Glossar

Alles zum Thema Informationssicherheit, ISMS, IT-Grundschutz und ISO 27001. Frischen Sie hier die Bedeutung der Begriffe auf.

Assets

Als Assets werden Bestände von Objekten bezeichnet, die für einen bestimmten Zweck, besonders zur Erreichung von Geschäftszielen, benötigt werden. Der englische Begriff „asset“ wird häufig mit „Wert“ übersetzt. Wert ist allerdings im Deutschen ein mit vielen Bedeutungen belegter Begriff, von der gesellschaftlichen Bedeutung, die einer Sache zukommt, bis hin zur inneren Qualität eines Objekts. Im IT-Grundschutz wird der Begriff „Assets“ in der Bedeutung von „werthaltigen bzw. wertvollen Zielobjekten“ verwendet.

Das IT-Grundschutz-Kompendium enthält für unterschiedliche Vorgehensweisen, Komponenten und IT-Systeme Er- läuterungen zur Gefährdungslage, Sicherheitsanforderungen und weiterführende Informationen, die jeweils in ei- nem Baustein zusammengefasst sind. Das IT-Grundschutz-Kompendium ist aufgrund der Baustein-Struktur modu- lar aufgebaut und legt einen Fokus auf die Darstellung der wesentlichen Sicherheitsanforderungen in den Baustei- nen. Die grundlegende Struktur des IT-Grundschutz-Kompendiums unterteilt die Bausteine in prozess- und systemorientierte Bausteine, zudem sind sie nach Themen in ein Schichtenmodell einsortiert.

Die Basis-Absicherung ermöglicht es, als Einstieg in den IT-Grundschutz zunächst eine breite, grundlegende Erst- Absicherung über alle Geschäftsprozesse bzw. Fachverfahren einer Institution vorzunehmen.

Der CISO (Chief Information Security Officer) bzw. der ISB (Informationssicherheitsbeauftragte) ist für die Planung, Steuerung und Überwachung der Informationssicherheit innerhalb einer Organisation verantwortlich. Er entwickelt Sicherheitsstrategien, leitet Maßnahmen zur Risikominimierung ein und sorgt dafür, dass gesetzliche, regulatorische und unternehmensinterne Anforderungen an die Informationssicherheit erfüllt werden.

Während der CISO typischerweise auf Managementebene agiert und strategisch ausgerichtet ist, übernimmt der ISB oft die operative Umsetzung und Koordination im Rahmen des Informationssicherheitsmanagementsystems (ISMS).

Ein Geltungsbereich umfasst die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Komponenten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.

Ein Prozess, der einen sichtbaren bzw. unmittelbaren Nutzen erzeugt (direkte Wertschöpfung).

Ein Informationssicherheitsmanagementsystem (ISMS) ist das Rückgrat für die Informationssicherheit innerhalb Ihrer Organisation. Es umfasst eine Reihe von Prozessen, Regeln und Technologien, die darauf abzielen, den Schutz von Daten und Informationen kontinuierlich sicherzustellen und zu verbessern. Ein ISMS sorgt dafür, dass sensible Informationen sicher bleiben, Risiken kontrolliert werden und Compliance-Anforderungen erfüllt sind. Eine Zertifizierung durch externe Auditoren (z. B. nach ISO 27001BSI IT-GrundschutzTISAX®SOC2) beweist, dass Ihr Unternehmen hohe Standards im Umgang mit Informationssicherheit einhält.

Der Informationsverbund ist gleich dem Geltungsbereich. Der Begriff Informationsverbund wird vom BSI anstelle des Begriffs Geltungsbereichs verwendet.

Im Fokus der Kern-Absicherung stehen zunächst die besonders gefährdeten Geschäftsprozesse und Assets.

Der Kumulationseffekt beschreibt, dass sich der Schutzbedarf eines IT-Systems erhöhen kann, wenn durch Kumulation mehrerer (z. B. kleinerer) Schäden auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann. Ein Auslöser kann auch sein, dass mehrere IT-Anwendungen bzw. eine Vielzahl sensitiver Informationen auf einem IT-System verarbeitet werden, so dass durch Kumulation von Schäden der Gesamtschaden höher sein kann.

Nach dem Maximumprinzip bestimmt der Schaden bzw. die Summe der Schäden mit den schwerwiegendsten Aus- wirkungen den Schutzbedarf eines Geschäftsprozesses, einer Anwendung bzw. eines IT-Systems.

Bei den Vorgehensweisen nach IT-Grundschutz wird bei der Modellierung der betrachtete Informationsverbund ei- nes Unternehmens oder einer Behörde mit Hilfe der Bausteine aus dem IT-Grundschutz-Kompendium nachgebil- det. Hierzu enthalten die Bausteine des IT-Grundschutz-Kompendiums im Kapitel „Abgrenzung und Modellierung“ einen Hinweis, auf welche Zielobjekte er anzuwenden ist und welche Voraussetzungen dabei gegebenenfalls zu beachten sind.

Die Risikoanalyse ist der vollständige Prozess zur Beurteilung (Identifikation, Analyse und Bewertung) und Behandlung von Risiken. Obwohl nach ISO-Normen wie ISO 31000 und ISO 27005 die Risikoanalyse nur einen Schritt der Risikobeurteilung darstellt, hat sich im deutschen Sprachgebrauch der Begriff für den gesamten Prozess der Risikobeurteilung und -behandlung etabliert, was auch im IT-Grundschutz so verwendet wird und in dem Standard 200-3 weitergehend beschrieben wird.

Eine Risiko-Matrix ist ein Werkzeug zur Bewertung und Priorisierung von Risiken, indem sie die Wahrscheinlichkeit eines Risikos und dessen potenzielle Auswirkungen visualisiert. Sie hilft Organisationen, Risiken systematisch zu identifizieren, zu analysieren und geeignete Maßnahmen zur Risikominderung zu planen.

Bei der Schutzbedarfsfeststellung wird der Schutzbedarf der Geschäftsprozesse, der verarbeiteten Informationen, der IT-Systeme, Räume und Kommunikationsverbindungen bestimmt. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung der Grund- werte der Informationssicherheit (Vertraulichkeit, Integrität oder Verfügbarkeit) entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden realistisch einzuschätzen. Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“.

Die Standard-Absicherung entspricht im Wesentlichen der klassischen IT-Grundschutz-Vorgehensweise des BSI- Standards 100-2. Mit der Standard-Absicherung kann der oder die ISB die Assets und Prozesse einer Institution sowohl umfassend als auch in der Tiefe absichern.

In einer Strukturanalyse werden die erforderlichen Informationen über den ausgewählten Informationsverbund, die Geschäftsprozesse, Anwendungen, IT-Systeme, Netze, Räume, Gebäude und Verbindungen erfasst und so aufbe- reitet, dass sie die weiteren Schritte gemäß IT-Grundschutz unterstützen.

Zielobjekte sind Teile des Informationsverbunds, denen im Rahmen der Modellierung ein oder mehrere Bausteine aus dem IT-Grundschutz-Kompendium zugeordnet werden können. Zielobjekte können dabei physische Objekte sein, z. B. IT-Systeme. Häufig sind Zielobjekte jedoch logische Objekte, wie beispielsweise Organisationseinheiten, Anwendungen oder der gesamte Informationsverbund.

BSI steht für das Bundesamt für Sicherheit in der Informationstechnik.

Es ist die zentrale staatliche Stelle in Deutschland für Fragen der Cyber- und Informationssicherheit. Das BSI entwickelt unter anderem Standards wie den IT-Grundschutz, berät Behörden und Unternehmen beim Schutz ihrer IT-Systeme und warnt vor Sicherheitslücken und Cyberangriffen.

Kurz gesagt: Das BSI ist die deutsche Fachbehörde für Informationssicherheit.

Sie haben noch mehr Fragen zum Thema ISMS?

Unter Wissen finden sie viele weiterführende Blogs rund um das Thema ISMS. Sie finden dort spezifische Standards, bis hin zu Neuigkeiten aus dem Bereich Informationssicherheit. 

Lesen Sie zum Beispiel unseren Blog zum Thema ISMS, um tiefer in das Thema einzusteigen.

fuentis Suite 4

  • Transparente Preise & Funktionen
  • Schneller zur Zertifizierung
  • Automatisiertes Risikomanagement
  • Rundum-Support durch Experten
  • Made in Germany: DSGVO-konforme Lösung, entwickelt und gehostet in Deutschland.
Nach oben scrollen