Datenschutz und Compliance-Definitionen
-
A
Acceptable Use Policy (AUP)
Unternehmen legen ihren Mitarbeitern oder Kunden in der Regel eine Acceptable Use Policy mit Verhaltensvorschriften vor, bevor diese auf Netzwerke und Dienste zugreifen dürfen.
-
Anonymisierung von Daten
Mit dem Anonymisieren von Daten wird versucht, alle personenbezogenen Informationen so zu verändern, dass keine Rückschlüsse mehr auf beteiligte Personen geschlossen werden können.
-
Archiv
Im Computerbereich beschreibt der Begriff Archiv in der Regel eine Sammlung von Dateien, die als Paket zusammengefasst werden.
-
Änderungsmanagement (Change Management)
Unter Änderungsmanagement (Change Management) versteht man Richtlinien und Software, die dabei helfen, Veränderungen in Unternehmen zu planen, durchzuführen und zu dokumentieren.
-
B
Bundesdatenschutzbeauftragter (BfDI)
Der Bundesdatenschutzbeauftragte überwacht die DSGVO und das Bundesdatenschutzgesetz, sowie die Durchsetzung und klärt darüber hinaus die Öffentlichkeit in Sachen Datenschutz auf.
-
C
California Consumer Privacy Act (CCPA)
Der California Consumer Privacy Act oder kurz CCPA soll die personenbezogenen Daten von kalifornischen Verbrauchern schützen und deren Rechte an den eigenen Daten stärken.
-
Chief Compliance Officer (CCO)
Ein Chief Compliance Officer kümmert sich im Unternehmen um die Einhaltung gesetzlicher Vorgaben oder Verordnungen ebenso wie um das Durchsetzen interner eigener Richtlinien.
-
Clean Desk Policy (CDP)
Eine Clean Desk Policy hält Mitarbeiter dazu an, ihren Schreibtisch am Ende des Tages immer aufzuräumen. So sollen sensible Daten vor unberechtigtem Zugriff geschützt werden.
-
Cloud Access Security Broker (CASB)
Cloud Access Security Broker (CASB) sorgen dafür, dass die Kommunikation zwischen der Infrastruktur vor Ort und der Cloud nur nach vorgegebenen Sicherheitsrichtlinien erfolgt.
-
COBIT
COBIT (Control Objectives for Information and Related Technologies) ist ein Governance-Framework zum Implementieren, Überwachen und Verbessern des IT-Managements.
-
Compliance
Compliance verpflichtet Unternehmen unter anderem dazu gesetzliche Vorgaben, Verordnungen, Spezifikationen und eigene Richtlinien einzuhalten. Verstöße könne geahndet werden.
-
Compliance as a Service (CaaS)
Compliance as a Service ist ein Cloud-SLA, in dem festgelegt wird, wie ein Managed Service Provider Unternehmen hilft, die gesetzlichen Compliance-Anforderungen zu erfüllen.
-
Compliance Framework
Ein Compliance Framework ist eine Sammlung von Richtlinien und Prozessen, um vorgeschriebene Regularien, Normen oder Gesetze in Firmen einzuhalten.
-
Compliance-Automatisierung
Mit Compliance-Automatisierung ist es für IT-Teams und Geschäftsführung einfacher, Richtlinien übergreifend umzusetzen, deren Einhaltung zu überwachen und Risiken zu erkennen.
-
Compliance-Risiken
Zu Compliance-Risiken gehören rechtliche Sanktionen, finanzielle Verluste oder Imageschäden, wenn Firmen gegen Gesetze oder Richtlinien verstoßen.
-
Confidential Computing
Beim Konzept Confidential Computing sollen die Daten auch während der Verarbeitung geschützt werden und verschlüsselt verarbeitet werden, um den Zugriff zu begrenzen.
-
Corporate Governance
Corporate Governance umfasst Regeln und Prozesse, mit denen Unternehmen rechtlich einwandfreies und ethisch korrektes Handeln sicherstellen wollen.
-
D
Data Masking (Datenmaskierung)
Wenn Unternehmen Software testen, sollte dies mit möglichst realistischen Daten passieren. Originaldaten sind hierfür tabu, bei der Datenmaskierung werden Daten anonymisiert.
-
Datenschatten (data shadow)
Ein Datenschatten ist die Gesamtheit der Daten, die im Laufe eines Lebens einer Person automatisch generiert, aufgezeichnet und nicht absichtlich erstellt und abgelegt werden.
-
Datenschutzkonferenz (DSK)
Die Datenschutzkonferenz hat die Aufgabe die Grundrechte in Sachen Datenschutz zu schützen und zu wahren. Das erfolgt durch Beschlüsse, Orientierungshilfen und Standardisierungen.
-
Digitaler Fußabdruck
Der digitale Fußabdruck ist die Gesamtheit der Daten, die als Ergebnis von Onlineaktionen und -kommunikation existieren und zu einer Person zurückverfolgt werden können.
-
Digitales Wasserzeichen
Ein digitales Wasserzeichen kann als Code oder Zeichenfolge in ein Dokument, Bild oder Video eingebunden werden, meist um den Urheber eindeutig identifizieren zu können.
-
Dongle
Ein Dongle ist ein Hardwareschlüssel, der die Sicherheit erhöhen oder das geistige Eigentum schützen soll. Heutige Dongles für den USB-Port ähneln den gängigen USB-Flash-Sticks.
-
Drittanbieter-Cookie
In den letzten Jahren ist es zu einer Kontroverse wegen dem Setzen von Drittanbieter-Cookies durch Tracking- und Werbefirmen gekommen. Google arbeitet daher an neuen Techniken.
-
Dumpster Diving
Unternehmen gehen mit vielen Informationen oft leichtfertig um, etwa im Papiermüll oder bei ausrangierten Geräten. Das machen sich Kriminelle per Dumpster Diving zunutze.
-
E
E-Mail-Governance
Der Umgang mit E-Mails im Unternehmen muss geregelt sein, beispielsweise um rechtlichen oder Compliance-Vorschriften gerecht zu werden. Das legt die E-Mail-Governance fest.
-
ENISA
ENISA ist die Agentur der Europäischen Union für Cybersicherheit. Aufgabe ist es, auf verschiedenen Ebenen für eine Verbesserung der Cybersicherheit innerhalb der EU beizutragen.
-
EU-Datenschutz-Grundverordnung (EU-DSGVO)
Die EU-Datenschutz-Grundverordnung regelt die Verarbeitung der personenbezogenen Daten von EU-Bürgern durch Firmen oder Behörden einheitlich.
-
Europäischer Datenschutzausschuss (EDSA/EDPB)
Der Europäische Datenschutzausschuss liefert Vorgaben, die zu einer einheitlichen Anwendung der Vorschriften in der EU beitragen. Diese helfen bei der Umsetzung der DSGVO.
-
Europäischer Datenschutzbeauftragter (EDSB)
Der Europäische Datenschutzbeauftragte agiert als unabhängige Datenschutzbehörde der EU und überwacht die Verarbeitung personenbezogener Daten durch EU-Organe und -Einrichtungen.
-
F
Forensisches Abbild
Ein forensisches Abbild ist eine Bit-für-Bit-, Sektor-für-Sektor-Kopie eines physischen Datenträgers, einschließlich aller Dateien, freiem und nicht zugewiesenem Speicherplatz.
-
G
Geoblocking
Mit Geoblocking werden Anwender aus bestimmten geografischen Regionen ausgesperrt oder umgelenkt. Wir klären, wie das funktioniert, ob es legal ist und ob man es umgehen darf.
-
Geschäftsjahr (Fiskaljahr)
Ein Geschäftsjahr ist die aus zwölf Monaten bestehende Periode, innerhalb derer ein Unternehmen das Budget festlegt und einen Geschäftsbericht ablegt.
-
H
HIPAA (Health Insurance Portability and Accountability Act)
HIPAA ist kurz für Health Insurance Portability and Accountability Act und beschreibt ein landesweites US-amerikanisches Gesetz, dass medizinische Informationen schützen soll.
-
I
Information Lifecycle Management (ILM)
Der Beitrag gibt einen Überblick über Nutzen und Anwendung von Informationen Life Cycle Management.
-
Informationssicherheit
Bei der Informationssicherheit geht es um den Schutz von Daten in Zusammenhang mit der Nutzung, Übertragung und Verarbeitung in IT-Systemen und der Minimierung von Risiken.
-
ISO (International Organization for Standardization)
Die ISO ist ein weltweiter Zusammenschluss nationaler Normungsgremien. ISO-Normen helfen Unternehmen, die Qualität und Verlässlichkeit ihrer Produkte zu sichern.
-
ISO 27001
Die ISO 27001 ist ein Branchenstandard für Informationssicherheitsmanagementsystem, der relevante Richtlinien und Verfahren vorgibt, die ein Unternehmen hierfür nutzen kann.
-
IT-Asset-Management (ITAM)
Erfahren Sie, was IT-Asset-Management ist und wie seine Praktiken dazu beitragen, den Geschäftswert zu steigern, die Entscheidungsfähigkeit zu verbessern und Risiken zu verringern.
-
ITAR- und EAR-Compliance
Der amerikanische Staat verfügt über umfassende Exportkontrollen, die auch nicht-militärische Güter betreffen, sofern sie für Verteidigungszwecke eingesetzt werden.
-
K
Kaizen (kontinuierliche Verbesserungen)
Kaizen ist eine Unternehmensphilosophie, die Betriebe darin anleitet, eine Umgebung zu schaffen, in der Mitarbeiterfeedback ihre Produkte und Prozesse kontinuierlich verbessert.
-
Kritische Infrastruktur (KRITIS)
Kritische Infrastruktur umfasst die Systeme, Netzwerke und physische Strukturen, welche für die Sicherheit, Versorgung und Gesundheit der Bevölkerung eines Landes notwendig sind.
-
L
Leaky App
Leaky Apps sind undichte Stellen beziehungsweise Anwendungen, über die Unternehmensdaten unbemerkt abfließen, etwa wenn Mitarbeiter ihr Smartphone mit dem Unternehmen verbinden.
-
Legacy-Anwendung (Altanwendung)
Eine Legacy-Anwendung (Legacy-Applikation) ist ein veraltetes oder überholtes Softwareprogramm. Altanwendungen können zu Kompatibilitätsproblemen und Sicherheitsrisiken führen.
-
Litigation Hold (Preservation Orders oder Hold Orders)
Rechtskonforme Datensicherung garantiert die Verfügbarkeit prozesswichtiger Daten.
-
Luhn-Formel (Modulo 10)
Die Luhn-Formel, auch Modulo-10-Algorithmus genannt, ist eine einfache Berechnungsvorschrift, mit der sich beispielsweise Kreditkartennummern auf Gültigkeit überprüfen lassen.
-
M
Microsoft Azure Key Vault
Passwörter, Zertifikate und kryptografische Schlüssel werden mit dem Cloud-Sicherheitsdienst Microsoft Azure Key Vault sicher und zentral gespeichert und verwaltet.
-
N
Netzwerksicherheit
Unter Netzwerksicherheit versteht man alle Maßnahmen, um Netzwerke und ihre Ressourcen vor Angriffen zu schützen. Dabei helfen verschiedene Ansätze und Tools.
-
NIST (National Institute of Standards and Technology)
Das National Institute of Standards and Technology ist eine öffentliche Einrichtung, die an Standards und Metriken arbeitet, mit denen Sicherheitsinnovationen vorangetrieben werden.
-
Non-Disclosure Agreement (NDA)
Eine Geheimhaltungsvereinbarung oder NDA ist ein im Geschäftsleben oft üblicher Vertrag, bei dem sich die Parteien zu einem vertraulichen Umgang mit bestimmten Daten verpflichten.
-
P
Die 12 PCI-DSS-Anforderungen
Der Payment Card Industry Data Security Standard (PCI DSS) beschreibt zwölf Sicherheitsmaßnahmen für Kreditkartendaten für betroffene Unternehmen.
-
PCI DSS (Payment Card Industry Data Security Standard)
Der Payment Card Industry Data Security Standard (PCI DSS) enthält Vorgaben, um den nationalen und internationalen Zahlungsverkehr sicherer zu gestalten.
-
Physische Sicherheit (Objektschutz)
Physische Sicherheitsmaßnahmen verhindern, dass sich Angreifer Zugang zu einer Anlage, Systemen oder Ressourcen verschaffen können. Man nennt dies auch Objektschutz.
-
R
Rechteausweitung (Privilege Escalation)
Ein Angriff per Rechteausweitung macht sich Design- oder Programmierfehler zunutze und erlaubt dem Angreifer einen erweiterten Zugriff auf Daten, Anwendungen oder Netzwerk.
-
Ressourcenzuweisung
Die Ressourcenzuweisung ist der Prozess zum Verteilen von Assets wie Personal, Wissen und Technologie, um die strategischen Ziele des Unternehmens optimal zu unterstützen.
-
Risikobasierte Sicherheitsstrategie
Bei einer risikobasierten Security-Strategie werden Vermögenswerte und Bedrohungen priorisiert, die Eintrittswahrscheinlichkeit berücksichtigt und ein Risikoumgang bestimmt.
-
Risikobewertung (Risk Assesssment)
Eine Risikobewertung setzt sich mit der Wahrscheinlichkeit von Störungen, deren potenzielle Auswirkungen und den Sicherheitsmaßnahmen zum Schutz vor diesen Risiken auseinander.
-
Risk Map
Eine Risk Map macht auf einen Blick sichtbar, wie hoch die Wahrscheinlichkeit eines Eintritts von Risiken und deren mögliche Auswirkungen sind.
-
S
Security by Design
Wenn Hard- wie Software, Dienste und Lösungen von Anfang an bei der Entwicklung so unempfindlich gegen Angriffe wie möglich konzipiert werden, spricht man von Security by Design.
-
Shadow-Banning (Shadowban)
Manche Online-Dienste sind dazu übergegangen, störende Nutzer nicht mehr nur zu blockieren. Stattdessen belegen sie sie mit einem Shadowban. Die Nutzer merken das zunächst nicht.
-
Sicherheitslücke
Eine Sicherheitslücke bezeichnet einen Fehler in einer Software, einem System oder einer Lösung, der ein Sicherheitsrisiko für das Netzwerk oder das Endgerät darstellen kann.
-
Social-Media-Richtlinie
Mit einer Social-Media-Richtlinie geben Unternehmen ihrer Belegschaft Leitlinien hinsichtlich der Nutzung sozialer Netzwerke an die Hand, als eine Art Verhaltenskodex.
-
V
Vorfallreaktionsplan – Incident Response Plan (IRP)
Mithilfe eines Vorfallreaktionsplans oder Incident Response Plan (IRP) reagiert das Unternehmen entsprechend auf Sicherheitsvorfälle.