Skip to content
/ isb-kompendium Public

Ein umfassendes Nachschlagewerk mit Fachbegriffen von A–Z für Informationssicherheitsbeauftragte. Enthält Definitionen sowie praxisnahe fiktive Beispiele einer öffentlichen Verwaltung.

0 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

nokey-54/isb-kompendium

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

10 Commits
README.md
README.md
 
 

Repository files navigation

📘 ISB Kompedium

Dieses Repository enthält ein umfassendes Glossar für Informationssicherheitsbeauftragte (ISB), angelehnt an die Inhalte der IHK-Zertifikatsprüfung. Es dient als Nachschlagewerk und Lernhilfe für angehende ISB oder alle die es noch werden wollen.

Alle Begriffe sind alphabetisch von A–Z geordnet, mit klaren Definitionen und praxisnahen Beispielen, insbesondere im Kontext einer figtiven öffentlichen Verwaltung. Dieses Repository befindet sich im Aufbau und wird zukünftig angepasst und erweitert.

Version 1.1

📑 Inhaltsverzeichnis

A

  • Access Control (Zugriffskontrolle) – Verfahren zur Regelung, wer auf welche Systeme und Daten zugreifen darf. Bsp. Zugriffskontrolle für Fachsoftware oder EDV-Daten. (Achtung: Zugriffskontrolle != Zutrittskontrolle)
  • Advanced Persistent Threat (APT) – Langfristig angelegter, verdeckter Angriff durch hochprofessionelle Angreifergruppen, häufig staatlich unterstützt. Bsp. Dauerhafter Angriff auf Bauakten-Datenbank bis zum erfolgreichen Einfall ins System.
  • Application Security (AppSec) – Maßnahmen zur Absicherung von Software in allen Phasen des Entwicklungszyklus. Beispiel: Sicherheitsüberprüfung der Bauamt-App vor Freigabe.
  • Asset Management – Systematische Erfassung, Bewertung und Pflege aller Werte (Assets). Beispiel: Inventarliste aller Rathaus-Server inkl. Sicherheitsbewertung.
  • Audit Trail (Prüfpfad) – Lückenlose Nachvollziehbarkeit von Aktionen in IT-Systemen. Beispiel: Protokollierung jeder Akteneinsicht im Melderegister.
  • Awareness (Sensibilisierung) – Schulung und Bewusstseinsbildung der Mitarbeitenden zu IT-Risiken. Beispiel: Phishing-Test im Ordnungsamt.

B

  • Backup (Datensicherung) – Kopie von Daten zur Wiederherstellung nach Verlust. Beispiel: Tägliche Sicherung Ratsinformationssystem.
  • Baseline Security (Mindestschutz) – Grundschutz, der in jedem System umzusetzen ist. Beispiel: Windows-Standardrichtlinien in der Stadtverwaltung.
  • Blockchain Security – Schutzmaßnahmen für Blockchain-Anwendungen. Beispiel: Kommunales Grundbuch auf Blockchain-Basis gegen Manipulation absichern.
  • Botnet – Zusammengeschaltete Rechner für Angriffe wie DDoS. Beispiel: Stadtportal durch Botnet lahmgelegt.
  • Bug Bounty – Belohnungsprogramm für gemeldete Schwachstellen. Beispiel: Stadt zahlt Prämien für gefundene Lücken im Bürgerportal.
  • Business Process Management (BPM) – Steuerung und Optimierung von Geschäftsprozessen. Beispiel: Digitalisierung und Absicherung von Antragsprozessen im Bauamt.
  • Business Continuity Management (BCM) – Sicherstellung der Handlungsfähigkeit bei Notfällen. Beispiel: Backup-Arbeitsplätze für Bürgerbüro.
  • Business Impact Analyse (BIA) – Ermittlung kritischer Prozesse und Abhängigkeiten. Beispiel: Priorisierung Meldewesen vor Social Media.

C

  • CERT (Computer Emergency Response Team) – Fachteam für Reaktion auf Sicherheitsvorfälle. Beispiel: Kommunales CERT bearbeitet Ransomware-Vorfall.
  • Change Management – Geregelter Prozess für Änderungen in IT-Systemen. Beispiel: Einführung neuer Software im Sozialamt.
  • CIA-Triade – Grundprinzip: Confidentiality, Integrity, Availability. Beispiel: Steuerakten müssen vertraulich, korrekt und verfügbar sein.
  • Cloud Computing – Nutzung externer IT-Ressourcen. Beispiel: Terminbuchung im Bürgerbüro in der Cloud.
  • Configuration Management – Dokumentation und Pflege von Systemeinstellungen. Beispiel: Zentrale Verwaltung aller Rathausserver-Konfigurationen.
  • Cyber Threat Intelligence (CTI) – Sammeln, analysieren und nutzen von Informationen zu Cyber-Bedrohungen. Beispiel: CERT teilt CTI-Berichte über Angriffe auf Kommunen.
  • Compliance Audit – Prüfung der Einhaltung von Vorschriften. Beispiel: DSGVO-Überprüfung in der Stadtverwaltung.

D

  • Data Governance – Rahmenwerk für den verantwortungsvollen Umgang mit Daten. Beispiel: Regeln für Datenhaltung im Einwohnermeldeamt.
  • Data Leakage – Unerlaubter Datenabfluss. Beispiel: Fehlversand von Bürgerlisten.
  • Datenschutz-Grundverordnung (DSGVO) – EU-Verordnung zum Schutz personenbezogener Daten. Beispiel: Speicherung von Ausweisdaten nur rechtmäßig.
  • DDoS-Angriff – Überlastungssystemangriff. Beispiel: Stadtwebseite nicht erreichbar.
  • Demilitarisierte Zone (DMZ) – Abgeschotteter Bereich für externe Dienste. Beispiel: Webserver in DMZ.
  • DevSecOps – Integration von Sicherheit in Entwicklungs- und Betriebsprozesse. Beispiel: Städtische App wird vor jedem Release automatisiert auf Schwachstellen geprüft.
  • Digital Rights Management (DRM) – Technische Maßnahmen zum Schutz digitaler Inhalte. Beispiel: Zugriff auf digitale Ratsunterlagen nur mit DRM-Lizenz.
  • Disaster Recovery Plan (DRP) – Plan zur Wiederherstellung kritischer IT-Systeme. Beispiel: Notfallplan für Dokumentenmanagement nach Serverausfall.

E

  • EDR (Endpoint Detection & Response) – Sicherheitssysteme zur Erkennung und Reaktion auf Angriffsmuster auf Endgeräten. Beispiel: Rathaus-PCs melden verdächtige Aktivitäten.
  • Encryption (Verschlüsselung) – Schutz von Daten durch Umwandlung in unlesbare Form. Beispiel: Verschlüsselte Mails mit Bürgerdaten.
  • Enterprise Risk Management (ERM) – Ganzheitliches Risikomanagement über alle Organisationsebenen. Beispiel: Stadtverwaltung bewertet Cyber- und physische Risiken integriert.
  • ENISA – EU-Agentur für Cybersicherheit. Beispiel: Orientierung an ENISA-Guidelines.
  • Ethical Hacking – Autorisierte Angriffe zu Testzwecken. Beispiel: Penetrationstest Bürgerportal.
  • Exploit – Ausnutzung einer Schwachstelle. Beispiel: Angriff über ungepatchte Fachsoftware.
  • Externer Dienstleister – Outsourcing-Partner mit Sicherheitsauflagen. Beispiel: Hosting städtischer Bewerbungsplattform.

F

  • Failover – Automatischer Systemwechsel bei Ausfall. Beispiel: Zweiter Server übernimmt Meldewesen.
  • Fail-Safe / Fail-Secure – Unterschiedliche Sicherheitsstrategien im Fehlerfall. Beispiel: Türsysteme im Rathaus öffnen im Brandfall (Fail-Safe).
  • Federated Identity Management (FIM) – Verwaltung von Identitäten über mehrere Organisationen hinweg. Beispiel: Bürger können sich mit ihrem Landes-Servicekonto im Rathaus-Portal anmelden.
  • File Integrity Monitoring (FIM) – Überwachung unzulässiger Dateiänderungen. Beispiel: Manipulation von Ratsprotokollen erkannt.
  • Firewall – System zur Filterung von Datenverkehr. Beispiel: Schutz der Verwaltungsserver.
  • Forensik – Digitale Analyse nach Sicherheitsvorfällen. Beispiel: Untersuchung kompromittierter Server.
  • Frameworks (z. B. COBIT, NIST CSF) – Strukturelle Leitfäden für Informationssicherheit. Beispiel: Kommune richtet Sicherheitsstrategie an NIST-CSF aus.

G

  • Gap-Analyse – Vergleich Ist-/Soll-Zustand der Informationssicherheit. Beispiel: Prüfung fehlender ISO-27001-Kontrollen in der Stadtverwaltung.
  • Gefährdung – Potenzielle Ursache für Schäden. Beispiel: Ausfall der Telefonanlage durch Starkregen.
  • Governance, Risk & Compliance (GRC) – Integriertes Steuerungsmodell für Sicherheit, Risiko und Regeltreue. Beispiel: Kommune nutzt GRC-Tool für Sicherheitsberichte an den Stadtrat.
  • Grundschutz (BSI IT-Grundschutz) – Methodik zur strukturierten Informationssicherheit. Beispiel: Stadtverwaltung implementiert Standard-Bausteine für Server.
  • Green IT Security – Umweltfreundliche und nachhaltige Sicherheitsstrategien. Beispiel: Energieeffiziente Server mit sicherer Virtualisierung im Rechenzentrum.
  • Gruppenrichtlinien (GPO) – Zentrale Windows-Policies für Sicherheit. Beispiel: Erzwingen von Passwortrichtlinien für alle Ämter.
  • Governance Model – Strukturiertes Modell zur Rollen- und Verantwortungsverteilung in der IT. Beispiel: Sicherheitsentscheidungen sind klar zwischen ISB, DSB und IT-Leitung aufgeteilt.

H

  • Haftung (Leitungsebene) – Verantwortlichkeit der Leitung bei Sicherheitsverstößen. Beispiel: Bürgermeister haftet bei grober Fahrlässigkeit.
  • Hashwert – Prüfsumme zur Datenintegrität. Beispiel: Überprüfung heruntergeladener Verwaltungssoftware.
  • Härtung (System Hardening) – Minimierung von Angriffsflächen. Beispiel: Abschalten unnötiger Dienste auf Bürgerportal-Server.
  • Honeypot – Lockserver zur Analyse von Angriffen. Beispiel: Stadt-IT analysiert Angriffe über einen Honeypot.
  • Human Firewall – Mitarbeitende als aktive Sicherheitsbarriere durch Schulung und Awareness. Beispiel: Ordnungsamt erkennt Phishing-Mails und meldet diese sofort.
  • Hybrid Work Security – Sicherheitskonzepte für hybrides Arbeiten (Homeoffice & Büro). Beispiel: VPN und MFA für Homeoffice-Arbeitsplätze.
  • Hot Site – Voll ausgestattetes Ausweichrechenzentrum. Beispiel: Zweiter Standort der Stadtwerke.

I

  • Identitätsmanagement (IDM) – Verwaltung digitaler Identitäten. Beispiel: Einheitliche Benutzerverwaltung für alle Ämter.
  • Incident Response – Vorgehen bei Sicherheitsvorfällen. Beispiel: Plan nach Malwarebefall.
  • Incident Handling Lifecycle – Phasenmodell zur Bearbeitung von Sicherheitsvorfällen: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Lessons Learned. Beispiel: Stadt folgt BSI-Vorgehen bei Ransomware.
  • Informationssicherheitsbeauftragter (ISB) – Verantwortliche Person für IS-Organisation. Beispiel: ISB überwacht Risikomanagement.
  • Integrity (Integrität) – Sicherstellung der Unveränderbarkeit von Daten. Beispiel: Steuerakten dürfen nicht manipuliert werden.
  • Information Lifecycle Management (ILM) – Steuerung des gesamten Lebenszyklus von Informationen. Beispiel: Bürgerdaten werden nach Fristen archiviert und gelöscht.
  • ITIL Security Management – Rahmenwerk für IT-Servicemanagement mit Fokus auf Sicherheit. Beispiel: Stadt integriert Sicherheitsprozesse in ITIL-Vorgaben.
  • ISO/IEC 27005 – Standard für Informationssicherheits-Risikomanagement. Beispiel: Kommune bewertet Risiken mit ISO-Methodik.

J

  • Journaling – Änderungsprotokoll in Systemen. Beispiel: Nachvollziehbarkeit von Einträgen in Sozialakten.
  • Just-in-Time Access – Zeitlich begrenzte Rechte. Beispiel: Admin erhält 2 Stunden Zugriff auf Finanzsystem.
  • Just Culture – Fehleroffene Kultur zur Förderung von Meldungen. Beispiel: Mitarbeiter melden Sicherheitsvorfälle ohne Angst vor Strafen.
  • Jailbreaking – Manipulation von mobilen Geräten zur Aufhebung von Beschränkungen. Beispiel: Risiko durch dienstliche iPhones, die „gejailbreaked“ wurden.
  • JSON Web Token (JWT) Security – Sicherheitsmechanismus für Authentifizierung via Tokens. Beispiel: Bürgerportal authentifiziert Nutzer mit JWT.

K

  • Kaskadeneffekt – Dominoeffekte durch Ausfall eines Systems. Beispiel: Stromausfall → Ausfall Fachverfahren → Bürgerdienste offline.
  • Keylogger – Schadsoftware zum Aufzeichnen von Tastatureingaben. Beispiel: Angriff auf Rathaus-PCs.
  • Key Management – Verwaltung kryptographischer Schlüssel. Beispiel: Verwaltung von SSL-Zertifikaten für Bürgerportale.
  • Kontinuitätsmanagement – Sicherstellung wichtiger Prozesse bei Störungen. Beispiel: Zahlungsabwicklung bleibt auch im Notbetrieb möglich.
  • Kritis (Kritische Infrastrukturen) – Systeme mit hoher Bedeutung für Gesellschaft. Beispiel: Stadtwerke als KRITIS.
  • Kryptographie – Methoden zur sicheren Verschlüsselung und Authentifizierung. Beispiel: Verschlüsselung von Personaldaten.
  • Knowledge Management Security – Schutz sensibler Wissensressourcen. Beispiel: Interne Wissensdatenbank Rathaus wird mit Zugriffskontrollen gesichert.
  • Künstliche Intelligenz (KI) in der IS – Nutzung von KI zur Erkennung von Bedrohungen. Beispiel: KI erkennt Anomalien im Netzwerkverkehr.

L

  • LAN (Local Area Network) – Lokales Netzwerk. Beispiel: Rathausnetzwerk für Fachverfahren.
  • Lifecycle Management – Verwaltung des Lebenszyklus von IT-Systemen. Beispiel: Fachverfahren nach 10 Jahren abgelöst.
  • Logging & Monitoring – Aufzeichnung und Überwachung von Ereignissen. Beispiel: Logfiles der Bürgerportale werden zentral überwacht.
  • Least Privilege Principle – Rechtevergabe nach Minimalprinzip. Beispiel: Standesamt-Sachbearbeiter darf nur Geburtsregister einsehen.
  • Legacy System Security – Absicherung alter Systeme ohne aktuelle Updates. Beispiel: Altes Einwohnermeldeverfahren mit Netzwerksegmentierung schützen.
  • Log Management – Sammeln, Analysieren und Speichern von Logdaten. Beispiel: SIEM-System im Rathaus zur zentralen Logauswertung.
  • Least Cost Routing (LCR) – Routing nach Kostenkriterien, oft sicherheitskritisch. Beispiel: Billigrouten für Telefonie können unverschlüsselt sein.

M

  • Malware (Schadsoftware) – Oberbegriff für schädliche Software wie Viren, Würmer oder Trojaner. Beispiel: Trojaner blockiert Bürgerbüro-Rechner.
  • Man-in-the-Middle-Angriff (MITM) – Angreifer klinkt sich zwischen Kommunikationspartner ein. Beispiel: Abfangen von Daten aus Bürgerportal-Sitzungen im unsicheren WLAN.
  • MaRisk – Mindestanforderungen an das Risikomanagement, ursprünglich für Banken, aber mit Bezug auf IS übertragbar. Beispiel: Nutzung für kommunales Rechenzentrums-Risikomanagement.
  • Maturity Models (z. B. CMMI, SSE-CMM) – Bewertungsmodelle zur Reife von Prozessen. Beispiel: Stadt bewertet Reifegrad des ISMS mit CMMI.
  • Machine Learning Security – Einsatz von KI-Algorithmen zur Bedrohungserkennung. Beispiel: ML erkennt Anomalien im Rathausnetz.
  • Mobile Device Management (MDM) – Verwaltung und Absicherung mobiler Geräte. Beispiel: Ordnungsamt-Smartphones mit MDM geschützt.
  • Monitoring – Permanente Überwachung von Systemen. Beispiel: Netzwerk-Überwachung im kommunalen Rechenzentrum.
  • Multifaktor-Authentifizierung (MFA) – Kombination mehrerer Nachweise. Beispiel: Ratsportal-Login mit Passwort + SMS-TAN.
  • Mobile Payment Security – Schutz von mobilen Bezahlverfahren. Beispiel: Städtische Park-App prüft Zahlung mit sicheren Protokollen.

N

  • Netzsegmentierung – Unterteilung von Netzwerken zur Erhöhung der Sicherheit. Beispiel: Bürgerterminals getrennt vom Verwaltungsnetz.
  • Netzwerk-Forensik – Untersuchung von Netzwerkverkehr. Beispiel: Analyse nach Angriff auf Stadt-Webseite.
  • NIS-2-Richtlinie – EU-Richtlinie zur Cybersicherheit für KRITIS. Beispiel: Stadtwerke müssen Vorgaben erfüllen.
  • Notfallmanagement – Strukturiertes Krisenmanagement. Beispiel: Evakuierungs- und IT-Notfallpläne.
  • Notstromversorgung – Sicherstellung des Betriebs bei Stromausfällen. Beispiel: USV für Rathausserver.
  • Network Access Control (NAC) – Kontrolle, welche Geräte ins Netzwerk dürfen. Beispiel: Nur städtische Laptops dürfen ins Verwaltungsnetz.
  • NIST Cybersecurity Framework (CSF) – US-Framework für Cybersicherheitsstrategien. Beispiel: Stadtverwaltung orientiert sich an NIST-Kontrollen.
  • Need-to-Know-Prinzip – Datenzugriff nur, wenn erforderlich. Beispiel: Mitarbeiter sieht nur eigene Bürgerakten.
  • Network Intrusion Prevention System (NIPS) – Präventiver Schutz gegen Angriffe im Netzwerk. Beispiel: Rathaus-Firewall mit integriertem NIPS.

O

  • Objektsicherheit – Schutz physischer Gebäude und Infrastruktur. Beispiel: Zutrittskontrolle am Serverraum.
  • Offboarding – Geordnete Rechteentziehung beim Austritt von Mitarbeitenden. Beispiel: Sperrung des Accounts eines ausgeschiedenen Bauamtsmitarbeiters.
  • Open Source Security – Bewertung und Absicherung von Open-Source-Software. Beispiel: Kommune prüft OSS-Module im Bürgerportal.
  • Operational Technology (OT) Security – Schutz von Industrie- und Betriebstechnik. Beispiel: Absicherung der Steuerungssysteme in Stadtwerken.
  • Organisatorisches Notfallhandbuch – Dokumentation der Krisenprozesse. Beispiel: Krisenleitfaden für IT-Ausfälle.
  • OWASP (Open Web Application Security Project) – Non-Profit-Projekt mit Sicherheitsstandards für Web-Anwendungen. Beispiel: Stadt entwickelt Bürgerportal nach OWASP Top 10.

P

  • Patchmanagement – Strukturierte Einspielung von Updates. Beispiel: Monatliche Windows-Updates Rathaus.
  • Penetrationstest (Pentest) – Geplanter Angriffstest. Beispiel: Pentest auf Online-Bewerbungsplattform.
  • Phishing – Täuschungsversuch zur Datenerlangung. Beispiel: Fake-Mail an Personalamt.
  • Phishing-Simulation – Testkampagne zur Sensibilisierung. Beispiel: Stadt testet Mitarbeiter mit Fake-Mails.
  • PKI (Public Key Infrastructure) – Infrastruktur für Zertifikate und Schlüssel. Beispiel: Nutzung für sichere E-Mail-Verschlüsselung.
  • Privacy Impact Assessment (PIA / DSFA) – Datenschutz-Folgenabschätzung nach DSGVO. Beispiel: Bewertung neuer Bürgerportal-Funktion.
  • Privileged Access Management (PAM) – Verwaltung von Admin-Konten. Beispiel: Zugriffe der IT-Admins werden überwacht.
  • Prozesslandkarte Informationssicherheit – Darstellung aller relevanten Sicherheitsprozesse. Beispiel: Darstellung Meldewesen-Prozess im ISMS.
  • Privatsphäre by Design / Default – Datenschutzgrundsatz. Beispiel: Bürgerportal fragt nur zwingend nötige Daten ab.
  • Penetration Testing Methodologies – Vorgehensweisen für Pentests (z. B. OWASP, OSSTMM). Beispiel: Kommune setzt OSSTMM für Sicherheitstests ein.

Q

  • Qualitätssicherung – Maßnahmen zur Einhaltung von Standards. Beispiel: Regelmäßige Auditierung von IT-Richtlinien.
  • Quantitative Risk Assessment – Risikoanalyse mit Zahlenwerten (z. B. Eintrittswahrscheinlichkeit x Schadenshöhe). Beispiel: Risikoanalyse für Hochwassergefährdung des Rechenzentrums.
  • Quantum Computing Security – Sicherheitskonzepte für die Post-Quanten-Kryptographie. Beispiel: Stadt bereitet sich auf neue Verschlüsselungsalgorithmen vor.

R

  • Ransomware – Schadsoftware, die Systeme verschlüsselt und Lösegeld fordert. Beispiel: Angriff legt Bauamt lahm.
  • Recovery Time Objective (RTO) – Maximal erlaubte Ausfallzeit. Beispiel: Bürgerportal muss <4h wieder laufen.
  • Recovery Point Objective (RPO) – Maximal tolerierter Datenverlust. Beispiel: 24h Datenverlust erlaubt.
  • Red Team / Blue Team – Simulierte Angreifer (Red) vs. Verteidiger (Blue). Beispiel: Test der Stadt-IT durch Red Team.
  • Residual Risk (Restrisiko) – Risiko, das trotz Maßnahmen verbleibt. Beispiel: Zero-Day-Lücken.
  • Risk Appetite – Grad an Risiko, den eine Organisation akzeptiert. Beispiel: Stadt definiert, welche Ausfallzeiten tragbar sind.
  • Risk Assessment – Systematische Analyse und Bewertung von Risiken. Beispiel: Risikoanalyse für Bürgerportal-Ausfall.
  • Risk Transfer – Übertragung von Risiken, z. B. durch Versicherungen. Beispiel: Cyberversicherung für die Kommune.
  • Root Cause Analysis (RCA) – Analyse der eigentlichen Ursachen für Vorfälle. Beispiel: Ausfall durch defekte Klimaanlage im Serverraum.
  • Remote Work Security – Sicherheitskonzepte für Homeoffice. Beispiel: VPN-Zugang mit 2FA für Sachbearbeiter.

S

  • Sandboxing – Isolierung verdächtiger Programme in einer geschützten Umgebung. Beispiel: Bürgerbüro-Mailserver öffnet verdächtige Anhänge nur in Sandbox.
  • Schutzziele – Vertraulichkeit, Integrität, Verfügbarkeit (+Authentizität, Nachvollziehbarkeit). Beispiel: Melderegister-Abfragen werden vollständig protokolliert.
  • Security by Design – Sicherheitsaspekte werden bereits in der Entwicklungsphase berücksichtigt. Beispiel: Neues Bürgerportal wird von Beginn an mit Verschlüsselung und Logging entwickelt.
  • Security by Default – Systeme sind standardmäßig mit den sichersten Einstellungen konfiguriert. Beispiel: Standard-Passwortrichtlinie in allen Ämtern.
  • Security Information & Event Management (SIEM) – Systeme zur zentralen Sammlung und Auswertung von Logdaten. Beispiel: Rathaus-Logs werden in einem SIEM überwacht.
  • Single Point of Failure (SPoF) – Kritische Komponente, deren Ausfall den Betrieb lahmlegt. Beispiel: Nur eine Internetleitung im Rathaus.
  • Social Engineering – Manipulation von Menschen, um an Daten zu gelangen. Beispiel: Anruf eines Angreifers beim Bürgerbüro mit gefälschter Identität.
  • Supply Chain Security – Absicherung der Lieferkette (Hardware, Software, Partner). Beispiel: Kommune prüft IT-Dienstleister vor Auftragsvergabe.
  • Shadow IT – Nutzung nicht autorisierter IT-Systeme durch Mitarbeitende. Beispiel: Mitarbeiter speichert Bürgerdaten in privater Cloud.
  • Shared Responsibility Model – Aufteilung der Sicherheitsverantwortung zwischen Cloud-Anbieter und Kunde. Beispiel: Kommune ist verantwortlich für Benutzerrechte in Cloud-Systemen, nicht für Hardware.
  • Sicherheitsrichtlinie (Security Policy) – Schriftliche Vorgabe für den Umgang mit IT-Sicherheit. Beispiel: Rathaus-Dienstanweisung zu Passwortnutzung.

T

  • Threat Intelligence – Sammlung und Analyse von Bedrohungsinformationen. Beispiel: CERT meldet Angriffsarten auf Kommunalverwaltungen.
  • Threat Modeling – Systematische Analyse möglicher Angriffsvektoren. Beispiel: Stadtverwaltung modelliert Bedrohungen für Bürgerportal.
  • Tokenisierung – Ersetzung sensibler Daten durch Platzhalter (Tokens). Beispiel: Kreditkartendaten im Online-Bezahlverfahren der Stadtbibliothek.
  • Trusted Platform Module (TPM) – Hardware-Sicherheitschip für Kryptographie. Beispiel: Rathaus-Laptops mit TPM für Festplattenverschlüsselung.
  • Two-Factor Authentication (2FA) – Zwei verschiedene Nachweise zur Anmeldung. Beispiel: Ratsportal mit Passwort + SMS-TAN.
  • TISAX – Prüfnorm für Informationssicherheit in der Automobilbranche, teilweise auch in der öffentlichen Verwaltung angewandt. Beispiel: Kommune arbeitet mit Zulieferern, die TISAX-zertifiziert sind.
  • Tabletop-Übung – Simulierte Krisenübung am „runden Tisch“. Beispiel: Rathaus übt IT-Notfall mit Führungskräften.

U

  • Umsetzungskonzept (ISMS) – Plan für Einführung und Betrieb von Informationssicherheit. Beispiel: Einführung ISO 27001 in der Stadtverwaltung.
  • Updates (Patchmanagement) – Regelmäßige Aktualisierung von Software. Beispiel: Monatliche Patches für Verwaltungs-PCs.
  • Unified Endpoint Management (UEM) – Einheitliche Verwaltung aller Endgeräte. Beispiel: Verwaltung von Rathaus-PCs und Smartphones in einem System.
  • User Behavior Analytics (UBA) – Analyse von Nutzerverhalten zur Erkennung von Abweichungen. Beispiel: Ungewöhnliche Anmeldezeiten eines Mitarbeiters werden erkannt.
  • User Awareness Training – Regelmäßige Schulungen für Mitarbeiter. Beispiel: Phishing-Simulationen im Ordnungsamt.
  • USB Security – Schutzmaßnahmen für Wechseldatenträger. Beispiel: Stadt verbietet private USB-Sticks am Arbeitsplatz.

V

  • Verfügbarkeitsmanagement – Sicherstellung der IT-Verfügbarkeit. Beispiel: Redundante Anbindung Rathaus.
  • Verwaltungsanweisung Informationssicherheit – Dienstanweisung zu Sicherheitsvorgaben. Beispiel: Passwort-Policy im Rathaus.
  • Virtual Private Network (VPN) – Verschlüsselte Verbindung ins Netz. Beispiel: Homeoffice-Mitarbeiter nutzen VPN ins Verwaltungsnetz.
  • Vulnerability Assessment – Schwachstellenbewertung. Beispiel: Scan städtischer Webserver auf Sicherheitslücken.
  • Vendor Risk Management – Bewertung von Risiken bei Dienstleistern. Beispiel: Risikoanalyse vor Outsourcing an IT-Dienstleister.
  • Virtualisierungssicherheit – Schutz virtueller Systeme. Beispiel: Getrennte Virtualisierungsumgebungen für Bürger- und Verwaltungsdienste.
  • Verhaltensbasierte Sicherheit – Nutzung von Mustererkennung im Nutzerverhalten. Beispiel: UBA erkennt ungewöhnliche Datei-Downloads.

W

  • Whaling – Spear-Phishing, gezielt auf Führungskräfte. Beispiel: Gefälschte E-Mail an den Bürgermeister mit Zahlungsaufforderung.
  • Whitelisting – Nur freigegebene Programme dürfen laufen. Beispiel: Rathaus-PCs nur mit autorisierten Anwendungen.
  • Wireless LAN Security – Absicherung von WLAN-Netzen. Beispiel: Trennung Bürger-WLAN vom Verwaltungsnetz.
  • Workforce Security – Strategien zum Schutz von Mitarbeitenden und deren Zugriffen. Beispiel: Zugriffsrechte werden mit On-/Offboarding-Prozessen geregelt.
  • Wiederanlaufplan (WAP) – Plan zur Rückkehr in den Notbetrieb. Beispiel: Nach Ausfall des Bürgerportals aktiviert die Stadt Ersatzserver.
  • Wiederherstellungsplan (WHP) – Plan zur vollständigen Rückkehr in den Normalbetrieb. Beispiel: Wiederherstellung des Dokumentenmanagementsystems nach Hardwaretausch.

Z

  • Zero Trust – Grundsatz: niemals vertrauen, immer prüfen. Beispiel: Jede Rathaus-Anmeldung wird validiert, egal ob intern oder extern.
  • Zero Knowledge Proof (ZKP) – Verfahren, bei dem Wissen nachgewiesen wird, ohne es preiszugeben. Beispiel: Authentifizierung von Bürgern ohne Weitergabe des Passworts.
  • Zero-Day Exploit – Angriff, der eine unbekannte Sicherheitslücke ausnutzt. Beispiel: Angriff auf ungepatchtes Fachverfahren kurz nach Entdeckung.
  • Zertifizierungsstelle (CA) – Institution zur Ausgabe digitaler Zertifikate. Beispiel: Stadt nutzt CA für interne PKI.
  • Zutrittskontrolle – Kontrolle physischer Zugänge. Beispiel: Serverraum nur mit Chipkarte zugänglich.
  • Zivilschutzrelevante IT-Sicherheit – Schutz der IT im Kontext von Krisenlagen (z. B. Cyberkrieg). Beispiel: Kommune richtet Notfallnetz für kritische Dienste ein.
  • Zukunftsfähigkeit in der IS – Berücksichtigung kommender Technologien und Risiken (KI, Quantencomputing). Beispiel: Stadt bereitet sich auf Post-Quantum-Kryptographie vor.

📌 Dieses Glossar wird fortlaufend erweitert und ist als Lernhilfe für ISB-Prüfungen konzipiert.

About

Ein umfassendes Nachschlagewerk mit Fachbegriffen von A–Z für Informationssicherheitsbeauftragte. Enthält Definitionen sowie praxisnahe fiktive Beispiele einer öffentlichen Verwaltung.

Topics

glossary isb iso27001 iso27002 informationssicherheit

Resources

Readme
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository