Compliance-Wissen direkt erklärt

GRC & Security Glossar

Navigiere sicher durch den Dschungel der Compliance-Begriffe. Wir erklären die Fachbegriffe von A wie Audit bis Z wie Zertifizierung – praxisnah und vernetzt.

ABCDEGIKLMPRSTVZ
A

AI Governance

Der Rahmen aus Richtlinien, Prozessen und Kontrollen, der den ethischen und sicheren Einsatz von Künstlicher Intelligenz in einer Organisation regelt, um rechtliche Risiken und Sicherheitslücken zu minimieren.

AICPA

Das American Institute of Certified Public Accountants (AICPA) ist die weltweit größte Organisation für Wirtschaftsprüfer und der Urheber des SOC 2-Frameworks, einem der wichtigsten Sicherheitsstandards für Cloud-Anbieter.

Annex A (ISO 27001)

Der Anhang der ISO 27001, der eine Liste von 93 spezifischen Informationssicherheits-Maßnahmen (Controls) enthält, die als Referenz für den Aufbau eines ISMS dienen.

Asset Owner

Ein Asset Owner ist die Person oder Rolle innerhalb einer Organisation, die die Verantwortung für die Sicherheit, Klassifizierung und ordnungsgemäße Nutzung eines bestimmten Informationswertes (Assets) trägt.

Attestation of Compliance (AOC)

Das Attestation of Compliance (AOC) ist ein formelles Dokument, das bestätigt, dass eine Organisation die Anforderungen eines spezifischen Sicherheitsstandards – meistens PCI DSS – erfolgreich erfüllt hat.

Audit Trail

Ein Audit Trail ist eine chronologische Aufzeichnung von Aktivitäten zur Nachverfolgung von Änderungen und Zugriffen innerhalb eines Systems. Er hilft dabei, Datentransparenz zu gewährleisten und unterstützt bei der Einhaltung von Compliance-Vorgaben.

Auditor

Ein Auditor ist ein unabhängiger Prüfer, der bewertet, ob die Prozesse, Systeme und Kontrollen eines Unternehmens den Anforderungen eines spezifischen Standards (wie ISO 27001 oder SOC 2) entsprechen.

B

Business Continuity Management (BCM)

Business Continuity Management (BCM) ist ein ganzheitlicher Managementprozess, der sicherstellt, dass kritische Geschäftsprozesse auch bei schwerwiegenden Störungen oder Katastrophen aufrechterhalten oder zeitnah wiederhergestellt werden können.

Business Impact Analysis (BIA)

Verfahren zur Bewertung der Zeitkritikalität von Geschäftsprozessen. Die BIA ermittelt den Impact von Ausfällen und definiert Wiederherstellungsziele (RTO/RPO).

C

Cloud Security Posture Management (CSPM)

Überwacht und verbessert die Sicherheitslage in Cloud-Umgebungen.

Compliance Automation Software

Eine Plattform, die den Prozess der Einhaltung regulatorischer Standards (z.B. ISO 27001, SOC 2) rationalisiert, indem sie das Sammeln von Nachweisen, die Überwachung von Kontrollen und das Reporting vereinfacht.

Compliance Management

Prozess der Sicherstellung, dass eine Organisation alle relevanten Gesetze, Vorschriften und internen Richtlinien einhält, oft mithilfe von GRC-Plattformen.

Compliance Risk Management

Compliance Risk Management ist der Prozess zur Identifizierung, Bewertung und Minderung von Risiken, die durch die Nichteinhaltung von Gesetzen, regulatorischen Standards oder internen Richtlinien entstehen.

Continuous Monitoring

Kontinuierliche Überwachung in ISMS/GRC.

Control Self-Assessment (CSA)

Ein Control Self-Assessment (CSA) ist ein Prozess, bei dem Organisationen ihre internen Kontrollen selbst bewerten, um Risiken zu identifizieren und die Effizienz der Kontrollen zu verbessern. Dies unterstützt die Einhaltung von Vorschriften und Standards.

Cyber Threat Hunting

Proaktives Identifizieren von Cyber-Bedrohungen in IT-Systemen.

Cybersecurity

Cybersecurity (Informationssicherheit im digitalen Raum) umfasst alle Technologien, Prozesse und Praktiken, die darauf ausgelegt sind, Netzwerke, Geräte, Programme und Daten vor Angriffen, Schäden oder unbefugtem Zugriff zu schützen.

D

Data Governance

Regelung der Datenverwaltung und -nutzung innerhalb eines Unternehmens.

Data Loss Prevention (DLP)

DLP bezeichnet Strategien und Tools, die verwendet werden, um vor Verlust, Diebstahl oder unbefugtem Zugriff auf sensible Daten zu schützen.

Daten-Souveränität

Das Prinzip, dass Daten den Gesetzen und Regeln des Landes unterliegen, in dem sie erhoben werden.

Datenverschlüsselung

Verfahren zur Absicherung von Daten durch Umwandlung in unleserlichen Code.

Digital Forensics

Untersuchung digitaler Beweise zur Unterstützung der Informationssicherheit.

E

EU AI Act

Die KI-Verordnung der Europäischen Union, die harmonisierte Regeln für das Inverkehrbringen, die Inbetriebnahme und die Nutzung von Systemen der Künstlichen Intelligenz festlegt, basierend auf deren Risikopotenzial.

Evidence (Nachweis)

Evidence (Nachweis oder Evidenz) umfasst alle Dokumente, Logs, Screenshots oder Konfigurationsdaten, die einem Auditor beweisen, dass eine definierte Sicherheitskontrolle (Control) tatsächlich implementiert ist und funktioniert.

G

Gap Analysis

Eine Gap Analysis (Lückenanalyse) ist ein Verfahren, bei dem der Ist-Zustand der Sicherheitsmaßnahmen eines Unternehmens mit den Soll-Anforderungen eines spezifischen Standards verglichen wird, um fehlende Kontrollen zu identifizieren.

I

Identity & Access Management (IAM)

Ein Rahmenwerk aus Richtlinien und Technologien, das sicherstellt, dass die richtigen Personen zur richtigen Zeit aus den richtigen Gründen Zugriff auf die richtigen technologischen Assets haben.

Incident Response

Incident Response (Reaktion auf Vorfälle) ist der strukturierte Prozess, mit dem eine Organisation auf Sicherheitsvorfälle, Datenpannen oder Cyberangriffe reagiert, um den Schaden zu begrenzen und die Betriebsfähigkeit schnellstmöglich wiederherzustellen.

Integrated Risk Management (IRM)

Ganzheitlicher Ansatz zur Verwaltung von Risiken in ISMS, GRC-Plattformen und Audits.

Internal Audit Plan

Ein Internal Audit Plan ist ein strukturierter Leitfaden zur Durchführung interner Audits in einer Organisation. Er beschreibt Ziele, Umfang, Methoden und Zeitpläne, um Risiken zu bewerten und die Effektivität von Kontrollen zu prüfen.

K

Kontinuierliches Auditing

Kontinuierliches Auditing ist ein Prozess zur kontinuierlichen Bewertung von Finanzinformationen und Kontrollprozessen. Ziel ist es, zeitnahe Auditergebnisse bereitzustellen, die Risiken minimieren und die Compliance sichern.

L

Lieferkettenmanagement

Lieferkettenmanagement im GRC-Kontext überwacht und steuert Risiken entlang der Lieferkette, um Sicherheit und Compliance sicherzustellen.

M

Meldepflicht

Die Meldepflicht bezeichnet die gesetzliche oder regulatorische Anforderung an Unternehmen, Sicherheitsvorfälle oder Datenpannen innerhalb definierter Fristen an die zuständigen Aufsichtsbehörden oder Betroffenen zu melden.

P

Penetration Testing (Pentest)

Ein autorisierter, simulierter Cyberangriff auf ein Computersystem, um Sicherheitslücken in der Infrastruktur, den Anwendungen oder Prozessen zu identifizieren und zu bewerten.

Privileged Access Management (PAM)

Verwaltung und Schutz von privilegierten Benutzerzugängen.

Privileged Access Management (PAM)

Verwaltung und Schutz von privilegierten Benutzerzugängen.

R

RTO & RPO

Zentrale Kennzahlen im BCM: Das RTO (Recovery Time Objective) definiert die maximale Zeit bis zur Wiederherstellung, das RPO (Recovery Point Objective) den maximal tolerierbaren Datenverlust.

Relationship-Based Access Control (ReBAC)

Ein Autorisierungsmodell, das Zugriffsrechte basierend auf den Beziehungen zwischen Identitäten und Ressourcen definiert. Im AI ist ReBAC essenziell, um sicherzustellen, dass KI-Modelle nur auf Daten zugreifen, die im spezifischen Kontext sind.

Risikoanalyse

Risikoanalyse ist der Prozess der Identifikation, Bewertung und Priorisierung von Risiken zur Minimierung ihrer Auswirkungen auf ein Unternehmen.

Risikoanalyse

Risikoanalyse ist der Prozess der Identifikation, Bewertung und Priorisierung von Risiken zur Minimierung ihrer Auswirkungen auf ein Unternehmen.

Risk Register

Ein Dokument zur Identifizierung und Bewertung von Risiken in ISMS/GRC.

Risk-Based Auditing

Risk-Based Auditing ist ein Ansatz, der sich auf die Risiken konzentriert, die die Erreichung der Unternehmensziele beeinträchtigen könnten. Er priorisiert Prüfprozesse basierend auf dem potenziellen Einfluss von Risiken.

Role-Based Access Control (RBAC)

Ein Verfahren zur Zugriffskontrolle, bei dem Berechtigungen an vordefinierte Rollen (z.B. "Admin", "HR-Manager") geknüpft werden, anstatt sie einzelnen Benutzern individuell zuzuweisen.

S

Security Information and Event Management (SIEM)

Sicherheitsinformationen und Ereignisverwaltung zur Bedrohungserkennung und -überwachung.

Security Operations Center (SOC)

Ein Sicherheitsüberwachungszentrum zur Erkennung und Reaktion auf Bedrohungen.

Security Orchestration, Automation, and Response (SOAR)

Integration von Sicherheitsmaßnahmen zur Automatisierung und Reaktion.

Shadow AI (Schatten-KI)

Die Nutzung von Anwendungen oder Tools der KI innerhalb einer Organisation ohne explizite Genehmigung, Überprüfung oder Überwachung durch die IT-Abteilung oder das Sicherheitsmanagement.

Statement of Applicability (SoA)

Die Anwendbarkeitserklärung (SoA) dokumentiert, welche Maßnahmen aus dem Annex A für ein Unternehmen relevant sind und wie diese umgesetzt wurden – oder warum sie ausgeschlossen wurden.

T

Third-Party Risk Management (TPRM)

Verwaltung von Risiken, die durch Drittanbieter entstehen.

Threat Intelligence

Threat Intelligence ist die Sammlung und Analyse von Informationen zur Erkennung und Abwehr von Cyberbedrohungen.

Threat Intelligence

Threat Intelligence ist die Sammlung und Analyse von Informationen zur Erkennung und Abwehr von Cyberbedrohungen.

Trust Services Criteria (TSC)

Die Trust Services Criteria sind die vom AICPA definierten Kontrollprinzipien, nach denen ein SOC 2-Bericht erstellt wird. Sie umfassen die Bereiche Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz.

V

Vulnerability Management

Der kontinuierliche Prozess der Identifizierung, Bewertung, Berichterstattung und Behebung von Sicherheitslücken in Software und Hardware innerhalb einer IT-Infrastruktur.

Z

Zero Trust

Ein Sicherheitsmodell, das auf dem Prinzip „Niemals vertrauen, immer überprüfen“ basiert. Es setzt voraus, dass Bedrohungen sowohl außerhalb als auch innerhalb des Netzwerks existieren können.