Glossar A bis Z: Sicherheits-Begriffe kompakt

Dieses Glossar definiert die zentralen Begriffe, die in der deutschen Sicherheits- und Compliance-Landschaft 2026 relevant sind. Wo ein Begriff in einem eigenen Wissensartikel ausführlich behandelt wird, ist die Verlinkung gesetzt.

A

Asset-Inventar: Verzeichnis aller für die Geschäftstätigkeit relevanten Informations- und IT-Werte, mit Owner, Klassifizierung und Schutzbedarf. Voraussetzung für Risikoanalyse und für NIS2 § 30 Nr. 9 BSIG.

Audit: Prüfung gegen einen definierten Soll-Zustand. Unterscheidet sich von der Schwachstellenanalyse durch den Bezug auf Konformitäts-Standards. Siehe Schwachstellenanalyse: Methodik.

Auftragsverarbeitung (AVV): Datenverarbeitung im Auftrag, geregelt in Art. 28 DSGVO. Pflicht für Verantwortliche bei Einsatz externer Dienstleister.

B

B3S (Branchenspezifischer Sicherheitsstandard): Vom BBK anerkannter sektor-spezifischer Standard zur Erfüllung der KRITIS- und NIS2-Anforderungen. Beispiel: B3S für Krankenhäuser, B3S für Wasserversorger.

BBK: Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Zuständige Bundesbehörde für die physische Resilienz nach KRITIS-Dachgesetz.

Bedrohungsanalyse: Strukturierte Identifikation der relevanten Bedrohungen für einen Betrieb, mit Bewertung der Wahrscheinlichkeit und Schadensschwere. Basis für die Risiko-Maßnahmen.

BImSchG: Bundes-Immissionsschutzgesetz. Rahmen für Anlagensicherheit. Die 12. BImSchV (Störfall-Verordnung) setzt Seveso-III um.

BSI: Bundesamt für Sicherheit in der Informationstechnik. Zuständige Bundesbehörde für IT-Sicherheit, NIS2-Aufsicht und KRITIS-IT-Themen. Herausgeber des IT-Grundschutz-Kompendiums.

BSIG: BSI-Gesetz. Enthält seit dem NIS2-Umsetzungsgesetz § 30 (Mindestmaßnahmen), § 32 (Meldepflichten) und § 38 (Geschäftsführer-Haftung).

Business Continuity Management (BCM): Aufrechterhaltung kritischer Geschäftsprozesse im Krisenfall. International normiert durch ISO 22301.

C

CER-Richtlinie: EU-Richtlinie 2022/2557 zur Resilienz kritischer Einrichtungen. Deutsche Umsetzung über das KRITIS-Dachgesetz.

Compliance: Nachweisbare Einhaltung dokumentierter Regeln. Unterscheidet sich von Sicherheit als operative Wirkung. Siehe Compliance vs Sicherheit.

CSIRT: Computer Security Incident Response Team. Im NIS2-Kontext die nationale Meldestelle, in Deutschland angesiedelt beim BSI.

D

DIN EN 1627: Norm für Einbruchhemmung von Türen, Fenstern und Fassaden. Klassifizierung in Resistance Classes (RC1 bis RC6) je nach Widerstand gegen Einbruchwerkzeuge.

DSGVO: Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Rahmen für die Verarbeitung personenbezogener Daten in der EU.

Datenschutz-Folgenabschätzung (DSFA): Strukturierte Bewertung der Risiken für Betroffene bei besonders kritischer Datenverarbeitung. Pflicht nach Art. 35 DSGVO.

E

E-E-A-T: Experience, Expertise, Authoritativeness, Trustworthiness. Google-Qualitätskriterien für Inhalte, mit Bedeutung für die Sichtbarkeit in Suche und KI-Antworten.

EU-U.S. Data Privacy Framework: Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 für Datenübermittlung in die USA. Aktuelle Rechtsgrundlage statt Privacy Shield.

F

Förderungs-Fahrplan: Planung zur Beantragung von Förderung. Bei Religionsgemeinschaften zentral, weil 22 Mio. Euro Bundesmittel jährlich plus Landesförderungen.

G

Gemba: Japanisch für “der wirkliche Ort”. Bezeichnet im Lean-Kontext den Ort der Wertschöpfung. Gemba Walk ist die strukturierte Begehung als Methode zur Trennung von Dokumentation und Realität.

Geschäftsführer-Haftung: Persönliche Verantwortung der Leitungsebene. NIS2-spezifisch geregelt in § 38 BSIG, mit persönlicher Haftung bei Verletzung der Aufsichtspflichten.

Genchi Genbutsu: Toyota-Prinzip “tatsächlicher Ort, tatsächliches Ding”. Origin des Gemba-Walk-Konzepts.

H

Honey-Pot-Feld: CSS-verstecktes Formularfeld, das Bots ausfüllen aber Menschen nicht sehen. Anti-Spam-Maßnahme ohne Captcha-Tracking.

I

Informationssicherheits-Managementsystem (ISMS): Steuerungs-Rahmen für Informationssicherheit. International normiert durch ISO 27001. Siehe ISMS-Aufbau für KMU.

ISO 22301: Internationale Norm für Business Continuity Management.

ISO 27001:2022: Internationale Norm für ISMS. Aktuell gültige Fassung mit 93 Controls in Annex A.

ISO 27005: Information Security Risk Management. Methodischer Rahmen für Risiko-Bewertung.

ISO 31000: Risk Management Principles and Guidelines. Übergreifender Rahmen für Risiko-Management.

IT-Grundschutz: Methodik des BSI. Baustein-orientiert, mit konkreten Maßnahmenkatalogen.

K

KPI / KRI: Key Performance Indicator misst Wirkung. Key Risk Indicator misst Risiko. Siehe KPIs für Sicherheit.

KRITIS: Kritische Infrastrukturen. Organisationen mit hoher volkswirtschaftlicher Bedeutung. Siehe Was ist KRITIS.

KRITIS-Dachgesetz: Deutsches Gesetz zur physischen Resilienz, in Kraft ab 17.07.2026. Siehe KRITIS-Dachgesetz 2026.

KRITIS-Verordnung (BSI-KritisV): Rechtsverordnung mit den sektorspezifischen Schwellenwerten für KRITIS-Pflicht.

L

Lean Management: Management-Philosophie aus dem Toyota-Produktionssystem. Quelle des Gemba-Walk-Konzepts.

Lieferketten-Sicherheit: NIS2-spezifische Anforderung nach § 30 Nr. 4 BSIG. Erweitert die DSGVO-AVV um Sicherheits-Aspekte.

M

MFA (Multi-Faktor-Authentifizierung): Anmelde-Verfahren mit mehreren unabhängigen Faktoren. NIS2-Pflicht nach § 30 Nr. 10 BSIG für administrative Zugänge.

MTTD / MTTR: Mean Time to Detect / Mean Time to Respond. Zentrale Sicherheits-KPIs für Vorfallsmanagement.

N

NIS2-Umsetzungsgesetz: Deutsches Gesetz zur Umsetzung der NIS2-Richtlinie. In Kraft seit 06.12.2025. Siehe Was ist NIS2 und NIS2 für den Mittelstand.

Notfallplan: Schriftliche Festlegung der Reaktion auf definierte Notfälle. Brandfall, Stromausfall, IT-Ausfall, Bedrohungsfall. Pflicht in mehreren Regelwerken.

P

PDCA-Zyklus: Plan, Do, Check, Act. Kontinuierlicher Verbesserungs-Zyklus, methodische Grundlage moderner Managementsysteme.

Phishing-Simulation: Wirksamkeitsmessung von Sicherheits-Schulungen durch simulierte Phishing-Mails.

R

Resilienz: Fähigkeit eines Betriebs, Störungen und Vorfälle zu bewältigen und zur Normalität zurückzukehren. Zentrales Konzept des KRITIS-Dachgesetzes.

Risiko-Register: Strukturierte Sammlung der identifizierten Risiken mit Bewertung und Bearbeitungs-Status. Pflicht für NIS2 § 30 Nr. 1 BSIG.

S

Schutzkonzept: Schriftliche Planung der Schutzmaßnahmen, in der Regel für Religionsgemeinschaften, Veranstaltungen oder Spezialobjekte. Siehe Schutzkonzept Religionsgemeinschaften.

Schwachstellenanalyse: Systematische Identifikation von Lücken in organisatorischer, technischer und physischer Sicherheit. Unterscheidet sich vom Audit durch den Realitäts-Fokus.

Seveso-III: EU-Richtlinie zur Beherrschung schwerer Unfälle in Betrieben mit gefährlichen Stoffen. Deutsche Umsetzung in der 12. BImSchV.

Sicherheitskonzept: Bei Veranstaltungen die behördenfertige Planung der Schutzmaßnahmen für Besucher, Personal und Sachen.

Statement of Applicability (SoA): Pflichtdokument im ISMS nach ISO 27001. Liste der ausgewählten Maßnahmen aus Annex A mit Begründung.

Störfall-Verordnung: 12. BImSchV. Deutsche Umsetzung der Seveso-III-Richtlinie.

T

TDDDG: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Seit 2024 in Kraft, ersetzt das TTDSG. § 25 regelt die Einwilligung für Cookies und ähnliche Technologien.

TMG: Telemediengesetz. § 5 TMG regelt die Impressumspflicht für Diensteanbieter.

TOM (Technische und Organisatorische Maßnahmen): Schutzmaßnahmen für personenbezogene Daten nach Art. 32 DSGVO. Pflicht-Anlage zu Auftragsverarbeitungs-Verträgen.

U

UP KRITIS: Plattform der Betreiber und Behörden zur Zusammenarbeit im KRITIS-Bereich. Branchenarbeitskreise erarbeiten branchenspezifische Sicherheitsstandards.

UWG: Gesetz gegen den unlauteren Wettbewerb. § 7 regelt Newsletter mit Double-Opt-In-Pflicht.

V

VdS: Verband der Sachversicherer. Gibt Richtlinien für Einbruchmeldetechnik, Videoüberwachung und Brandschutz heraus.

Versammlungsstättenverordnung (VStättVO): Landesrechtliche Verordnung mit Anforderungen an Versammlungsstätten und Sicherheitskonzepte.

Vorfallsbehandlung: NIS2-Pflicht nach § 30 Nr. 2 BSIG. Umfasst Erkennung, Analyse, Eindämmung und Reaktion auf Sicherheitsvorfälle.

W

Wesentliche Einrichtung: Kategorie unter NIS2. Wichtige und besonders wichtige Einrichtungen unterscheiden sich in Bußgeld-Obergrenzen und Aufsichts-Intensität.

Z

Zertifizierung: Bestätigung der Konformität zu einer Norm durch eine akkreditierte Zertifizierungsstelle. Bei ISO 27001 üblich, bei IT-Grundschutz möglich, bei NIS2 nicht vorgesehen.

Zutrittskontrolle / Zugangskontrolle / Zugriffskontrolle: Drei verschiedene Stufen der Kontrolle. Zutritt zu Räumen, Zugang zu Systemen, Zugriff auf Daten. Wird in der Praxis häufig verwechselt.

---

Letzte Aktualisierung: 2026-05-27. Vorschläge für Ergänzungen an info@securestay.de.