ISMS-Glossar: Alle wichtigen Begriffe von A bis Z

Warum ein ISMS-Glossar?

Wer sich mit Informationssicherheit beschäftigt, stößt schnell auf eine Flut von Fachbegriffen, Abkürzungen und Normenverweisen. ISO 27001, BSI IT-Grundschutz, NIS2, TISAX und DSGVO bringen jeweils eigene Terminologien mit, die sich teilweise überschneiden und teilweise subtil unterscheiden. Das macht den Einstieg unnötig schwer und führt in der Praxis regelmäßig zu Missverständnissen zwischen IT-Abteilung, Geschäftsführung und externen Beratern.

Dieses Glossar schafft eine gemeinsame Sprachbasis. Es erklärt über 50 zentrale Begriffe aus dem ISMS-Umfeld in verständlicher Sprache, ohne dabei fachliche Präzision zu opfern. Wenn du gerade ein ISMS aufbaust, ist dieses Glossar dein Nachschlagewerk für die wichtigsten Fachbegriffe. Die alphabetische Sortierung macht es zum Nachschlagewerk, das du jederzeit zur Hand nehmen kannst, wenn dir ein Begriff in einem Audit-Bericht, einer Norm oder einem Fachartikel begegnet.

Wo es einen passenden Vertiefungsartikel gibt, findest du am Ende der jeweiligen Erklärung einen Link. So kannst du bei Bedarf direkt tiefer einsteigen.

A

Annex A

Der Annex A ist der normative Anhang der ISO 27001 und enthält einen Katalog von 93 Sicherheitsmaßnahmen (Controls), gegliedert in vier Kategorien: organisatorische, personenbezogene, physische und technologische Maßnahmen. Er dient als Referenzliste bei der Erstellung des Statement of Applicability (SoA). Du musst nicht alle Controls umsetzen, aber du musst für jedes einzelne begründen, ob es anwendbar ist oder nicht. Seit der Revision 2022 sind die ehemals 114 Controls in 14 Kategorien auf die kompaktere Struktur mit 93 Controls in 4 Kategorien umgestellt worden.

Vertiefung: Statement of Applicability (SoA) erstellen

Asset

Ein Asset ist ein schützenswerter Wert deiner Organisation. Das umfasst weit mehr als nur Hardware: Informationen (Kundendaten, Verträge, Quellcode), IT-Systeme (Server, Datenbanken, Cloud-Dienste), Software, Geschäftsprozesse und auch das Wissen einzelner Personen zählen dazu. Die systematische Erfassung aller Assets ist ein Grundpfeiler der Risikobewertung, denn nur was du kennst, kannst du auch schützen. ISO 27001 fordert ein aktuelles Asset-Inventar mit klaren Verantwortlichkeiten.

Vertiefung: IT-Asset-Management im ISMS

Audit

Ein Audit ist eine systematische, unabhängige Überprüfung, ob dein ISMS die Anforderungen der Norm erfüllt und ob die dokumentierten Prozesse auch tatsächlich gelebt werden. Man unterscheidet interne Audits (First-Party), die du selbst durchführst, von externen Audits durch Kunden oder Partner (Second-Party) und Zertifizierungsaudits durch akkreditierte Stellen (Third-Party). ISO 27001 verlangt regelmäßige interne Audits als Teil des kontinuierlichen Verbesserungsprozesses. Ein gutes Audit sucht nicht nach Schuldigen, sondern nach Verbesserungspotenzial.

Vertiefung: Internes ISMS-Audit durchführen

Authentifizierung

Authentifizierung ist der Prozess, bei dem eine Person oder ein System seine Identität nachweist. Das geschieht klassisch über Wissen (Passwort), Besitz (Hardware-Token, Smartphone) oder Biometrie (Fingerabdruck, Gesichtserkennung). In der Informationssicherheit ist Authentifizierung die erste Verteidigungslinie gegen unbefugten Zugriff. Moderne Systeme kombinieren mindestens zwei dieser Faktoren (Multi-Faktor-Authentifizierung), weil einzelne Faktoren wie Passwörter allein zu leicht kompromittiert werden können.

Autorisierung

Autorisierung folgt auf die Authentifizierung und legt fest, welche Aktionen ein authentifizierter Benutzer tatsächlich ausführen darf. Während die Authentifizierung die Frage "Wer bist du?" beantwortet, klärt die Autorisierung "Was darfst du?". Typische Umsetzungen sind rollenbasierte Zugriffskontrollen (RBAC), bei denen Berechtigungen an Rollen statt an Einzelpersonen gebunden werden. Ein durchdachtes Berechtigungskonzept nach dem Least-Privilege-Prinzip stellt sicher, dass jeder nur die Rechte erhält, die er für seine Aufgaben tatsächlich braucht.

Vertiefung: Berechtigungskonzept erstellen

Awareness

Awareness (Sicherheitsbewusstsein) beschreibt das Wissen und die Aufmerksamkeit der Mitarbeitenden für Informationssicherheitsrisiken im Arbeitsalltag. Ein technisch perfekt abgesichertes System nützt wenig, wenn Mitarbeitende auf Phishing-Mails hereinfallen oder vertrauliche Dokumente offen liegen lassen. ISO 27001 fordert deshalb ein systematisches Awareness-Programm, das über einmalige Pflichtschulungen hinausgeht und eine nachhaltige Sicherheitskultur aufbaut. Effektive Programme kombinieren regelmäßige Schulungen mit simulierten Phishing-Tests, Kurzvideos und praxisnahen Beispielen.

Vertiefung: Security Awareness Programm aufbauen

B

BCM (Business Continuity Management)

Business Continuity Management ist ein ganzheitlicher Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden Störungen oder Katastrophen weiterlaufen oder innerhalb definierter Zeiträume wiederhergestellt werden können. BCM geht über reine IT-Notfallplanung hinaus und betrachtet auch Lieferketten, Personal, Gebäude und Kommunikation. Die Grundlage bildet die Business Impact Analyse (BIA), die ermittelt, welche Prozesse wie schnell wieder verfügbar sein müssen und welche Schäden bei Ausfall entstehen.

BIA (Business Impact Analyse)

Die Business Impact Analyse ist ein strukturiertes Verfahren, um die Auswirkungen von Ausfällen kritischer Geschäftsprozesse zu bewerten. Dabei ermittelst du für jeden Prozess die maximal tolerierbaren Ausfallzeiten, die finanziellen und operativen Schäden bei verschiedenen Ausfalldauern und die Abhängigkeiten zwischen Prozessen und IT-Systemen. Die Ergebnisse der BIA fließen direkt in die Notfallplanung ein und bestimmen die Prioritäten bei der Wiederherstellung. Sie ist auch die Grundlage für die Definition von RTO und RPO.

Vertiefung: Business Impact Analyse (BIA) durchführen

BSI (Bundesamt für Sicherheit in der Informationstechnik)

Das BSI ist die zentrale Bundesbehörde für IT-Sicherheit in Deutschland. Es veröffentlicht den IT-Grundschutz-Katalog, gibt Warnungen vor aktuellen Bedrohungen heraus und ist seit NIS2 auch die nationale Aufsichtsbehörde für Cybersicherheit. Für Unternehmen ist das BSI vor allem durch den IT-Grundschutz relevant, der mit seinen Bausteinen und Maßnahmenempfehlungen einen konkreteren Weg zur Informationssicherheit bietet als die abstrakte ISO 27001. Seit 2023 spielt das BSI auch eine zentrale Rolle bei der Umsetzung der NIS2-Richtlinie in deutsches Recht.

C

CIA-Triade

Die CIA-Triade beschreibt die drei grundlegenden Schutzziele der Informationssicherheit: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Vertraulichkeit bedeutet, dass Informationen nur befugten Personen zugänglich sind. Integrität stellt sicher, dass Daten korrekt und unverändert bleiben. Verfügbarkeit garantiert, dass Systeme und Informationen bei Bedarf erreichbar sind. Jede Sicherheitsmaßnahme lässt sich mindestens einem dieser drei Ziele zuordnen, und die Schutzbedarfsfeststellung bewertet für jedes Asset, wie hoch der Bedarf in jeder Dimension ist.

Vertiefung: CIA-Triade erklärt: Vertraulichkeit, Integrität und Verfügbarkeit | Schutzbedarfsfeststellung

Cloud Act

Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Gesetz aus dem Jahr 2018, das US-Behörden den Zugriff auf Daten bei US-Unternehmen ermöglicht, unabhängig davon, wo die Daten physisch gespeichert sind. Für europäische Unternehmen bedeutet das: Wer Cloud-Dienste von US-Anbietern nutzt, kann nicht allein durch einen europäischen Serverstandort sicherstellen, dass US-Behörden keinen Zugriff erhalten. Im ISMS-Kontext ist der Cloud Act ein wesentlicher Faktor bei der Risikobewertung von Cloud-Diensten und der Auswahl von Anbietern. Die Kombination aus Cloud Act und dem Schrems-II-Urteil hat die Debatte um Datensouveränität und europäische Alternativen maßgeblich geprägt.

Vertiefung: Cloud Act und Schrems II: Was bedeutet das für dein ISMS?

Compliance

Compliance bezeichnet die Einhaltung von gesetzlichen Vorschriften, Normen, vertraglichen Vereinbarungen und internen Richtlinien. Im ISMS-Kontext umfasst das die Konformität mit ISO 27001, DSGVO, NIS2, branchenspezifischen Anforderungen wie TISAX und den eigenen Sicherheitsrichtlinien. Compliance ist kein Selbstzweck, sondern schafft Rechtssicherheit, stärkt das Vertrauen von Kunden und Partnern und schützt vor Bußgeldern. Ein wirksames ISMS deckt die meisten Compliance-Anforderungen bereits durch seine Struktur ab.

Control

Ein Control (deutsch: Maßnahme oder Sicherheitsmaßnahme) ist eine technische, organisatorische, physische oder personenbezogene Vorkehrung, die ein identifiziertes Risiko reduziert. Controls können präventiv wirken (z.B. Firewall, Zugangskontrolle), detektiv sein (z.B. Monitoring, Audit-Logs) oder reaktiv eingesetzt werden (z.B. Incident-Response-Plan). ISO 27001 Annex A listet 93 standardisierte Controls auf, aber du kannst und solltest bei Bedarf eigene Controls definieren. Entscheidend ist, dass jedes Control einem konkreten Risiko zugeordnet und seine Wirksamkeit messbar ist.

CVSS (Common Vulnerability Scoring System)

Das CVSS ist ein standardisiertes Bewertungssystem für die Schwere von Software-Schwachstellen auf einer Skala von 0,0 bis 10,0. Es berücksichtigt Faktoren wie den Angriffsvektor (lokal oder über das Netzwerk), die Komplexität der Ausnutzung, die benötigten Berechtigungen und die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVSS-Scores findest du in Schwachstellendatenbanken wie der National Vulnerability Database (NVD) und sie helfen dir, Patches zu priorisieren. Ein Score ab 7,0 gilt als hoch, ab 9,0 als kritisch.

D

Datenpanne

Eine Datenpanne (Data Breach) liegt vor, wenn personenbezogene Daten unbefugt offengelegt, verändert, gelöscht oder auf andere Weise kompromittiert werden. Die DSGVO verpflichtet dich, eine Datenpanne innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, wenn sie voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Bei hohem Risiko müssen auch die betroffenen Personen informiert werden. Eine gut dokumentierte Meldekette und klare Verantwortlichkeiten im Incident-Response-Plan sind hier überlebenswichtig.

Vertiefung: DSGVO-Datenpanne melden

Datensouveränität

Datensouveränität beschreibt die Fähigkeit eines Unternehmens, die volle Kontrolle über seine eigenen Daten zu behalten. Das umfasst den Speicherort, die Zugriffsrechte und die Bedingungen der Verarbeitung. In Zeiten von Cloud-Diensten, SaaS-Lösungen und internationalen Datentransfers wird Datensouveränität zu einem strategischen Thema für jede Organisation. Wer die Kontrolle über seine Daten abgibt, riskiert nicht nur Compliance-Verstöße, sondern auch operative Abhängigkeiten, die im Krisenfall zum Problem werden können.

Vertiefung: Datensouveränität im ISMS

Digitale Souveränität

Digitale Souveränität bezeichnet die Fähigkeit, eigenständig und selbstbestimmt über digitale Technologien und Daten zu verfügen. Sie geht über reine Datensouveränität hinaus und umfasst auch die technologische Unabhängigkeit bei Software, Infrastruktur und digitalen Prozessen. Für Unternehmen bedeutet das, kritische IT-Systeme nicht vollständig von einzelnen Anbietern oder Rechtsräumen abhängig zu machen. Im ISMS-Kontext fließt digitale Souveränität in die Risikobewertung von Lieferketten und Dienstleistern ein und gewinnt durch regulatorische Entwicklungen wie NIS2 und den EU Data Act zunehmend an Bedeutung.

Vertiefung: Digitale Souveränität im Mittelstand

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO ist die europäische Verordnung zum Schutz personenbezogener Daten, die seit Mai 2018 gilt. Sie regelt, wie personenbezogene Daten erhoben, verarbeitet, gespeichert und gelöscht werden dürfen. Für das ISMS ist die DSGVO relevant, weil Informationssicherheit und Datenschutz eng verzahnt sind: Viele technische und organisatorische Maßnahmen (TOMs) dienen beiden Zielen. Die Verordnung fordert unter anderem ein Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzungen und die Meldung von Datenpannen.

Vertiefung: Verarbeitungsverzeichnis (VVA) nach DSGVO erstellen

F

Firewall

Eine Firewall ist ein Sicherheitssystem, das den Netzwerkverkehr zwischen verschiedenen Netzwerkzonen überwacht und anhand definierter Regeln erlaubt oder blockiert. Moderne Next-Generation-Firewalls (NGFW) können zusätzlich Anwendungen erkennen, verschlüsselten Verkehr inspizieren und Intrusion-Prevention-Funktionen übernehmen. Im ISMS-Kontext ist die Firewall ein zentrales technisches Control für die Netzwerksegmentierung und den Schutz des Perimeters. Entscheidend ist nicht nur die Anschaffung, sondern die regelmäßige Pflege der Regelsätze und die Überwachung der Logs.

Vertiefung: Netzwerksegmentierung für KMU

Framework

Ein Framework ist ein strukturiertes Rahmenwerk, das Prinzipien, Anforderungen und Best Practices für ein bestimmtes Fachgebiet zusammenfasst. Im Bereich Informationssicherheit gibt es mehrere relevante Frameworks: ISO 27001 als internationaler Standard, BSI IT-Grundschutz als deutscher Ansatz, NIST Cybersecurity Framework aus den USA und branchenspezifische Frameworks wie TISAX für die Automobilindustrie. Die Wahl des richtigen Frameworks hängt von Branche, Unternehmensgröße, Kundenanforderungen und regulatorischen Vorgaben ab. In ISMS Lite kannst du die Anforderungen verschiedener Frameworks zentral abbilden und den Umsetzungsstand tracken.

Vertiefung: Welche Frameworks brauche ich? NIS2, ISO 27001, BSI IT-Grundschutz, TISAX im Vergleich

G

Gap-Analyse

Eine Gap-Analyse ist eine systematische Bestandsaufnahme, die den aktuellen Zustand deiner Informationssicherheit (Ist) mit den Anforderungen einer Norm oder eines Standards (Soll) vergleicht. Das Ergebnis zeigt dir genau, wo Lücken bestehen und wo bereits Maßnahmen greifen. Für den ISMS-Aufbau ist die Gap-Analyse der ideale Startpunkt, weil sie den tatsächlichen Aufwand sichtbar macht und die Priorisierung der nächsten Schritte ermöglicht. Typischerweise prüfst du dabei jeden Abschnitt der ISO 27001 und jeden relevanten Control aus dem Annex A.

Geltungsbereich (Scope)

Der Geltungsbereich definiert, welche Teile der Organisation, welche Standorte, Prozesse und IT-Systeme vom ISMS abgedeckt werden. Die Scope-Definition ist einer der wichtigsten Schritte beim ISMS-Aufbau und wird in ISO 27001 Abschnitt 4.3 gefordert. Ein zu weiter Scope überfordert die Organisation, ein zu enger lässt kritische Bereiche ungeschützt. Gute Scopes orientieren sich an Geschäftsprozessen und berücksichtigen auch Schnittstellen zu Bereichen außerhalb des Geltungsbereichs. Der Scope muss dokumentiert und für alle Beteiligten nachvollziehbar sein.

Vertiefung: Geltungsbereich (Scope) definieren

H

Hashing

Hashing ist ein kryptografisches Verfahren, das eine Eingabe beliebiger Länge in einen Wert fester Länge (Hashwert oder Digest) umwandelt. Im Gegensatz zur Verschlüsselung ist Hashing eine Einbahnstraße: Aus dem Hashwert lässt sich die ursprüngliche Eingabe nicht rekonstruieren. Typische Einsatzgebiete sind die Speicherung von Passwörtern (als gesalzener Hash statt im Klartext), die Integritätsprüfung von Dateien und digitale Signaturen. Aktuelle sichere Algorithmen sind SHA-256 und SHA-3, während MD5 und SHA-1 als unsicher gelten und nicht mehr verwendet werden sollten.

I

IDS/IPS (Intrusion Detection System / Intrusion Prevention System)

Ein Intrusion Detection System (IDS) überwacht den Netzwerkverkehr oder Systemaktivitäten auf verdächtige Muster und meldet erkannte Anomalien an Administratoren. Ein Intrusion Prevention System (IPS) geht einen Schritt weiter und blockiert erkannte Angriffe automatisch. Beide Systeme arbeiten entweder signaturbasiert (Erkennung bekannter Angriffsmuster) oder verhaltensbasiert (Erkennung ungewöhnlicher Aktivitäten). Im ISMS ordnen sich IDS/IPS als detektive bzw. reaktive Controls ein. Sie ersetzen keine Firewall, sondern ergänzen sie um eine tiefere Analyse des Datenverkehrs.

Incident (Sicherheitsvorfall)

Ein Sicherheitsvorfall (Incident) ist ein Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder IT-Systemen tatsächlich beeinträchtigt oder mit hoher Wahrscheinlichkeit beeinträchtigen wird. Beispiele sind erfolgreiche Phishing-Angriffe, Ransomware-Infektionen, Datenverluste durch Fehlkonfiguration oder unbefugte Zugriffe auf vertrauliche Informationen. ISO 27001 fordert einen dokumentierten Prozess für die Erkennung, Meldung, Bewertung und Behandlung von Sicherheitsvorfällen. Schnelle Reaktionszeiten und klare Eskalationswege sind entscheidend, um den Schaden zu begrenzen.

Vertiefung: Sicherheitsvorfall erkennen, bewerten und melden

ISMS (Informationssicherheits-Managementsystem)

Ein ISMS ist ein systematischer Ansatz zur Verwaltung vertraulicher Informationen, der Richtlinien, Prozesse, technische Maßnahmen und organisatorische Strukturen umfasst. Ziel ist es, Informationssicherheitsrisiken zu identifizieren und auf ein akzeptables Niveau zu reduzieren. Anders als punktuelle Sicherheitsmaßnahmen ist ein ISMS ein kontinuierlicher Managementprozess nach dem PDCA-Zyklus (Plan-Do-Check-Act). ISO 27001 definiert die Anforderungen an ein ISMS und bildet die Grundlage für eine international anerkannte Zertifizierung.

Vertiefung: ISMS aufbauen: Der komplette Leitfaden

ISO 27001

ISO 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme. Er legt fest, welche Anforderungen ein ISMS erfüllen muss, und bietet mit dem Annex A einen Katalog von 93 Sicherheitsmaßnahmen als Referenz. Die aktuelle Version ISO/IEC 27001:2022 hat die Struktur der Controls modernisiert und neue Themen wie Cloud-Sicherheit und Threat Intelligence aufgenommen. Eine Zertifizierung nach ISO 27001 durch eine akkreditierte Stelle ist in vielen Branchen eine Voraussetzung für Geschäftsbeziehungen und wird zunehmend auch von NIS2 als Nachweis anerkannt.

Vertiefung: NIS2 vs. ISO 27001

K

Kennzahl / KPI (Key Performance Indicator)

Kennzahlen im ISMS messen die Wirksamkeit deiner Sicherheitsmaßnahmen und die Leistungsfähigkeit des Managementsystems. ISO 27001 fordert in Abschnitt 9.1 die Überwachung, Messung, Analyse und Bewertung der Informationssicherheitsleistung. Typische KPIs sind die Anzahl der Sicherheitsvorfälle pro Quartal, die durchschnittliche Reaktionszeit bei Incidents, der Anteil gepatchter Systeme, die Schulungsquote der Mitarbeitenden und die Anzahl offener Audit-Feststellungen. Gute KPIs sind konkret, messbar und mit einem Zielwert versehen.

Vertiefung: Management Review nach ISO 27001

KRITIS (Kritische Infrastrukturen)

Kritische Infrastrukturen sind Einrichtungen und Anlagen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde. In Deutschland definiert das BSI-Gesetz die KRITIS-Sektoren: Energie, Wasser, Ernährung, IT und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Siedlungsabfallentsorgung. KRITIS-Betreiber unterliegen besonderen Meldepflichten und müssen angemessene Sicherheitsmaßnahmen nachweisen. Mit NIS2 wird der Kreis der betroffenen Unternehmen deutlich erweitert.

Vertiefung: NIS2 für den Mittelstand

L

Löschkonzept

Ein Löschkonzept beschreibt systematisch, wann und wie personenbezogene Daten gelöscht werden, wenn der Zweck der Verarbeitung entfallen ist oder gesetzliche Aufbewahrungsfristen abgelaufen sind. Die DSGVO verankert das Recht auf Löschung in Artikel 17, und ein fehlendes Löschkonzept ist einer der häufigsten Befunde bei Datenschutzprüfungen. Gute Löschkonzepte definieren für jede Datenkategorie die Aufbewahrungsfrist, den Löschzeitpunkt, die technische Löschmethode und die Verantwortlichkeit. Besonders herausfordernd ist die Löschung in Backup-Systemen und bei Daten, die über mehrere Systeme verteilt sind.

M

Malware

Malware (Schadsoftware) ist der Oberbegriff für Programme, die entwickelt wurden, um IT-Systeme zu schädigen, Daten zu stehlen oder unbefugten Zugriff zu ermöglichen. Zu den gängigsten Typen gehören Viren, Trojaner, Ransomware, Spyware und Rootkits. Malware gelangt über Phishing-Mails, infizierte Downloads, USB-Sticks oder Schwachstellen in Software auf die Systeme. Die Abwehr erfordert einen mehrschichtigen Ansatz aus Antiviren-Software, E-Mail-Filterung, regelmäßigen Updates, Netzwerksegmentierung und geschulten Mitarbeitenden. Kein einzelnes Tool bietet vollständigen Schutz.

Maßnahme

Eine Maßnahme (englisch: Control) ist eine konkrete Aktion oder Vorkehrung, die ein identifiziertes Risiko auf ein akzeptables Niveau reduzieren soll. Maßnahmen können technischer Natur sein (Firewall-Konfiguration, Verschlüsselung), organisatorisch (Richtlinien, Schulungen) oder physisch (Zutrittskontrolle, Brandschutz). Im ISMS-Kontext wird jede Maßnahme einem Risiko zugeordnet, mit einem Verantwortlichen versehen, terminiert und nach der Umsetzung auf ihre Wirksamkeit überprüft. Die Dokumentation von Maßnahmen und deren Status ist zentral für das Management Review und für Audits.

MFA (Multi-Faktor-Authentifizierung)

Multi-Faktor-Authentifizierung kombiniert mindestens zwei verschiedene Authentifizierungsfaktoren aus den Kategorien Wissen (Passwort, PIN), Besitz (Smartphone, Hardware-Token) und Inhärenz (Fingerabdruck, Gesichtserkennung). MFA ist eine der wirksamsten Maßnahmen gegen Kontenkompromittierung, weil ein gestohlenes Passwort allein nicht mehr ausreicht, um Zugang zu erhalten. ISO 27001 empfiehlt MFA für den Zugriff auf kritische Systeme und privilegierte Konten. Die Umsetzung ist heute mit TOTP-Apps, FIDO2-Schlüsseln oder Push-Benachrichtigungen technisch einfach und kostengünstig.

N

NIS2 (Network and Information Security Directive 2)

NIS2 ist die europäische Richtlinie zur Stärkung der Cybersicherheit, die im Oktober 2024 in nationales Recht umgesetzt wurde. Sie erweitert den Kreis der betroffenen Unternehmen erheblich und unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen in 18 Sektoren. NIS2 verpflichtet betroffene Unternehmen zu Risikomanagement, Incident-Reporting, Supply-Chain-Sicherheit und Geschäftsführerhaftung. Die Bußgelder können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen. Wer bereits ein ISMS nach ISO 27001 betreibt, erfüllt viele NIS2-Anforderungen bereits.

Vertiefung: NIS2 für den Mittelstand

Nonconformity (Nichtkonformität)

Eine Nichtkonformität ist eine Abweichung von einer Norm-Anforderung, einer internen Richtlinie oder einem definierten Prozess. Im Audit-Kontext wird zwischen Major Nonconformities (schwerwiegend, gefährden die Wirksamkeit des ISMS) und Minor Nonconformities (geringfügig, isolierter Befund) unterschieden. Eine Major Nonconformity kann die Zertifizierung verhindern oder zur Aussetzung führen. Für jede Nichtkonformität musst du eine Ursachenanalyse durchführen, Korrekturmaßnahmen definieren und deren Wirksamkeit nachweisen. Das ist kein Makel, sondern Teil des kontinuierlichen Verbesserungsprozesses.

Vertiefung: Audit-Feststellungen bewerten und Maßnahmen ableiten

O

OT (Operational Technology)

Operational Technology bezeichnet die Hard- und Software, die physische Prozesse in der Industrie überwacht und steuert. Dazu gehören SCADA-Systeme, speicherprogrammierbare Steuerungen (SPS), industrielle Sensoren und Aktoren. Im Gegensatz zur klassischen IT steht bei OT die Verfügbarkeit absolut im Vordergrund, weil ein Ausfall Produktionsstillstand, Umweltschäden oder sogar Gefahr für Menschenleben bedeuten kann. Die zunehmende Vernetzung von OT mit IT-Netzwerken (IT/OT-Konvergenz) schafft neue Angriffsflächen, die im ISMS berücksichtigt werden müssen. NIS2 betrifft viele Unternehmen mit OT-Systemen erstmals direkt.

P

Patch

Ein Patch ist ein Software-Update, das Sicherheitslücken schließt, Fehler behebt oder Funktionen verbessert. Patch-Management ist der systematische Prozess, um verfügbare Patches zeitnah zu identifizieren, zu testen und auf allen betroffenen Systemen auszurollen. Ungepatchte Schwachstellen sind einer der häufigsten Angriffsvektoren, weil Angreifer bekannte Schwachstellen oft innerhalb von Tagen nach der Veröffentlichung eines Patches ausnutzen. Ein gutes Patch-Management definiert Priorisierungskriterien (nach CVSS-Score und Kritikalität), Testverfahren und maximale Zeitfenster für die Installation.

PDCA (Plan-Do-Check-Act)

Der PDCA-Zyklus ist das Herzstück der kontinuierlichen Verbesserung im ISMS. In der Plan-Phase analysierst du Risiken und planst Maßnahmen. In der Do-Phase setzt du die Maßnahmen um. In der Check-Phase überprüfst du die Wirksamkeit durch Audits, KPIs und Management Reviews. In der Act-Phase leitest du Korrektur- und Verbesserungsmaßnahmen ab. ISO 27001 basiert strukturell auf dem PDCA-Zyklus, auch wenn die Norm ihn nicht mehr explizit benennt. Der Kreislauf stellt sicher, dass dein ISMS nicht statisch bleibt, sondern sich laufend an neue Bedrohungen und veränderte Rahmenbedingungen anpasst.

Vertiefung: PDCA-Zyklus im ISMS: Plan-Do-Check-Act in der Praxis

Penetrationstest

Ein Penetrationstest (Pentest) ist ein autorisierter, simulierter Angriff auf IT-Systeme, Anwendungen oder Netzwerke, um Schwachstellen zu identifizieren, bevor echte Angreifer sie ausnutzen. Pentests werden von spezialisierten Sicherheitsexperten (Ethical Hackern) durchgeführt und können als Black-Box (ohne Vorwissen), Grey-Box (mit Teilwissen) oder White-Box (mit vollem Zugang) erfolgen. Die Ergebnisse dokumentieren nicht nur die gefundenen Schwachstellen, sondern bewerten auch deren Ausnutzbarkeit und empfehlen konkrete Gegenmaßnahmen. ISO 27001 fordert keine regelmäßigen Pentests, aber sie sind eine wertvolle Ergänzung zur technischen Überprüfung der Sicherheit.

Phishing

Phishing ist eine Form des Social Engineering, bei der Angreifer über gefälschte E-Mails, Websites oder Nachrichten versuchen, Opfer zur Preisgabe von Zugangsdaten, persönlichen Informationen oder zur Installation von Malware zu verleiten. Die Nachrichten imitieren dabei vertrauenswürdige Absender wie Banken, Geschäftspartner oder interne Abteilungen. Spear-Phishing richtet sich gezielt gegen einzelne Personen oder Organisationen und ist deutlich schwerer zu erkennen als Massen-Phishing. Technische Schutzmaßnahmen wie E-Mail-Filter, SPF/DKIM/DMARC und Link-Prüfung reduzieren das Risiko, aber geschulte Mitarbeitende bleiben die letzte und oft entscheidende Verteidigungslinie.

Vertiefung: Phishing erkennen und melden

R

Ransomware

Ransomware ist Schadsoftware, die Dateien oder ganze Systeme verschlüsselt und ein Lösegeld (Ransom) für die Entschlüsselung fordert. Moderne Ransomware-Gruppen betreiben zusätzlich "Double Extortion": Sie stehlen Daten vor der Verschlüsselung und drohen mit deren Veröffentlichung. Ransomware-Angriffe gehören zu den folgenschwersten Sicherheitsvorfällen für Unternehmen und können zu wochenlangem Betriebsstillstand führen. Die wirksamsten Gegenmaßnahmen sind regelmäßige, getestete Backups, Netzwerksegmentierung, aktuelle Patches, MFA und geschulte Mitarbeitende. Von der Zahlung des Lösegelds raten Behörden und Experten dringend ab.

Vertiefung: Ransomware-Angriff: Sofortmaßnahmen

Restrisiko

Das Restrisiko ist das Risiko, das nach der Umsetzung aller geplanten Sicherheitsmaßnahmen verbleibt. Kein ISMS kann alle Risiken vollständig eliminieren, und das ist auch gar nicht das Ziel. Entscheidend ist, dass das Restrisiko bewusst bewertet, dokumentiert und von der Geschäftsführung formal akzeptiert wird. ISO 27001 fordert diese explizite Risikoakzeptanz als Teil des Risikobehandlungsprozesses. Wenn das Restrisiko nach der Behandlung immer noch oberhalb der definierten Risikotoleranz liegt, sind weitere Maßnahmen oder eine Anpassung der Geschäftsstrategie erforderlich.

Vertiefung: Risikobehandlung: Mitigieren, Akzeptieren, Transferieren oder Vermeiden

Risiko

Ein Risiko im ISMS-Kontext beschreibt die Kombination aus der Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, und den daraus resultierenden Auswirkungen auf die Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit). ISO 27001 fordert einen systematischen Prozess zur Risikoidentifikation, Risikobewertung und Risikobehandlung. Jedes identifizierte Risiko erhält einen Risikoeigner, wird anhand definierter Kriterien bewertet und einer Behandlungsoption zugeordnet. Die Gesamtheit der Risiken und deren Behandlungsstatus bildet das Risikoinventar deines ISMS.

Vertiefung: Risikobewertung im ISMS

Risikobehandlung

Risikobehandlung ist der Prozess, bei dem du für jedes bewertete Risiko eine von vier Optionen wählst: Mitigieren (Risiko durch Maßnahmen reduzieren), Transferieren (Risiko auf Dritte verlagern, z.B. durch Versicherung), Vermeiden (die risikobehaftete Aktivität einstellen) oder Akzeptieren (das Risiko bewusst tragen). ISO 27001 fordert einen dokumentierten Risikobehandlungsplan, der für jedes Risiko die gewählte Option, die geplanten Maßnahmen, die Verantwortlichen und die Zeitplanung festhält. Die Geschäftsführung muss den Risikobehandlungsplan und die verbleibenden Restrisiken formal genehmigen.

Vertiefung: Risikobehandlung: Mitigieren, Akzeptieren, Transferieren oder Vermeiden

RTO / RPO (Recovery Time Objective / Recovery Point Objective)

Die Recovery Time Objective (RTO) definiert die maximale Zeitspanne, die ein System oder Prozess nach einem Ausfall bis zur Wiederherstellung benötigen darf. Die Recovery Point Objective (RPO) legt fest, wie viel Datenverlust maximal tolerierbar ist, gemessen am Zeitraum zwischen dem letzten verwertbaren Backup und dem Ausfallzeitpunkt. Beide Werte ergeben sich aus der Business Impact Analyse und bestimmen die Anforderungen an Backup-Strategie und Disaster Recovery. Ein RTO von 4 Stunden und eine RPO von 1 Stunde bedeuten: Das System muss innerhalb von 4 Stunden wieder laufen, und maximal 1 Stunde an Daten darf verloren gehen.

Vertiefung: Backup-Strategie und Restore-Tests

S

SIEM (Security Information and Event Management)

Ein SIEM-System sammelt, korreliert und analysiert sicherheitsrelevante Protokolldaten (Logs) aus verschiedenen Quellen wie Firewalls, Servern, Anwendungen und Endgeräten in Echtzeit. Es erkennt verdächtige Muster und Zusammenhänge, die bei isolierter Betrachtung einzelner Logs unerkannt blieben. Beispielsweise kann ein SIEM einen Login-Versuch aus einem ungewöhnlichen Land mit einer anschließenden Datenexfiltration verknüpfen und einen Alarm auslösen. Für KMU kann ein vollwertiges SIEM überdimensioniert sein; hier bieten Managed-SIEM-Dienste oder fokussierte Log-Management-Lösungen eine pragmatische Alternative.

SoA (Statement of Applicability)

Das Statement of Applicability (Erklärung zur Anwendbarkeit) ist eines der zentralen Dokumente im ISMS. Es listet alle Controls aus dem ISO 27001 Annex A auf und dokumentiert für jedes einzelne, ob es anwendbar ist oder nicht. Für anwendbare Controls beschreibst du den Umsetzungsstatus und die Begründung, für nicht anwendbare Controls dokumentierst du die Ausschlussgründe. Das SoA ist eine Pflichtdokumentation für die Zertifizierung und wird im Audit intensiv geprüft. Es sollte ein lebendes Dokument sein, das bei Veränderungen im Scope oder der Risikolandschaft aktualisiert wird.

Vertiefung: Statement of Applicability (SoA) erstellen

Schrems II

Schrems II ist die gängige Bezeichnung für das Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020, das das EU-US Privacy Shield für ungültig erklärte. Das Gericht stellte fest, dass das Datenschutzniveau in den USA nicht den europäischen Anforderungen entspricht, insbesondere wegen der weitreichenden Überwachungsbefugnisse von US-Geheimdiensten. Das Urteil betrifft jeden Transfer personenbezogener Daten in die USA und erfordert zusätzliche Schutzmaßnahmen wie Standardvertragsklauseln mit ergänzender Risikoprüfung. Für das ISMS bedeutet Schrems II, dass bei jedem Einsatz von US-Cloud-Diensten eine sorgfältige Datentransfer-Folgenabschätzung (Transfer Impact Assessment) durchgeführt werden muss.

Vertiefung: Cloud Act und Schrems II: Was bedeutet das für dein ISMS?

Self-Hosting

Self-Hosting bezeichnet den Betrieb von Software auf eigener Infrastruktur statt bei einem externen Cloud-Anbieter. Du behältst damit die maximale Kontrolle über deine Daten, die Verfügbarkeit und die Konfiguration der Systeme. Im ISMS-Kontext bietet Self-Hosting Vorteile bei der Datensouveränität, weil keine Daten den eigenen Einflussbereich verlassen und regulatorische Anforderungen wie Schrems II oder der Cloud Act keine Rolle spielen. Die Kehrseite ist der höhere Aufwand für Betrieb, Updates und Sicherheit, der intern kompetent abgedeckt werden muss.

Vertiefung: Self-Hosted ISMS mit Docker aufsetzen

Social Engineering

Social Engineering bezeichnet Manipulationstechniken, bei denen Angreifer menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Respekt vor Autorität oder Zeitdruck ausnutzen, um an vertrauliche Informationen zu gelangen oder Personen zu bestimmten Handlungen zu verleiten. Phishing ist die bekannteste Form, aber Social Engineering umfasst auch Pretexting (erfundene Vorwände), Tailgating (physisches Einschleichen), CEO Fraud (gefälschte Anweisungen von Führungskräften) und Baiting (präparierte USB-Sticks). Technische Schutzmaßnahmen allein reichen gegen Social Engineering nicht aus, weshalb regelmäßige Awareness-Schulungen unverzichtbar sind.

Vertiefung: Social Engineering im Unternehmen

T

TCO (Total Cost of Ownership)

Die Total Cost of Ownership beschreibt die Gesamtkosten über den kompletten Nutzungszeitraum einer Software oder Lösung, nicht nur die reinen Lizenz- oder Abonnementkosten. TCO umfasst Anschaffung, Implementierung, Betrieb, Wartung, Schulung, Migration und den eventuellen Ausstieg. Gerade beim Vergleich von SaaS-Lösungen mit Self-Hosted-Alternativen ist die TCO-Betrachtung entscheidend, weil monatliche Abokosten über Jahre hinweg die einmaligen Investitionen in eigene Infrastruktur deutlich übersteigen können. Im ISMS-Kontext gehört die TCO-Analyse zur wirtschaftlichen Bewertung von Sicherheitsmaßnahmen und Toolentscheidungen.

Vertiefung: TCO-Vergleich: SaaS vs. Self-Hosted ISMS

TLS (Transport Layer Security)

TLS ist ein kryptografisches Protokoll, das die Kommunikation zwischen zwei Systemen verschlüsselt und authentifiziert. Es ist der Nachfolger von SSL und sichert heute den Großteil des Internetverkehrs (erkennbar an "https://" in der Browserzeile). TLS schützt die Vertraulichkeit und Integrität der übertragenen Daten und stellt über Zertifikate sicher, dass du tatsächlich mit dem richtigen Server kommunizierst. Aktuell sollte mindestens TLS 1.2 eingesetzt werden, TLS 1.3 bietet zusätzliche Sicherheit und bessere Performance. Ältere Versionen (TLS 1.0, 1.1, SSL) gelten als unsicher und sollten deaktiviert werden.

TOMs (Technische und organisatorische Maßnahmen)

TOMs sind die konkreten Schutzmaßnahmen, die du umsetzt, um personenbezogene Daten und Informationen zu sichern. Die DSGVO fordert in Artikel 32 "geeignete technische und organisatorische Maßnahmen", ohne diese im Detail vorzuschreiben. Technische Maßnahmen umfassen Verschlüsselung, Zugriffskontrollen, Firewalls und Backup-Systeme. Organisatorische Maßnahmen sind Richtlinien, Schulungen, Berechtigungskonzepte und Prozesse. Die Dokumentation der TOMs ist sowohl für die DSGVO-Compliance als auch für das ISMS relevant und wird regelmäßig von Aufsichtsbehörden und bei Audits geprüft.

Vertiefung: Technische und organisatorische Maßnahmen (TOMs) dokumentieren

TOTP (Time-based One-Time Password)

TOTP ist ein Verfahren zur Erzeugung zeitbasierter Einmalpasswörter, das häufig als zweiter Faktor bei der Multi-Faktor-Authentifizierung eingesetzt wird. Eine Authenticator-App auf dem Smartphone generiert dabei alle 30 Sekunden einen neuen sechsstelligen Code auf Basis eines gemeinsamen Geheimnisses und der aktuellen Uhrzeit. TOTP-Codes funktionieren offline, sind einfach zu implementieren und bieten einen deutlich besseren Schutz als SMS-basierte Codes, die durch SIM-Swapping abgefangen werden können. Verbreitete TOTP-Apps sind Google Authenticator, Microsoft Authenticator und Authy.

TISAX (Trusted Information Security Assessment Exchange)

TISAX ist ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie, das vom Verband der Automobilindustrie (VDA) entwickelt wurde. Es basiert auf dem VDA-ISA-Fragebogen (Information Security Assessment), der wiederum auf ISO 27001 aufbaut, aber branchenspezifische Anforderungen ergänzt. TISAX-Prüfungen werden von akkreditierten Prüfdienstleistern durchgeführt und die Ergebnisse über die ENX-Plattform zwischen den Teilnehmern ausgetauscht. Für Zulieferer in der Automobilindustrie ist ein TISAX-Label häufig eine vertragliche Voraussetzung für die Zusammenarbeit mit OEMs.

V

Vendor Lock-in

Vendor Lock-in bezeichnet die Abhängigkeit von einem Softwareanbieter, die durch proprietäre Datenformate, fehlende Export-Möglichkeiten, herstellerspezifische APIs oder hohe Wechselkosten entsteht. Im ISMS-Kontext ist Vendor Lock-in ein eigenständiges Risiko, weil es die Verfügbarkeit und Kontinuität deiner Sicherheitsprozesse gefährdet, wenn der Anbieter Preise erhöht, den Dienst einstellt oder übernommen wird. Bei der Auswahl von ISMS-Tools und Compliance-Software solltest du deshalb auf offene Standards, vollständige Datenexporte und transparente Vertragsklauseln achten. Ein dokumentierter Exit-Plan gehört zur Sorgfaltspflicht bei jedem kritischen Dienstleister.

Vertiefung: Vendor Lock-in bei Compliance-Software vermeiden

Verschlüsselung

Verschlüsselung (Encryption) ist ein kryptografisches Verfahren, das lesbare Daten (Klartext) mithilfe eines Schlüssels in unlesbare Daten (Chiffretext) umwandelt. Man unterscheidet symmetrische Verschlüsselung (ein Schlüssel für Ver- und Entschlüsselung, z.B. AES-256) und asymmetrische Verschlüsselung (öffentlicher und privater Schlüssel, z.B. RSA). Verschlüsselung schützt Daten im Ruhezustand (at rest, z.B. Festplattenverschlüsselung) und während der Übertragung (in transit, z.B. TLS). Ein ISMS sollte klare Vorgaben definieren, welche Daten verschlüsselt werden müssen, welche Algorithmen zulässig sind und wie Schlüssel verwaltet werden.

VPN (Virtual Private Network)

Ein VPN stellt eine verschlüsselte Verbindung über ein öffentliches Netzwerk (typischerweise das Internet) her und ermöglicht so den sicheren Zugriff auf interne Ressourcen von externen Standorten aus. Gängige Protokolle sind WireGuard, OpenVPN und IPsec. Im Unternehmenskontext dient ein VPN vor allem der sicheren Anbindung von Remote-Mitarbeitenden und der Vernetzung von Standorten. Allerdings ersetzt ein VPN keine echte Sicherheitsarchitektur: Es verschlüsselt den Transportweg, prüft aber nicht, ob das verbundene Gerät vertrauenswürdig ist. Deshalb geht der Trend zu Zero-Trust-Ansätzen, die Vertrauen nicht allein auf der Netzwerkzugehörigkeit aufbauen.

VVA (Verzeichnis von Verarbeitungstätigkeiten)

Das Verzeichnis von Verarbeitungstätigkeiten ist ein von der DSGVO (Artikel 30) gefordertes Dokument, das alle Verarbeitungen personenbezogener Daten in deiner Organisation systematisch erfasst. Für jede Verarbeitungstätigkeit dokumentierst du den Zweck, die betroffenen Datenkategorien, die Empfänger, Drittlandtransfers, die Aufbewahrungsfristen und die technischen und organisatorischen Schutzmaßnahmen. Das VVA ist kein einmaliges Projekt, sondern muss bei jeder neuen Verarbeitung oder Änderung aktualisiert werden. Es bildet die Grundlage für Datenschutz-Folgenabschätzungen und ist das erste Dokument, das Aufsichtsbehörden bei einer Prüfung anfordern.

Vertiefung: Verarbeitungsverzeichnis (VVA) nach DSGVO erstellen

Z

Zero Trust

Zero Trust ist ein Sicherheitskonzept, das auf dem Grundsatz "Never trust, always verify" basiert. Im Gegensatz zum klassischen Perimeter-Modell (innen = sicher, außen = unsicher) geht Zero Trust davon aus, dass kein Benutzer, kein Gerät und kein Netzwerksegment automatisch vertrauenswürdig ist. Jeder Zugriff wird individuell authentifiziert, autorisiert und kontinuierlich überprüft, unabhängig davon, ob er von innerhalb oder außerhalb des Unternehmensnetzwerks erfolgt. Die Umsetzung erfordert unter anderem starke Identitätsprüfung (MFA), Mikrosegmentierung, Least-Privilege-Zugriff und durchgängiges Monitoring. Zero Trust ist weniger ein Produkt als eine Architekturphilosophie, die sich schrittweise umsetzen lässt.

Vertiefung: Zero Trust im Mittelstand

Zertifizierung

Eine Zertifizierung nach ISO 27001 ist die offizielle Bestätigung durch eine akkreditierte Zertifizierungsstelle, dass dein ISMS die Anforderungen der Norm erfüllt. Der Zertifizierungsprozess umfasst ein Stage-1-Audit (Dokumentenprüfung) und ein Stage-2-Audit (Vor-Ort-Prüfung). Das Zertifikat gilt für drei Jahre, wobei jährliche Überwachungsaudits stattfinden. Eine Zertifizierung ist ein starkes Signal an Kunden, Partner und Aufsichtsbehörden, aber kein Selbstläufer: Sie erfordert ein gelebtes ISMS, nicht nur eine Papierdokumentation. Die Kosten variieren je nach Unternehmensgröße und Scope, aber der Return on Investment ergibt sich oft schnell durch gewonnene Aufträge und gestärktes Kundenvertrauen.

Weiterführende Artikel

• ISMS aufbauen: Der komplette Leitfaden für Unternehmen
• Risikobewertung im ISMS: Methodik, Matrix und Praxisbeispiel
• CIA-Triade erklärt: Vertraulichkeit, Integrität und Verfügbarkeit im Alltag
• PDCA-Zyklus im ISMS: Plan-Do-Check-Act in der Praxis
• NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst