● 93 entries

Compliance und Frameworks

Angriffsfläche (Attack Surface)Summe aller Punkte, an denen ein Angreifer versuchen kann, in ein System einzudringen, Daten abzuziehen oder es zu manipulieren - Netze, Software, Identitäten, Supply Chain und Menschen.
AngriffsvektorKonkreter Pfad oder Technik, mit der ein Angreifer unautorisierten Zugriff erlangt - z. B. Phishing, Exploit eines CVE oder gestohlene Zugangsdaten.
Atomic Red TeamOpen-Source-Bibliothek kleiner, fokussierter Tests von Red Canary, die einzelne MITRE-ATT&CK-Techniken emuliert, um Detektionen und Sicherheitskontrollen zu validieren.
Auftragsverarbeitungsvertrag (DPA)Nach Art. 28 DSGVO erforderlicher Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, wenn personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden.
Bedrohungsvektor (Threat Vector)Kanal oder Mittel, uber das ein Bedrohungsakteur einen Angriff einbringen kann - oft synonym zu Attack Vector, jedoch eher im Kontext Threat Modeling.
CAPECCommon Attack Pattern Enumeration and Classification, ein von MITRE gepflegter offentlicher Katalog von Angriffsmustern, mit denen Angreifer bekannte Schwachstellen ausnutzen.
CCPACalifornia Consumer Privacy Act — US-Datenschutzgesetz des Bundesstaates Kalifornien, das Kalifornierinnen und Kaliforniern Rechte über ihre personenbezogenen Daten gewährt.
CCSPCloud-Security-Zertifizierung von ISC2, die Architektur, Datenschutz, Plattform- und Infrastruktursicherheit, Betrieb und rechtliche Compliance bei grossen Cloud-Anbietern abdeckt.
CEHEthical-Hacking-Zertifizierung von EC-Council, die Werkzeuge und Techniken der Angreifer in den Bereichen Aufklarung, Exploitation sowie Web-, Funk- und Cloud-Tests vermittelt.
CIA-TriadeGrundlegendes Modell der Informationssicherheit, das Ziele in Vertraulichkeit, Integritat und Verfugbarkeit gliedert.
CIS ControlsPriorisierte Sammlung von Best-Practice-Cybersicherheitsmaßnahmen des Center for Internet Security zur Abwehr der häufigsten Cyberangriffe.
CISAISACA-Zertifizierung fur IT-Auditoren, die Auditprozess, Governance, Beschaffung, Betrieb und Schutz von Informationswerten in funf Domanen abdeckt.
CISMManagement-Zertifizierung der ISACA fur Informationssicherheitsmanager, die Governance, Risiko, Programmentwicklung und Incident-Management in vier Domanen abdeckt.
CISSPHerstellerneutrale Senior-Zertifizierung der ISC2, die acht Domanen des Common Body of Knowledge abdeckt und mindestens funf Jahre bezahlte Berufserfahrung voraussetzt.
CMMCZertifizierungsprogramm des US-Verteidigungsministeriums, das nachweist, dass Auftragnehmer der Defense Industrial Base über angemessene Cybersicherheitskontrollen verfügen.
COBITFramework der ISACA für Governance und Management von Unternehmens-IT, das Geschäftsziele mit IT-Zielen und -Kontrollen verbindet.
ComplianceDie Disziplin, gesetzliche, regulatorische, vertragliche und interne Sicherheitsanforderungen durch dokumentierte Kontrollen, Nachweise und laufende Bewertung einzuhalten.
CompTIA Security+Einsteiger- und herstellerneutrale Cybersicherheits-Zertifizierung von CompTIA, die Grundlagen zu Bedrohungen, Architektur, Betrieb und Governance fur Berufseinsteiger abdeckt.
CPRACalifornia Privacy Rights Act von 2020, der den CCPA aendert und erweitert und am 1. Januar 2023 vollstaendig in Kraft trat.
CRISCISACA-Zertifizierung fur IT-Risiko- und Kontroll-Experten, die Governance, IT-Risikobewertung, Reaktion und Reporting sowie Kontrollwahl in vier Domanen abdeckt.
CVE Numbering Authority (CNA)Organisation, die vom CVE-Programm autorisiert ist, CVE-IDs zuzuweisen und CVE-Datensätze für Schwachstellen innerhalb ihres definierten Scopes zu veröffentlichen.
CyberversicherungSpezielle Versicherungssparte, die die finanziellen Folgen von Cyber-Vorfallen — etwa Incident Response, Betriebsunterbrechung und Haftung — auf einen Versicherer ubertragt.
Datenschutz-Folgenabschätzung (DPIA)Strukturierte Bewertung gemäß Artikel 35 der DSGVO, die vor einer voraussichtlich risikoreichen Datenverarbeitung Risiken für Rechte und Freiheiten betroffener Personen identifiziert und mindert.
Defense in DepthSicherheitsstrategie, die unabhangige Kontrollen schichtet, sodass beim Versagen einer Schicht andere weiterhin verhindern, erkennen oder eindammen.
DORAEU-Verordnung 2022/2554 ueber die digitale operationale Resilienz im Finanzsektor, anwendbar ab dem 17. Januar 2025.
DPFEU-US-Datenschutzrahmen, der im Juli 2023 als Angemessenheitsmechanismus den Privacy Shield fuer transatlantische Datentransfers ablost.
DREAD-ModellQualitatives Risikobewertungsmodell, das Bedrohungen anhand von Damage, Reproducibility, Exploitability, Affected users und Discoverability bewertet.
Drittparteien-Risikomanagement (TPRM)End-to-End-Disziplin zur Identifikation, Bewertung, Vertragsgestaltung, Überwachung und Offboarding von Drittparteien, damit die durch sie eingebrachten Cyber-, Betriebs- und Compliance-Risiken im Appetit bleiben.
DSGVODatenschutz-Grundverordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten von Personen in der EU und im EWR regelt.
EU-KI-VerordnungEU-Verordnung 2024/1689 mit harmonisierten Regeln fuer kuenstliche Intelligenz nach einem risikobasierten Ansatz, gestaffelt zwischen 2025 und 2027.
FAIR (Factor Analysis of Information Risk)Offener internationaler Standard zur finanziellen Quantifizierung von Informations- und Cyber-Risiken, der das Risiko in Faktoren für Verlust-Ereignisfrequenz und Verlusthöhe zerlegt.
FedRAMPUS-Regierungsprogramm, das die Sicherheitsbewertung, Zulassung und kontinuierliche Überwachung von Cloud-Diensten für Bundesbehörden standardisiert.
FERPAUS-Bundesgesetz, das die Vertraulichkeit von Bildungsakten schützt und Eltern sowie berechtigten Studierenden Rechte daran einräumt.
FISMAUS-Bundesgesetz, das Bundesbehörden und ihre Auftragnehmer verpflichtet, risikobasierte Informationssicherheitsprogramme für Systeme mit staatlichen Daten zu betreiben.
Funktionstrennung (SoD)Kontrollprinzip, das eine sensible Tatigkeit auf mehrere Personen oder Systeme verteilt, sodass kein einzelner Akteur sie allein abschliessen kann.
GIAC-ZertifizierungenFamilie rollenbezogener Cybersecurity-Zertifizierungen von GIAC, eng abgestimmt auf die Schulungen des SANS Institute, abdeckend Betrieb, Incident Response, Forensik und Penetration Testing.
Gramm-Leach-Bliley Act (GLBA)US-Bundesgesetz, das Finanzinstitute verpflichtet, Kundendaten zu schützen und ihre Datenweitergabepraktiken offenzulegen.
HIPAAUS-Gesetz Health Insurance Portability and Accountability Act, das nationale Standards für den Schutz individuell identifizierbarer Gesundheitsdaten festlegt.
HITRUSTRisiko- und compliance-orientiertes Sicherheitsrahmenwerk HITRUST CSF, das im US-Gesundheitswesen breit genutzt wird, um Konformitaet mit HIPAA, NIST und weiteren Quellen zu belegen.
Inhärentes RisikoRisikoniveau einer Aktivität oder eines Werts vor Anwendung jeglicher Kontrollen oder Mitigationen; es spiegelt die unmittelbare Exposition gegenüber Bedrohungen wider.
ISO/IEC 27001Internationaler Standard mit Anforderungen an ein Information Security Management System (ISMS), nach dem Organisationen formal zertifiziert werden können.
ISO/IEC 27002Internationaler Leitfaden mit detaillierten Empfehlungen zur Umsetzung der Informationssicherheitskontrollen aus Anhang A von ISO/IEC 27001.
ITILWeltweit anerkannter, von AXELOS/PeopleCert herausgegebener Best-Practice-Rahmen für IT-Servicemanagement entlang des Service-Value-Systems.
LGPDBrasilianisches Allgemeines Datenschutzgesetz (Gesetz Nr. 13.709/2018), in Kraft seit dem 18. September 2020, das die Verarbeitung personenbezogener Daten durch oeffentliche und private Stellen regelt.
LieferantenrisikomanagementTeilbereich des TPRM mit Fokus auf der Bewertung und Steuerung direkter Lieferanten, insbesondere ihrer Sicherheits-, Datenschutz- und Betriebsresilienzpraxis.
MITRE ATT&CKGlobal zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
MITRE D3FENDMITRE-Wissensgraph defensiver Cybersicherheitsmaßnahmen und der digitalen Artefakte, auf die sie wirken — ergänzend zu MITRE ATT&CK.
Monte-Carlo-RisikosimulationRechnerische Technik, die Risiken durch tausende zufällige Szenarien aus Eingabewahrscheinlichkeitsverteilungen schätzt und so eine Verteilung möglicher Ergebnisse erzeugt.
Need-to-Know-PrinzipSicherheitsprinzip, das den Zugriff nur Personen erlaubt, deren Aufgaben das erfordern - selbst bei passender Freigabestufe.
NIS2-RichtlinieEU-Richtlinie 2022/2555, die Mindestanforderungen an die Cybersicherheit und Meldepflichten fuer wesentliche und wichtige Einrichtungen in der Union verschaerft.
NIST Cybersecurity FrameworkFreiwilliges, risikobasiertes Rahmenwerk des US-amerikanischen NIST, das Cybersicherheitsziele in sechs Kernfunktionen gliedert.
NIST Risk Management FrameworkSiebenstufiger NIST-Prozess gemäß SP 800-37 zur Integration von Sicherheits-, Datenschutz- und Lieferketten-Risikomanagement in den System-Lebenszyklus.
NIST SP 800-171NIST-Publikation, die Sicherheitsanforderungen für den Schutz von Controlled Unclassified Information (CUI) bei nicht-bundesbehördlichen Organisationen festlegt.
NIST SP 800-30NIST Special Publication mit Leitfaden zur Durchfuhrung von Risikobewertungen fur Informationssysteme und die von ihnen unterstutzten Missionen.
NIST SP 800-37Risikomanagement-Framework des NIST mit einem siebenstufigen Prozess zur Steuerung von Security- und Datenschutzrisiken uber den Systemlebenszyklus.
NIST SP 800-53NIST-Publikation mit einem umfassenden Katalog von Sicherheits- und Datenschutzkontrollen für US-Bundessysteme und viele Anwender im Privatsektor.
NIST SP 800-61NIST-Leitfaden fur die Behandlung von Computersicherheitsvorfallen, der den vierphasigen Lebenszyklus von Incident-Response-Teams in Behorden und Wirtschaft beschreibt.
OCTAVE-MethodeEine vom CMU Software Engineering Institute entwickelte Methodik fur Informationssicherheits-Risikobewertung, die organisationale und operative Risiken kritischer Assets fokussiert.
OSCPPraxisorientierte Offensive-Security-Zertifizierung von Offensive Security, die durch das Kompromittieren eines Labornetzwerks in einer 24-stundigen beaufsichtigten Prufung erworben wird.
OSSTMMOffene, peer-reviewte Sicherheitstest-Methodik des ISECOM, die wissenschaftliche und reproduzierbare Messungen der operativen Sicherheit uber funf Kanale hinweg definiert.
OWASP API Security Top 10OWASP-Awareness-Dokument, das die kritischsten Sicherheitsrisiken fur Web-APIs einordnet und die allgemeinen OWASP Top 10 erganzt.
OWASP ASVSOWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.
OWASP Dependency-CheckQuelloffenes Software-Composition-Analysis-Werkzeug von OWASP, das Projektabhangigkeiten scannt und bekannte Schwachstellen uber CPE-zu-CVE-Matching meldet.
OWASP MASVSOWASP Mobile Application Security Verification Standard, eine Basislinie testbarer Sicherheitsanforderungen fur iOS- und Android-Mobile-Apps.
OWASP Mobile Top 10OWASP-Awareness-Dokument, das die kritischsten Sicherheitsrisiken fur Mobile-Apps auf iOS, Android und ahnlichen Plattformen einstuft.
OWASP SAMMOWASP Software Assurance Maturity Model, ein Rahmenwerk zur Messung und Weiterentwicklung der Secure-Software-Development-Praktiken einer Organisation.
OWASP Top 10Awareness-Dokument der OWASP, das die kritischsten Sicherheitsrisiken für Webanwendungen auflistet und periodisch anhand realer Schwachstellendaten aktualisiert wird.
OWASP WSTGOWASP Web Security Testing Guide, ein umfassendes Open-Source-Handbuch, das beschreibt, wie Webanwendungen auf die haufigsten Sicherheitsschwachen getestet werden.
OWASP ZAPZed Attack Proxy, ein quelloffenes Werkzeug zum Web-Application-Security-Testing, ursprunglich aus OWASP, heute von Checkmarx und der ZAP-Community gepflegt.
PASTA-Threat-ModelProcess for Attack Simulation and Threat Analysis, eine risikoorientierte, siebenstufige Methodik fur Threat Modeling, die technische Bedrohungen mit Geschaftsfolgen verknupft.
PCI DSSWeltweiter Sicherheitsstandard für Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, gepflegt vom PCI Security Standards Council.
PIPEDAKanadisches Bundes-Datenschutzgesetz fuer den Privatsektor, das die Erhebung, Nutzung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Taetigkeiten regelt.
PTESVon der Community entwickelte Penetration-Testing-Methodik, die Engagements in sieben Phasen vom Pre-Engagement bis zum Reporting und Remediation-Empfehlungen gliedert.
Qualitative RisikoanalyseAnalyseansatz, der Eintrittswahrscheinlichkeit und Auswirkung über deskriptive Skalen wie niedrig/mittel/hoch oder 1-5 bewertet, statt monetärer oder probabilistischer Werte.
Quantitative RisikoanalyseAnalyseansatz, der Eintrittswahrscheinlichkeit und Auswirkung in Zahlen ausdrückt - meist als Wahrscheinlichkeiten und Verlustverteilungen - um datenbasierte Entscheidungen zu ermöglichen.
RestrisikoDas Risiko, das nach der Umsetzung geplanter Kontrollen und Behandlungsmaßnahmen verbleibt und das die Organisation akzeptieren, übertragen oder weiter behandeln muss.
RisikoappetitGesamtmenge und Art des Risikos, das eine Organisation zur Verfolgung ihrer strategischen Ziele anzunehmen oder einzugehen bereit ist, festgelegt durch Vorstand und obere Führung.
RisikobehandlungEntscheidung und Maßnahmen zur Veränderung eines Risikos, typischerweise durch Akzeptieren, Mindern, Übertragen oder Vermeiden, auf Basis der Risikokriterien der Organisation.
RisikobewertungStrukturierte Aktivität innerhalb des Risikomanagements, die Bedrohungen, Schwachstellen und Auswirkungen auf konkrete Werte identifiziert und das resultierende Risiko zur Entscheidungsfindung bewertet.
RisikomanagementDer koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
RisikoregisterLebendiges Verzeichnis identifizierter Risiken mit Beschreibung, Eigentümer, Bewertungen, Behandlung und Status, mit dem die Risikoexposition der Organisation im Zeitverlauf nachgehalten wird.
RisikotoleranzDie akzeptable Bandbreite um ein konkretes Ziel oder eine Risikokategorie, ausgedrückt als quantitative oder qualitative Grenzwerte, die aus dem Risikoappetit abgeleitet werden.
SANS Top 25Jährlich veröffentlichte Liste, gepflegt von MITRE und dem SANS Institute, die die gefährlichsten Software-Schwächen auf Basis realer CVE-Daten einstuft.
Sarbanes-Oxley Act (SOX)US-Bundesgesetz aus dem Jahr 2002, das börsennotierten Unternehmen Governance-, Interne-Kontrollen- und Berichtspflichten zum Anlegerschutz auferlegt.
SCCStandardvertragsklauseln sind von der EU-Kommission genehmigte Mustervertraege, die DSGVO-konforme Garantien fuer Drittlandstransfers personenbezogener Daten bieten.
Security by ObscurityAnsatz, der auf Geheimhaltung von Design, Implementierung oder Standort eines Systems als primarer Schutz baut, statt auf intrinsische Sicherheit.
Sicherheitsbewertung von LieferantenDie strukturierte Bewertung der Sicherheitskontrollen, Richtlinien und Praktiken eines Drittanbieters vor und während der Geschäftsbeziehung, um das von ihm ausgehende Risiko einzuschätzen.
Single Point of Failure (SPOF)Komponente, deren Einzelausfall das gesamte System lahmlegt - untergrabt Verfugbarkeit, Resilienz und Recovery-Ziele.
SOC 2Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet.
STRIDE-ModellMicrosoft-Framework zur Bedrohungsklassifikation, das Software-Bedrohungen in Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privilege einteilt.
Threat Landscape (Bedrohungslage)Aktuelles Bild der Bedrohungen fur eine Organisation, Branche oder Region: Akteure, Taktiken, Malware-Familien, Schwachstellen und Trends im Zeitverlauf.
TrikeOpen-Source-Methodik zur Bedrohungsmodellierung mit anforderungs- und risikobasiertem Ansatz, der Akteure, Assets und erlaubte Aktionen in den Mittelpunkt stellt.
Unternehmensweites Risikomanagement (ERM)Integrierter, unternehmensweiter Ansatz zur Identifikation, Steuerung und Behandlung strategischer, finanzieller, operativer, regulatorischer und Cyber-Risiken im Einklang mit den Geschäftszielen.