Zum Inhalt springen
deveca GRC
Glossar

GRC-Glossar – Begriffe verständlich erklärt.

Über 60 Begriffe aus Governance, Risk, Compliance, Informationssicherheit und Datenschutz – kompakt erklärt für Verantwortliche, Auditoren, Datenschutzbeauftragte und IT-Leitungen im deutschen Mittelstand. Standards: ISO 27001, ISO 27701, TISAX, NIS2, BSI IT-Grundschutz, DSGVO, HinSchG, CRA, DORA, SOC 2 und mehr.

A

Asset-Management (in der Informationssicherheit)
Strukturierte Erfassung aller schützenswerten Vermögenswerte – physische Assets, Software, Daten, Standorte, Lieferanten – inklusive Schutzbedarfsfeststellung (Vertraulichkeit, Integrität, Verfügbarkeit) und Eigentümer-Zuordnung. Grundlage jedes ISMS nach ISO 27001.
Audit (intern / extern)
Systematische Prüfung der Wirksamkeit von Sicherheits- und Datenschutzmaßnahmen. Interne Audits werden vom eigenen ISMS-Team geführt, externe Audits z. B. durch akkreditierte Zertifizierungsstellen (ISO 27001, TISAX, ISO 27701).
AVV (Auftragsverarbeitungsvertrag)
Vertrag nach Art. 28 DSGVO zwischen Verantwortlichem und Auftragsverarbeiter. Regelt Weisungen, technische und organisatorische Maßnahmen (TOMs), Sub-Auftragnehmer, Löschkonzepte und Audit-Rechte. deveca stellt einen vollständigen, BvD-orientierten AVV bereit.

B

Bowtie-Analyse
Visuelle Risikoanalyse-Methode, die Ursachen, präventive Kontrollen, ein Top-Ereignis sowie Folgen und reaktive Kontrollen in einer Schmetterlingsform darstellt. Besonders wertvoll für Major-Incident-Risiken in NIS2- und KRITIS-Kontexten.
BSI IT-Grundschutz
Methodik des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit modularen Bausteinen, Schutzbedarfsfeststellung und Risikoanalyse. Empfohlene Basis für Behörden, KRITIS-Betreiber und Lieferanten der öffentlichen Hand in Deutschland.
Business Continuity Management (BCM)
Geschäftsfortführungsmanagement nach ISO 22301: Identifikation kritischer Geschäftsprozesse, Business Impact Analyse (BIA), Notfallpläne, Recovery-Time-Objective (RTO) und Recovery-Point-Objective (RPO).

C

C5 (Cloud Computing Compliance Criteria Catalogue)
Anforderungskatalog des BSI für Cloud-Anbieter. Auf C5 testierte Provider werden insbesondere von Behörden und KRITIS-Sektoren bevorzugt eingesetzt.
CAPA (Corrective and Preventive Actions)
Korrektur- und Vorbeugemaßnahmen, die aus Audit-Findings, Incidents oder Risikobewertungen resultieren. Müssen mit Verantwortlichem, Frist, Status und Wirksamkeitsprüfung dokumentiert sein – Pflicht für ISO 27001 und TISAX.
CISO (Chief Information Security Officer)
Strategische Verantwortung für die gesamte Informationssicherheit eines Unternehmens. Berichtet typischerweise an CEO oder CDO und steuert das ISMS auf Basis von ISO 27001, TISAX oder BSI Grundschutz.
Compliance
Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen sowie interner Richtlinien. Im Cybersecurity-Kontext insbesondere DSGVO, NIS2, HinSchG, DORA, CRA und ISO/IEC-Normen.
Continuous Monitoring
Laufende technische und prozessuale Überwachung von Lieferanten, Assets und Kontrollen statt punktueller Stichproben. Voraussetzung für TPRM-Reife und NIS2-Lieferketten-Sorgfalt.
CRA (Cyber Resilience Act)
EU-Verordnung zur Cybersicherheit von Produkten mit digitalen Elementen. Verpflichtet Hersteller zu sicherem Design, Schwachstellenmanagement, SBOM-Bereitstellung und Meldepflichten – ab 2027 vollständig anwendbar.
Cross-Reference (Control Crosswalk)
Mapping derselben Maßnahme auf mehrere Frameworks (z. B. ISO 27001 A.5.1 ↔ TISAX 1.1.1 ↔ BSI ORP.1). Vermeidet Doppelarbeit und macht Multi-Framework-Audits effizient.
CycloneDX
Offener SBOM-Standard der OWASP Foundation für Software Bills of Materials. Maschinell lesbares Format zur Komponenten- und Schwachstellen-Analyse, Standard für CRA- und Lieferketten-Compliance.

D

Datenschutz-Folgenabschätzung (DSFA / DPIA)
Pflicht-Analyse nach Art. 35 DSGVO bei voraussichtlich hohem Risiko für Betroffene. Beschreibt Verarbeitung, Notwendigkeit, Risiken und Abhilfemaßnahmen. In deveca als geführter Workflow mit Vorprüfung, Schwellwertanalyse und Aufsichts-Konsultation.
Datenschutzbeauftragter (DSB)
Pflicht nach Art. 37 DSGVO bzw. § 38 BDSG ab 20 Mitarbeitenden mit ständiger automatisierter Verarbeitung personenbezogener Daten. Unabhängig, weisungsfrei, direkt der Geschäftsleitung berichtend.
DORA (Digital Operational Resilience Act)
EU-Verordnung 2022/2554 für den Finanzsektor: ICT-Risikomanagement, Incident-Reporting, Resilienz-Tests und IKT-Drittparteien-Sorgfalt. Anwendbar seit 17. Januar 2025.
Drittparteien-Risikomanagement (TPRM / TPM)
Strukturierte Bewertung und Überwachung von Lieferanten und Sub-Prozessoren über Onboarding, Risiko-Klassen, Verträge, Zertifikate und kontinuierliches Monitoring. Pflicht u. a. für NIS2, DORA, ISO 27036.
DSGVO / GDPR
Datenschutz-Grundverordnung der EU (Verordnung 2016/679). Regelt Verarbeitung personenbezogener Daten, Betroffenenrechte (Art. 15–22), Meldepflichten (Art. 33/34) und Bußgelder (bis 4 % Konzernumsatz).

E

E2E-Verschlüsselung (End-to-End)
Daten werden ausschließlich auf Sender- und Empfänger-Seite ent-/verschlüsselt; Server-Betreiber haben keinen Zugriff auf Klartext. Pflicht für anonyme Hinweisgeber-Portale nach HinSchG.
Evidenz / Evidence
Nachweis-Artefakt für die Wirksamkeit einer Kontrolle (Screenshot, Logfile, Protokoll, Konfiguration). Auditoren bewerten ein ISMS auf Basis dieser Evidenzen.

F

Fehlerbaumanalyse (FTA)
Top-Down-Methode der Root-Cause-Analyse: Ein Top-Ereignis wird über boolesche Verknüpfungen (UND, ODER) auf Basis-Ursachen zurückgeführt. Eingesetzt in komplexen technischen Incident-Untersuchungen.

G

GRC (Governance, Risk & Compliance)
Integrative Disziplin zur Steuerung von Unternehmensführung, Risikomanagement und Compliance. Eine GRC-Plattform wie deveca bündelt Risiken, Kontrollen, Audits, Incidents und Lieferanten in einem Tool.

H

HinSchG (Hinweisgeberschutzgesetz)
Deutsches Umsetzungsgesetz der EU-Whistleblower-Richtlinie, in Kraft seit Juli 2023. Verpflichtet Unternehmen ab 50 Mitarbeitenden zu einer internen Meldestelle mit Vertraulichkeit, 7-Tage-Bestätigung und 3-Monats-Rückmeldung.
HSM (Hardware Security Module)
Spezial-Hardware zur Erzeugung, Speicherung und Nutzung kryptografischer Schlüssel. Bietet Manipulationsschutz und FIPS-140-Zertifizierungen, häufig im Bank- und Behörden-Umfeld eingesetzt.

I

Incident (Sicherheitsvorfall)
Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen beeinträchtigt. Lifecycle: Detection → Triage → Containment → Eradication → Recovery → Lessons Learned. Meldepflichten u. a. nach NIS2 (24h/72h) und DSGVO (72h).
Information Security Management System (ISMS)
Systematischer Ansatz zur Steuerung der Informationssicherheit nach Plan-Do-Check-Act. Standard: ISO/IEC 27001. deveca liefert ein vollständig integriertes ISMS mit Risiken, Controls, Audits und Policies.
Ishikawa-Diagramm (Fishbone)
Ursache-Wirkungs-Diagramm für die Root-Cause-Analyse. Gliedert Einflussfaktoren typischerweise in Mensch, Methode, Maschine, Material, Mitwelt und Messung (6M).
ISO/IEC 27001
Internationaler Standard für Informationssicherheits-Managementsysteme. Aktuelle Version 2022 mit Annex A (93 Controls in 4 Themen). Zertifizierbar nach Audit durch akkreditierte Stelle.
ISO/IEC 27701
Erweiterung der ISO 27001 für ein Privacy Information Management System (PIMS). Ergänzt 49 zusätzliche Anforderungen für Verantwortliche und Auftragsverarbeiter, kompatibel mit DSGVO Art. 24/28.

J

JSON-LD
JSON for Linked Data – maschinenlesbares Format für strukturierte Daten (schema.org), das Suchmaschinen wie Google für Rich Results und AEO/GEO-Optimierung auswerten.

K

Konformitätsbewertung
Prüfprozess gegen einen Standard oder eine regulatorische Anforderung. Im GRC-Kontext z. B. TISAX-Assessment durch ENX-akkreditierte Auditoren.
KRITIS
Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, IT/Telekommunikation, Transport, Finanzen, Ernährung, Staat). Erweiterte Pflichten durch IT-Sicherheitsgesetz 2.0 und NIS2-Umsetzung.

L

Lessons Learned
Strukturierte Nachbereitung jedes Incidents zur Identifikation von Lerneffekten und systemischen Verbesserungen. Pflicht-Bestandteil der Incident-Response nach ISO 27035.

M

MCP (Model Context Protocol)
Offener Standard von Anthropic, mit dem KI-Assistenten (Claude, ChatGPT, Microsoft Copilot) kontrolliert auf strukturierte Unternehmensdaten zugreifen. deveca plant einen MCP-Server mit scoped Tokens je Mandant und vollständigem Audit-Trail jeder KI-Aktion.
Multi-Tenancy / Mandantenfähigkeit
Architekturprinzip, bei dem mehrere Kunden auf derselben Software-Instanz isoliert betrieben werden – mit getrennten Daten, Verschlüsselungs-Schlüsseln und Konfigurationen. Pflicht für SaaS-GRC-Tools.

N

NIS2 (EU-Richtlinie 2022/2555)
Cybersicherheits-Richtlinie der EU mit erweiterten Pflichten zu Risikomanagement, Lieferketten-Sorgfalt, Geschäftsleitungs-Verantwortung sowie 24h-Frühwarnung und 72h-Vorfallsmeldung. Umsetzung in Deutschland: NIS2UmsuCG.

O

OWASP Top 10
De-facto-Standard-Liste der zehn häufigsten Web-Application-Schwachstellen (z. B. Injection, Broken Access Control, Cryptographic Failures). Mindestanforderung in jedem sicheren Software Development Lifecycle (SDLC).

P

PII (Personally Identifiable Information)
Internationaler Begriff für personenbezogene Daten – im DSGVO-Kontext synonym mit Art. 4 Nr. 1 DSGVO.
PIMS (Privacy Information Management System)
Datenschutz-Managementsystem nach ISO 27701. Ergänzt das ISMS um datenschutzrechtliche Anforderungen für Verantwortliche und Auftragsverarbeiter.
Policy / Richtlinie
Verbindliche organisatorische Vorgabe (z. B. Passwort-Policy, Clean-Desk-Policy). Lifecycle: Entwurf → Review → Freigabe → Veröffentlichung → Lese-Bestätigung → Re-Review. In deveca mit SharePoint-Integration und News-Verteilung.

R

RBAC (Role-Based Access Control)
Rechtevergabe nach Rollen statt Einzelpersonen. Reduziert Komplexität und ermöglicht Need-to-know-Prinzip. deveca bietet RBAC mit feldbasierten Berechtigungen über 50+ Rollen.
Recovery Point Objective (RPO)
Maximal akzeptierter Datenverlust in Zeit ausgedrückt (z. B. 1 Stunde). Bestimmt die Backup-Frequenz und ist Pflicht-Parameter im BCM.
Recovery Time Objective (RTO)
Maximal akzeptierte Wiederanlaufzeit nach einem Ausfall. Ergänzt RPO und definiert Anforderungen an Failover- und DR-Architekturen.
Risikoanalyse
Systematische Bewertung von Bedrohungen und Schwachstellen mit Eintrittswahrscheinlichkeit, Auswirkung und – optional – Erkennbarkeit (3-Faktor-Scoring). Ergebnis: Brutto- und Nettorisiko mit Behandlungsoption (vermeiden, vermindern, übertragen, akzeptieren).
Risikomanagement
Kontinuierlicher Prozess der Identifikation, Analyse, Bewertung, Behandlung und Überwachung von Risiken. Methodik nach ISO 31000, integriert in das ISMS nach ISO 27001 Klausel 6.1.
Root-Cause-Analyse (RCA)
Strukturiertes Vorgehen zur Identifikation der eigentlichen Ursache eines Incidents. Methoden: 5-Why, Ishikawa, Fehlerbaum (FTA), Zeitachsen-Analyse, Apollo, Custom.

S

SBOM (Software Bill of Materials)
Maschinenlesbare Stückliste aller Komponenten einer Software inkl. Versionen und Lizenzen. Standards: CycloneDX, SPDX. Pflicht für CRA und für viele Lieferketten-Sorgfalts-Anforderungen.
Schutzbedarfsfeststellung (CIA / VVA)
Bewertung von Assets nach Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) – im BSI Grundschutz auch als Vertraulichkeits-, Verfügbarkeits- und Authentizitätsanalyse (VVA) bezeichnet.
SIEM (Security Information & Event Management)
Plattform zur zentralen Sammlung, Korrelation und Analyse sicherheitsrelevanter Logs. Beispiele: Microsoft Sentinel, Splunk, Elastic Security, IBM QRadar.
Single Sign-On (SSO)
Zentrale Authentifizierung über einen Identity Provider (z. B. Microsoft Entra ID, Okta, Keycloak) via SAML 2.0 oder OIDC. Reduziert Passwort-Risiken und ermöglicht Konditional Access.
SOC (Security Operations Center)
Operative Einheit (intern oder als Managed Service), die rund um die Uhr Sicherheits-Events überwacht, Incidents triagiert und Reaktionen koordiniert.
SOC 2
US-amerikanischer Audit-Standard des AICPA (Type I/II) zu den Trust-Service-Criteria Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

T

TISAX (Trusted Information Security Assessment Exchange)
Branchenstandard der deutschen Automobilindustrie (VDA-ISA). Verpflichtend für Lieferanten von OEMs wie BMW, Daimler, VW. Drei Schutzbedarfsstufen: AL1, AL2, AL3.
TLS 1.3
Aktueller Standard für Transport Layer Security. Bietet Forward Secrecy, schnellere Handshakes (1-RTT, 0-RTT) und eliminiert veraltete Cipher-Suites.
TOM (Technische und organisatorische Maßnahmen)
Pflicht-Maßnahmen nach Art. 32 DSGVO zum Schutz personenbezogener Daten – z. B. Verschlüsselung, Zutrittskontrolle, Verfügbarkeitskontrolle, Datenträgerverwaltung. Kategorisiert nach BSI Grundschutz oder VDS 10000.

V

Verarbeitungsverzeichnis (VVT / Art. 30 DSGVO)
Pflicht-Dokumentation aller Verarbeitungstätigkeiten mit Zwecken, Datenkategorien, Empfängern, Drittland-Transfers und Löschfristen. In deveca mit Vorlagen, Pflichtfeldern und versionierter Historie.
Verschlüsselung at rest / in transit
At rest: Daten werden auf Datenträgern verschlüsselt gespeichert (z. B. AES-256-GCM). In transit: Übertragung erfolgt über TLS 1.3. Beides ist Mindeststandard für jede schutzbedürftige Verarbeitung.

W

Whistleblowing-Portal
Anonym erreichbare Meldestelle nach HinSchG mit Zwei-Wege-Kommunikation, Fall-Akte, Fristen-Überwachung (7d Bestätigung, 3M Rückmeldung) und Schutz vor Repressalien gegen Hinweisgeber.

Z

Zero-Trust-Architektur
"Never trust, always verify": Jeder Zugriff – auch aus dem internen Netz – wird kontinuierlich authentifiziert und autorisiert. Kombiniert MFA, Conditional Access, Mikrosegmentierung und kontinuierliche Geräte-Bewertung.