einzuwirken.
Risikoüberwälzung	Vereinbarung mit anderen Parteien, die eigenen Risiken mitzutragen. Eine typische Form der Risikoüberwälzung ist eine Versicherung.
Risikovermeidung	Entscheidung, ein Risiko nicht einzugehen. Die Umsetzung dieser Entscheidung verlangt Maßnahmen zur Schadensabwendung, ggf. die Aufgabe eines Vorhabens, z.B. eines Geschäftszweigs oder eines Produkts.
Risikoverminderung	Verminderung der Eintrittswahrscheinlichkeit oder des Schadenspotentials von Risiken.
Risk Acceptance	Englischer Begriff für Risikoabnahme.
Risk Analysis	Englischer Begriff für Risikoanalyse.
Risk Assessment	Englischer Begriff für Risikobeurteilung.
Risk Avoidance	Englischer Begriff für Risikovermeidung.
Risk Communication	Englischer Begriff für Risikokommunikation.
Risk Evaluation	Englischer Begriff für Risikoeinordnung.
Risk Identification	Englischer Begriff für Risikoidentifikation.
Risk Management	Englischer Begriff für Risikomanagement.
Risk Reduction	Englischer Begriff für Risikoverminderung.
Risk Retention	Englischer Begriff für Risikoübernahme.
Risk Transfer	Englischer Begriff für Risikoüberwälzung.
Risk Treatment	Englischer Begriff für Risikobehandlung.
Robustheit	Widerstandsfähigkeit gegen Schadensereignisse. Für Organisationen, Infrastrukturen oder technische Einrichtungen ist darin z.B. die Ausfallsicherheit enthalten.
Rolling Desaster	Ein Rolling Desaster ist die Ausweitung einer Betriebsstörung zu einem Notfall.
Rootkit	Software, die dazu dient, auf einem Rechner vorhandene und ablaufende Malware möglichst gut zu verstecken, so dass sie selbst von Administratoren und Abwehrprogrammen nicht mehr erkannt wird.
RPO	Recovery Point Objective, englischer Begriff für Datenverlustzeit.
RTO	Recovery Time Objective, englischer Begriff für Wiederanlaufzeit.
S
Safety	Englischer Begriff für Sicherheit. Die englische Sprache unterscheidet zwischen Safety und Security. Dabei bezieht sich Safety eher auf die Sicherheit von Personen (insbesondere bei der Arbeit, z.B. Job Safety oder Fire Safety).
Sammelpunkt	Im Voraus festgelegter Ort, an dem sich nach einer Evakuierung eines Gebäudes oder eines Geländes die evakuierten Personen versammeln.
Sarbanes Oxley Act	US-Gesetz aus dem Jahr 2002 zur Verbesserung der Unternehmensberichtserstattung in Folge mehrerer Bilanzskandale. Es gilt für alle an US-Börsen notierten Unternehmen und auch deren ausländische Tochterunternehmen. Teil des Nachweises der Erfüllung ist auch die Definition angemessener Prozesse zu IT-Planung und IT-Betrieb und die Überprüfung von deren Anwendung. Dies beinhaltet unter anderem auch die Themen Information Security und Business Continuity.
SAS 70	Amerikanischer Audit-Standard (herausgegeben vom American Institute of Certified Public Accountants) zur Prüfung ausgelagerter Geschäftsprozesse. Er dient zum Nachweis der Angemessenheit des internen Kontrollsystems für die ausgelagerten Prozesse und wird von einem Certified Public Accountant (CPA: Wirtschaftsprüfer, USA) durchgeführt. Es gibt zwei Prüfungstypen: Typ I: Prüfung des Kontroll-Designs, Typ II: Prüfung der Kontroll-Effektivität.
Schaden	Wertverlust. Typische Arten von Schäden sind: physische und psychische Schädigung von Personen, Zerstörung oder Beschädigung von Sachen, direkte finanzielle Auswirkungen, Verstoß gegen Gesetze / Vorschriften / Verträge, Beeinträchtigung des Geschäftsablaufs, negative Außenwirkung, Knowhow-Abfluss.
Schadensabwendung	Vorkehrungen zur Verhinderung von Schadensereignissen. Es handelt sich um Prävention.
Schadensbegrenzung	Vorkehrungen zur Verminderung von Schäden, die nach Eintritt eines Schadensereignisses wirksam werden. Es handelt sich um Maßnahmen der Reaktion, die aber vorbeugend geplant werden können.
Schadensereignis	Ereignis, das einen Schaden nach sich zieht.
Schadenspotential	Maximale Höhe, die ein Schaden erreichen kann. Das Schadenspotential beinhaltet: den unmittelbaren Schaden, der durch die Zerstörung von Werten entsteht, den Folgeschaden, der dadurch entsteht, dass beispielsweise Geschäftsfunktionen beeinträchtigt werden oder das Vertrauen von Kunden in das Unternehmen beeinträchtigt wird. Das Schadenspotential kann manchmal quantitativ (in Geld), oft aber nur qualitativ ausgedrückt werden.
Schadenspotential-Analyse	Abschätzung des Schadenspotentials für ein Schadensereignis wie z.B. einen Notfall. Im Rahmen der Notfallvorsorge ist es oft sinnvoll, das Schadenspotential nach Eintritt eines Notfalls im Zeitverlauf darzustellen.
Schlüssel	Zusatzinformation zu einer verschlüsselten Information, die dazu dient, diese Information zugänglich zu machen. Im Rahmen der Kryptologie wurden eine Vielzahl von Verfahren zur Verschlüsselung und Entschlüsselung entwickelt. Unterschieden werden insbesondere: Symmetrische Verfahren: Mehrere Partner vereinbaren einen gemeinsamen Schlüssel, der sowohl zur Ver- als auch zur Entschlüsselung genutzt wird. Asymmetrische Verfahren: Jeder Person wird sowohl ein privater Schlüssel als auch ein öffentlicher Schlüssel zugeordnet. Der private Schlüssel ist nur dieser Person bekannt, der öffentliche Schlüssel wird verbreitet. Sofern die die korrekte Zuordnung der Schlüssel zu den Personen gegeben ist (z.B. durch Zertifikate im Rahmen einer gemeinsamen PKI), können nun beliebig viele so ausgestattete Personen vertraulich miteinander kommunizieren. Sie ver- und entschlüsseln unter wechselweiser Nutzung von öffentlichen und privaten Schlüsseln. Auch eine Signatur ist damit möglich (bei umgekehrter Nutzung der Schlüssel).
Schutzbedarf	Das notwendige Maß an Schutz für ein bestimmtes zu schützendes Objekt. Der Schutzbedarf wird aus dem Schadenspotential bestimmt, orientiert sich also an den Schäden, die mit einer Beeinträchtigung des zu schützenden Objekts verbunden sein können.
Schutzbedarfs-Analyse	Untersuchung des Schutzbedarfs von Objekten, insbesondere von Informationen / Daten oder Prozessen / IT-Anwendungen bezüglich Verfügbarkeit, Vertraulichkeit, Integrität und ggf. Verbindlichkeit. Da der Schutzbedarf meist nicht quantifizierbar ist, beschränkt sich z.B. der IT-Grundschutz auf eine qualitative Aussage, indem der Schutzbedarf in drei Kategorien unterteilt wird: "niedrig bis mittel" - Die Schadensauswirkungen sind begrenzt und überschaubar. "hoch" - Die Schadensauswirkungen können beträchtlich sein. "sehr hoch" - Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
Schutzbedarfs-Feststellung	Gleichbedeutend mit Schutzbedarfs-Analyse.
Schwachstelle	Situation, die dazu führen kann, dass eine Bedrohung sich so auswirken kann, dass ein Schaden entsteht.
Schwellwert	Festgelegter Wert, der nicht unter- oder überschritten werden soll. U.a. werden für bestimmte Parameter in SLAs oder für KPIs Schwellwerte vereinbart bzw. gesetzt. Wird der Schwellwert nicht eingehalten, sind damit i.Allg. Konsequenzen wie z.B. Konventionalstrafen verbunden.
Security	Englischer Begriff für Sicherheit. Die englische Sprache unterscheidet zwischen Security und Safety. Dabei bezieht sich Security eher auf die Sicherheit von Werten (auch finanzieller Art, z.B. Collateral Security).
Security Policy	Englischer Begriff für Sicherheits-Leitlinie.
Service	Englischer Begriff für Dienstleistung. Ein Service ist die Lieferung von Werten an Kunden oder Nutzer. Damit wird diesen die Erreichung der von ihnen gewünschten Ziele ermöglicht, ohne dass sie die Verantwortung für spezifische Aufwände (Knowhow, Infrastruktur, Betrieb usw.) tragen müssen, die mit der Art und Weise der Erbringung des Services verbunden sind. Die Verantwortung für das mit dem Service verbundene Risiko verbleibt beim Auftraggeber.
Service Asset Management	Verwaltung der IT-Infrastruktur, die zur Erbringung von IT-Services wesentlich ist. Das Service Asset Management bildet gemeinsam mit dem Configuration Management gemäß ITIL einen Prozess in der Phase Service Transition.
Service Catalogue Management	Die Entwicklung und Verwaltung von Services. Der Prozess gehört gemäß ITIL zur Phase Service Design.
Service Design	Die zweite Phase im Lebenszyklus eines IT-Services nach ITIL. Das Service Design umfasst die Planung und Ausgestaltung einer IT-Dienstleistung. Zugeordnete Prozesse sind Service Catalogue Management, Service Level Management, Capacity Management, Availability Management, IT Service Continuity Management, Information Security Management und Supplier Management.
Service Desk	Ansprechstelle für die Nutzer von Services, wo Störungsmeldungen, Anforderungen und andere Themen auflaufen. Gemäß ITIL handelt es sich beim Service Desk um eine Funktion, in der alle entsprechenden Kommunikationswege gebündelt werden und die die Bearbeitung aller eingehenden Anfragen koordiniert.
Service Level	Englischer Begriff für die Beschreibung eines Services anhand von Zieleigenschaften. Die zu dessen Überwachung definierten Parameter werden oft als Key Performance Indicators (KPI) bezeichnet.
Service Level Agreement	Vereinbarung zwischen einem Service-Geber und einem Service-Nehmer, welche die erforderliche Qualität eines Services festlegt. Sie wird zwischen zwei Unternehmen abgeschlossen und ist im Allgemeinen Teil des Dienstleistungsvertrags. Vorteile, die dadurch erreicht werden können, sind z.B. Kostentransparenz und Sicherstellung einer angemessenen Service-Qualität. Service Level Agreements (SLAs) sind häufig im IT-Umfeld anzutreffen. Wichtiger Bestandteil eines SLAs ist der Nachweis der erbrachten Service-Qualität und Regelungen für den Fall, dass diese nicht erbracht wird.
Service Level Management	Die Vereinbarung und Überwachung der Erreichung von Zielen für eine Dienstleistung (Service Level). Der Prozess gehört gemäß ITIL zur Phase Service Design.
Service Operation	Die vierte Phase im Lebenszyklus eines IT-Services nach ITIL. Die Service Operation umfasst den laufenden Betrieb einer IT-Umgebung zur Erbringung von IT-Dienstleistungen. Zugeordnete Prozesse sind Access Management, Request Fulfillment Management, Event Management, Incident Management und Problem Management. Dieser Phase sind außerdem die Funktionen Service Desk, Technical Management, IT Operations Management und Application Management zugeordnet.
Service Portfolio Management	Die Positionierung des Service Portfolios im Markt. Der Prozess gehört gemäß ITIL zur Phase Service Strategy.
Service Quality	Die Qualität, mit der eine Dienstleistung erbracht wird. Sie kann als Service Level ausgedrückt werden.
Service Strategy	Die erste Phase im Lebenszyklus eines IT-Services nach ITIL. Die Service Strategy befasst sich mit der Gesamtheit von Services eines IT-Dienstleisters und deren Marktgerechtheit. Zugeordnete Prozesse sind Service Portfolio Management, Financial Management und Demand Management.
Service Transition	Die dritte Phase im Lebenszyklus eines IT-Services nach ITIL. Die Service Transition umfasst den Übergang einer IT-Dienstleistung oder von Ressourcen, die dazu notwendig sind, von der Entwicklung in den Betrieb. Zugeordnete Prozesse sind Service Asset Management and Configuration Management, Release Management and Deployment Management, Change Management und Knowledge Management.
Service-Bereich	Organisatorische Einheit im Unternehmen, deren Aufgabe es ist, Geschäftsbereiche bei der Erfüllung ihrer Aufgaben zu unterstützen. Typische Service-Bereiche sind beispielsweise die IT-Organisation, das Personal- und das Rechnungswesen.
SGB	Sozialgesetzbuch. Das SGB ist die Grundlage des deutschen Sozialrechts. Die Verwaltung und Auszahlung von Ansprüchen ist im Hinblick auf den Datenschutz von besonderer Bedeutung. Dazu gibt es Regelungen im SGB X, dem zehnten Buch des SGB mit dem Titel „Sozialverwaltungsverfahren und Sozialdatenschutz“. Im 2. Kapitel des SGB X (Schutz der Sozialdaten) wird auf Datenerhebung, -verarbeitung und -nutzung (§§ 67a-78), organisatorische Vorkehrungen zum Schutz der Sozialdaten (§§ 78a-80) sowie Rechte des Betroffenen (§§ 81-85a) eingegangen.
Sicherheit	Zustand, der mit der Ausnahme tolerierter Restrisiken frei von Risiken der Beeinträchtigung ist bzw. als gefahrenfrei angesehen wird. Der Begriff Sicherheit wird in vielen Zusammenhängen verwendet: Betriebssicherheit, technische Sicherheit (z.B. IT-Sicherheit), individuelle Sicherheit, öffentliche Sicherheit, kollektive Sicherheit, wirtschaftliche Sicherheit, Rechtssicherheit.
Sicherheits-Konzept	Konzept zur Erreichung eines angemessen sicheren Zustands.
Sicherheits-Leitlinie	Dokument mit den Vorgaben der Geschäftsleitung für die Gewährleistung einer angemessenen Sicherheit für das Unternehmen.
SigG	Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz). Das SigG regelt die Rahmenbedingungen für den Umgang mit elektronischen Signaturen. Es legt fest, unter welchen Umständen Zertifikate ausgestellt werden dürfen.
Signatur	Teil eines Dokuments oder Zusatz daran, mit dem die Herkunft des Dokuments nachgewiesen werden kann. In klassischen Dokumenten bestand die Signatur z.B. aus Unterschrift, Stempel und Siegel, bei Nutzung der IT wird eine digitale oder elektronische Signatur genutzt.
Single Point of Failure	Bestandteil eines technischen Systems, dessen Versagen den Ausfall des gesamten Systems nach sich zieht.
Single Sign On	Die Steuerung der Authentifizierung und der Autorisierung über mehrere IT-Systeme und auch Netze. Das Single Sign On soll es ermöglichen, dass Benutzer von mehreren Systemen gleichermaßen identifiziert und mit den ihnen gemäßen Rechten ausgestattet werden, sie aber die entsprechende Prozedur nur einmal ausführen müssen. Hierzu benötigen die Systeme untereinander eine Vertrauensstellung.
Six Sigma	Verfahren zur Verbesserung der Qualität von Prozessergebnissen und zur Reduzierung von Kosten, entwickelt vom Unternehmen Motorola. Six Sigma basiert auf dem Bestreben, Fehler (defects) zu vermeiden und die Variation von Ergebnissen möglichst eng zu halten. Es werden eine Reihe von statistischen Verfahren angewandt, um den Ablauf von Prozessen unter Kontrolle zu halten. Die gemessenen Werte sollen dabei über die Zeit eine immer geringere Standardabweichung (in der Mathematik mit dem griechischen Buchstaben sigma dargestellt) aufweisen, womit die Effizienz steigt.
SLA	Abkürzung für Service Level Agreement.
Software	Nicht-physische Bestandteile eines IT-Systems, also Programme und Daten. Der Begriff wird oft auch nur für die Programme verwendet.
Software-Patch	Behebung von Fehlern in Software.
Solvency II	Richtlinie 2009/138/EG der Europäischen Union für Versicherer, auch Solvabilität II genannt. Ziel ist die Sicherung einer angemessenen, europaweit gleichartigen Eigenkapitalausstattung von Versicherungsunternehmen. In Solvency II Kapitel VI Abschnitt 4 sind die Anforderungen zur Bewertung u.a. operationeller Risiken niedergelegt.
Sorgfalt	Gründliches Vorgehen, das alle relevanten Aspekte eines Sachverhalts berücksichtigt. Sogfaltspflichten sind sowohl gesetzlich als auch in diversen Standesregeln festgelegt.
SOX	Abkürzung für Sarbanes Oxley Act.
Spam	E-Mails und andere elektronische Informationen, die unverlangt und massenhaft verteilt werden. Sie beinhalten oft Werbung oder dienen zu Verbreitung von Malware.
Speicherung	Erfassung, Aufnahme oder Aufbewahrung von Informationen (im BDSG für personenbezogene Daten definiert).
Sperrung	Kennzeichnung von Informationen, um ihre Verarbeitung oder Nutzung einzuschränken (im BDSG für personenbezogene Daten definiert).
SPOF	Abkürzung für Single Point of Failure
Spyware	Kunstwort aus „Spy“ (Spion) und Software, das Schadprogramme bezeichnet, die zur unbefugten Gewinnung vertraulicher Informationen dienen.
Stakeholder	Natürliche oder juristische Person, die ein vitales Interesse an den Geschäftsprozessen einer Organisation und deren Ergebnissen haben. Typische Beispiele sind: Eigentümer Aufsichtsräte Kreditgeber Kunden Lieferanten Dienstleister Mitarbeiter Aufsichtsbehörden Anrainer
StGB	Strafgesetzbuch. Das StGB ist die Grundlage des deutschen Strafrechts. In Bezug auf Informationen und IT sind relevant: § 201 Verletzung der Vertraulichkeit des Wortes, § 202 Verletzung des Briefgeheimnisses, § 202a Ausspähen von Daten, § 202b Abfangen von Daten, § 202c Vorbereiten des Ausspähens und Abfangens von Daten, § 206 Verletzung des Post- oder Fernmeldegeheimnisses, § 263 Betrug, § 263a Computerbetrug, § 265a Erschleichen von Leistungen, § 267 Urkundenfälschung, § 268 Fälschung technischer Aufzeichnungen, § 269 Fälschung beweiserheblicher Daten, § 270 Täuschung im Rechtsverkehr bei Datenverarbeitung, § 271 Mittelbare Falschbeurkundung, § 274 Urkundenunterdrückung, Veränderung einer Grenzbezeichnung, § 303a Datenveränderung, § 303b Computersabotage, § 317 Störung von Telekommunikationsanlagen.
Strukturanalyse	Für die IT die Untersuchung der Topologie und Konfiguration komplexer IT-Systeme.
Supplier Management	Die Pflege der Beziehungen zu Lieferanten und Dienstleistern. Der Prozess gehört gemäß ITIL zur Phase Service Design.
Szenario	Ausgangssituation und Folgeereignisse, die daraufhin eintreten. Szenarien werden häufig als Ausgangspunkt für die Vorsorge auf Schadensereignisse gewählt, z.B. bei der Notfallvorsorge. Je nach Schwerpunktsetzung können unterschieden werden: Ursachenszenarien, wenn es eher um Prävention, also die Behebung von Schwachstellen, geht, Wirkungsszenarien, wenn die Reaktion auf Ereignisse im Vordergrund steht.
T
Technical Management	Funktion nach ITIL, die Ressourcen und Kompetenzen bereitstellt, um den laufenden IT-Betrieb der IT-Infrastruktur zu unterstützen. Sie kann eine Organisationseinheit oder in mehrere solche aufgeteilt sein.
Test	Praktischer Versuch, mit dem überprüft werden soll, ob technische Vorkehrungen oder organisatorische Abläufe den an sie gestellten Anforderungen genügen oder nicht. Typische Testverfahren sind z.B.: Notfalltests im Bereich Notfallvorsorge, Penetration Tests im Bereich IT-Sicherheit.
TKG	Telekommunikationsgesetz. Das TKG regelt den Markt für Telekommunikations-Anbieter. Relevant sind insbesondere: § 88 Fernmeldegeheimnis, § 89 Abhörverbot, Geheimhaltungspflicht der Betreiber von Empfangsanlagen, § 90 Missbrauch von Sendeanlagen, § 91 Anwendungsbereich (für den Datenschutz), § 92 Datenübermittlung an ausländische nicht öffentliche Stellen, § 93 Informationspflichten, § 100 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten, § 107 Nachrichtenübermittlungssysteme mit Zwischenspeicherung, § 108 Notruf, § 109 Technische Schutzmaßnahmen. Diese Paragrafen (und einige weitere) spezifizieren, auf welche Weise dem Fernmeldegeheimnis, dem Datenschutz und der öffentlichen Sicherheit Genüge getan werden muss. Nach § 109 müssen die Betreiber von Telekommunikationsanlagen für die Öffentlichkeit einen Sicherheitsbeauftragten ernennen und der BNetzA ein Sicherheitskonzept vorlegen. Damit sind angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen führen, und gegen äußere Angriffe und Einwirkungen von Katastrophen zu treffen. Die Vorkehrungen müssen den Stand der technischen Entwicklung berücksichtigen.
TMG	Telemediengesetz. Das TMG regelt den Markt für elektronische Informations- und Kommunikations-Diensteanbieter. Relevant sind für den Datenschutz: § 12 Grundsätze, § 13 Pflichten des Diensteanbieters. Das TMG regelt daneben vor allem die Verantwortung, die der Diensteanbieter für Inhalte trägt, die er speichert oder überträgt.
Transition	Englischer Begriff für Übergang.
Trojanisches Pferd	In Bezug auf die IT-Sicherheit ein Programm, das wie eine sinnvolle IT-Anwendung erscheint, jedoch versteckt andere, unerwünschte Funktionen (wie z.B. die Übermittlung vertraulicher Daten zu Spionagezwecken) ausführt.
U
Übermittlung	Weitergabe oder Bereithaltung zur Einsicht oder zum Abruf von Informationen (im BDSG für personenbezogene Daten definiert).
Überprüfung	Die korrekte Umsetzung von Zielen, Vorgaben und Konzepten wird durch Überprüfungen abgesichert. Darunter fallen Tests und Audits.
Übung	Durchführung von Maßnahmen in einem speziell dafür vorgesehenen Umfeld. Das Umfeld stellt sicher, dass Fehler gemacht werden dürfen und sich nicht auf die reale Welt auswirken. Übungen werden eingesetzt, um Menschen in die Lage zu versetzen, in zukünftigen Situationen angemessen zu agieren.
Übungsart	Methode der Durchführung einer Übung. Übungen können mit unterschiedlicher Beteiligung und Tiefe durchgeführt werden. Das Spektrum reicht von einfachen Planbesprechungen (Table Top Exercise) über die Einbeziehung von Stäben oder Teams bis zu Vollübungen, die einen Ernstfall möglichst weitgehend simulieren.
Ursachenszenario	Störungs- bzw. Notfallszenario, bei dem im Gegensatz zu einem Wirkungsszenario die Ursache für den Notfall bzw. die Störung beschrieben wird. Beispiele für Ursachenszenarien sind z.B. ein Wassereinbruch von außen, der zu einer Überflutung eines Rechenzentrums führt, oder eine Epidemie, deren Folge der Ausfall von Personal ist. Von Ursachenszenarien muss bei der Planung von Maßnahmen zur Prävention ausgegangen werden, die verhindern sollen, dass sie zu Schadensfällen führen. Dies geschieht z.B. im Rahmen der IT-Sicherheit.
UWG	Gesetz gegen den unlauteren Wettbewerb. Das UWG setzt die Regeln, denen konkurrierende Unternehmen am Markt unterliegen. In Bezug auf Informationen sind relevant: § 7 Unzumutbare Belästigungen, § 17 Verrat von Geschäfts- und Betriebsgeheimnissen. Diese Paragrafen verbieten Spam und Betriebsspionage.
V
VAG	Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versicherungsaufsichtsgesetz). Das VAG regelt den Markt für Versicherungen und Pensionsfonds. Relevant sind insbesondere: § 55c Vorlage des Risikoberichts und des Revisionsberichts, § 64a Geschäftsorganisation. § 64a enthält Anforderungen zur ordnungsgemäßen Geschäftsorganisation. Unter der Verantwortung der Geschäftsleitung sind u.a. eine angemessene Risikostrategie, aufbau- und ablauforganisatorische Regelungen, ein internes Steuerungs- und Kontrollsystem und eine interne Revision sicher zu stellen, zu dokumentieren und für 6 Jahre aufzubewahren. Auch im Falle der Ausgliederung von Funktionen oder der Auslagerung von Dienstleistungen darf die Erfüllung dieser Anforderungen nicht beeinträchtigt werden.
Veränderung	Inhaltliche Umgestaltung von Informationen (im BDSG für personenbezogene Daten definiert).
Verantwortliche Stelle	Person oder Organisation, die für sich selbst die Erhebung, Verarbeitung oder Nutzung von Informationen vornimmt oder dies durch andere im Auftrag vornehmen lässt (im BDSG für personenbezogene Daten definiert).
Verarbeitung	Speicherung, Veränderung, Übermittlung, Sperrung und Löschung von Informationen (im BDSG für personenbezogene Daten definiert).
Verbindlichkeit	Gewährleistung der eindeutigen und nachweisbaren Zuordnung von Aktionen oder Informationen zu den Personen, Organisationen oder Systemen, die für sie verantwortlich sind. Die Verbindlichkeit stellt sicher, dass der Verursacher von Tätigkeiten stets nachvollziehbar bleibt. Darin enthalten sind die Authentizität und die Nichtabstreitbarkeit. Verbindlichkeit bedeutet, dass übermittelte Aufträge auch tatsächlich rechtsgültig sind. Sie führt gewollte Rechtsfolgen bindend herbei. Die Verbindlichkeit wird oft als Unterkategorie der Integrität zugeordnet. Sie gewinnt jedoch mit zunehmendem Umfang des E-Commerce an eigenständiger Bedeutung.
Verfügbarkeit	Eigenschaft einer Ressource (z.B. Information, Betriebsmittel oder Service), in gewünschter Weise am gewünschten Ort zur gewünschten Zeit zu sein. Die Verfügbarkeit stellt sicher, dass dazu berechtigte Personen, Organisationen oder Systeme in ausreichender Form und Qualität Zugang zu Informationen und Services haben, wenn Sie diese benötigen. Beeinträchtigungen der Verfügbarkeit ergeben sich beispielsweise durch technische Störungen von Trägersystemen oder Diebstahl.
Verfügbarkeits-Anforderungen	Anforderungen an die Verfügbarkeit von Ressourcen, im Zusammenhang mit IT von IT-Systemen, IT-Anwendungen, Daten und Netzen für den Betrieb. Darunter fallen beispielsweise Parameter wie: die tägliche Bereitstellungszeit, die Verfügbarkeit bezogen auf einen Zeitraum, die maximale Ausfallzeit nach Notfällen.
Verschlüsselung	Gezielte Veränderung einer Information nach einem definierten Verfahren (Verschlüsselungs-Algorithmus) mit dem Ziel, die Information für alle Personen, Organisationen oder Systeme unzugänglich zu machen, die nicht im Besitz einer Zusatzinformation (Schlüssel) sind, mit dem das ursprüngliche Informationsformat wiedergewonnen werden kann (Entschlüsselung). Ver- und Entschlüsselung werden auch als Chiffrierung bzw. Dechiffrierung bezeichnet.
Vertraulichkeit	Eigenschaft einer Information, nur für eine eingeschränkte Menge von Personen, Organisationen oder Systemen vorgesehen zu sein. Die Vertraulichkeit soll sicherstellen, dass Informationen nur für diejenigen zugänglich sind, die dazu berechtigt sind. Beeinträchtigungen der Vertraulichkeit ergeben sich beispielsweise durch Verletzungen des Zugriffsschutzes oder Abhören.
Virenschutz	Anderer Begriff für Malware-Schutz.
Virtual Private Network	Teilnetz eines physischen Gesamtnetzes, das logische Verbindungen zwischen Endstellen herstellt, indem es Tunneltechniken nutzt. Mit Virtual Private Networks (VPNs) kann die Vertraulichkeit von Informationen gewährleistet werden, indem innerhalb der Tunnel Verschlüsselungstechniken genutzt werden.
Virtualisierung	Virtualisierung ermöglicht es: mehrere IT-Ressourcen (z.B. Betriebssysteme, Speicher, Netze), die auf einer gemeinsamen Hardware-Plattform betrieben werden, den Benutzern als scheinbar eigenständige, von einander getrennte IT-Systeme zur Verfügung zur stellen, mehrere (heterogene) Hardware-Ressourcen zu einer für den Benutzer homogenen Umgebung zusammenzufügen.
Virus	In Bezug auf die IT-Sicherheit ein Programm, das bei Aufruf Programm-Code in andere Programme einbaut. So kann es sich selbst vervielfältigen. Es besteht die Möglichkeit, dass auf diese Weise schädliche Programme schnell Verbreitung finden. Viren waren die ersten Schadprogramme, die bekannt wurden. Deshalb werden auch andere schädliche Programme wie Trojanische Pferde und Würmer oft als Viren bezeichnet.
Vital Records	Informationen auf beliebigen Speichermedien (z. B. elektronisch oder gedruckt), die zum Wiederanlauf und zur Fortführung des Geschäftsbetriebs nach einem Notfall benötigt werden. Der englische Begriff wird auch im Deutschen verwendet und nicht übersetzt.
Vorsatz	Absicht. Aus § 309 BGB, einem Teil des AGB-Rechts (Recht für Allgemeine Geschäftsbedingungen), und der darauf basierenden Rechtsprechung ergibt sich, dass für vorsätzliche Handlungen immer eine unbeschränkte Haftung gilt.
VPN	Abkürzung für Virtual Private Network.
Vulnerability	Englischer Begriff für Schwachstelle.
W
Wahrscheinlichkeit	Wert zwischen 0 und 1, der ausdrückt, ob ein Zufallsereignis in einer vorgegebenen Situation eintreffen wird. 0 bedeutet, dass das Ereignis nicht, 1 bedeutet, dass es sicher eintritt. Die Wahrscheinlichkeit wird häufig auch als Prozentzahl zwischen 0% und 100% ausgedrückt. Sofern vorhanden, sind zur Einschätzung der Wahrscheinlichkeit Statistiken über die Häufigkeit von Ereignissen in der Vergangenheit heranzuziehen. In Anlehnung daran können auch qualitative Klassifikationen (z.B. nie, selten, manchmal, häufig, immer) genutzt werden. Um z.B. die Beeinträchtigung durch Störungen abschätzen zu können, muss die Angabe zu einem Zeitraum im Verhältnis stehen, so etwa bei einer Störungswahrscheinlichkeit von 0,01% pro Monat.
WAK	Abkürzung für Wiederanlaufklasse.
Wiederanlauf	Der Vorgang, Unternehmensressourcen und Services nach einem Ausfall den Anwendern wieder zur Verfügung zu stellen. Er ist von den internen oder externen Service-Erbringern einer Organisation umzusetzen. Hierzu gehören vor allem Facilities Management, Informationstechnik, Personal und Einkauf.
WiederanlaufAnforderungen	Anforderungen an die Wiederherstellung von Arbeitsplatz-Ausstattungen, IT-Systemen, IT-Anwendungen, Daten und Netzen nach einem Notfall. Dazu zählen die Wiederanlaufzeit, die Datenverlustzeit sowie die erforderlichen Mindestressourcen.
Wiederanlaufklasse	Konstrukt zur vereinfachten Erhebung der Wiederanlauf-Anforderungen von Geschäftsfunktionen und IT-Anwendungen. Jede Klasse ist durch eine bestimmte Zeitspanne charakterisiert, innerhalb derer der Wiederanlauf erfolgt sein muss (z.B. 3 Arbeitstage). Bei IT-Anwendungen enthält jede Klasse zusätzlich eine Angabe zur maximal akzeptablen Datenverlustzeit (z.B. 24 Stunden). Die Klassen sollten mit technischen und organisatorischen Lösungsmöglichkeiten korrespondieren.
Wiederanlaufplan	Bestandteil des Notfallplans, der sich auf die Bereitstellung der benötigten Ressourcen bezieht.
Wiederanlaufzeit	Zeit, die benötigt wird, bis Ressourcen nach einem Notfall bzw. einer Betriebsstörung wieder zur Verfügung stehen. Die Wiederanlaufzeit kann auch als Ausfallzeit bezeichnet werden.
Wirkungsszenario	Störungs- bzw. Notfallszenario, bei dem im Gegensatz zu einem Ursachenszenario der Schwerpunkt auf die Auswirkung eines Ausfalls gelegt wird, ohne auf die Ursache einzugehen. Ein Beispiel für ein Wirkungsszenario ist z.B. der Ausfall eines Gebäudes unabhängig davon, ob der Gebäudeausfall durch Stromausfall, Absperrmaßnahmen, einen Brand oder Wassereinbruch verursacht wurde. In der Notfallvorsorge wird meist von Wirkungsszenarien ausgegangen.
Wurm	In Bezug auf die IT-Sicherheit ein Programm, das sich selbst im Rahmen von Berechtigungen anderer über das Netzwerk verbreitet. Auf diese Weise können schädliche Programme sehr schnell zu vielen Rechnern Zugang finden.
X
Y
Z
Zertifikat	Nachweis, dass eine Person, eine Institution oder eine Sache bestimmte Kriterien erfüllt. Das Zertifikat wird von einer unabhängigen, neutralen Stelle erstellt. In der Kryptologie handelt es sich um den Nachweis, dass ein öffentlicher Schlüssel oder eine Signatur zu einer bestimmten Person gehört.
Zertifizierung	Vorgang, der zu einem Zertifikat führt.
Zugang	Anmeldung an Netzen, IT-Systemen oder -Komponenten, verbunden mit der Berechtigung zum Lesen oder zur Veränderung von Daten darauf, englisch als Access bezeichnet.
Zugangsschutz	Schutzmaßnahmen gegen unberechtigten Zugang. Er wird i.d.R. durch einen Authentisierungsvorgang unterstützt.
Zugriff	Lesen oder Veränderung von Daten in IT-Systemen, englisch als Access bezeichnet.
Zugriffsschutz	Schutzmaßnahmen gegen unberechtigten Zugriff. Er wird i.d.R. durch Autorisierungsvorgänge gewährleistet.
Zutritt	Betreten von Räumen und physischer Kontakt zu Ressourcen, englisch als Access bezeichnet.
Zutrittsschutz	Schutzmaßnahmen gegen unberechtigten Zutritt.
Zuverlässigkeit	Verlässlichkeit von Services oder Ressourcen, insbesondere Organisationen oder Personen. Zuverlässigkeit ist zu verstehen als Übereinstimmung von Plänen, Ankündigungen oder Vereinbarungen mit der Realität.
Zweckbindung	Prinzip des Datenschutzes, nach dem die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sich immer an einem Zweck zu orientieren hat. Es ist daher verboten, personenbezogene Daten zu einem anderen Zweck zu verarbeiten oder zu nutzen als zu dem, der bei der Erhebung maßgebend war.

Unternehmen

Leistungen

Veranstaltungen

Materialien
+ Dokumente
- Glossar

Referenzen

Stellenangebote

Kontakt

Impressum

Sitemap

Suche

Begriff

Erläuterung

Materialien + Dokumente - Glossar

Begriff

Erläuterung

Materialien
+ Dokumente
- Glossar