Glossar
Sicherheits- und Compliance-Terminologie in CyberOrigen.
A
API (Application Programming Interface) Eine Reihe von Protokollen und Tools zum Erstellen von Softwareanwendungen. CyberOrigen bietet eine REST-API fuer programmatischen Zugriff.
ASV (Approved Scanning Vendor) Ein von PCI SSC zugelassenes Unternehmen zur Durchfuehrung externer Schwachstellen-Scans fuer PCI-DSS-Compliance.
Attestation (Bestaetigung) Eine formelle Erklaerung, dass etwas wahr ist. In CyberOrigen bestaetigen Benutzer, dass sie zur Durchfuehrung von Scans berechtigt sind.
Audit Log (Audit-Protokoll) Eine chronologische Aufzeichnung sicherheitsrelevanter Ereignisse fuer Rechenschaftspflicht und forensische Analyse.
Audit Trail (Pruefpfad) Vollstaendige Dokumentation aller durchgefuehrten Aktionen, die als Nachweis fuer Compliance-Audits dient.
B
BAA (Business Associate Agreement) Ein HIPAA-erforderlicher Vertrag zwischen Covered Entities und ihren Business Associates, die PHI verarbeiten.
Backup Codes (Backup-Codes) Einmalige Wiederherstellungscodes fuer MFA, verwendet wenn der primaere Authenticator nicht verfuegbar ist.
Breach (Verletzung) Unbefugter Zugriff auf oder Offenlegung von geschuetzten Informationen.
C
CDE (Cardholder Data Environment) Systeme, die Zahlungskartendaten speichern, verarbeiten oder uebertragen. PCI-DSS-Scope-Definition.
CIA-Triade Kern-Sicherheitsprinzipien: Vertraulichkeit (Confidentiality), Integritaet (Integrity) und Verfuegbarkeit (Availability).
Compliance Einhaltung von Gesetzen, Vorschriften, Standards oder Richtlinien.
Control (Kontrolle) Eine Massnahme zum Schutz von Systemen oder Informationen. Kann technisch, administrativ oder physisch sein.
CSF (Cybersecurity Framework) NIST-Rahmenwerk fuer Cybersicherheits-Risikomanagement durch Kernfunktionen: Identifizieren, Schuetzen, Erkennen, Reagieren, Wiederherstellen.
CVE (Common Vulnerabilities and Exposures) Eine standardisierte Kennung fuer bekannte Sicherheitsschwachstellen (z.B. CVE-2024-1234).
CVSS (Common Vulnerability Scoring System) Ein standardisiertes Bewertungssystem fuer Schwachstellen-Schweregrad, von 0.0 bis 10.0.
D
DAST (Dynamic Application Security Testing) Testen einer laufenden Anwendung auf Schwachstellen durch Simulation von Angriffen.
Data Subject (Betroffene Person) Unter der DSGVO eine identifizierbare natuerliche Person, deren personenbezogene Daten verarbeitet werden.
Defense in Depth (Tiefenverteidigung) Sicherheitsstrategie mit mehreren Kontrollschichten zum Schutz von Systemen.
DORA (Digital Operational Resilience Act) EU-Verordnung fuer IKT-Risikomanagement im Finanzsektor.
DPA (Data Processing Agreement) / AVV (Auftragsverarbeitungsvertrag) Vertrag gemaess DSGVO zwischen Datenverantwortlichen und Auftragsverarbeitern.
DPIA / DSFA (Datenschutz-Folgenabschaetzung) DSGVO-erforderliche Bewertung fuer Datenverarbeitungsaktivitaeten mit hohem Risiko.
DPO / DSB (Datenschutzbeauftragter) Person, die fuer die DSGVO-Compliance innerhalb einer Organisation verantwortlich ist.
DSGVO (Datenschutz-Grundverordnung) EU-Verordnung fuer Datenschutz und Privatsphaere. Englisch: GDPR (General Data Protection Regulation).
E
Encryption (Verschluesselung) Prozess der Codierung von Daten, sodass nur berechtigte Parteien sie lesen koennen.
ePHI (Electronic Protected Health Information) PHI in elektronischer Form, geschuetzt unter HIPAA.
EPSS (Exploit Prediction Scoring System) Wahrscheinlichkeit, dass eine Schwachstelle in freier Wildbahn ausgenutzt wird.
Evidence (Nachweis) Dokumentation, die die Kontrollimplementierung oder den Compliance-Status belegt.
F
False Positive (Falsch-Positiv) Ein Finding, das faelschlicherweise als Schwachstelle identifiziert wird, obwohl es keine ist.
Finding (Befund) Ein entdecktes Sicherheitsproblem, eine Schwachstelle oder Compliance-Luecke.
Framework (Rahmenwerk) Ein strukturierter Ansatz zur Implementierung von Sicherheit oder Compliance (z.B. SOC 2, ISO 27001).
G
Gap Analysis (Lueckenanalyse) Bewertung zur Identifizierung von Unterschieden zwischen aktuellem und gewuenschtem Sicherheitszustand.
GRC (Governance, Risk, and Compliance) Integrierter Ansatz zur Verwaltung von Governance, Risikomanagement und Compliance.
H
HIPAA (Health Insurance Portability and Accountability Act) US-Gesetz zum Schutz von Gesundheitsinformations-Privatsphaere und -Sicherheit.
Host Ein Computer oder Geraet in einem Netzwerk.
I
ICT / IKT (Informations- und Kommunikationstechnologie) Alle Technologien fuer Telekommunikation und Computernetzwerke.
Incident (Vorfall) Ein Sicherheitsereignis, das die Vertraulichkeit, Integritaet oder Verfuegbarkeit von Systemen oder Daten bedroht.
ISMS (Information Security Management System / Informationssicherheits-Managementsystem) Rahmenwerk aus Richtlinien und Verfahren zur systematischen Verwaltung der Informationssicherheit (ISO 27001).
IOC (Indicator of Compromise) Hinweis darauf, dass eine Sicherheitsverletzung stattgefunden hat.
K
KRI (Key Risk Indicator) Metrik zur Messung potenzieller Risikoexposition.
L
Least Privilege (Minimale Berechtigungen) Sicherheitsprinzip, das Benutzern nur minimalen Zugriff fuer ihre Rolle gewaehrt.
M
MFA (Multi-Factor Authentication / Multi-Faktor-Authentifizierung) Authentifizierung, die mehrere Verifizierungsmethoden erfordert.
MISP (Malware Information Sharing Platform) Open-Source-Threat-Intelligence-Plattform, integriert mit CyberOrigen.
N
NIST (National Institute of Standards and Technology) US-Behoerde, die Cybersicherheitsstandards und -rahmenwerke entwickelt.
Nuclei Template-basierter Schwachstellen-Scanner, verwendet von CyberOrigen.
O
OWASP (Open Web Application Security Project) Organisation, die Web-Sicherheitsressourcen produziert, einschliesslich der OWASP Top 10.
P
PCI-DSS (Payment Card Industry Data Security Standard) Sicherheitsstandard fuer Organisationen, die Zahlungskarten verarbeiten.
Penetration Testing (Penetrationstest) Autorisierter simulierter Angriff zur Bewertung der Sicherheit.
PHI (Protected Health Information / Geschuetzte Gesundheitsinformationen) Individuell identifizierbare Gesundheitsinformationen, geschuetzt durch HIPAA.
PII (Personally Identifiable Information / Personenbezogene Daten) Daten, die eine Person identifizieren koennen.
Policy (Richtlinie) Formelle Erklaerung von Regeln und Erwartungen fuer Sicherheitspraktiken.
Procedure (Verfahren) Schritt-fuer-Schritt-Anweisungen zur Umsetzung von Richtlinien.
Q
QSA (Qualified Security Assessor) Von PCI SSC zertifizierte Person zur Bewertung der PCI-DSS-Compliance.
Quarantine (Quarantaene) Isolation verdaechtiger schaedlicher Dateien zur Ueberpruefung.
R
RACI Matrix (RACI-Matrix) Zuweisungsmatrix, die zeigt, wer Responsible (Verantwortlich), Accountable (Rechenschaftspflichtig), Consulted (Konsultiert) und Informed (Informiert) ist.
RAG (Retrieval-Augmented Generation) KI-Technik, die externes Wissen zur Verbesserung von Antworten nutzt.
Remediation (Behebung) Prozess zur Behebung identifizierter Schwachstellen oder Compliance-Luecken.
Risk (Risiko) Potenzial fuer Verlust oder Schaden, wenn eine Bedrohung eine Schwachstelle ausnutzt.
Risk Appetite (Risikoappetit) Hoehe des Risikos, das eine Organisation bereit ist zu akzeptieren.
Risk Register (Risikoregister) Dokument, das identifizierte Risiken, Bewertungen und Behandlungsplaene auflistet.
ROC (Report on Compliance) PCI-DSS-Bewertungsbericht, erstellt von einem QSA.
S
SAQ (Self-Assessment Questionnaire / Selbstbewertungsfragebogen) PCI-DSS-Selbstbewertungstool fuer qualifizierende Haendler.
SAST (Static Application Security Testing) Analyse von Quellcode auf Schwachstellen ohne Ausfuehrung.
SIEM (Security Information and Event Management) System zur Sammlung und Analyse von Sicherheits-Logs und -Ereignissen.
SLA (Service Level Agreement) Vertrag, der erwartete Serviceniveaus definiert.
SOC 2 (Service Organization Control 2) Audit-Rahmenwerk fuer Dienstleister, basierend auf Trust Services Criteria.
SSRF (Server-Side Request Forgery) Schwachstelle, die Angreifern ermoeglicht, Anfragen vom Server zu stellen.
SSL/TLS Protokolle zur Verschluesselung von Netzwerkkommunikation.
T
Threat (Bedrohung) Potenzielle Ursache eines unerwuenschten Vorfalls.
Threat Intelligence Informationen ueber Bedrohungen und Bedrohungsakteure.
TLPT (Threat-Led Penetration Testing) Fortgeschrittene Testmethodik, erforderlich durch DORA.
Trust Services Criteria AICPA-Kriterien fuer SOC 2: Sicherheit, Verfuegbarkeit, Verarbeitungsintegritaet, Vertraulichkeit, Datenschutz.
V
Vulnerability (Schwachstelle) Eine Schwaeche, die von einer Bedrohung ausgenutzt werden koennte.
Vulnerability Management (Schwachstellenmanagement) Prozess zur Identifizierung, Bewertung, Behandlung und Berichterstattung von Schwachstellen.
W
WAF (Web Application Firewall) Sicherheitsloesung zum Schutz von Webanwendungen vor Angriffen.
Webhook HTTP-Callback fuer Echtzeit-Benachrichtigungen zwischen Systemen.
Z
Zero Day Eine Schwachstelle, die Anbietern unbekannt ist oder fuer die keine Patches verfuegbar sind.