Background Pattern
K
Kopexa
App
GitHub Icon
PlatformKatalogeIntegrationen

Kopexa Glossar

Dieses Glossar erklärt wichtige Begriffe rund um Kopexa, Informationssicherheit (ISMS), Datenschutz (DSMS), Governance, Risk & Compliance (GRC) sowie angrenzende Bereiche wie Cloud-Security und Auditing.

A

Access Control (Zugriffssteuerung)

Mechanismen und Regeln, die den Zugriff auf Systeme, Daten und Funktionen auf autorisierte Personen beschränken.

Access Management

Prozesse zur Erstellung, Änderung und Entfernung von Benutzerkonten und Berechtigungen.

Accountability (Rechenschaftspflicht)

Prinzip der DSGVO (Art. 5 Abs. 2), nach dem Organisationen nachweisen müssen, dass sie alle Datenschutzgrundsätze einhalten. Der Verantwortliche muss die Einhaltung aller Grundsätze aus Art. 5 Abs. 1 DSGVO demonstrieren können.

Action Plan (Maßnahmenplan)

Dokumentierter Plan, wie ein identifiziertes Risiko oder eine Nichtkonformität behandelt wird.

Annex A (ISO 27001)

Anhang der ISO 27001:2022 mit 93 Sicherheitskontrollen (Security Controls), gegliedert in vier Kategorien: Organisational (37 Controls), People (8 Controls), Physical (14 Controls) und Technological (34 Controls). Ersetzt die vorherige Version mit 114 Controls.

API Security

Absicherung von Schnittstellen (APIs) gegen unbefugten Zugriff und Missbrauch.

Asset (Wert)

Alles von Wert im Unternehmen: Systeme, Daten, Geräte, Gebäude oder Lieferanten. In Kopexa als Inventarobjekt verwaltet.

Asset Owner

Verantwortliche Person für Sicherheit und Pflege eines Assets.

Audit

Systematische Überprüfung von Prozessen, Kontrollen und Dokumentationen auf Einhaltung von Standards.

Audit Trail

Chronologische, unveränderbare Aufzeichnung von Änderungen und Ereignissen (z. B. wer hat wann was geändert?).

B

Backup Management

Prozess zur regelmäßigen Sicherung und Wiederherstellung von Daten.

Baseline Security

Minimalanforderungen an Sicherheitsmaßnahmen, die immer erfüllt sein müssen.

BCM (Business Continuity Management)

Managementsystem für Geschäftskontinuität. Ziel: Fortführung kritischer Prozesse im Notfall.

BIA (Business Impact Analysis)

Analyse der Auswirkungen möglicher Ausfälle auf Geschäftsprozesse.

Bring Your Own Device (BYOD)

Regelung zur Nutzung privater Geräte im Unternehmenskontext, verbunden mit Sicherheitsanforderungen.

BSI IT-Grundschutz

Deutsches Sicherheitsframework des Bundesamts für Sicherheit in der Informationstechnik (BSI), das ISO 27001 ergänzt. Umfasst BSI-Standards und das IT-Grundschutz-Kompendium und wird regelmäßig aktualisiert (zuletzt Februar 2022).

C

Catalog (Framework)

Sammlung von Kontrollen (Controls) und Anforderungen, z. B. ISO 27001, NIS2, TISAX.

CCPA

California Consumer Privacy Act - Kalifornisches Datenschutzgesetz von 2018, das Verbrauchern in Kalifornien Rechte bezüglich ihrer personenbezogenen Daten gewährt, einschließlich des Rechts auf Auskunft, Löschung und Opt-out vom Verkauf ihrer Daten.

CIA-Triade

Grundprinzip der Informationssicherheit: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Diese drei Säulen bilden das Fundament für Informationssicherheitsrichtlinien und -maßnahmen.

Cloud Security

Sicherheitsmaßnahmen für Cloud-Infrastrukturen und -Dienste.

Compliance

Einhaltung rechtlicher und normativer Anforderungen.

Configuration Management

Kontrolle und Dokumentation von Systemeinstellungen zur Sicherheitsgewährleistung.

Control (Kontrolle)

Konkrete Maßnahme, um ein Risiko zu mitigieren oder eine Anforderung zu erfüllen.

Control Owner

Person, die für die Umsetzung und Überprüfung eines Kontrollepunkts verantwortlich ist.

Critical Asset

Asset, das für Geschäftsbetrieb oder Compliance besonders relevant ist.

Cryptography Policy

Richtlinie zur sicheren Nutzung von Verschlüsselungstechnologien.

D

Data Breach (Datenpanne)

Verletzung des Schutzes personenbezogener oder vertraulicher Daten.

Data Classification

Einstufung von Daten nach Kritikalität und Schutzbedarf (z. B. vertraulich, öffentlich).

Data Loss Prevention (DLP)

Strategien und Technologien zur Vermeidung von Datenabfluss. Umfasst Verschlüsselung, Zugriffskontrolle, Endpunktschutz und Mitarbeiterschulungen. Arbeitet durch kontinuierliche Überwachung und Analyse von Datenaktivitäten.

Data Processing Agreement (DPA / AVV)

Vertrag zur Auftragsverarbeitung nach DSGVO.

Data Subject (Betroffene Person)

Individuum, dessen personenbezogene Daten verarbeitet werden.

Data Subject Access Request (DSAR)

Auskunftsanfrage einer betroffenen Person nach Art. 15 DSGVO.

Data Residency

Speicherort von Daten in spezifischen Rechtsräumen.

Disaster Recovery Plan (DRP)

Plan zur Wiederherstellung von IT-Systemen nach Störungen.

Document Owner

In Kopexa: Verantwortliche Person für Inhalt und Review eines Dokuments.

Document Review Cycle

Regelmäßige Überprüfung eines Dokuments auf Aktualität.

DSFA / DPIA

Datenschutz-Folgenabschätzung, Risikoanalyse für Verarbeitung personenbezogener Daten.

DSMS

Datenschutzmanagementsystem.

E

Encryption at Rest

Verschlüsselung gespeicherter Daten.

Encryption in Transit

Verschlüsselung während der Datenübertragung.

ENX / TISAX®

ENX Association ist eine Non-Profit-Organisation der Automobilindustrie, die TISAX® (Trusted Information Security Assessment Exchange) betreibt. TISAX® ist ein Prüfverfahren für Informationssicherheit in der Automobilbranche, basierend auf VDA ISA-Katalogen.

Evidence (Nachweis)

Belege wie Reports, Screenshots oder Dokumente, die die Umsetzung einer Maßnahme belegen.

External Audit

Prüfung durch unabhängige externe Auditoren.

F

FAIR Model

Factor Analysis of Information Risk - Framework zur quantitativen Bewertung von Informationsrisiken in finanzieller Form. FAIR ist ein internationaler Standard und analysiert Risiken basierend auf Verlustwahrscheinlichkeit (Loss Event Frequency) und Schadensausmaß (Loss Magnitude)[41][44][47][50][52].

Framework

Sammlung von Anforderungen oder Kontrollen (z. B. ISO 27001, SOC 2).

FIPS

Federal Information Processing Standards (US-Krypto-Standards).

G

GDPR / DSGVO

Datenschutz-Grundverordnung der EU.

Governance

Unternehmensführung und -kontrolle mit Fokus auf Verantwortlichkeiten und Transparenz.

GRC

Governance, Risk & Compliance.

H

Hardening

Sicherheitsmaßnahmen zur Reduktion von Angriffsflächen (z. B. Deaktivierung unnötiger Dienste).

Human Firewall

Mitarbeiter als Sicherheitsfaktor durch Awareness und Training.

I

IAM (Identity & Access Management)

Verwaltung von Benutzeridentitäten und Zugriffsrechten.

Incident

Sicherheitsrelevantes Ereignis, z. B. Angriff oder Datenpanne.

Incident Response

Reaktion auf Sicherheitsvorfälle mit definierten Prozessen.

Information Security Management System (ISMS)

Managementsystem für Informationssicherheit nach ISO 27001.

Internal Audit

Prüfung durch interne Mitarbeiter/Abteilungen.

J

Just-in-Time Access

Zeitlich begrenzte Berechtigungsvergabe, um Sicherheitsrisiken zu minimieren.

K

Key Risk Indicator (KRI)

Kennzahl zur Überwachung von Risiken.

Kopexa

Plattform für ISMS, DSMS und GRC.

KRN (Kopexa Resource Name)

Eindeutiger Identifikator für Kopexa-Ressourcen.

L

Least Privilege

Sicherheitsprinzip: Benutzer erhalten nur minimal notwendige Rechte.

Log Management

Sammeln und Analysieren von System- und Sicherheitslogs.

M

MFA (Multi-Faktor-Authentifizierung)

Anmeldung mit mindestens zwei Faktoren.

Mitigation

Maßnahme zur Risikoreduzierung.

Monitoring

Kontinuierliche Überwachung von Systemen und Prozessen.

N

NIS2

EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. Etabliert einen einheitlichen rechtlichen Rahmen für Cybersicherheit in 18 kritischen Sektoren der EU und erweitert den Anwendungsbereich von NIS1 erheblich. Verpflichtet Mitgliedstaaten zur Entwicklung nationaler Cybersicherheitsstrategien.

Non-Conformity (Abweichung)

Nicht erfüllte Anforderung im Audit.

O

OpenFGA / ReBAC

Open-Source-Framework für relationale Zugriffskontrolle, in Kopexa genutzt.

Organization (Kopexa)

Top-Level-Einheit, umfasst Spaces und zentrale SSO-Domains.

P

PDCA

Plan-Do-Check-Act - Vierstufiger Zyklus für kontinuierliche Verbesserung, entwickelt von William Edwards Deming. Weit verbreitet in Managementsystemen und Qualitätskontrolle. Der Zyklus sollte kontinuierlich wiederholt werden.

Penetrationstest

Simulierter Angriff zur Identifikation von Schwachstellen.

Personal Security

Maßnahmen zur Überprüfung und Sensibilisierung von Mitarbeitern.

Policy

Richtlinie oder Vorschrift.

Privacy by Design

DSGVO-Prinzip: Datenschutz wird von Beginn an in Prozesse integriert.

Prototypenschutz

TISAX®-Anforderung: Schutz vertraulicher Entwicklungsdaten.

Q

Qualitative Risikoanalyse

Bewertung von Risiken anhand qualitativer Skalen.

Quantitative Risikoanalyse

Bewertung von Risiken anhand quantitativer Daten und Kennzahlen.

R

RACI-Matrix

Verantwortlichkeitsmatrix: Responsible, Accountable, Consulted, Informed.

Residual Risk

Restrisiko nach Umsetzung von Kontrollen.

Review Cycle

Regelmäßige Überprüfung (Dokument, Risiko, Control).

Risk Appetite

Bereitschaft eines Unternehmens, bestimmte Risiken zu akzeptieren.

Risk Register

Verzeichnis aller identifizierten Risiken.

S

SaaS Security

Absicherung von Cloud-Anwendungen.

Scope

Anwendungsbereich eines ISMS.

Security Awareness

Schulung und Sensibilisierung der Mitarbeiter.

Security Incident

Sicherheitsrelevantes Ereignis.

Security Operations Center (SOC)

Team, das Sicherheitsüberwachung und Incident Response durchführt.

SoA (Statement of Applicability)

ISO 27001 Pflichtdokument: Übersicht relevanter Controls mit Begründungen für Einschluss oder Ausschluss sowie Implementierungsstatus.

SOC 2 Type II

Prüfungsstandard für Service-Organisationen, der die operative Wirksamkeit von Sicherheitskontrollen über einen Zeitraum von typischerweise 6-12 Monaten überprüft. Basiert auf Trust Services Criteria (TSC) mit fünf Prinzipien: Security, Availability, Processing Integrity, Confidentiality, Privacy.

Space (Kopexa)

Sub-Tenant mit isolierten Daten (Assets, Risiken, Dokumente).

Supply Chain Security

Absicherung von Risiken in der Lieferkette.

T

Threat Modeling

Analyse potenzieller Bedrohungen und Schwachstellen.

Third Party Risk Management

Überwachung und Bewertung von Lieferantenrisiken.

TISAX®

Trusted Information Security Assessment Exchange, Marke der ENX Association für Informationssicherheitsbewertungen in der Automobilindustrie.

TOMs

Technische und organisatorische Maßnahmen (DSGVO).

U

User Provisioning

Prozess zur Einrichtung von Benutzerkonten.

V

Vendor

Dienstleister oder Lieferant als Asset in Kopexa.

Vulnerability Management

Identifikation und Behebung von Sicherheitslücken.

W

Work Item

Aufgabe oder Ticket in Kopexa, z. B. zur Umsetzung von Maßnahmen.

Zero Trust

Sicherheitsmodell basierend auf dem Prinzip "Niemals vertrauen, immer verifizieren". Jeder Benutzer und jedes Gerät wird kontinuierlich authentifiziert und autorisiert, unabhängig vom Standort. Entwickelt von John Kindervag (Forrester Research) im Jahr 2010[30][33][36][39][40].

Quellen

Dieses Glossar wurde auf Basis aktueller Standards und Frameworks erstellt und durch umfangreiche Recherche validiert. Alle Begriffe wurden geprüft und mit relevanten Quellen unterlegt, um die Genauigkeit und Aktualität der Definitionen zu gewährleisten.

On this page

AAccess Control (Zugriffssteuerung)Access ManagementAccountability (Rechenschaftspflicht)Action Plan (Maßnahmenplan)Annex A (ISO 27001)API SecurityAsset (Wert)Asset OwnerAuditAudit TrailBBackup ManagementBaseline SecurityBCM (Business Continuity Management)BIA (Business Impact Analysis)Bring Your Own Device (BYOD)BSI IT-GrundschutzCCatalog (Framework)CCPACIA-TriadeCloud SecurityComplianceConfiguration ManagementControl (Kontrolle)Control OwnerCritical AssetCryptography PolicyDData Breach (Datenpanne)Data ClassificationData Loss Prevention (DLP)Data Processing Agreement (DPA / AVV)Data Subject (Betroffene Person)Data Subject Access Request (DSAR)Data ResidencyDisaster Recovery Plan (DRP)Document OwnerDocument Review CycleDSFA / DPIADSMSEEncryption at RestEncryption in TransitENX / TISAX®Evidence (Nachweis)External AuditFFAIR ModelFrameworkFIPSGGDPR / DSGVOGovernanceGRCHHardeningHuman FirewallIIAM (Identity & Access Management)IncidentIncident ResponseInformation Security Management System (ISMS)Internal AuditJJust-in-Time AccessKKey Risk Indicator (KRI)KopexaKRN (Kopexa Resource Name)LLeast PrivilegeLog ManagementMMFA (Multi-Faktor-Authentifizierung)MitigationMonitoringNNIS2Non-Conformity (Abweichung)OOpenFGA / ReBACOrganization (Kopexa)PPDCAPenetrationstestPersonal SecurityPolicyPrivacy by DesignPrototypenschutzQQualitative RisikoanalyseQuantitative RisikoanalyseRRACI-MatrixResidual RiskReview CycleRisk AppetiteRisk RegisterSSaaS SecurityScopeSecurity AwarenessSecurity IncidentSecurity Operations Center (SOC)SoA (Statement of Applicability)SOC 2 Type IISpace (Kopexa)Supply Chain SecurityTThreat ModelingThird Party Risk ManagementTISAX®TOMsUUser ProvisioningVVendorVulnerability ManagementWWork ItemZero TrustQuellen