Glossar

AI Act Risikoklassen

Auch: EU AI Act Risk Categories

Vier-stufige Klassifikation nach EU AI Act: verboten (Art. 5), Hochrisiko (Anhang I/III), begrenztes Risiko (Art. 50 Transparenzpflichten), minimales Risiko (freiwillige Codes). Klassifizierung ist die erste Pflicht, sie muss dokumentiert und nachvollziehbar sein.

AI Act Konformitätsbewertung

Auch: AI Act Conformity Assessment, AI Act Art. 43

Verfahren zur Feststellung, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt, bevor es in Verkehr gebracht oder in Betrieb genommen wird. Pflicht für alle Anhang-III-Hochrisiko-Systeme ab 2. August 2026.

BYOK / HYOK (Bring/Hold Your Own Key)

Auch: Bring Your Own Key, Hold Your Own Key, Customer Managed Keys

Schlüssel-Management-Modelle in Cloud-Umgebungen: BYOK bedeutet, der Kunde bringt seinen eigenen Schlüssel in den Cloud-KMS ein. HYOK bedeutet, der Schlüssel verlaesst nie die Kunden-Infrastruktur, nur die Operationen werden bei Bedarf an den KMS delegiert.

BSI C5

Auch: Cloud Computing Compliance Criteria Catalogue, C5-Testat

Prüfkatalog des BSI für Cloud-Dienste, der eine Mindest-Sicherheitsbasis und Transparenzpflichten definiert. Wird über ein C5-Testat durch unabhängige Wirtschaftsprüfer nachgewiesen. De-facto-Standard für Cloud-Beschaffung im deutschen Markt.

BAIT

Auch: Bankaufsichtliche Anforderungen an die IT

Rundschreiben der BaFin, das die Anforderungen an die IT-Aufstellung von Kreditinstituten konkretisiert. Präzisiert MaRisk AT 7.2 für IT-Strategie, Informationssicherheit, Benutzerberechtigungen, Projektmanagement, Anwendungsentwicklung und IT-Outsourcing.

BCM

Auch: Business Continuity Management, Geschäftsfortführungs-Management

Disziplin zur Aufrechterhaltung kritischer Geschäftsprozesse bei Störungen. Standards: ISO 22301, BSI-Standard 200-4. Im Finanzsektor durch BAIT/VAIT und DORA Art. 11 verpflichtend.

BaFin DORA-Aufsichtsmitteilung

Auch: BaFin Merkblatt DORA, BaFin Rundschreiben DORA

Veröffentlichungen der BaFin zur Auslegung und Erwartung der DORA-Anwendung in Deutschland. Stand 2025/2026 ergehen die wichtigsten Hinweise als Aufsichtsmitteilungen, Merkblätter und Fachartikel im BaFin-Journal, nicht als klassisches Rundschreiben.

Confidence Score

Auch: Konfidenz-Score

Eine quantifizierte Einschätzung, wie belastbar die Aussage eines Entscheidungs-Memos ist, getrennt vom Readiness Score. Niedriger Confidence Score bedeutet: das Memo ist zwar formell vollständig, aber Evidenz oder Stakeholder-Eingabe sind duenn.

CVE

Auch: Common Vulnerabilities and Exposures

Globaler Identifier für öffentlich bekannte Sicherheits-Schwachstellen in Software und Hardware. Format CVE-JJJJ-NNNN, betrieben vom MITRE-Corp im Auftrag der CISA. Mehr als 200.000 CVEs Stand 2025.

CVSS

Auch: Common Vulnerability Scoring System

Standardisiertes Bewertungssystem für Schwachstellen mit Score 0-10. Aktuelle Version CVSS v4.0 (2023). Misst Base, Temporal und Environmental Metrics. Wird häufig kritisiert, da kein Ausnutzbarkeits-Signal.

CSPM

Auch: Cloud Security Posture Management

Software-Kategorie zur kontinuierlichen Prüfung von Cloud-Konfigurationen gegen Sicherheits-Benchmarks (CIS, NIST, BSI-Cloud-Anforderungen). Findet Fehlkonfigurationen wie offene S3-Buckets, fehlende Verschlüsselung, unsichere IAM-Policies.

CWPP

Auch: Cloud Workload Protection Platform

Software-Kategorie zum Schutz von Cloud-Workloads (VMs, Container, Serverless) zur Laufzeit. Verbindet Schwachstellen-Scan, Konfigurations-Prüfung, Runtime-Monitoring, Container- und K8s-Security.

CNAPP

Auch: Cloud Native Application Protection Platform

Plattform-Kategorie nach Gartner, die CSPM, CWPP, CIEM, KSPM, DSPM und IaC-Scanning in einem Tool zusammenführt. Antwort auf Tool-Fragmentierung in Cloud-Security-Stacks.

CASB

Auch: Cloud Access Security Broker

Sicherheits-Layer zwischen Nutzern und SaaS, der Sichtbarkeit (Shadow-IT-Discovery), Datenschutz (DLP), Compliance und Threat-Protection über SaaS-Apps hinweg liefert. Vier Funktionen nach Gartner: Visibility, Compliance, Data Security, Threat Protection.

Confidential Computing

Auch: Trusted Execution Environment (TEE)

Hardware-basierte Isolation, die Daten während der Verarbeitung verschlüsselt hält (data-in-use). Ergänzt Verschlüsselung at-rest und in-transit. Technologien: Intel SGX, Intel TDX, AMD SEV-SNP, ARM CCA, Nvidia H100 Confidential Computing.

Cyber Resilience Act (CRA)

Auch: EU Cyber Resilience Act, Verordnung (EU) 2024/2847, CRA

EU-Verordnung 2024/2847 mit horizontalen Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen. In Kraft seit 10. Dezember 2024, Hauptpflichten ab 11. Dezember 2027 anwendbar. Meldepflichten für aktiv ausgenutzte Schwachstellen bereits ab 11. September 2026.

Critical ICT Third-Party Provider (CTPP)

Auch: Kritischer ICT-Drittanbieter, DORA CTPP, Lead Overseer-pflichtiger Anbieter

ICT-Drittanbieter, der von der EU-Kommission nach DORA Art. 31 als kritisch eingestuft wird und unter direkte Aufsicht der drei europäischen Finanzaufsichts-Behörden (EBA, EIOPA, ESMA) fällt. Erste CTPP-Designations erwartet 2025/2026.

Defense in Depth

Auch: Verteidigung in der Tiefe

Sicherheits-Architektur-Prinzip, bei dem mehrere Schutzschichten (Identity, Endpoint, Netzwerk, Daten, Anwendung, physisch) so kombiniert werden, dass das Versagen einer einzelnen Schicht den Schutz nicht auflöst. Steht in NIS2 Art. 21 implizit im Hintergrund.

Decision Memo (Deutsch)

Auch: Entscheidungsmemo, Decision-Memo

Strukturiertes Dokument, das eine einzelne Entscheidung mit Trigger, Optionen, Kriterien, Stakeholder-Positionen, Evidenz, Risiken und finaler Begründung erfasst. Audit-fähig, versioniert und als Artefakt-of-Record geführt.

DORA

Auch: Digital Operational Resilience Act, EU-Verordnung 2022/2554

EU-Verordnung 2022/2554 für digitale operationale Resilienz im Finanzsektor. Seit 17. Januar 2025 unmittelbar geltend. Fünf Säulen: ICT-Risikomanagement, Vorfallsmanagement, Resilienz-Testing inkl. TLPT, Drittanbieter-Steuerung, Informationsaustausch.

DLP

Auch: Data Loss Prevention, Data Leakage Prevention

Software-Kategorie zur Erkennung und Verhinderung unbefugter Datenabflüsse. Wirkt auf Endpoints, Netzwerk und Cloud. Klassifiziert Inhalte (Regex, Fingerprinting, ML) und setzt Policies durch.

DMARC / DKIM / SPF

Auch: E-Mail-Authentifizierung, Email-Spoofing-Schutz

Drei Standards, die zusammen E-Mail-Absender authentifizieren und Spoofing erschweren. SPF authentifiziert sendende IP, DKIM signiert Inhalt, DMARC verbindet beide über den From-Header und definiert die Policy.

DSFA

Auch: Datenschutz-Folgenabschätzung, DPIA, Data Protection Impact Assessment

Pflichtbewertung nach Art. 35 DSGVO bei voraussichtlich hohem Risiko für Rechte und Freiheiten betroffener Personen. Pflicht u.a. bei systematischer Beurteilung, umfangreicher Verarbeitung besonderer Kategorien und systematischer Überwachung öffentlicher Bereiche.

DSGVO Art. 32 TOM

Auch: Technische und organisatorische Massnahmen, GDPR Art. 32 TOMs, Art. 32 DSGVO

Technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten. Pflicht aus Art. 32 DSGVO, einschlägig für jeden Verantwortlichen und Auftragsverarbeiter in der EU.

Entscheidungsinfrastruktur

Auch: Decision Infrastructure

Die zweckgebaute Software- und Prozessschicht, mit der Unternehmen eine einzelne komplexe Entscheidung strukturiert, nachweisbar und auditierbar durchziehen. Keine Recherche-, keine Procurement- und keine Chat-Schicht, sondern die dazwischen.

EU AI Act

Auch: KI-Verordnung, Verordnung 2024/1689, AI Act

Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz. Weltweit erstes umfassendes KI-Gesetz. Vier Risikoklassen: verboten, Hochrisiko, begrenztes Risiko, minimales Risiko. Geltung schrittweise ab Februar 2025 bis August 2027.

FIDO2

Auch: WebAuthn, CTAP2

Offener Authentifizierungs-Standard der FIDO Alliance plus W3C, bestehend aus WebAuthn (Browser-/Plattform-Schnittstelle) und CTAP2 (Geräte-Protokoll). Grundlage für phishing-resistente MFA und Passkeys.

FRIA

Auch: Fundamental Rights Impact Assessment, Grundrechte-Folgenabschätzung

Pflichtbewertung nach Art. 27 EU AI Act bei Einsatz bestimmter Hochrisiko-KI-Systeme. Verpflichtend für öffentliche Stellen und private Betreiber wesentlicher Dienste vor Inbetriebnahme.

GAIA-X

Auch: Gaia-X, Gaia-X AISBL

Eine europaeische Initiative für eine sichere, vernetzte Daten-Infrastruktur, die Sovereignty, Interoperabilität und Vertrauen zwischen Cloud-Diensten standardisiert. GAIA-X-Konformität ist ein Bewertungs-Kriterium bei Sovereign-Cloud-Entscheidungen, kein Pflicht-Standard.

GPAI / Foundation Models

Auch: General-Purpose AI Models, Foundation Models

Allzweck-KI-Modelle nach Art. 51-56 EU AI Act. Pflichten ab August 2025: technische Dokumentation, Info für Downstream-Anbieter, Urheberrechts-Policy, Trainingsdaten-Zusammenfassung. Bei systemischem Risiko zusätzlich Modell-Evaluation, adversariales Testing, Vorfalls-Tracking.

HSM / KMS

Auch: Hardware Security Module, Key Management System

HSM = manipulationsgeschützte Hardware für kryptografische Operationen (Zertifizierung FIPS 140-2/3, Common Criteria). KMS = Software-Schicht zur Schlüssel-Verwaltung, oft mit HSM-Backend. Pflicht-Komponenten für regulierte Verschlüsselung.

ICT Third-Party Risk

Auch: ICT-Drittanbieter-Risiko, TPP Risk

Sammelbegriff für Risiken aus dem Einsatz externer ICT-Lieferanten: Cloud-Provider, SaaS-Anbieter, MSPs, MSSPs. Unter DORA Art. 28 explizit reguliert; jeder kritische Lieferant muss in einem Register stehen und einer dokumentierten Eignungsprüfung folgen.

ISO 27001

Auch: ISO/IEC 27001, Information Security Management System (ISMS)

Internationaler Standard für Informationssicherheits-Management-Systeme. Aktuelle Fassung ISO/IEC 27001:2022. Zertifizierbar durch akkreditierte Stellen. Kernrahmen für ISMS-Aufbau, Risikobehandlung und kontinuierliche Verbesserung.

ISO 27002

Auch: ISO/IEC 27002:2022

Begleitstandard zu ISO 27001, der die 93 Kontrollen aus Anhang A inhaltlich ausarbeitet. Nicht zertifizierbar, aber Praxis-Handbuch für die Umsetzung.

IGA

Auch: Identity Governance and Administration

Software-Kategorie für Identitäts-Governance: Lifecycle-Management, Rollenmodell, Berechtigungs-Rezertifizierung, Segregation of Duties, Audit-Trail. Löst aus IAM die Governance-Schicht heraus, oft auch SoD-Engine.

ICT-Konzentrationsrisiko

Auch: Concentration Risk DORA, DORA Art. 29

Risiko aus der Abhängigkeit von wenigen oder einzelnen ICT-Drittanbietern. DORA Art. 29 verlangt von Finanzunternehmen eine explizite Analyse und Steuerung. Die Aufsicht prüft besonders bei Cloud-Hyperscalern und Kernbankensystem-Anbietern.

Joiner-Mover-Leaver

Auch: JML, Lifecycle-Workflow

Standard-Workflow im Identity-Lifecycle-Management: Onboarding (Joiner), Rollenwechsel inkl. Berechtigungs-Anpassung (Mover) und Offboarding mit Berechtigungs-Entzug (Leaver). Die Qualität des JML-Prozesses ist ein zentrales NIS2/DORA-Audit-Kriterium.

KRITIS

Auch: Kritische Infrastrukturen, BSI-KritisV

Kritische Infrastrukturen nach BSI-Gesetz und KritisV. Anlagen, deren Ausfall oder Beeintraechtigung erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit zur Folge haette. NIS2 erweitert KRITIS deutlich.

Lex Specialis

Auch: lex specialis derogat legi generali

Rechtsgrundsatz, dass speziellere Regeln allgemeineren Regeln vorgehen. Im EU-Compliance-Kontext bedeutet das praktisch: DORA geht NIS2 vor für Finanzunternehmen, AI Act geht DSGVO vor für KI-spezifische Pflichten.

Lead Overseer (DORA)

Auch: Federführender Aufseher DORA, DORA Art. 32

Eine der drei europäischen Finanzaufsichts-Behörden (EBA, EIOPA, ESMA), die nach DORA Art. 32 für die direkte Aufsicht eines als kritisch eingestuften ICT-Drittanbieters zuständig ist. Wird vom Joint Committee der ESAs zugewiesen.

MITRE ATT&CK Evaluation

Auch: MITRE ATT&CK Eval

Eine vom MITRE Engenuity Center for Threat-Informed Defense durchgeführte standardisierte Bewertung von EDR/XDR-Plattformen gegen reale Bedrohungs-Szenarien. Ergebnisse sind öffentlich zugänglich und werden im EDR-Auswahlprozess als Input genutzt.

MFA

Auch: Multi-Factor Authentication, Mehr-Faktor-Authentifizierung

Authentifizierung, die mindestens zwei Faktoren aus den Kategorien Wissen (Passwort), Besitz (Hardware-Token, Smartphone) und Sein (Biometrie) kombiniert. Pflicht nach NIS2 Art. 21 Buchstabe j und DORA Art. 9.

NIS2

Auch: NIS-2-Richtlinie, EU-Richtlinie 2022/2555, Network and Information Security Directive 2

EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. Löst NIS1 ab, erweitert den Anwendungsbereich auf rund 30.000 deutsche Unternehmen in 18 Sektoren, führt persönliche Haftung der Geschäftsleitung ein und verlangt zehn Mindestmaßnahmen nach Art. 21.

NIS2UmsuCG

Auch: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, deutsches NIS2-Umsetzungsgesetz

Deutsches Gesetz zur Umsetzung der NIS2-Richtlinie (EU) 2022/2555. Stand Mai 2026 noch nicht in Kraft: die Bundesregierung hat den Entwurf mehrfach überarbeitet, die EU-Kommission hat ein Vertragsverletzungsverfahren wegen Nicht-Umsetzung eingeleitet. Bis zum Inkrafttreten gilt EU-Recht in Direktwirkung nur eingeschränkt.

Operational Resilience Testing

Auch: Digital Operational Resilience Testing, DORA Art. 24-27

Pflicht-Test-Programm aus DORA Art. 24-27 für die operative Resilienz der ICT-Systeme von Finanzunternehmen. Umfasst Schwachstellen-Analysen, Open-Source-Analysen, Netzsicherheits-Bewertungen, Lücken-Analysen, physische Sicherheits-Reviews, Fragebögen, Scans, Penetrationstests und TLPT.

Passkeys

Auch: WebAuthn Passkeys, Discoverable Credentials

Phishing-resistente Authentifizierungs-Credentials nach WebAuthn/FIDO2, die private Schlüssel auf dem Gerät halten und biometrisch oder per PIN entsperrt werden. Lösen klassische Passwörter und SMS-OTP ab.

PAM

Auch: Privileged Access Management, Privileged Account Management

Software-Kategorie zur Steuerung privilegierter Zugriffe: Vault, Session-Management, Just-in-Time-Berechtigungen, Session-Recording, Zero Standing Privilege. Pflicht-Stack unter NIS2 und DORA für Admin-Zugriffe.

Readiness Score (Deutsch)

Auch: Decision Readiness Score

Ein 0-100-Score, der quantifiziert, wie auditfähig ein Decision Memo aktuell ist. Setzt sich aus Kriterien-Coverage, Evidenz-Qualität, Risiko-Analyse, Stakeholder-Alignment und Governance-Reife zusammen. Score >70 signalisiert Audit-Reife.

RTO / RPO

Auch: Recovery Time Objective, Recovery Point Objective

Zwei Kernkennzahlen des Business Continuity Management. RTO = maximale Ausfallzeit, in der ein Prozess wieder verfügbar sein muss. RPO = maximaler tolerierbarer Datenverlust, gemessen in Zeit.

Stakeholder-Alignment

Auch: Stakeholder Alignment

Der dokumentierte Zustand, in dem alle Entscheidungs-relevanten Stakeholder dieselben Kriterien, Dealbreaker und Trade-offs anerkennen, bevor eine Entscheidung formell getroffen wird. Alignment wird in DecisionOS pro Stakeholder-Rolle erfasst und versioniert.

Statement of Applicability (SoA)

Auch: SoA, Anwendbarkeitserklärung

Das Statement of Applicability ist ein Pflicht-Dokument im ISO-27001-ISMS, das pro Control aus Annex A dokumentiert, ob es anwendbar ist und mit welcher Begründung. Ein gutes SoA ist die zentrale Audit-Eintrittsstelle.

Sovereign Cloud

Auch: Souveräne Cloud, Sovereign-Cloud

Cloud-Angebot, in dem nicht nur Daten, sondern auch Operations, Personal, Schlüssel und Jurisdiktion innerhalb einer definierten Souveränitäts-Zone (typisch EU oder Mitgliedstaat) liegen. Die Tiefe der Sovereignty variiert pro Anbieter.

SOC 2 Type 2

Auch: Service Organization Control 2, SOC 2 Type II

Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrollen eines Dienstleisters über einen Zeitraum (typischerweise 6-12 Monate) bestätigt. Bezieht sich auf Trust Service Criteria.

SBOM

Auch: Software Bill of Materials

Maschinenlesbares Inventar aller Komponenten einer Software inkl. Versionen, Lizenzen und Abhängigkeiten. Formate: SPDX, CycloneDX, SWID. Pflicht in regulierten Bereichen, in den USA durch Executive Order 14028 vorgegeben.

SSPM

Auch: SaaS Security Posture Management

Software-Kategorie zur Prüfung von SaaS-Konfigurationen (Microsoft 365, Salesforce, Google Workspace, Slack, GitHub). Findet überprivilegierte Apps, schwache Sharing-Settings, MFA-Lücken, externe Datenflüsse.

SASE

Auch: Secure Access Service Edge

Gartner-Architekturkategorie, die Netzwerk- (SD-WAN) und Security-Funktionen (SWG, CASB, ZTNA, FWaaS, RBI) in einer Cloud-Plattform zusammenfasst. Pendant aus SSE (Security Service Edge) ohne SD-WAN-Anteil.

SSE

Auch: Security Service Edge

Subset von SASE ohne SD-WAN-Anteil. Bündelt SWG, CASB, ZTNA und (zunehmend) DLP/RBI in einer Cloud-Plattform. Gartner Magic Quadrant existiert eigenständig.

Schrems II

Auch: EuGH C-311/18, Privacy Shield Urteil

EuGH-Urteil vom 16. Juli 2020, das den EU-US Privacy Shield für ungueltig erklärte und Standardvertragsklauseln (SCC) nur unter Zusatzgarantien zuliess. Folge: Datenübermittlungen in die USA brauchen Transfer Impact Assessment (TIA) plus zusätzliche Schutzmaßnahmen.

Supply Chain Risk

Auch: Lieferketten-Risiko, Software Supply Chain Risk

Risiken aus der Software- und Hardware-Lieferkette: kompromittierte Open-Source-Pakete, Build-Pipeline-Angriffe, Updates mit Backdoors, Sub-Lieferanten ohne Audit-Trail. Pflicht-Adressierung in NIS2 Art. 21 Buchstabe d und DORA Art. 28 (Sub-Outsourcing).

TLPT (Threat-Led Penetration Testing)

Auch: Threat-Led Penetration Testing, TIBER-EU

Ein behördlich begleiteter, intelligenz-gesteuerter Penetrationstest, den DORA für signifikante Finanzunternehmen alle drei Jahre fordert. TLPT folgt dem TIBER-EU-Framework und ist deutlich intensiver als ein klassischer Pentest.

TISAX

Auch: Trusted Information Security Assessment Exchange

Prüfstandard und Austauschplattform des VDA für Informationssicherheit in der Automobilindustrie. ISA-Katalog (Information Security Assessment) ist das Prüfraster, ENX betreibt die Plattform.

TIA

Auch: Transfer Impact Assessment

Bewertung des Schutzniveaus im Empfängerland bei Datenübermittlungen in Drittländer nach Schrems II. Pflicht bei SCC, BCR und Art-49-Ausnahmen. Output: Entscheidung, ob Transfer ohne, mit oder gar nicht durchgeführt werden darf.

TPRM

Auch: Third-Party Risk Management, Drittanbieter-Risikomanagement

Disziplin und Tool-Kategorie zur Steuerung von Risiken aus externen Anbietern (SaaS, Cloud, Outsourcing, Beratung). Pflicht-Disziplin unter DORA Art. 28-30 für Finanzunternehmen und unter NIS2 Art. 21 Buchstabe d für wesentliche/wichtige Einrichtungen.

VAIT

Auch: Versicherungsaufsichtliche Anforderungen an die IT

Rundschreiben der BaFin für Versicherungsunternehmen. Pendant zur BAIT im Bankenbereich, abgeleitet aus MaGo (Mindestanforderungen an die Geschäftsorganisation). Regelt IT-Strategie, Informationssicherheit, Benutzerberechtigungen, IT-Projekte und Auslagerungen.

WAF

Auch: Web Application Firewall

Schutz-Layer vor Web-Anwendungen, der OWASP-Top-10-Angriffe (SQLi, XSS, RCE, SSRF), Bot-Traffic und Volumetric-Attacks abwehrt. Cloud-WAF inkl. CDN ist 2026 Standard, on-prem WAFs werden zur Ausnahme.

Zero Trust

Auch: Zero Trust Architecture, ZTA

Sicherheits-Architektur-Modell, das von der Annahme ausgeht, dass kein Netzwerk-Segment per default vertrauenswürdig ist. Jeder Zugriff wird kontextuell verifiziert, Identity ist die zentrale Achse statt der Netzwerk-Position.