Compliance-Wissen direkt erklärt

GRC & Security Glossar

Navigiere sicher durch den Dschungel der Compliance-Begriffe. Wir erklären die Fachbegriffe von A wie Audit bis Z wie Zertifizierung, praxisnah und vernetzt.

ABCDEGIKLMPRSTVZ
A

AI Governance

Der Rahmen aus Richtlinien, Prozessen und Kontrollen, der den ethischen und sicheren Einsatz von Künstlicher Intelligenz in einer Organisation regelt, um rechtliche Risiken und Sicherheitslücken zu minimieren.

AICPA

Das American Institute of Certified Public Accountants (AICPA) ist die weltweit größte Organisation für Wirtschaftsprüfer und der Urheber des SOC 2-Frameworks, einem der wichtigsten Sicherheitsstandards für Cloud-Anbieter.

Annex A (ISO 27001)

Der Anhang der ISO 27001, der eine Liste von 93 spezifischen Informationssicherheits-Maßnahmen (Controls) enthält, die als Referenz für den Aufbau eines ISMS dienen.

Asset Owner

Ein Asset Owner ist die Person oder Rolle innerhalb einer Organisation, die die Verantwortung für die Sicherheit, Klassifizierung und ordnungsgemäße Nutzung eines bestimmten Informationswertes (Assets) trägt.

Attestation of Compliance (AOC)

Das Attestation of Compliance (AOC) ist ein formelles Dokument, das bestätigt, dass eine Organisation die Anforderungen eines spezifischen Sicherheitsstandards – meistens PCI DSS – erfolgreich erfüllt hat.

Audit Trail

Ein Audit Trail ist eine chronologische Aufzeichnung von Aktivitäten zur Nachverfolgung von Änderungen und Zugriffen innerhalb eines Systems. Er hilft dabei, Datentransparenz zu gewährleisten und unterstützt bei der Einhaltung von Compliance-Vorgaben.

Auditor

Ein Auditor ist ein unabhängiger Prüfer, der bewertet, ob die Prozesse, Systeme und Kontrollen eines Unternehmens den Anforderungen eines spezifischen Standards (wie ISO 27001 oder SOC 2) entsprechen.

B

BSI IT-Grundschutz

Der BSI IT-Grundschutz ist die Methodik des Bundesamts für Sicherheit in der Informationstechnik für ein systematisches Informationssicherheits-Managementsystem. Kern sind das IT-Grundschutz-Kompendium mit seinen Bausteinen, die Schutzbedarfsfeststellung und drei Absicherungsstufen. Er ist kompatibel zu ISO 27001.

Business Continuity Management (BCM)

Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden Störungen oder Katastrophen aufrechterhalten oder zeitnah wiederhergestellt werden können.

Business Impact Analysis (BIA)

Verfahren zur Bewertung der Zeitkritikalität von Geschäftsprozessen. Die BIA ermittelt den Impact von Ausfällen und definiert Wiederherstellungsziele (RTO/RPO).

C

CIA-Triade

Die CIA-Triade beschreibt die drei klassischen Schutzziele der Informationssicherheit: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Sie ist Grundlage von ISO 27001, NIST und allen modernen Sicherheits-Frameworks.

CISO

Der CISO (Chief Information Security Officer) verantwortet die Informationssicherheits-Strategie einer Organisation. Er steuert Risiken, Richtlinien und das ISMS und berichtet an die Geschäftsführung. Abzugrenzen vom Datenschutzbeauftragten, der den rechtlichen Schutz personenbezogener Daten verantwortet.

Cloud Security Posture Management (CSPM)

Überwacht und verbessert die Sicherheitslage in Cloud-Umgebungen.

Compliance Automation Software

Eine Plattform, die den Prozess der Einhaltung regulatorischer Standards (z.B. ISO 27001, SOC 2) rationalisiert, indem sie das Sammeln von Nachweisen, die Überwachung von Kontrollen und das Reporting vereinfacht.

Compliance Management

Prozess der Sicherstellung, dass eine Organisation alle relevanten Gesetze, Vorschriften und internen Richtlinien einhält, oft mithilfe von GRC-Plattformen.

Compliance Risk Management

Compliance Risk Management ist der Prozess zur Identifizierung, Bewertung und Minderung von Risiken, die durch die Nichteinhaltung von Gesetzen, regulatorischen Standards oder internen Richtlinien entstehen.

Continuous Monitoring

Kontinuierliche Überwachung in ISMS/GRC.

Control Self-Assessment (CSA)

Ein Control Self-Assessment (CSA) ist ein Prozess, bei dem Organisationen ihre internen Kontrollen selbst bewerten, um Risiken zu identifizieren und die Effizienz der Kontrollen zu verbessern. Dies unterstützt die Einhaltung von Vorschriften und Standards.

Cyber Threat Hunting

Proaktives Identifizieren von Cyber-Bedrohungen in IT-Systemen.

Cybersecurity

Cybersecurity (Informationssicherheit im digitalen Raum) umfasst alle Technologien, Prozesse und Praktiken, die darauf ausgelegt sind, Netzwerke, Geräte, Programme und Daten vor Angriffen, Schäden oder unbefugtem Zugriff zu schützen.

D

Data Governance

Regelung der Datenverwaltung und -nutzung innerhalb eines Unternehmens.

Data Loss Prevention (DLP)

DLP bezeichnet Strategien und Tools, die verwendet werden, um vor Verlust, Diebstahl oder unbefugtem Zugriff auf sensible Daten zu schützen.

Daten-Souveränität

Das Prinzip, dass Daten den Gesetzen und Regeln des Landes unterliegen, in dem sie erhoben werden.

Datensicherheit

Datensicherheit umfasst alle technischen und organisatorischen Maßnahmen, die Daten vor Verlust, Manipulation und unbefugtem Zugriff schützen. Sie bezieht sich auf alle Daten, nicht nur personenbezogene, und ist damit von Datenschutz abzugrenzen. Grundlage sind die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

Datenverschlüsselung

Verfahren zur Absicherung von Daten durch Umwandlung in unleserlichen Code.

Digital Forensics

Untersuchung digitaler Beweise zur Unterstützung der Informationssicherheit.

E

EU AI Act

Die KI-Verordnung der Europäischen Union, die harmonisierte Regeln für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von Systemen der Künstlichen Intelligenz festlegt, basierend auf deren Risikopotenzial.

Evidence (Nachweis)

Evidence (Nachweis oder Evidenz) umfasst alle Dokumente, Logs, Screenshots oder Konfigurationsdaten, die einem Auditor beweisen, dass eine definierte Sicherheitskontrolle (Control) tatsächlich implementiert ist und funktioniert.

G

Gap Analysis

Eine Gap Analysis (Lückenanalyse) ist ein Verfahren, bei dem der Ist-Zustand der Sicherheitsmaßnahmen eines Unternehmens mit den Soll-Anforderungen eines spezifischen Standards verglichen wird, um fehlende Kontrollen zu identifizieren.

I

Identity & Access Management (IAM)

Ein Rahmenwerk aus Richtlinien und Technologien, das sicherstellt, dass die richtigen Personen zur richtigen Zeit aus den richtigen Gründen Zugriff auf die richtigen technologischen Assets haben.

Incident Response

Incident Response (Reaktion auf Vorfälle) ist der strukturierte Prozess, mit dem eine Organisation auf Sicherheitsvorfälle, Datenpannen oder Cyberangriffe reagiert, um den Schaden zu begrenzen und die Betriebsfähigkeit schnellstmöglich wiederherzustellen.

Integrated Risk Management (IRM)

Ganzheitlicher Ansatz zur Verwaltung von Risiken in ISMS, GRC-Plattformen und Audits.

Internal Audit Plan

Ein Internal Audit Plan ist ein strukturierter Leitfaden zur Durchführung interner Audits in einer Organisation. Er beschreibt Ziele, Umfang, Methoden und Zeitpläne, um Risiken zu bewerten und die Effektivität von Kontrollen zu prüfen.

ISO 27701

ISO/IEC 27701 ist die internationale Norm für ein Datenschutz-Managementsystem (Privacy Information Management System, PIMS). Seit der Ausgabe ISO/IEC 27701:2025 ist sie ein eigenständiges Managementsystem, unterscheidet die Rollen Verantwortlicher und Auftragsverarbeiter und mappt direkt auf die Artikel der DSGVO.

ISO-Audit

Ein ISO-Audit ist eine systematische, unabhängige und dokumentierte Prüfung, ob ein Managementsystem (z. B. ISO 27001 für Informationssicherheit oder ISO 9001 für Qualität) die Anforderungen der jeweiligen Norm erfüllt. Es gibt drei Audit-Typen: internes Audit, Zertifizierungs-Audit und Überwachungsaudit.

K

Kontinuierliches Auditing

Kontinuierliches Auditing ist ein Prozess zur kontinuierlichen Bewertung von Finanzinformationen und Kontrollprozessen. Ziel ist es, zeitnahe Auditergebnisse bereitzustellen, die Risiken minimieren und die Compliance sichern.

KRITIS

KRITIS steht für Kritische Infrastrukturen: Organisationen und Anlagen, deren Ausfall die Versorgung der Bevölkerung gefährden würde. In Deutschland definiert die BSI-Kritisverordnung über Schwellenwerte, wer als Betreiber gilt. Mit NIS2 wird der Kreis der regulierten Einrichtungen deutlich erweitert.

Kumulationseffekt

Der Kumulationseffekt beschreibt, wie sich viele Werte mit jeweils normalem Schutzbedarf auf einem gemeinsamen System zu einem höheren Schutzbedarf summieren. Er ergänzt das Maximumprinzip in der Schutzbedarfsfeststellung nach BSI IT-Grundschutz.

L

Lieferkettenmanagement

Lieferkettenmanagement im GRC-Kontext überwacht und steuert Risiken entlang der Lieferkette, um Sicherheit und Compliance sicherzustellen.

M

Maximumprinzip

Das Maximumprinzip besagt: Der Schutzbedarf eines übergeordneten Objekts richtet sich nach dem höchsten Schutzbedarf der von ihm abhängigen Werte. Ein Server, der einen hochvertraulichen Datensatz trägt, erbt damit selbst den Schutzbedarf hoch. So kann die Schutzbedarfskette nicht versehentlich verwässern.

Meldepflicht

Die Meldepflicht bezeichnet die gesetzliche oder regulatorische Anforderung an Unternehmen, Sicherheitsvorfälle oder Datenpannen innerhalb definierter Fristen an die zuständigen Aufsichtsbehörden oder Betroffenen zu melden.

P

Penetration Testing (Pentest)

Ein autorisierter, simulierter Cyberangriff auf ein Computersystem, um Sicherheitslücken in der Infrastruktur, den Anwendungen oder Prozessen zu identifizieren und zu bewerten.

Privileged Access Management (PAM)

Verwaltung und Schutz von privilegierten Benutzerzugängen.

R

Relationship-Based Access Control (ReBAC)

Ein Autorisierungsmodell, das Zugriffsrechte basierend auf den Beziehungen zwischen Identitäten und Ressourcen definiert. Im AI ist ReBAC essenziell, um sicherzustellen, dass KI-Modelle nur auf Daten zugreifen, die im spezifischen Kontext sind.

Risikoanalyse

Risikoanalyse ist der Prozess der Identifikation, Bewertung und Priorisierung von Risiken zur Minimierung ihrer Auswirkungen auf ein Unternehmen.

Risikomanagement

Risikomanagement ist der strukturierte Prozess, Risiken zu identifizieren, zu bewerten, zu behandeln und laufend zu überwachen. In der Informationssicherheit folgt es Standards wie ISO 31000 und ISO 27005 und bildet die Grundlage dafür, Schutzmaßnahmen angemessen statt nach Bauchgefühl auszuwählen.

Risk Register

Ein Dokument zur Identifizierung und Bewertung von Risiken in ISMS/GRC.

Risk-Based Auditing

Risk-Based Auditing ist ein Ansatz, der sich auf die Risiken konzentriert, die die Erreichung der Unternehmensziele beeinträchtigen könnten. Er priorisiert Prüfprozesse basierend auf dem potenziellen Einfluss von Risiken.

Role-Based Access Control (RBAC)

Ein Verfahren zur Zugriffskontrolle, bei dem Berechtigungen an vordefinierte Rollen (z.B. "Admin", "HR-Manager") geknüpft werden, anstatt sie einzelnen Benutzern individuell zuzuweisen.

RTO & RPO

Zentrale Kennzahlen im BCM: Das RTO (Recovery Time Objective) definiert die maximale Zeit bis zur Wiederherstellung, das RPO (Recovery Point Objective) den maximal tolerierbaren Datenverlust.

S

Schutzbedarfsanalyse

Die Schutzbedarfsanalyse legt fest, wie schützenswert ein Informationswert oder Asset ist. Bewertet werden Vertraulichkeit, Integrität und Verfügbarkeit, üblich in den Stufen normal, hoch und sehr hoch. Das Ergebnis steuert, welche Schutzmaßnahmen und Controls wirklich nötig sind.

Schutzbedarfsfeststellung

Die Schutzbedarfsfeststellung ist der Schritt im BSI IT-Grundschutz, in dem der Schutzbedarf von Zielobjekten ermittelt wird. Sie nutzt das Maximumprinzip sowie Kumulations- und Verteilungseffekt, um den Schutzbedarf entlang von Anwendungen, Systemen und Räumen abzuleiten.

Schutzziele der Informationssicherheit

Die drei Kernziele jeder Informationssicherheits-Strategie: Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade), oft erweitert um Authentizität, Verbindlichkeit und Belastbarkeit. Sie definieren, was geschützt werden muss, und sind Grundlage von ISO 27001, BSI Grundschutz und NIS2.

Security Information and Event Management (SIEM)

Sicherheitsinformationen und Ereignisverwaltung zur Bedrohungserkennung und -überwachung.

Security Operations Center (SOC)

Ein Sicherheitsüberwachungszentrum zur Erkennung und Reaktion auf Bedrohungen.

Security Orchestration, Automation, and Response (SOAR)

Integration von Sicherheitsmaßnahmen zur Automatisierung und Reaktion.

Shadow AI (Schatten-KI)

Die Nutzung von Anwendungen oder Tools der KI innerhalb einer Organisation ohne explizite Genehmigung, Überprüfung oder Überwachung durch die IT-Abteilung oder das Sicherheitsmanagement.

Statement of Applicability (SoA)

Die Anwendbarkeitserklärung (SoA) dokumentiert, welche Maßnahmen aus dem Annex A für ein Unternehmen relevant sind und wie diese umgesetzt wurden – oder warum sie ausgeschlossen wurden.

T

Third-Party Risk Management (TPRM)

Verwaltung von Risiken, die durch Drittanbieter entstehen.

Threat Intelligence

Threat Intelligence ist die Sammlung und Analyse von Informationen zur Erkennung und Abwehr von Cyberbedrohungen.

Trust Services Criteria (TSC)

Die Trust Services Criteria sind die vom AICPA definierten Kontrollprinzipien, nach denen ein SOC 2-Bericht erstellt wird. Sie umfassen die Bereiche Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz.

V

Vulnerability Management

Der kontinuierliche Prozess der Identifizierung, Bewertung, Berichterstattung und Behebung von Sicherheitslücken in Software und Hardware innerhalb einer IT-Infrastruktur.

Z

Zero Trust

Ein Sicherheitsmodell, das auf dem Prinzip „Niemals vertrauen, immer überprüfen“ basiert. Es setzt voraus, dass Bedrohungen sowohl außerhalb als auch innerhalb des Netzwerks existieren können.