Logo Bundesamt für Sicherheit in der Informationstechnik  

BSI Schulung IT-Grundschutz

Glossar (I - O)

direkt zum Inhalt des Kapitels

A | B | C | D | E | F |G |H | I | K | L | M | N | O | P | R | S | T | U | V | W | Z

 Logo Kurs
Startseite
Warum IT-Grundschutz?
Sicherheitsmanagement
IT-Strukturanalyse
Schutzbedarf
Modellierung
Basis-Sicherheitscheck
Realisierung
Zertifizierung
IT-Grundschutzhandbuch
Sitemap
Glossar
Hilfsmittel
Hilfe
Kontakte - Impressum
 

I

Informationen
Daten, die im Zusammenhang von Geschäftsabläufen oder Behördenverfahren gespeichert oder verwaltet werden auf Systemen oder Medien wie Festplatten oder CD-ROM.

Informationen innerhalb von IT-Systemen
Eine Auskunft über Vorgänge und Sachverhalte in der Wirklichkeit (in Zahlen, Buchstaben, Texten, Bildern und Tönen, die informationstechnisch (in IT-Systemen) in Form von Daten kodiert ist.

Informationstechnik (IT)
IT umfasst im Sinne des BSI-Errichtungsgesetzes alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen. IT stellt heute Informationen meist digital im binären Zahlensystem als Folge der Zahlen 0 und 1 dar (Kap. 1.2, 6.3).

Infrastruktur
Siehe IT-Infrastruktur.

Integrität
Integrität bedeutet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Integrität bezogen auf Daten bedeutet, dass die Daten vollständig und unverändert sind, also weder die Daten noch ihre Sicherungskopien und Dokumentationen ohne Berechtigung erzeugt, geändert oder gelöscht werden können. Der Begriff "Information" wird in der Informationstechnik für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert wurden oder Angaben zum Autor verfälscht wurden oder der Zeitpunkt der Erstellung manipuliert wurde (Kap. 3.4, 4.2ff).

Internet
Rechnernetz, das aus einer Reihe großer internationaler und nationaler Netze sowie einer großen Zahl regionaler und lokaler Netze in aller Welt besteht und ein einheitliches Adressierungsschema sowie die TCP/IP-Protokolle benutzt.

Intranet
Ein Intranet ist ein Netz, das sich unter vollständiger Kontrolle des Netzbetreibers (des Unternehmens) befindet. Meist wird es gegen andere Netze (wie dem Internet) durch eine Firewall abgesichert.

Intrusion-Detection-Systeme
Programme, mit denen sich Angriffe auf ein Netz frühzeitig erkennen lassen (Kap. 6.5).

ISDN
"Integrated Services Digital Network". Spezielle Telefonleitungen und -dienste zur digitalen Datenübertragung von Informationen aller Art mit einer Geschwindigkeit von 64 Kb/s. Ein ISDN-Basisanschluß besteht aus zwei Datenkanälen (B-Kanäle mit je 64 Kb/s) und einem Steuerkanal (D-Kanal).

IT
Abkürzung für Informationstechnik.

IT-Administrator
Verwalter eines Rechners oder Computernetzes, der uneingeschränkte Zugriffsrechte auf den Rechner oder das Netz hat. Ein Administrator installiert Betriebssysteme und Anwendungsprogramme, richtet neue Nutzer ein und verteilt die für die Arbeit notwendigen Rechte (Kap. 3.2, 3.3).

IT-Anwender (Abkürzung: Anwender)
Eine Person oder Organisation, die als Benutzer oder Betreiber ein oder mehrere IT-Systeme im Zusammenhang einer IT-Anwendung nutzt, um ihre Aufgaben zu erledigen.

IT-Anwendung
Einsatz eines IT-Systems (oder mehrerer) zur Erfüllung von Aufgaben, die in einem eingegrenzten fachlichen und organisatorischen Bereich liegen und gemeinsame Merkmale haben. Beispiele: Textverarbeitung, Tabellenkalkulation und Datenbankanwendungen in Büros, Buchhaltung, elektronische Beschaffung, Auftragsverwaltung (inkl. -verfolgung), Geschäftsgrafik und E-Mail-Kommunikation im Unternehmen, Computer Aided Design in der Konstruktionsabteilung (Kap. 3.4, 5.3, 5.4).

IT-Einsatz
Abkürzung für den Einsatz von IT-Systemen bei Aufgaben der Informationsverarbeitung.

IT-Grundschutz
Realisierung der im IT-GSHB empfohlenen Standard-Sicherheitsmaßnahmen für IT-Systeme. Mit der Umsetzung dieser Schutzmaßnahmen ist zumindest ein Grundschutz der Systeme für den normalen Schutzbedarf gewährleistet. Für Systeme mit hohem oder sehr hohem Schutzbedarf sind darüber hinausgehende Sicherheitsmaßnahmen notwendig (Kap. 1.2)

IT-Grundschutzanalyse
Nach dem GSHB gehören zu einer IT-Grundschutzanalyse die Modellierung nach IT-Grundschutz mit der Ermittlung der notwendigen Sicherheitsmaßnahmen und der Basis-Sicherheitscheck, in dem ein Soll-Ist-Vergleich den aktuellen Umsetzungsgrad von Sicherheitsmaßnahmen in einem Unternehmen oder einer Behörde beschreibt (Kap. 2.4, 5, 6).

IT-Grundschutz-Auditor
Hier IT-Grundschutzauditor. Person, die vom BSI lizenziert ist, im Rahmen der IT-Grundschutzzertizierung den in einem Unternehmen oder einer Behörde umgesetzten IT-Grundschutz zu überprüfen (Kap. 8.2).

IT-Grundschutzhandbuch (IT-GSHB, GSHB)
Ein vom Bundesamt für Sicherheit in der Informationstechnik erstellter Leitfaden, nach dem Unternehmen und Behörden ihren IT-Grundschutz planen und überprüfen können. Es enthält ein Bausteinsystem aus Komponenten des IT-Einsatzes, Gefährdungskataloge, Kataloge empfohlener IT-Sicherheitsmaßnahmen und Verfahrensweisen zur Ermittlung eines IT-Sicherheitsniveaus, Durchführung von Soll-Ist-Vergleich zum IT-Grundschutz und Erstellung von IT-Sicherheitskonzepten
( Kap. 1.1, Inhalte und Gliederung: 1.3).

IT-Grundschutz-Qualifizierung
Das BSI unterscheidet drei Qualifizierungsstufen zur Erlangung eines IT-Grundschutz-Zertifikats nach Aufwand der Auditierung und Überprüfung, Umfang der umgesetzten IT-Sicherheitsmaßnahmen, Kosten und Bescheinigung: Die Einstiegs- und die Aufbaustufe jeweils mit einer Selbsterklärung (des Unternehmens oder der Behörde) und die Stufe "IT-Grundschutz-Zertifikat" (Kap. 8.2).

IT-Grundschutz-Zertifikat
Ein vertrauenswürdiger Nachweis realisierter Maßnahmen nach dem IT-Grundschutzhandbuch, mit dem Unternehmen und Behörden ihre erreichte IT-Sicherheit gegenüber ihren Geschäftspartnern und Kunden ausweisen möchten. Ein Zertifikat wird von ihnen bei der Zertifizierungsstelle BSI beantragt und nach einer erfolgreichen Überprüfung (Zertifizierung) von der Zertifizierungsstelle BSI erteilt (Kap. 8.1, 8.2).

IT-Grundschutz-Zertifizierung (auch IT-Grundschutz-Qualifizierung)
Verfahren, in dem Unternehmen oder Behörden ihre (gemäß dem IT-Grundschutzhandbuch) erreichten IT-Sicherheitsniveaus überprüfen lassen. Ein vom BSI lizenzierter IT-Grundschutz-Auditor führt die Überprüfung durch und erstellt einen Auditreport. Die Zertifizierungsstelle BSI stellt aufgrund des Auditreports fest, ob die notwendigen IT-Sicherheitsmaßnahmen umgesetzt sind, erteilt im positiven Falle ein IT-Grundschutz-Zertifikat und veröffentlicht es (Kap. 8.1, 8.2).

IT-Grundschutzmodell
Nachchbildung eines IT-Verbunds mit Hilfe der Bausteine (Kapitel) des IT-Grundschutzhandbuchs (Kap. 5, 6).

IT-Infrastruktur
Baulich-technische Gegebenheiten von Gebäuden, Räumen und Schutzschränken, die für den IT-Einsatz verwendet werden (Kap. 1.2).

IT-Sicherheit
Der Zustand eines IT-Systems, in dem die Risiken, die beim Einsatz dieses Systems aufgrund von Gefährdungen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß beschränkt sind (Kap. 1.2)

IT-Sicherheitsbeauftragter
Person mit eigener Fachkompetenz zur IT-Sicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde, die für alle IT-Sicherheitsfragen, Mitwirkung im IT-Sicherheitsprozess und IT-Sicherheitsmanagement-Team zuständig ist, die IT-Sicherheitsleitlinie, das IT-Sicherheitskonzept und andere Konzepte z. B. für Notfallvorsorge koordinierend erstellt und deren Umsetzung plant und überprüft (Kap. 2.1, 2.2)

IT-Sicherheitskonzept
Nach Vorgaben der IT-Sicherheitsleitlinie werden gemäß GSHB in einem IT-Sicherheitskonzept nach Analysen des Ist-Zustands der IT-Sicherheit konkrete Sicherheitsmaßnahmen als fehlend identifiziert und geplant, damit sie nach diesem Konzept umgesetzt und später aktualisiert werden können. Das GSHB empfiehlt eine Erarbeitung eines IT-Sicherheitskonzepts in fünf Schritten (Kap. 2.4).

IT-Sicherheitsleitlinie
Das Positionspapier der Leitung eines Unternehmens oder einer Behörde zum Stellenwert der IT-Sicherheit und zum anzustrebenden IT-Sicherheitsniveau der Organisation. Es enthält wichtige Prinzipien für die IT-Sicherheit und Aussagen zur Bedeutung der IT, Sollziele zur IT-Sicherheit, eine Strategie zur Erreichung der Ziele und erforderliche Organisationsstrukturen, Richtlinien, Regeln und Vorhaben. Das GSHB empfiehlt eine Erarbeitung einer IT-Sicherheitsleitlinie in sechs Schritten (Kap. 2.3, 2.5, 7.7).

IT-Sicherheitsmanagement
Organisatorische Strukturen und Maßnahmen für die Planung, Lenkung und Kontrolle von IT-Grundschutz im Unternehmen oder in einer Behörde. Wesentliche Aufgaben betreffen die zentrale Verantwortung, verteilte Zuständigkeiten, das Aufstellen von IT-Sicherheitszielen, Erstellen einer IT-Sicherheitsleitlinie und eines IT-Sicherheitskonzepts und die Organisation seiner Umsetzung (Kap. 1.4, 2).

IT-Sicherheitsmanagement-Team
Mehrere Personen, die in größeren Organisationen in einer Stabsstelle zu übergreifenden Belangen der Planung, Kontrolle und Aufrechterhaltung von IT-Sicherheit zusammenarbeiten. Teammitglieder sind in der Regel IT-Sicherheitsbeauftragte und weitere Verantwortliche (u.a. für IT-Sicherheit) aus IT-Projekten, für IT-Systeme, IT-Anwendungen, Datenschutz und IT-Service. In kleinen Organisationen wird die Funktion eines solchen Teams gegebenenfalls nur von einer Person, dem IT-Sicherheitsbeauftragten, erfüllt (Kap. 2.1, 2.2, 2.5).

IT-Sicherheitsniveau (auch Sicherheitsniveau)
Zielvorstellung (oder -wert) eines Unternehmens oder einer Behörde bezüglich der IT-Sicherheit (Kap. 1.2, 6.1).

IT-Sicherheitsprozess
Nach dem GSHB ist es erforderlich, einen IT-Sicherheitsprozess zu steuern. Die Leitung des Unternehmens (oder der Behörde) initiiert einen solchen Vorgang durch Übernahme der Verantwortung, Einrichtung einer geeigneten Organisation eines IT-Sicherheitsmanagements und Delegation von Zuständigkeiten, z. B. Beauftragung eines IT-Sicherheitsbeauftragten und IT-Sicherheitsmanagement-Teams. Das Ergebnisdokument der ersten Phase ist die IT-Sicherheitsleitlinie, die von der Leitung allen Beschäftigten bekannt gegeben wird. Es folgen die Erarbeitung der IT-Sicherheitsziele und Analysen zum Ist-Zustand der IT und zur angestrebten IT-Sicherheit, die in einem IT-Sicherheitskonzept zusammengefasst werden. Fortgesetzt wird der IT-Sicherheitsprozess in Phasen der Umsetzung noch fehlender Sicherheitsmaßnahmen und Maßnahmen zur Aufrechterhaltung des IT-Grundschutzes (Kap. 2.1).

IT-Sicherheitsrevision
Abgleich der umgesetzten Sicherheitsmaßnahmen mit den ursprünglich geplanten (Kap. 2.4, 7.6).

IT-Sicherheitsstrategie
Strategische Aussagen zur IT-Sicherheit beschreiben, was unternommen werden soll, um das angestrebte IT-Sicherheitsniveau zu erreichen, z. B. dass bestimmte Zuständige beauftragt werden, wer bis wann die IT-Sicherheitsziele präzisiert, wer und bis wann das IT-Sicherheitskonzept auszuarbeiten ist, wer sich in welcher Regelmäßigkeit um welche Sicherheitskontrollen kümmern soll und dass und in welchen Intervallen Aktualisierungen einzuplanen sind (Kap. 2.3)

IT-Strukturanalyse
In einer IT-Strukturanalyse werden die erforderlichen Informationen über den ausgewählten IT-Verbund, die IT-Anwendungen, IT-Systeme, Netze, Räume, Gebäude und Verbindungen erfasst und so aufbereitet, dass sie die weiteren Schritte bei der Anwendung des GSHBs unterstützen. (Kap. 1.4, 2.4, 3, 5.1, 6.1)

IT-System
Es besteht aus einer Kombination von Hardware und Software, die für unterschiedliche Aufgaben der Informationsverarbeitung programmiert und eingesetzt werden kann. Beispiele sind: Großrechner, Abteilungsrechner, Workstations, Arbeitsplatzrechner, Personal Computer, Laptop, Notebook und andere Mikrocomputer, Bürosysteme, Kommunikationssysteme wie Rechnernetze, Telekommunikationsanlage, Betriebssystem-Software, Anwendungsprogramme (Kap. 3.2, 3.3)

IT-Verbund
Als IT-Verbund wird im IT-Grundschutzhandbuch die Gesamtheit der infrastrukturellen, organisatorischen und technischen Komponenten bezeichnet, die der Aufgabenerfüllung in einem definierten Anwendungsbereich der Informationsverarbeitung dienen und den Untersuchungsgegenstand für die für die nachfolgenden Schritte zum Erreichen des IT-Grundschutzes bilden (Kap. 1.4, 2.4, 3.1, 5.4, 8.1).

IT-Verfahren
Dieser Begriff hat hier seine Entsprechung im verwendeten Begriff IT-Anwendung. Beide Begriffe beziehen sich auf organisatorische und anwendungsbezogene Regelungen des IT-Einsatzes.

Seitenanfang

 

K

Kommunikationstechnik
Teil der Informationstechnik, der die Übermittlung von Informationen in Text, Bild und Ton betrifft.

Kryptographie
Die Anwendung mathematischer Theorien und Verfahren (Algorithmen) zur Verschlüsselung von Nachrichten oder Daten, um die Vertraulichkeit und Unversehrtheit sowie die Authentizität der Kommunikationspartner zu gewährleisten (Kap. 5.4).

Kryptokonzept
Konzept für den Einsatz von Verschlüsselungsverfahren (Kap. 5.4).

Kumulationseffekt
Begriff aus demGSHB: Falls durch Kumulation kleinerer Schäden ein insgesamt höherer Schaden auf einem IT-System entstehen kann, so erhöht sich der Schutzbedarf des IT-Systems (Kap. 4.4).

Seitenanfang

L

LAN (Local Area Network)
Lokales Netzwerk innerhalb eines Unternehmens, in dem sich die Netzgeräte in einem Bereich von wenigen Quadratkilometern (meist innerhalb eines Gebäudes) befinden (Kap. 3.2).

Link
Verweis in HTML-Seiten auf ein anderes Dokument: im Browser meist farblich oder unterstrichen hervorgehoben. Kurzform von Hyperlink.

Seitenanfang

M

Maßnahmen (Kurform für Sicherheitsmaßnahmen)
Vorkehrungen zur Sicherheit, die getroffen werden, um eine oder mehrere IT-Anwendungen, IT-Systeme, Kommunikationsverbindungen und IT-Räume vor Bedrohungen zu schützen. Von der Wirkung der Maßnahmen wird erwartet, dass sie das Auftreten bestimmter Schäden verhindert oder die Möglichkeit und Häufigkeit der Schadensvorfälle verringert oder die Auswirkungen reduziert (Kap. 5.2, 6.2ff).

Maßnahmenkatalog
Im IT-GSHB sind Maßnahmen für die einzelnen Gefährdungen spezifiziert und in Katalogen für die Infrastruktur, Organisation, Personal, Hardware/Software, Kommunikation und Notfallvorsorge zusammengefasst (Kap. 1.3).

Maximumprinzip
Begriff aus dem GSHB: Im Wesentlichen bestimmt der Schaden oder die Summe der Schäden mit den schwerwiegendsten Auswirkungen den Schutzbedarf eines IT-Systems (Kap. 4.4).

Modellierung
Begriff aus dem GSHB: Nachbildung des betrachteten IT-Verbundes (eines Unternehmens oder einer Behörde) mit Hilfe der Bausteine des GSHBs (Kap. 1.4, 5, 6.1, 6.3).

Modem (MOdulator/DEModulator)
Bezeichnung für ein Gerät zum Datenaustausch zwischen Computern über Standardtelefonleitungen. Dabei werden die digitalen Informationen aus dem Computer in Analogsignale moduliert (Kap. 3.5).

Seitenanfang

N

Netz
Verbindung zwischen zwei oder mehr Rechnern, die einen Datenaustausch zwischen verschiedenen Komponenten von IT-Systemen ermöglicht (Kap. 5.3, 5.4).

Netzadministrator
Person in einem Unternehmen, die für die Konfiguration und Administration des Netzes zuständig ist (Kap. 7.4).

Netzplan
Graphische Übersicht über die Komponenten eines Netzes und ihre Verbindungen (Kap. 3.2).

Seitenanfang

O

Organisation
Hier als neutrale Bezeichnung für einen organisatorischen Zusammenhang, der bezglich IT-Grundschutz betrachtet wird, z. B. eines Unternehmens, eines Betriebes, einer Behörde oder eines Amtes.

Seitenanfang

< A ... H    Seitenanfang    P ... X >