Glossar zu ISMS & BCMS
Informationssicherheit (IS) bzw. Business Continuity (BC) sind zwei wesentliche Managementsysteme in der heutigen vernetzten Welt. Um die Risiken zu minimieren, die Geschäftskontinuität zu sichern und Notfälle und Krisen effektiv zu bewältigen, benötigen die Institutionen, Unternehmen oder Behörden resiliente IT, Infrastruktur, Systeme aber auch bewusste Mitarbeiter. In diesem Zusammenhang ist es wichtig, eine gemeinsame Sprache zu sprechen, eine gemeinsame Literatur zu verwenden. Mit diesem Glossar können Sie eine kompakte Übersicht über die wichtigsten Begriffe in diesen Bereichen verschaffen, die Sie kennen sollten! Lesezeit 7 Minuten | zusammengestellt von: Ayhan Dagli
Informationssicherheits-managementsystem (ISMS)
Angriff:
Ein Angriff ist eine vorsätzliche Form der Gefährdung, nämlich eine unerwünschte oder unberechtigte Handlung mit dem Ziel, sich Vorteile zu verschaffen bzw. einer dritten Person zu schädigen. Ein Angriff kann auch im Auftrag von Dritten, die sich Vorteile verschaffen wollen, erfolgen.
Angriffsvektor:
Als Angriffsvektor wird die Kombination von Angriffsweg und -technik bezeichnet, mit der sich ein Angreifer Zugang zu IT-Systemen verschafft.
Assets:
Als Assets werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen, benötigt werden. Der englische Begriff „asset“ wird häufig mit „Wert“ übersetzt. Wert ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff, von der gesellschaftlichen Bedeutung, die einer Sache zukommt, bis hin zur inneren Qualität eines Objekts. Im IT-Grundschutz wird der Begriff „Assets“ in der Bedeutung von „werthaltigen bzw. wertvollen Zielobjekten“ verwendet.
Basis-Absicherung:
Ein Begriff aus dem BSI IT-Grundschutz.
In der Vorgehensweise der Basis-Absicherung wird die Erfüllung der Basis-Anforderungen aus dem IT-Grundschutz überprüft. Die Basis-Absicherung ermöglicht es, als Einstieg in den IT-Grundschutz zunächst eine breite, grundlegende Erst-Absicherung über alle Geschäftsprozesse bzw. Fachverfahren eines Unternehmens vorzunehmen.
Basis-Anforderung:
Ein Begriff aus dem BSI IT-Grundschutz. Die Basis-Anforderungen dienen einem vereinfachten Einstieg in das Informationssicherheitsmanagement. Dabei handelt es sich um die grundlegende Erstabsicherung der Geschäftsprozesse und Ressourcen. In der Vorgehensweise der Basis-Absicherung wird somit lediglich die Erfüllung der Basis-Anforderungen überprüft.
Bedrohung:
Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann. Beispiele für Bedrohungen sind höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen oder vorsätzliche Handlungen. Trifft eine Bedrohung auf eine Schwachstelle (insbesondere technische oder organisatorische Mängel), so entsteht eine Gefährdung.
Gefahr:
Gefahr wird oft als übergeordneter Begriff gesehen, wohingegen unter Gefährdung eine genauer beschriebene Gefahr (räumlich und zeitlich nach Art, Größe und Richtung bestimmt) verstanden wird. Die Gefahr ist beispielsweise ein Datenverlust. Datenverlust kann unter anderem durch eine defekte Festplatte oder Personen entstehen, der die Festplatte stehlen.Definition des BBK: Zustand, Umstand oder Vorgang, durch dessen Einwirkung ein Schaden an einem Schutzgut entstehen kann.
Gefährdung:
Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt.Definition des BBK: Möglichkeit, dass an einem konkreten Ort aus einer Gefahr ein Ereignis mit einer bestimmten Intensität erwächst, das Schaden an einem Schutzgut verursachen kann.
Geltungsbereich:
siehe Informationsverbund
Informationssicherheit (IS):
Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwendende ziehen in ihre Betrachtungen weitere Grundwerte mit ein. Informationssicherheit ist mehr als IT-Sicherheit.
Informationssicherheitsbeauftragte(r) (ISB):
Eine Person mit Fachkompetenz zur Informationssicherheit in einer Stabsstelle einer Institution, die für alle Aspekte rund um die Informationssicherheit zuständig ist. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung des Unternehmens anders genannt, wie z. B. Chief Information Security Officer (CISO), Chief Security Officer (CSO), Information Security Officer (ISO), Informationssicherheitsmanager (ISM) bzw. IT-Sicherheitsbeauftragte(r) (IT-SiBe)
Informationssicherheitsmanagement (IS-Management):
Die Planungs-, Lenkungs- und Kontrollaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement bezeichnet. Dabei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.
Informationssicherheitsmanagementsystems (ISMS):
Ein ISMS beinhaltet die Definition von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Informationssicherheitsmanagement-Team (IS-Management-Team):
Das IS-Management-Team ist eine Einheit, deren Aufbau in großen Organisationen und Institutionen sinnvoll ist. Das Team unterstützt den/die CISO, indem es übergreifende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.
Informationsverbund:
Geltungsbereich eines Sicherheitskonzepts, der eine sinnvolle Mindestgröße innerhalb einer Institution hat und klar abgrenzbar von anderen Informationsverbünden ist. Ein Informationsverbund umfasst die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
Kern-Absicherung:
Ein Begriff aus dem BSI IT-Grundschutz. Im Fokus der Kern-Absicherung stehen zunächst die besonders gefährdeten Geschäftsprozesse und Assets (Kronjuwelen).
IT-Sicherheit:
Die IT-Sicherheit beschreibt den Schutz der IT-Infrastruktur, zum Beispiel Server, Netzwerke, Endgeräte, Betriebssysteme und Anwendungen.
(bereinigter) Netzplan:
Ein Begriff aus dem BSI IT-Grundschutz.
Ein Netzplan ist eine graphische Übersicht über die Komponenten eines Netzes und ihrer Verbindungen. Ein bereinigter Netzplan kann genutzt werden, um Dritten schnell die Geschäftsprozess- und IT-Strukturen innerhalb der Institution darzustellen, da in einem bereinigten Netzplan der Detaillierungsgrad auf das notwendige Maß reduziert wird. Auch für eine Zertifizierung ist ein bereinigter Netzplan eine sinnvolle Grundlage.
Leitlinie zur Informationssicherheit:
Die Leitlinie ist ein zentrales Dokument für die Informationssicherheit einer Organisation. In ihr wird beschrieben, für welche Zwecke, mit welchen Mitteln und mit welchen Strukturen Informationssicherheit innerhalb der Organisation hergestellt werden soll. Sie beinhaltet die von der Organisation angestrebten Informationssicherheitsziele sowie die verfolgte Sicherheitsstrategie. Die Sicherheitsleitlinie beschreibt damit auch über die Sicherheitsziele das angestrebte Sicherheitsniveau in einer Behörde oder einem Unternehmen.
Ransomware:
Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes wieder freigeben. Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung.
Resilienz:
Der Begriff bezeichnet im vorliegenden Zusammenhang die Widerstandsfähigkeit von IT-Systemen gegen Sicherheitsvorfälle oder Angriffe. Die Resilienz von Systemen ergibt sich aus einem komplexen Zusammenspiel von organisatorischen und technischen Präventivmaßnahmen wie zum Beispiel Fachpersonal, IT-Sicherheitsbudget, verfügbaren technischen Infrastrukturen oder Ähnlichem.
Risiko:
Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit.
Risikomanagement:
Als Risikomanagement werden alle Aktivitäten mit Bezug auf die strategische und operative Behandlung von Risiken bezeichnet, also alle Tätigkeiten, um Risiken für eine Institution zu identifizieren, zu steuern und zu kontrollieren. Risikomanagement umfasst:
- Identifikation von Risiken,
- Einschätzung und Bewertung von Risiken,
- Behandlung von Risiken,
- Überwachung von Risiken und
- Risikokommunikation.
Schwachstelle:
Eine Schwachstelle oder Sicherheitslücke ist in der Regel ein Fehler oder eine Schwäche, z. B. in einer Anwendung oder einem System, die für ungewollte oder schadhafte Aktionen missbraucht werden kann.
Schutzbedarf:
Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
Schutzziele:
Vertraulichkeit
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Integrität
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autorenschaft oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zur verfassenden Person verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.
Verfügbarkeit
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendenden stets wie vorgesehen genutzt werden können.
Authentizität
Unter Authentizität versteht man sowohl einen Identitätsnachweis als auch die Authentizität der Daten selbst. Es beschreibt die Eigenschaft einer Entität (z. B. einer Person, eines Systems oder einer Nachricht), als echt und vertrauenswürdig identifiziert zu werden. Dieses Schutzziel wird allgemein als Bestandteil der Integrität betrachtet.
Sicherheitsmaßnahme:
Mit Sicherheitsmaßnahme (kurz Maßnahme) werden alle Aktionen bezeichnet, die dazu dienen, um Sicherheitsrisiken zu steuern und um diesen entgegenzuwirken. Dies schließt sowohl organisatorische als auch personelle, technische oder infrastrukturelle Sicherheitsmaßnahmen ein. Sicherheitsmaßnahmen dienen zur Erfüllung von Sicherheitsanforderungen.
Social Engineering:
Bei Cyberangriffen durch Social Engineering versuchen Kriminelle, ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Sowohl im Bereich der Cyberkriminalität als auch bei der Spionage gehen die Angreifer geschickt vor, um vermeintliche menschliche Schwächen wie Neugier oder Angst auszunutzen und so Zugriff auf sensible Daten und Informationen zu erhalten.
Standard-Absicherung:
Ein Begriff aus dem BSI IT-Grundschutz. Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise des BSI-Standards 100-2. Mit der Standard-Absicherung kann der oder die ISB die Assets und Prozesse einer Institution sowohl umfassend als auch in der Tiefe absichern.
TOM:
Technische und organisatorische Maßnahmen (TOM) sind Maßnahmen, die von Organisationen ergriffen werden, um die Sicherheit und den Schutz personenbezogener Daten im Einklang mit der DSGVO sicherzustellen.
Zertifizierung:
Eine Zertifizierung ist eine Methode, um die Erreichung der Sicherheitsziele und die Umsetzung der Sicherheitsmaßnahmen durch qualifizierte unabhängige Stellen zu überprüfen.
Zielobjekt:
Ein Begriff aus dem BSI IT-Grundschutz. Zielobjekte sind Teile des Informationsverbunds, denen im Rahmen der Modellierung ein oder mehrere Bausteine aus dem IT-Grundschutz-Kompendium zugeordnet werden können. Zielobjekte können dabei physische Objekte sein, z. B. IT-Systeme. Häufig sind Zielobjekte jedoch logische Objekte, wie beispielsweise Organisationseinheiten, Anwendungen oder der gesamte Informationsverbund.
Business Continuity Management System (BCMS)
Allgemeine Aufbauorganisation (AAO):
Ständige Organisationsform, in der die täglichen Aufgaben einer Institution nachfolgenden Kriterien strukturiert sind:
- hierarchischer Aufbau
- Zuständigkeiten
Kommunikations- und Entscheidungswege
Audit und Revision:
Die Bedeutung der Begriffe „Audit“ und „Revision“ wird unterschiedlich verstanden. Der BSI-Standard 200-4 verwendet diese Begriffe wie folgt:
Ein Audit prüft zum Zwecke der Zertifizierung gegen einen Standard und wird daher in der Regel von externen Parteien durchgeführt.
Eine Revision befasst sich auch mit einem bestimmten Bereich mit einem definierten Vorgehen. Ziel einer Revision ist jedoch nicht die Zertifizierung, sondern die Identifizierung von Schwachstellen, Mängeln und Handlungsempfehlungen. Revisionen werden wie folgt unterschieden:
- Eine externe Revision wird von externen Parteien durchgeführt.
- Eine interne Revision wird von den eigenen Mitarbeiterinnen und Mitarbeitern der Institution durchgeführt.
Business Continuity Management System (BCMS):
Strukturen, Regeln und Aufbau innerhalb einer Institution, um eine geordnete Geschäftsfortführung nach Schadensereignissen in der Institution zu erreichen.
BC-Konzept / Notfallkonzept:
Es umfasst Notfallvorsorgekonzept und Notfallhandbuch.
Besondere Aufbauorganisation (BAO):
Zeitlich begrenzte Organisationsform für umfangreiche und komplexe Aufgaben, insbesondere für Maßnahmen aus besonderen Anlässen, die im Rahmen der AAO nicht bewältigt werden können. In dieser Organisationsform gelten temporäre Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die vom Normalbetrieb abweichen.
Business Impact Analyse (BIA):
Strukturierte Untersuchung mit dem Ziel, (zeit-)kritische Geschäftsprozesse und Ressourcen (Assets) zu identifizieren. Hierzu werden diejenigen direkten und indirekten potentiellen Folgeschäden für die Institution ermittelt, die durch den Ausfall von Geschäftsprozessen verursacht werden. Daraus werden die Anforderungen an den Wiederanlauf von Geschäftsprozessen abgeleitet.
Geschäftsfortführungsplan (GFP):
Plan, der dokumentiert, wie eine Institution auf der Prozessebene auf eine Geschäftsunterbrechung nach einem Ressourcenausfall reagiert. GFP basiert auf Prozessebene.
Kenngrößen:
MTPD (Maximum Tolerable Period of Disruption) / MAO (Maximum Acceptable Outage) / MTA (Maximal tolerierbare Ausfallzeit)
Zeitliche Obergrenze bis zu der ein Geschäftsprozess maximal ausfallen darf, bevor nicht tolerierbare Auswirkungen für eine Institution auftreten. Die Obergrenze wird anhand einer Schadensbewertung des betreffenden Geschäftsprozesses ermittelt.
RPA (Recovery Point Actual / tatsächlicher zu erwartender Datenverlust)
Tatsächlicher, zu erwartender Datenverlust im Falle eines Schadensereignisses. Die RPA wird in der Regel als tatsächlicher Datensicherungszyklus je Anwendung, IT-System oder Geschäftsprozess angegeben
RPO (Recovery Point Objective) / MDL (Maximum Data Loss) / Maximal tolerierbarer Datenverlust)
Wert für das Alter, das verfügbare Daten maximal haben dürfen, um zeitkritische Geschäftsprozesse nach einer Unterbrechung sinnvoll betreiben zu können.
RTA (Recovery Time Actual / Tatsächliche Wiederanlaufzeit (WAZ))
Tatsächliche Wiederanlaufzeit, tatsächliche WAZ beschreibt den Zeitraum vom Ausrufen des Notfalls bis zum Zeitpunkt der tatsächlichen Inbetriebnahme der Notfall-Lösung, z. B. durch Schwenk auf eine Ausweich- oder Ersatzressource. Die RTA kann im Rahmen von Übungen und Tests ermittelt und nachgewiesen werden.
RTO (Recovery Time Objective / Geforderte Wiederanlaufzeit (WAZ))
Geforderte Wiederanlaufzeit, geforderte WAZ beschreibt den Zeitraum vom Ausrufen des Notfalls bis zum Zeitpunkt der geforderten Inbetriebnahme der Notfall-Lösung, z. B. durch Schwenk auf eine Ausweich- oder Ersatzressource. RTO / WAZ sollte kleiner als MTPD / MTA sein.
Krise:
Als Krise wird ein Schadensereignis bezeichnet, das sich in massiver Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können.
Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor, vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht. Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der BAO bewältigt. Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren.
Definition des BBK: Vom Normalzustand abweichende Situation mit dem Potenzial für oder mit bereits eingetretenen Schäden an Schutzgütern, die mit der normalen Aufbau- und Ablauforganisation nicht mehr bewältigt werden, kann so dass eine Besondere Aufbauorganisation (BAO) erforderlich ist.
Leitlinie zum BCMS:
Die Leitlinie zum BCMS definiert Ziele und allgemeine Vorgaben für das BCMS auf der strategischen Ebene. Damit gibt diese Leitlinie den verbindlichen Rahmen und den Auftrag für alle weiteren Aktivitäten und Dokumentationen des BCMS vor. Sie beschreibt, warum und unter welchen Voraussetzungen das BCMS aufgebaut und betrieben wird, sowie die allgemeinen Zielvorgaben an das BCM.
Notbetrieb:
Nach einem Schadensereignis stattfindender, gegebenenfalls eingeschränkter, Geschäftsbetrieb, der die erforderlichen sowie zeitkritischen Funktionen der betroffenen Geschäftsprozesse sicherstellt.
Notbetriebsniveau:
Das Notbetriebsniveau (Minimum Business Continuity Objective (MBCO) definiert, wie leistungsfähig der Notbetrieb sein soll, um einen sinnvollen Geschäftsbetrieb gewährleisten zu können. Hierzu kann die Leistungsfähigkeit des Notbetriebs z. B. prozentual angegeben werden oder alternativ können Aktivitäten priorisiert werden.
Notfall:
Notfälle sind Unterbrechungen des Geschäftsbetriebs, die mindestens einen zeitkritischen Geschäftsprozess betreffen, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann.
Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine besondere Aufbauorganisation (BAO) benötigt. Im Gegensatz zur Krise liegen hier geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden. Notfälle können auch eintreten, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt. Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen werden könnte.
Definition des BBK: Situation mit dem Potenzial für oder mit bereits eingetretenen Schäden an Schutzgütern, die neben Selbsthilfemaßnahmen des Einzelnen staatlich organisierte Hilfeleistung erforderlich machen kann.
Notfallbewältigung:
Alle institutsinternen Tätigkeiten, die dazu dienen, nach Eintritt eines Notfalls
- in einen Notbetrieb zu gelangen,
- den Notbetrieb aufrechtzuerhalten und
- wieder in den Normalbetrieb zu gelangen.
Notfallhandbuch:
Dokument mit allen Informationen, die für die Notfallbewältigung benötigt werden. Das Dokument umfasst z. B. alle Notfallpläne, die Geschäftsordnung des Stabes und das Kommunikationskonzept.
Notfallmaßnahmen:
Alle Maßnahmen, die präventiv erarbeitet und bei Eintritt eines Notfalls umgesetzt werden, um den Schaden zu begrenzen und Geschäftsprozesse fortzuführen.
Dazu gehören alle Maßnahmen zum Wiederanlauf und zur Geschäftsfortführung sowie alle Sofortmaßnahmen.
Notfallvorsorge:
Alle präventiven Maßnahmen und Verfahren, die vor dem Eintritt eines Schadensereignisses durchgeführt werden.
Definition des BBK: Summe aller Maßnahmen, die auf die Zeit nach Eintritt eines Notfalls abzielen, die aber vorher ergriffen werden. Notfallvorsorge umfasst als Oberbegriff auch Notfallplanung sowie weitere, im Vorfeld eines Notfalls zu leistende Maßnahmen.
Notfallvorsorgekonzept:
Das Notfallvorsorgekonzept enthält eine Beschreibung aller organisatorischen und konzeptionellen Aspekte des BCMS sowie Regelungen und Vorgaben zu einzelnen BCM-Prozessschritten.
NuK (Notfall- und Krisenkommunikation):
Tätigkeiten, die vor oder während einer Krise oder einem Notfall und gegebenenfalls auch nach deren Bewältigung ausgeführt werden, um relevante Informationen zu sammeln, zu verifizieren sowie zielgruppengerecht nach innen und außen zu verteilen.
Für die Notfall- und Krisenkommunikation werden vorab entsprechende Konzepte zum Umgang mit den verschiedenen Interessengruppen, z. B. den Mitarbeitenden und den Medien erarbeitet. Falls nötig werden diese Konzepte im Rahmen der Bewältigung angepasst und fortlaufend überarbeitet.
Definition des BBK: Krisenkommunikation:Austausch von Informationen und Meinungen während einer Krise zur Verhinderung oder Begrenzung von Schäden an einem Schutzgut.
Organisationseinheit (OE):
Logische Einheit einer Institution, z. B. ein Standort, eine Abteilung, oder ein Fachbereich
Ressource:
Alle physischen und digitalen Werte, die erforderlich sind, um Geschäftsprozesse durchführen zu können. Werte im betriebswirtschaftlichen Sinn sind z. B. Personal, IT-Systeme, Gebäude, Dienstleistungsunternehmen, Maschinen oder Betriebsmittel.
Schaden:
Der Schaden ist jeder materielle oder immaterielle Nachteil, den eine Person oder Sache durch ein Ereignis erleidet.
Definition des BBK: Negativ bewertete Auswirkung eines Ereignisses auf ein Schutzgut.
Schadensereignis:
Vorfall, der zu einer Abweichung von einem erwarteten Ergebnis führt.
Definition des BBK: Zusammentreffen von Gefahr und Schutzgut mit Eintritt eines Schadens.
Schutzgut:
Definition des BBK: Alles, was aufgrund seines ideellen oder materiellen Wertes vor Schaden bewahrt werden soll.
Störung:
Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben.
Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Incident-Managements zurückgegriffen. Störungen können jedoch zu einem Notfall eskalieren.
Wiederanlaufplan (WAP):
Dokumentation, die beschreibt, wie eine Institution ausgefallene Ressourcen, z. B. durch umgesetzte Notfall-Lösungen oder Ersatzlösungen, kompensieren kann. Ziel der Kompensation ist ein Notbetrieb, der die Geschäftsfortführung sicherstellt. WAP basiert auf Ressourcenebene.
Wiederherstellungsplan (WHP):
Dokumentation, die beschreibt, wie ausgefallene Ressourcen in den Normalbetrieb zurückversetzt werden können. WHP basiert auf Ressourcenebene.
Zeitkritisch:
Klassifizierung für alle Geschäftsprozesse oder Ressourcen, deren Ausfall innerhalb eines vorgegebenen Zeitraums zu einem nicht tragbaren, möglicherweise existenzbedrohenden Schaden für eine Institution führen kann.
Die Klassifizierung der Ressourcen leitet sich aus der Klassifizierung der Geschäftsprozesse ab, die die jeweiligen Ressourcen benötigen.
Quellen
Bei der Vorbereitung dieses Artikels wurden folgende Quellen genutzt:
- BSI-Standard 200-2 IT-Grundschutz -Methodik
- BSI-Die Lagebericht IT-Sicherheit in Deutschland 2024
- BSI-IT-Grundschutz-Kompendium
- BSI-Standard 200-4 Business Continuity Management (BCM)
- Glossar zum BSI-Standard 200-4
- Glossar des Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK)
- https://wiki.isms-ratgeber.info/wiki/Abk%C3%BCrzungen
- https://www.pd-g.de/assets/Aktuell-im-Fokus/Informationssicherheit/240904_Informationssicherheit_Glossar.pdf