Datenschutz und Compliance-Definitionen
-
A
Acceptable Use Policy (AUP)
Unternehmen legen ihren Mitarbeitern oder Kunden in der Regel eine Acceptable Use Policy mit Verhaltensvorschriften vor, bevor diese auf Netzwerke und Dienste zugreifen dürfen.
-
Anonymisierung (Datenanonymisierung)
Datenanonymisierung ist eine Methode, um Daten vor Missbrauch, Diebstahl oder anderen Risiken schützen. Dafür lassen sich unterschiedliche Technologien einsetzen.
-
Archiv
Im Computerbereich beschreibt der Begriff Archiv in der Regel eine Sammlung von Dateien, die als Paket zusammengefasst werden.
-
Änderungsmanagement (Change Management)
Die Strategien des Änderungsmanagements (Change Management) zielen darauf ab, Übergänge oder Umgestaltungen von Prozessen und Technologien in einem Unternehmens zu strukturieren.
-
B
Bundesdatenschutzbeauftragte (BfDI)
Die Bundesdatenschutzbeauftrage überwacht die DSGVO und das Bundesdatenschutzgesetz, sowie deren Durchsetzung und klärt darüber hinaus die Öffentlichkeit in Sachen Datenschutz auf.
-
C
California Consumer Privacy Act (CCPA)
Der California Consumer Privacy Act oder kurz CCPA soll die personenbezogenen Daten von kalifornischen Verbrauchern schützen und deren Rechte an den eigenen Daten stärken.
-
Chief Compliance Officer (CCO)
Ein Chief Compliance Officer kümmert sich im Unternehmen um die Einhaltung gesetzlicher Vorgaben oder Verordnungen ebenso wie um das Durchsetzen interner eigener Richtlinien.
-
Chief Privacy Officer (CPO)
Der Chief Privacy Officer entwickelt den Schutz der sensiblen Daten eines Unternehmens. Er unterscheidet sich damit grundlegend vom Datenschutzbeauftragten, der dies kontrolliert.
-
Clean Desk Policy (CDP)
Eine Clean Desk Policy hält die Belegschaft dazu an, ihren Arbeitsplatz am Ende des Tages immer aufzuräumen. So sollen sensible Daten vor unberechtigtem Zugriff geschützt werden.
-
Click-Wrap-Vereinbarung (Click-Through-Vereinbarung)
Bei einer Click-Wrap-Vereinbarung (Click-Through-Vereinbarung) gibt ein Nutzer seine Zustimmung durch Klicken auf eine Schaltfläche. So wird ein Vertrag digital festgehalten.
-
Cloud Access Security Broker (CASB)
Cloud Access Security Broker (CASB) sorgen dafür, dass die Kommunikation zwischen der Infrastruktur vor Ort und der Cloud nur nach vorgegebenen Sicherheitsrichtlinien erfolgt.
-
Cloud Compliance
Cloud Compliance gewährleistet Datensicherheit durch gesetzeskonforme Nutzung und schützt Unternehmen vor Risiken wie Datenschutzverletzungen und Strafen.
-
Cloud Consulting (Cloud-Beratung)
Cloud-Beratung hilft Unternehmen bei Strategie, Migration, Sicherheit und Optimierung von Cloud-Lösungen, um Effizienz, Skalierbarkeit und Kosteneinsparungen zu maximieren.
-
COBIT
COBIT (Control Objectives for Information and Related Technologies) ist ein Governance-Framework zum Implementieren, Überwachen und Verbessern des IT-Managements.
-
Compliance
Compliance verpflichtet Unternehmen unter anderem dazu gesetzliche Vorgaben, Verordnungen, Spezifikationen und eigene Richtlinien einzuhalten. Verstöße könne geahndet werden.
-
Compliance as a Service (CaaS)
Compliance as a Service ist ein Cloud-SLA, in dem festgelegt wird, wie ein Managed Service Provider Unternehmen hilft, die gesetzlichen Compliance-Anforderungen zu erfüllen.
-
Compliance Framework
Ein Compliance Framework ist eine Sammlung von Richtlinien und Prozessen, um vorgeschriebene Regularien, Normen oder Gesetze in Firmen einzuhalten.
-
Compliance-Automatisierung
Mit Compliance-Automatisierung ist es für IT-Teams und Geschäftsführung einfacher, Richtlinien übergreifend umzusetzen, deren Einhaltung zu überwachen und Risiken zu erkennen.
-
Compliance-Risiken
Zu Compliance-Risiken gehören rechtliche Sanktionen, finanzielle Verluste oder Imageschäden, wenn Firmen gegen Gesetze oder Richtlinien verstoßen.
-
Confidential Computing
Beim Konzept Confidential Computing sollen die Daten auch während der Verarbeitung geschützt werden und verschlüsselt verarbeitet werden, um den Zugriff zu begrenzen.
-
Corporate Governance
Corporate Governance umfasst Regeln und Prozesse, mit denen Unternehmen rechtlich einwandfreies und ethisch korrektes Handeln sicherstellen wollen.
-
D
Data Masking (Datenmaskierung)
Wenn Unternehmen Software testen, sollte dies mit möglichst realistischen Daten passieren. Originaldaten sind hierfür tabu, bei der Datenmaskierung werden Daten anonymisiert.
-
Datenschatten (data shadow)
Ein Datenschatten ist die Gesamtheit der Daten, die im Laufe eines Lebens einer Person automatisch generiert, aufgezeichnet und nicht absichtlich erstellt und abgelegt werden.
-
Datenschutz-Folgenabschätzung (DSFA, DPIA)
Immer wenn neue Verfahren, Prozesse oder Lösungen eingeführt werden, sind Unternehmen verpflichtet gemäß der DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
-
Datenschutzkonferenz (DSK)
Die Datenschutzkonferenz hat die Aufgabe die Grundrechte in Sachen Datenschutz zu schützen und zu wahren. Das erfolgt durch Beschlüsse, Orientierungshilfen und Standardisierungen.
-
Digitaler Fußabdruck
Ein digitaler Fußabdruck ist die Gesamtheit der Daten, die eine Person durch ihre Online-Aktivitäten hinterlässt. Fast jede Online-Aktivität erzeugt irgendeine Form digitaler Spur.
-
Digitales Wasserzeichen
Ein digitales Wasserzeichen kann als Code oder Zeichenfolge in ein Dokument, Bild oder Video eingebunden werden, meist um den Urheber eindeutig identifizieren zu können.
-
Dongle
Ein Dongle ist ein Hardwareschlüssel, der die Sicherheit erhöhen oder das geistige Eigentum schützen soll. Heutige Dongles für den USB-Port ähneln den gängigen USB-Flash-Sticks.
-
Drittanbieter-Cookie
Drittanbieter-Cookies stammen von einer anderen Website als der, auf der sich ein Nutzer gerade befindet. Ihre Nutzung steht allerdings vor dem Ende.
-
Dumpster Diving
Unternehmen gehen mit vielen Informationen oft leichtfertig um, etwa im Papiermüll oder bei ausrangierten Geräten. Das machen sich Kriminelle per Dumpster Diving zunutze.
-
E
E-Mail-Governance
Der Umgang mit E-Mails im Unternehmen muss geregelt sein, beispielsweise um rechtlichen oder Compliance-Vorschriften gerecht zu werden. Das legt die E-Mail-Governance fest.
-
ENISA
ENISA ist die Agentur der Europäischen Union für Cybersicherheit. Aufgabe ist es, auf verschiedenen Ebenen für eine Verbesserung der Cybersicherheit innerhalb der EU beizutragen.
-
EU-Datenschutz-Grundverordnung (EU-DSGVO)
Die EU-Datenschutz-Grundverordnung regelt die Verarbeitung der personenbezogenen Daten von EU-Bürgern durch Firmen oder Behörden einheitlich.
-
Europäischer Datenschutzausschuss (EDSA/EDPB)
Der Europäische Datenschutzausschuss liefert Vorgaben, die zu einer einheitlichen Anwendung der Vorschriften in der EU beitragen. Diese helfen bei der Umsetzung der DSGVO.
-
Europäischer Datenschutzbeauftragter (EDSB)
Der Europäische Datenschutzbeauftragte agiert als unabhängige Datenschutzbehörde der EU und überwacht die Verarbeitung personenbezogener Daten durch EU-Organe und -Einrichtungen.
-
F
Forensisches Abbild
Ein forensisches Abbild ist eine Bit-für-Bit-, Sektor-für-Sektor-Kopie eines physischen Datenträgers, einschließlich aller Dateien, freiem und nicht zugewiesenem Speicherplatz.
-
G
Geoblocking
Mit Geoblocking werden Anwender aus bestimmten geografischen Regionen ausgesperrt oder umgelenkt. Wir klären, wie das funktioniert, ob es legal ist und ob man es umgehen darf.
-
Geschäftsjahr (Fiskaljahr)
Ein Geschäftsjahr besteht in der Regel aus 12 Monaten, die eine Firma plant, budgetiert und darüber Bericht ablegt. Das Fiskaljahr muss nicht notwendigerweise im Januar starten.
-
H
HIPAA (Health Insurance Portability and Accountability Act)
HIPAA ist kurz für Health Insurance Portability and Accountability Act und beschreibt ein landesweites US-amerikanisches Gesetz, dass medizinische Informationen schützen soll.
-
I
Information Lifecycle Management (ILM)
Der Beitrag gibt einen Überblick über Nutzen und Anwendung von Informationen Life Cycle Management.
-
Informationssicherheit
Bei der Informationssicherheit geht es um den Schutz von Daten in Zusammenhang mit der Nutzung, Übertragung und Verarbeitung in IT-Systemen und der Minimierung von Risiken.
-
IPAM (IP Address Management)
Mittels IP Address Management (IPAM) können Netzwerkadministratoren ihre Netzwerke im Detail analysieren und die IP-Konfiguration automatisiert aktuell halten.
-
ISMS (Information Security Management System)
Mit einem ISMS (Information Security Management System) erstellen Unternehmen einen Satz von Regeln und Verfahrensweisen, um sensible Daten vor Missbrauch zu schützen.
-
ISO (International Organization for Standardization)
Die ISO (International Organization for Standardization) ist der Zusammenschluss von nationalen Normungsgremien und veröffentlicht Standards, die unter anderem für Technologie gelten.
-
ISO 27001
Die ISO 27001 ist ein Branchenstandard für Informationssicherheitsmanagementsystem, der relevante Richtlinien und Verfahren vorgibt, die ein Unternehmen hierfür nutzen kann.
-
IT-Asset-Management (ITAM)
Erfahren Sie, was IT-Asset-Management ist und wie seine Praktiken dazu beitragen, den Geschäftswert zu steigern, die Entscheidungsfähigkeit zu verbessern und Risiken zu verringern.
-
ITAR- und EAR-Compliance
Der amerikanische Staat verfügt über umfassende Exportkontrollen, die auch nicht-militärische Güter betreffen, sofern sie für Verteidigungszwecke eingesetzt werden.
-
K
Kaizen (kontinuierliche Verbesserung)
Kaizen ist eine Unternehmensphilosophie, die dabei unterstützt, eine Umgebung zu schaffen, in der Feedback von Mitarbeitern Produkte und Prozesse kontinuierlich verbessern.
-
Kritische Infrastruktur (KRITIS)
Kritische Infrastruktur umfasst die Systeme, Netzwerke und physische Strukturen, welche für die Sicherheit, Versorgung und Gesundheit der Bevölkerung eines Landes notwendig sind.
-
L
Leaky App
Leaky Apps sind undichte Stellen beziehungsweise Anwendungen, über die Unternehmensdaten unbemerkt abfließen, etwa wenn Mitarbeiter ihr Smartphone mit dem Unternehmen verbinden.
-
Legacy-Anwendung (Altanwendung)
Eine Legacy-Anwendung (Legacy-Applikation) ist ein veraltetes oder überholtes Softwareprogramm. Altanwendungen können zu Kompatibilitätsproblemen und Sicherheitsrisiken führen.
-
Litigation Hold (Preservation Orders oder Hold Orders)
Rechtskonforme Datensicherung garantiert die Verfügbarkeit prozesswichtiger Daten.
-
Luhn-Formel (Modulo 10)
Die Luhn-Formel, auch Modulo-10-Algorithmus genannt, ist eine einfache Berechnungsvorschrift, mit der sich beispielsweise Kreditkartennummern auf Gültigkeit überprüfen lassen.
-
M
Microsoft Azure Key Vault
Passwörter, Zertifikate und kryptografische Schlüssel werden mit dem Cloud-Sicherheitsdienst Microsoft Azure Key Vault sicher und zentral gespeichert und verwaltet.
-
N
Netzwerksicherheit
Unter Netzwerksicherheit versteht man alle Maßnahmen, um Netzwerke und ihre Ressourcen vor Angriffen zu schützen. Dabei helfen verschiedene Ansätze und Tools.
-
NIST (National Institute of Standards and Technology)
Das National Institute of Standards and Technology ist eine öffentliche Einrichtung, die an Standards und Metriken arbeitet, mit denen Sicherheitsinnovationen vorangetrieben werden.
-
Non-Disclosure Agreement (NDA)
Eine Geheimhaltungsvereinbarung oder NDA ist ein im Geschäftsleben oft üblicher Vertrag, bei dem sich die Parteien zu einem vertraulichen Umgang mit bestimmten Daten verpflichten.
-
P
Die 12 PCI-DSS-Anforderungen
Der Payment Card Industry Data Security Standard (PCI DSS) beschreibt zwölf Sicherheitsmaßnahmen für Kreditkartendaten für betroffene Unternehmen.
-
PCI DSS (Payment Card Industry Data Security Standard)
Der Payment Card Industry Data Security Standard (PCI DSS) enthält Vorgaben, um den nationalen und internationalen Zahlungsverkehr sicherer zu gestalten.
-
Physische Sicherheit (Objektschutz)
Physische Sicherheitsmaßnahmen verhindern, dass sich Angreifer Zugang zu einer Anlage, Systemen oder Ressourcen verschaffen können. Man nennt dies auch Objektschutz.
-
R
Rechteausweitung (Privilege Escalation)
Ein Angriff per Rechteausweitung macht sich Design- oder Programmierfehler zunutze und erlaubt dem Angreifer einen erweiterten Zugriff auf Daten, Anwendungen oder Netzwerk.
-
Ressourcenzuweisung
Die Ressourcenzuweisung ist der Prozess zum Verteilen von Assets wie Personal, Wissen und Technologie, um die strategischen Ziele des Unternehmens optimal zu unterstützen.
-
Risikobasierte Sicherheitsstrategie
Bei einer risikobasierten Security-Strategie werden Vermögenswerte und Bedrohungen priorisiert, die Eintrittswahrscheinlichkeit berücksichtigt und ein Risikoumgang bestimmt.
-
Risikobewertung (Risk Assesssment)
Eine Risikobewertung setzt sich mit der Wahrscheinlichkeit von Störungen, deren potenzielle Auswirkungen und den Sicherheitsmaßnahmen zum Schutz vor diesen Risiken auseinander.
-
Risk Map
Eine Risk Map macht auf einen Blick sichtbar, wie hoch die Wahrscheinlichkeit eines Eintritts von Risiken und deren mögliche Auswirkungen sind.
-
S
Security by Design
Wenn Hard- wie Software, Dienste und Lösungen von Anfang an bei der Entwicklung so unempfindlich gegen Angriffe wie möglich konzipiert werden, spricht man von Security by Design.
-
Service Level Agreement (SLA)
Service Level Agreements definieren Qualität und Umfang von Dienstleistungen. Lesen Sie, wie Unternehmen rechtssichere SLAs erstellen und was beim Aushandeln zu beachten ist.
-
Shadow-Banning (Shadowban)
Manche Online-Dienste sind dazu übergegangen, störende Nutzer nicht mehr nur zu blockieren. Stattdessen belegen sie sie mit einem Shadowban. Die Nutzer merken das zunächst nicht.
-
Sicherheitslücke
Eine Sicherheitslücke bezeichnet einen Fehler in einer Software, einem System oder einer Lösung, der ein Sicherheitsrisiko für das Netzwerk oder das Endgerät darstellen kann.
-
SOC 1 (Service Organization Control 1)
Ein Bericht nach Service Organization Control 1 (SOC 1) ist eine Dokumentation interner Kontrollmechanismen eines Dienstleisters gemäß SSAE 16.
-
Social-Media-Richtlinie
Mit einer Social-Media-Richtlinie geben Unternehmen ihrer Belegschaft Leitlinien hinsichtlich der Nutzung sozialer Netzwerke an die Hand, als eine Art Verhaltenskodex.
-
V
Vorfallreaktionsplan – Incident Response Plan (IRP)
Mithilfe eines Vorfallreaktionsplans oder Incident Response Plan (IRP) reagiert das Unternehmen entsprechend auf Sicherheitsvorfälle.