Zwischen NIS-2-Umsetzungsgesetz, Cyber Resilience Act und einer Bedrohungslage, die das BSI seit Jahren als angespannt bis kritisch einstuft, brauchen Entscheider klare Begriffe. Dieses Cybersecurity-Glossar erklärt 99 Schlüsselwörter in zwölf thematischen Clustern. Wer haftet, muss verstehen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Cybersecurity ist 2026 kein technisches Spezialthema mehr, sondern Chefsache. Das NIS-2-Umsetzungsgesetz vom Dezember 2025 zieht in Deutschland rund 29.500 Unternehmen aus 18 Sektoren in die direkte Verantwortung der Geschäftsleitung.
Wer haftet, muss verstehen, wovon die Rede ist. Dafür braucht es ein gemeinsames Vokabular, das mit der Bedrohungslage Schritt hält. Das vorliegende Cybersecurity-Glossar versammelt 99 Begriffe, die im strategischen Alltag der IT-Sicherheit aktuell relevant sind.
Strukturiert ist das Glossar in zwölf thematische Cluster, jeweils alphabetisch sortiert. Der erste Cluster beginnt bei den Schutzzielen und Grundprinzipien, der letzte endet bei Compliance und Regulierung. Dazwischen liegen Angriffsformen, Schadsoftware, Authentifizierung, Netzwerk-, Endpoint- und Cloud-Sicherheit, Kryptografie, Security Operations sowie Schwachstellen- und Vorfallsmanagement. Beim Querlesen entsteht nebenbei das Gesamtbild: Cybersecurity ist eine Disziplin mit vielen Werkzeugen, aber wenigen Grundprinzipien.
Drei Beobachtungen vorab. Die Regulierung holt auf: NIS-2, der Cyber Resilience Act und DORA verschieben Cybersecurity von Best Practice zu Rechtspflicht mit Bußgeldfolge.
Die Angreifer professionalisieren sich: Ransomware-as-a-Service, Initial Access Broker und KI-gestütztes Phishing bilden ein arbeitsteiliges Ökosystem, in dem auch mittelständische Unternehmen lohnende Ziele sind. Und die einfachen Schutzmaßnahmen wirken weiterhin überproportional: Multi-Faktor-Authentifizierung, sauberes Patch-Management und ein getestetes Backup-Konzept blockieren laut Microsoft-Threat-Intelligence-Auswertungen den Großteil opportunistischer Angriffe.
Das Wichtigste in Kürze
- 99 Begriffe in 12 Clustern, alphabetisch sortiert, als Nachschlagewerk für Entscheider
- NIS-2-Umsetzungsgesetz seit Dezember 2025 in Kraft: persönliche Haftung der Geschäftsleitung, 24-Stunden-Meldepflicht, Bußgelder bis 10 Mio. Euro oder 2 Prozent Weltumsatz
- Cyber Resilience Act wird ab 11. Dezember 2027 vollständig anwendbar und verpflichtet Hersteller zu Security-by-Design über den gesamten Produkt-Lebenszyklus
- Multi-Faktor-Authentifizierung blockiert laut Microsoft 99,9 Prozent automatisierter Angriffe und bleibt die wichtigste Einzelmaßnahme
- Backup nach 3-2-1-Regel, getestet und teils offline gelagert, ist die letzte Verteidigungslinie gegen Ransomware
Schutzziele und Grundprinzipien
Sechs Konzepte tragen jede Cybersecurity-Strategie. Wer diese sechs verstanden hat, hat das Vokabular für 80 Prozent aller strategischen Sicherheitsgespräche.
CIA-Triade
Die drei klassischen Schutzziele jeder Cybersecurity-Strategie: Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). Jede Sicherheitsmaßnahme zielt auf mindestens eines dieser drei Ziele der CIA-Triade. In modernen Rahmenwerken wird das Modell um Authentizität und Nachweisbarkeit ergänzt.
| Ziel | Schutz vor | Typische Maßnahme |
|---|---|---|
| Vertraulichkeit | Unbefugtem Zugriff | Verschlüsselung, Zugriffskontrolle |
| Integrität | Unbemerkter Veränderung | Hash-Funktion, digitale Signatur |
| Verfügbarkeit | Ausfall und Sabotage | Redundanz, Backup, DDoS-Schutz |
Defense in Depth
Defense in Depth ist ein Sicherheitsprinzip mit mehreren übereinander gestaffelten Verteidigungslinien. Bricht ein Angreifer die erste durch, scheitert die Attacke an der zweiten. Klassischer Aufbau: Perimeter-Schutz, Netzwerk-Segmentierung, Endgerätesicherung, Identitäts- und Zugriffskontrolle, Datenverschlüsselung. Das BSI nutzt das Konzept in seinem IT-Grundschutz-Kompendium als didaktischen Rahmen.
Least Privilege
Das Prinzip der minimalen Rechte besagt: Jeder Nutzer, jeder Dienst und jede Anwendung erhält nur die Rechte, die für die jeweilige Aufgabe zwingend nötig sind. Mehr nicht. Least Privilege ist die wichtigste organisatorische Maßnahme gegen Insider-Bedrohungen und gegen die laterale Bewegung von Angreifern nach einem erfolgreichen Initial Access. Praktische Umsetzung: rollenbasierte Zugriffskontrollen, separate Admin-Konten, zeitlich begrenzte Privilegien-Eskalation.
Security by Design
Bei Security by Design wird Sicherheit von Anfang an in die Architektur eines Produkts eingebaut, nicht nachträglich aufgeklebt. Das Konzept verlangt eine Bedrohungsmodellierung in der Konzeptionsphase, sichere Standardeinstellungen ab Werk und einen kontinuierlichen Schwachstellen-Prozess über die gesamte Lebensdauer. Der Cyber Resilience Act macht Security by Design ab Dezember 2027 für alle Hersteller digitaler Produkte in der EU zur Pflicht.
Shared Responsibility
Das Shared-Responsibility-Modell teilt die Verantwortung zwischen Cloud-Anbieter und Kunde auf. Vereinfacht gilt: Der Anbieter sichert die Cloud, der Kunde sichert die Daten in der Cloud. Bei IaaS verbleibt mehr Verantwortung beim Kunden, bei SaaS mehr beim Anbieter. Die häufigste Fehlannahme im Mittelstand lautet, Daten bei AWS oder Azure seien automatisch sicher. Das ist falsch. Die Konfiguration der Buckets, Zugriffsrechte und Verschlüsselung bleibt Sache des Kunden.
Zero Trust
Zero Trust ist eine Sicherheitsarchitektur, die jeden Zugriff einzeln prüft, statt einem internen Netzwerk pauschal zu vertrauen. Drei Bausteine: starke Identitätsprüfung mit MFA, kontextbasierte Zugriffspolitik (Standort, Gerät, Tageszeit, Verhaltensmuster) und Mikrosegmentierung des Netzwerks. Zero Trust ersetzt das veraltete Burgenmauer-Modell der klassischen Firewall-Architektur, das spätestens mit Homeoffice und mobilen Arbeitsmodellen seine Berechtigung verloren hat.
Bedrohungsakteure und Angriffsformen
Zwölf Begriffe für das, was Unternehmen täglich abwehren. Nach Angaben des BSI-Lageberichts erreicht die Zahl gemeldeter Cybervorfälle in Deutschland seit drei Jahren in Folge Höchststände, getrieben vor allem durch Ransomware und Business E-Mail Compromise.
Advanced Persistent Threat (APT)
Ein Advanced Persistent Threat ist eine professionelle, oft staatlich gesponserte Angreifer-Gruppe, die ein einzelnes Ziel monate- oder jahrelang verfolgt. Charakteristisch: maßgeschneiderte Schadsoftware, geduldige Aufklärung, geringe Geräusche im Netz. Gegenüber Ransomware-Banden, die schnelles Geld wollen, geht es APTs um Spionage, Sabotage oder Vorbereitung künftiger Aktionen. Bekannte Gruppen: APT28 (Russland, Fancy Bear), APT41 (China), Lazarus (Nordkorea). Für KMU sind APTs in der Regel keine direkte Gefahr, sehr wohl aber für deren Zulieferer mit Verbindung zu KRITIS-Sektoren.
Brute-Force-Angriff
Der Brute-Force-Angriff probiert systematisch alle möglichen Kombinationen aus Benutzername und Passwort durch, bis eine passt. Moderne Varianten arbeiten mit Wörterbüchern bekannter Passwörter (Dictionary Attack) oder mit Listen aus früheren Datenlecks (Credential Stuffing). Schutz: lange Passphrasen, Account-Lockout nach wenigen Fehlversuchen und MFA als zweite Hürde, sofern die erste fällt.
Business E-Mail Compromise (BEC)
Spezialisierte Betrugsform, bei der Angreifer einen E-Mail-Account übernehmen, wochenlang den Schriftverkehr beobachten und im richtigen Moment eine gefälschte Zahlungsanweisung einschleusen. Schadenshöhe pro Vorfall häufig im sechs- bis siebenstelligen Bereich. Business E-Mail Compromise zielt selten auf technische Schwachstellen, sondern auf Vertrauen und Routine. Wichtigster Schutz: Vier-Augen-Prinzip bei Zahlungsfreigaben und Rückruf über bekannte Telefonnummer bei Bankdatenänderungen. Das FBI Internet Crime Complaint Center weist BEC seit Jahren als kostspieligste Angriffsform aus.
DDoS-Angriff
Bei einem Distributed-Denial-of-Service-Angriff überschwemmen Tausende ferngesteuerter Geräte einen Zielserver mit Anfragen, bis dieser unter der Last zusammenbricht. Klassisches Werkzeug: Botnets aus gekaperten Routern und IoT-Geräten. DDoS-Angriffe richten selten direkten Datenschaden an, sondern verursachen Umsatz- und Reputationsverluste durch Ausfallzeiten. Schutz: spezialisierte Mitigation-Dienste wie Cloudflare oder Akamai, die Datenverkehr filtern, bevor er den Ursprungsserver erreicht.
Hacktivismus
Hacktivismus bezeichnet politisch motivierte Cyberangriffe durch Aktivistengruppen wie Anonymous oder regional aktive Kollektive. Typische Werkzeuge sind Website-Defacement, DDoS und gezielte Datenlecks, die kompromittierende Inhalte veröffentlichen sollen. Hacktivismus richtet sich häufig gegen Regierungsorganisationen, Großkonzerne oder Unternehmen, die in öffentliche Kontroversen geraten. Schadensumfang meist moderat, Reputationsschaden hingegen erheblich.
Insider-Bedrohung
Die Insider-Bedrohung kommt von innen: aktuelle oder ehemalige Mitarbeiter, externe Dienstleister oder Praktikanten mit legitimem Zugang. Motive reichen von Rache nach Kündigung über finanzielle Probleme bis zu Spionage im Auftrag der Konkurrenz. Schwer zu erkennen, weil die Aktivitäten zunächst regelkonform aussehen. Wichtigste Gegenmaßnahmen: Least Privilege, lückenloses Offboarding bei Personalwechseln und Behavioral Analytics, die Abweichungen vom typischen Nutzungsmuster sichtbar machen.
Man-in-the-Middle
Beim Man-in-the-Middle-Angriff schaltet sich der Angreifer unbemerkt zwischen zwei Kommunikationspartner, liest mit oder manipuliert Inhalte. Klassisches Szenario: ein gefälschter WLAN-Hotspot im Café, der den gesamten Verkehr der eingewählten Nutzer mitschneidet. Schutz: konsequente TLS-Verschlüsselung mit Zertifikatsprüfung, kein Anmelden auf sensiblen Diensten über offene WLANs und im Unternehmenskontext ein VPN.
Phishing
Massenhafte Versuche, über gefälschte E-Mails, SMS oder Webseiten an Anmeldedaten, Zahlungsinformationen oder Schadcode-Klicks zu gelangen. Generative KI hat Phishing 2025 und 2026 deutlich verbessert: keine Rechtschreibfehler mehr, kontextbezogene Anreden, deepfake-fähige Sprachanrufe (Vishing). Das BSI berichtet in seinen Quartalsmeldungen von steigenden Klickraten trotz wachsendem Schulungsaufwand. Quartalsweise simulierte Phishing-Mails senken die Klickrate nachweislich, ersetzen aber keine technischen Maßnahmen wie DMARC, SPF und DKIM.
Ransomware
Schadsoftware, die Daten auf dem Zielsystem verschlüsselt und für die Entschlüsselung Lösegeld fordert. Ransomware ist heute industriell organisiert als Ransomware-as-a-Service (RaaS): Entwickler bauen den Code, Affiliates mieten ihn und führen die Angriffe durch. Doppelte Erpressung ist üblich, Lösegeld für Entschlüsselung plus Schweigegeld gegen Veröffentlichung gestohlener Daten. Das BSI rät grundsätzlich von Lösegeldzahlungen ab. Bekannte Gruppen: LockBit (zerschlagen 2024), BlackCat/ALPHV, Cl0p. Wichtigster Schutz: getestete Offline-Backups nach der 3-2-1-Regel.
Social Engineering
Social Engineering ist die Sammelbezeichnung für Angriffe, die nicht auf Technik zielen, sondern auf Menschen. Phishing ist ein Sonderfall davon. Klassische Techniken: Pretexting (eine glaubwürdige Geschichte konstruieren), Tailgating (jemandem in den gesicherten Bereich folgen), Baiting (mit präparierten USB-Sticks ködern). Schutz: Sensibilisierung und klare Eskalationswege, an die sich Mitarbeiter wenden können, sobald etwas merkwürdig wirkt.
Spear Phishing
Spear Phishing ist die zielgerichtete Variante des klassischen Phishings. Statt einer Massenmail wird eine individuell zugeschnittene Nachricht an eine bestimmte Person verschickt, häufig mit Bezug auf aktuelle Projekte, Kollegen oder Kunden des Adressaten. Vorbereitung durch OSINT auf LinkedIn und der Unternehmenswebsite. Erfolgsquote deutlich höher als bei Massen-Phishing. Eine Sonderform mit besonders prominenten Zielen heißt Whaling.
Supply-Chain-Angriff
Bei einem Supply-Chain-Angriff kompromittieren Angreifer nicht das Zielunternehmen direkt, sondern einen Zulieferer oder Software-Hersteller. Der präparierte Code gelangt dann über reguläre Updates ins Opfer. Bekannte Beispiele: SolarWinds (2020), Kaseya (2021), 3CX (2023), XZ Utils (2024). Supply-Chain-Angriffe sind besonders perfide, weil sie das Vertrauen in legitime Lieferanten ausnutzen. NIS-2 macht Lieferketten-Sicherheit deshalb zur Pflicht. Eine Software Bill of Materials hilft, kompromittierte Komponenten schnell zu identifizieren.
Schadsoftware (Malware)
Neun Familien, in die sich praktisch jeder bösartige Code einordnen lässt. Die Übergänge sind fließend, moderne Malware kombiniert mehrere Funktionen.
Adware
Adware blendet ungewollte Werbung ein, leitet auf gesponserte Suchergebnisse um oder protokolliert das Surfverhalten zu Vermarktungszwecken. Im Gegensatz zu klassischer Schadsoftware ist Adware oft nur lästig, nicht direkt zerstörerisch. Verbreitungsweg meist über Freeware-Bundles, die unaufmerksamen Nutzern bei der Installation untergeschoben werden.
Botnet
Ein Botnet ist ein Verbund aus vielen gekaperten Geräten (Computer, Router, IoT-Kameras), die ein zentraler Command-and-Control-Server fernsteuert. Botnets werden für DDoS-Angriffe, Spam-Versand, Klickbetrug oder das Schürfen von Kryptowährungen genutzt. Bekannte Botnets: Mirai (IoT-Geräte), Emotet (mehrfach zerschlagen, immer wieder reaktiviert), Qakbot. Schutz auf Endgeräte-Ebene: aktuelle Firmware, geänderte Standardpasswörter, Netzwerksegmentierung von IoT-Geräten.
Cryptojacker
Ein Cryptojacker nutzt die Rechenleistung infizierter Geräte heimlich zum Schürfen von Kryptowährungen, meist Monero wegen der besseren Anonymität. Der Schaden besteht weniger in Datenverlust als in erhöhten Stromkosten, verkürzter Hardware-Lebensdauer und reduzierter Performance. Cryptojacker laufen oft monatelang unentdeckt und tarnen sich als Browser-Erweiterungen oder als Komponenten kompromittierter Websites.
Keylogger
Keylogger zeichnen jeden Tastenanschlag auf dem infizierten Gerät auf und übermitteln das Protokoll an einen Angreifer. Beute: Passwörter, Kreditkartennummern, Banking-TANs, vertrauliche Kommunikation. Keylogger gibt es in zwei Bauformen, als Software auf dem System oder als Hardware-Stecker zwischen Tastatur und Rechner. Im Unternehmensumfeld werden Keylogger gerne als zweite Stufe nach einem Phishing-Erfolg nachgeladen.
Rootkit
Ein Rootkit nistet sich tief im Betriebssystem ein und verbirgt seine eigene Anwesenheit, oft durch Manipulation des Kernels. Klassische Antivirenprogramme erkennen Rootkits selten, weil sie selbst auf die manipulierten Systemfunktionen vertrauen. Erkennung in der Regel nur durch Boot von einem externen Medium oder durch Speicher-Forensik. Aktuelle Mitigation: Secure Boot, signierte Treiber und EDR-Lösungen mit eigener Kernel-Beobachtung.
Spyware
Spyware sammelt heimlich Informationen über das Verhalten des Nutzers: besuchte Websites, geöffnete Dokumente, Standortdaten, Kontakte. Die kommerzielle Variante (Stalkerware) wird über App-Stores als Kindersicherung getarnt verkauft, dient aber häufig dem Ausspähen von Partnern. Staatliche Spyware wie Pegasus von der NSO Group hat in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt und ist Gegenstand andauernder Ermittlungen.
Trojaner
Der Trojaner tarnt sich als nützliches Programm, enthält aber eine versteckte Schadfunktion, die nach der Installation aktiv wird. Im Unterschied zum Virus repliziert sich der Trojaner nicht selbst. Banking-Trojaner wie Emotet, TrickBot oder Dridex haben sich auf das Abgreifen von Online-Banking-Zugängen spezialisiert. Andere Trojaner öffnen eine Hintertür (Backdoor), über die Angreifer später weiteren Code nachladen können.
Wurm
Ein Wurm ist ein sich selbst replizierender Schadcode, der eigenständig über Netzwerke wandert und keine Nutzeraktion zur Verbreitung benötigt. Berühmte Beispiele: ILOVEYOU (2000), Conficker (2008), WannaCry (2017). Würmer nutzen meist ungepatchte Schwachstellen in Diensten aus, die auf Netzwerk-Ports lauschen. Aktuelles Schutzmittel: zeitnahes Patch-Management und Netzwerk-Segmentierung, die die seitliche Bewegung erschwert.
Zero-Day-Exploit
Ein Zero-Day-Exploit nutzt eine Schwachstelle aus, für die der Hersteller noch keinen Patch veröffentlicht hat. Der Name kommt daher, dass den Verteidigern null Tage zur Vorbereitung bleiben. Zero-Day-Exploits sind auf dem Schwarzmarkt fünf- bis siebenstellige Beträge wert und werden vorrangig von APT-Gruppen sowie kommerziellen Anbietern wie Zerodium gehandelt. Schutz: Defense in Depth, Verhaltenserkennung durch EDR und schnelle Reaktionsketten, sobald ein Patch erscheint.
Authentifizierung und Identität
Zehn Begriffe rund um die Frage, wie ein System weiß, dass am anderen Ende wirklich der richtige Mensch oder Dienst sitzt. Hier verlaufen die wichtigsten Schlachten der vergangenen Jahre, von der Ablösung der SMS-TAN bis zu den Passkeys, die das Passwort als Konzept langsam ablösen.
Biometrie
Biometrie nutzt körperliche Merkmale zur Authentifizierung: Fingerabdruck, Gesicht, Iris, Stimme, Tippverhalten. Der Vorteil liegt in der Benutzerfreundlichkeit, der Nachteil im fehlenden Reset, weil ein gestohlener Fingerabdruck nicht ausgetauscht werden kann. Moderne Implementierungen speichern biometrische Daten ausschließlich lokal im Secure Element des Geräts (Trusted Platform Module, Apple Secure Enclave). Biometrie ersetzt das Passwort nicht, sondern entsperrt einen lokal gespeicherten kryptografischen Schlüssel.
FIDO2
FIDO2 ist der offene Standard für passwortlose Authentifizierung der FIDO Alliance, getragen unter anderem von Google, Microsoft, Apple, Yubico und der EU. Technisch besteht FIDO2 aus zwei Komponenten: WebAuthn als Browser-API und CTAP als Protokoll für Hardware-Token. Phishing-Schutz ist eingebaut, weil der private Schlüssel das Gerät nie verlässt. FIDO2-Hardware-Token wie YubiKeys gelten 2026 als Goldstandard für kritische Konten.
Identity and Access Management (IAM)
Identity and Access Management bezeichnet das Gesamtsystem für die Verwaltung digitaler Identitäten und ihrer Zugriffsrechte. Ein IAM-System bildet den Lebenszyklus eines Mitarbeiters ab: Onboarding mit automatischer Rechtevergabe, Wechsel der Rolle mit Rechte-Anpassung, Offboarding mit lückenlosem Entzug. Marktführer im Enterprise-Segment: Microsoft Entra ID, Okta, Ping Identity. Für KMU bieten viele Cloud-Suiten ein integriertes IAM als Bestandteil ihrer Lizenz.
Multi-Faktor-Authentifizierung (MFA)
Anmeldeverfahren mit mindestens zwei Faktoren aus den Kategorien Wissen (Passwort), Besitz (Token, Smartphone) und Inhärenz (Fingerabdruck, Gesicht). Multi-Faktor-Authentifizierung blockiert laut Microsoft-Datenanalyse 99,9 Prozent automatisierter Angriffe. Klassische SMS-TANs gelten als veraltet und sind anfällig für SIM-Swapping. Aktueller Standard:
- App-basierte TOTP-Codes (Google Authenticator, Authy, Microsoft Authenticator)
- Hardware-Token nach FIDO2 (YubiKey, Google Titan)
- Passkeys als phishing-resistente Weiterentwicklung
Die zentrale Frage ist nicht mehr ob, sondern welche Form von MFA flächendeckend ausgerollt wird.
OAuth 2.0
OAuth 2.0 ist ein offenes Protokoll für die delegierte Autorisierung. Eine Anwendung erhält im Namen des Nutzers zeitlich begrenzten Zugriff auf einen Dienst, ohne das Passwort des Nutzers zu kennen. Klassisches Beispiel: Mit Google anmelden. Wichtig zu wissen: OAuth 2.0 regelt Autorisierung, nicht Authentifizierung. Für Letzteres baut OpenID Connect auf OAuth auf. Die häufigste Sicherheitslücke entsteht durch zu weit gefasste Scopes, die Apps mehr Rechte gewähren als nötig.
Passkey
Passkeys sind die konsumentenfreundliche Variante von FIDO2, getragen vom FIDO-Alliance-Konsortium aus Apple, Google und Microsoft. Ein Passkey besteht aus einem Schlüsselpaar: Der private Schlüssel bleibt auf dem Gerät, der öffentliche wandert zum Dienst. Authentifiziert wird per Biometrie oder Geräte-PIN. Passkeys synchronisieren sich über die Cloud-Konten der Plattform-Anbieter und sind phishing-resistent, weil sie ausschließlich auf der echten Domain funktionieren. 2025 hat die Verbreitung deutlich angezogen, 2026 ist sie für die meisten großen Dienste verfügbar.
Passwort-Manager
Ein Passwort-Manager speichert alle Anmeldedaten verschlüsselt hinter einem einzigen Master-Passwort und füllt sie auf den richtigen Websites automatisch ein. Wer 2026 noch immer mit Excel-Listen, Browser-Sync oder dem gelben Klebezettel hantiert, fährt mit angezogener Handbremse. Empfehlenswerte Lösungen: 1Password, Bitwarden (auch Open Source), KeePass für Selbsthoster. Im Unternehmen gehört ein zentraler Passwort-Manager mit Team-Tresoren zur Mindestausstattung.
Privileged Access Management (PAM)
Privileged Access Management ist die Sonderverwaltung für privilegierte Konten: Administratoren, Service-Accounts, Notfall-Zugänge. Ein PAM-System gibt diese Konten nur befristet aus (Just-in-Time-Access), zeichnet alle Sitzungen auf und rotiert Passwörter nach jeder Nutzung. Privileged Access Management ist Pflicht bei NIS-2-betroffenen Unternehmen, weil kompromittierte Admin-Konten in den meisten Ransomware-Vorfällen die Eintrittstür waren. Bekannte Anbieter: CyberArk, BeyondTrust, Delinea.
Single Sign-On (SSO)
Mit Single Sign-On meldet sich der Nutzer einmal an und erhält dann ohne erneute Anmeldung Zugriff auf alle angebundenen Anwendungen. Im Unternehmen wird SSO typischerweise gegen Microsoft Entra ID, Okta oder Google Workspace umgesetzt, technisch über SAML 2.0 oder OpenID Connect. Vorteil: weniger Passwörter im Umlauf, einfacheres Offboarding. Risiko: Wer den SSO-Account kompromittiert, hat alles. Deshalb gehört starke MFA zwingend auf den SSO-Login.
TOTP
Time-based One-Time Password ist ein Verfahren für zeitbasierte Einmal-Codes nach RFC 6238. Eine App auf dem Smartphone generiert alle 30 Sekunden einen neuen sechsstelligen Code, basierend auf einem gemeinsamen Geheimnis und der aktuellen Uhrzeit. TOTP ist weit verbreitet, weil es ohne Mobilfunknetz funktioniert und keine zusätzliche Hardware benötigt. Schwäche gegenüber FIDO2: TOTP-Codes lassen sich per Echtzeit-Phishing abfangen.
Netzwerk- und Perimetersicherheit
Neun Begriffe für die klassische Wahrnehmung von Cybersecurity: was zwischen dem Internet und dem internen Netz passiert. Auch in Zero-Trust-Architekturen behält dieser Cluster seine Berechtigung, allerdings in deutlich überarbeiteter Form.
DNSSEC
DNS Security Extensions ergänzt das klassische Domain Name System um digitale Signaturen, die die Echtheit von DNS-Antworten beweisen. Ohne DNSSEC können Angreifer per DNS-Spoofing ein Opfer auf eine gefälschte Website umleiten. DNSSEC ist seit über 15 Jahren standardisiert, die Verbreitung in der deutschen Wirtschaft bleibt aber dürftig. Eine Lücke, die das BSI in seinen Empfehlungen wiederholt anmahnt.
Firewall (NGFW)
Die klassische Firewall filtert Datenverkehr nach Ports und IP-Adressen. Eine Next-Generation Firewall (NGFW) geht weiter: Sie inspiziert den Inhalt der Pakete, erkennt Anwendungen unabhängig vom Port, integriert Intrusion Prevention und Antiviren-Scans und kann TLS-Verbindungen aufbrechen, um auch verschlüsselten Verkehr zu prüfen. Marktführer: Palo Alto Networks, Fortinet, Check Point. Die Firewall bleibt ein zentraler Baustein, ist aber alleine nicht mehr ausreichend.
Intrusion Detection System (IDS)
Ein Intrusion Detection System überwacht den Netzwerkverkehr (NIDS) oder einzelne Hosts (HIDS) auf verdächtige Muster und schlägt Alarm. Das IDS greift nicht aktiv ein, sondern meldet. Erkennung erfolgt entweder signaturbasiert (bekannte Angriffsmuster) oder anomaliebasiert (Abweichung vom normalen Verhalten). Bekannte Open-Source-Lösungen: Snort, Suricata, Zeek.
Intrusion Prevention System (IPS)
Ein Intrusion Prevention System ist ein IDS mit Eingreifrechten: Erkennt das System einen Angriff, blockiert es die entsprechende Verbindung sofort. Vorteil: schnellere Reaktion ohne Wartezeit auf einen menschlichen Analysten. Nachteil: Fehlalarme (False Positives) können legitimen Verkehr blockieren und den Geschäftsbetrieb stören. Moderne NGFWs integrieren IPS-Funktionalität standardmäßig.
Mikrosegmentierung
Mikrosegmentierung teilt das interne Netzwerk in viele kleine, voneinander isolierte Zonen auf. Jede einzelne Workload oder Anwendung läuft in ihrer eigenen Mikro-Zone mit eigenen Zugriffsregeln. Ziel: Selbst nach einem erfolgreichen Initial Access kann sich der Angreifer nicht ungehindert seitlich bewegen. Mikrosegmentierung ist ein technischer Baustein der Zero-Trust-Architektur. Umgesetzt wird sie häufig über Software-Defined Networking oder spezialisierte Plattformen wie Illumio oder Akamai Guardicore.
Netzwerksegmentierung
Die klassische Netzwerksegmentierung teilt ein Unternehmensnetz in grobe Zonen: Büro-LAN, Server-VLAN, Produktion (OT), Gästenetz, DMZ. Übergänge zwischen den Zonen sind durch Firewall-Regeln kontrolliert. Netzwerksegmentierung ist die Vorstufe der Mikrosegmentierung und bleibt für die meisten Mittelständler die realistische Ausbaustufe. Ein häufig übersehener Bereich: die Trennung von Produktionsnetzen und Büronetzen in Industrieunternehmen.
SASE
Secure Access Service Edge ist ein Cloud-natives Architekturmodell, das Netzwerk- und Sicherheitsfunktionen bündelt: VPN-Ersatz (ZTNA), Web-Gateway, CASB, Firewall-as-a-Service. SASE-Anbieter betreiben weltweit verteilte Points of Presence, in die sich Nutzer und Standorte unabhängig vom Standort einwählen. Bekannte Anbieter: Zscaler, Netskope, Cato Networks, Palo Alto Prisma. SASE ist die logische Antwort auf eine Welt, in der Anwendungen nicht mehr im Rechenzentrum, sondern in der Cloud liegen.
TLS / SSL
Transport Layer Security ist das Protokoll für verschlüsselte Verbindungen im Internet, erkennbar am https:// in der Adresszeile. Der ältere Name SSL wird umgangssprachlich noch genutzt, technisch sind aber TLS 1.2 und TLS 1.3 aktuell. TLS sichert Vertraulichkeit (keiner liest mit), Integrität (keiner manipuliert) und Authentizität (das Gegenüber ist wirklich die behauptete Seite, dank Zertifikat). TLS 1.0 und 1.1 gelten seit Jahren als unsicher und sollten deaktiviert sein.
VPN
Ein Virtual Private Network baut einen verschlüsselten Tunnel über das öffentliche Internet auf und macht ein entferntes Gerät zum scheinbaren Teilnehmer des Heimnetzes. Klassischer Einsatzfall: Homeoffice-Zugriff auf interne Server. Konsumer-VPNs (NordVPN, Mullvad) anonymisieren Surfen, sind aber etwas Anderes als das Unternehmens-VPN. Moderne Architekturen ersetzen klassische VPNs zunehmend durch Zero Trust Network Access (ZTNA), das nur Zugriff auf einzelne Anwendungen statt auf das ganze Netz gewährt.
Endpoint- und Gerätesicherheit
Sieben Begriffe für die letzte Meile: das Gerät, an dem ein Mensch sitzt. 2026 ist das Endpoint-Universum heterogen geworden. Firmenlaptop, Mitarbeiter-Smartphone, Tablet im Schichtbetrieb, IoT-Sensor in der Produktion. Jedes davon ist ein potenzieller Eintrittsweg.
Bring Your Own Device (BYOD)
Mit Bring Your Own Device nutzen Mitarbeiter ihr privates Smartphone oder Notebook auch beruflich. Vorteil: keine Hardware-Kosten, gewohnte Geräte. Nachteil: Das Unternehmen verliert die volle Kontrolle über die Sicherheitskonfiguration. Eine BYOD-Strategie ohne MDM-Policy und ohne klare Trennung von privaten und beruflichen Daten ist riskant. Alternative: COPE (Corporate Owned, Personally Enabled), bei dem das Unternehmen die Hardware stellt, aber private Nutzung erlaubt.
Endpoint Detection and Response (EDR)
Sicherheitslösung, die alle Endgeräte (Laptops, Server, Smartphones) kontinuierlich auf verdächtige Aktivitäten überwacht und automatisiert reagieren kann. EDR ist die modernere Variante des klassischen Virenscanners und arbeitet verhaltensbasiert statt nur signaturbasiert. Ein EDR sammelt Telemetrie aus dem Endpunkt, korreliert sie zentral und kann verdächtige Prozesse isolieren, bevor Schaden entsteht. Wichtige Komponente jeder NIS-2-konformen Mindestausstattung. Marktführer: CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne.
Mobile Device Management (MDM)
Mobile Device Management ist die zentrale Verwaltungsplattform für firmenrelevante Mobilgeräte. Eine MDM-Lösung verteilt Apps, erzwingt Sicherheitsrichtlinien (Bildschirmsperre, Verschlüsselung, Patchstand), trennt geschäftliche und private Daten und ermöglicht im Verlustfall die Fernlöschung. Bekannte Anbieter: Microsoft Intune, Jamf (für Apple-Flotten), VMware Workspace ONE.
Patch-Management
Patch-Management bezeichnet den geordneten Prozess, mit dem Sicherheitsupdates für Betriebssysteme, Anwendungen und Firmware getestet und ausgerollt werden. Ohne strukturiertes Patch-Management klaffen Schwachstellen unnötig lange offen. Faustregel des BSI: Kritische Sicherheitsupdates innerhalb von 72 Stunden, sonstige innerhalb von 30 Tagen. Geschätzt 60 Prozent aller erfolgreichen Cyber-Angriffe nutzen Schwachstellen aus, für die längst ein Patch verfügbar wäre.
Sandbox
Eine Sandbox ist eine abgeschottete Ausführungsumgebung, in der unbekannter Code (E-Mail-Anhänge, heruntergeladene Dateien) gefahrlos getestet werden kann. Verändert die Datei in der Sandbox typische System-Komponenten oder versucht sie, mit verdächtigen Servern zu kommunizieren, wird sie als bösartig markiert. Klassischer Einsatzort: E-Mail-Gateways und Browser-Isolation.
Unified Endpoint Management (UEM)
Unified Endpoint Management ist die Weiterentwicklung des MDM-Konzepts: Eine einzige Plattform verwaltet alle Arten von Endgeräten (Laptops, Smartphones, Tablets, IoT, Kassen-Terminals) plattformübergreifend. UEM ist die Antwort auf die wachsende Vielfalt an Geräten im Unternehmen und vereinfacht Compliance-Nachweise erheblich. Marktführer überschneiden sich weitgehend mit MDM-Anbietern.
XDR (Extended Detection and Response)
Extended Detection and Response erweitert EDR um Telemetrie aus weiteren Quellen: Netzwerk, Cloud, E-Mail, Identitäten. Ziel ist die Korrelation über Datensilos hinweg, damit komplexe Angriffe sichtbar werden, die in einzelnen Werkzeugen unauffällig wirken. XDR ersetzt teilweise klassische SIEM-Konstruktionen, besonders für mittelständische Unternehmen ohne eigenes Security Operations Center.
Kryptografie und Verschlüsselung
Acht Begriffe für das mathematische Fundament der IT-Sicherheit. Wer Verschlüsselung versteht, versteht auch, warum Bestimmtes geht und Anderes nicht.
Asymmetrische Verschlüsselung
Bei der asymmetrischen Verschlüsselung gibt es zwei Schlüssel pro Teilnehmer: einen öffentlichen zum Verschlüsseln und Verifizieren, einen privaten zum Entschlüsseln und Signieren. Asymmetrische Verschlüsselung ist die Grundlage moderner Internet-Sicherheit, von HTTPS über E-Mail-Signaturen bis zu Passkeys. Bekannte Verfahren: RSA, Elliptic Curve Cryptography (ECC). Nachteil: deutlich langsamer als symmetrische Verschlüsselung, weshalb in der Praxis oft Hybridverfahren zum Einsatz kommen.
Digitales Zertifikat
Ein digitales Zertifikat ist ein elektronisches Dokument, das einen öffentlichen Schlüssel mit einer Identität verknüpft und von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) signiert wurde. Bekanntes Format: X.509. Klassischer Einsatz: TLS-Zertifikate, die einer Website ihre HTTPS-Identität verleihen. Bekannte CAs: DigiCert, Let’s Encrypt (kostenlos, automatisiert), Sectigo.
Ende-zu-Ende-Verschlüsselung
Bei Ende-zu-Ende-Verschlüsselung können ausschließlich Sender und Empfänger die Inhalte lesen, selbst der vermittelnde Dienstanbieter sieht nur verschlüsselten Datenmüll. Klassische Beispiele: Signal, WhatsApp (im Standardmodus), iMessage, Threema. Ende-zu-Ende-Verschlüsselung steht im Spannungsfeld mit Strafverfolgungsinteressen, weshalb Vorstöße zur Chatkontrolle auf EU-Ebene wiederholt für Aufregung sorgen.
Hash-Funktion
Eine Hash-Funktion verwandelt einen beliebig langen Eingabewert in einen kurzen, festen Ausgabewert (den Hash oder Fingerabdruck). Charakteristika: Aus dem Hash lässt sich der Eingabewert nicht rekonstruieren (Einwegfunktion), und kleinste Änderungen am Eingabewert führen zu völlig anderen Hashes (Avalanche-Effekt). Hash-Funktionen werden zur Integritätsprüfung, zur Passwort-Speicherung (mit Salt und Iterationen) und in digitalen Signaturen genutzt. Aktuelle Standards: SHA-256, SHA-3.
Public Key Infrastructure (PKI)
Eine Public Key Infrastructure ist die organisatorische und technische Gesamtheit, mit der digitale Zertifikate ausgestellt, verteilt, verifiziert und widerrufen werden. Eine PKI umfasst Certificate Authorities, Registrierungsstellen, Sperrlisten (CRL) und Zertifikatsverzeichnisse. Im Unternehmensumfeld betreiben viele eine eigene interne PKI, etwa über Microsoft Active Directory Certificate Services, für Maschinen-zu-Maschinen-Kommunikation und VPN-Zertifikate.
Quantenresistente Kryptografie
Quantenresistente Kryptografie (Post-Quantum Cryptography, PQC) bezeichnet Verfahren, die auch bei Verfügbarkeit eines hinreichend großen Quantencomputers sicher bleiben. Klassische asymmetrische Verfahren wie RSA und ECC wären durch Shors Algorithmus auf einem solchen Quantencomputer gebrochen. Das US-amerikanische NIST hat 2024 die ersten PQC-Standards veröffentlicht (CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+). Das BSI empfiehlt einen schrittweisen Übergang in den kommenden Jahren, insbesondere für langlebige Schutzbedarfe.
Symmetrische Verschlüsselung
Bei der symmetrischen Verschlüsselung nutzen Sender und Empfänger denselben geheimen Schlüssel. Vorteil: hohe Geschwindigkeit, geeignet für große Datenmengen. Nachteil: Der Schlüssel muss vorab sicher ausgetauscht werden. Aktueller Industriestandard: AES (Advanced Encryption Standard) mit 256 Bit Schlüssellänge. Symmetrische Verschlüsselung wird in der Praxis fast immer mit asymmetrischen Verfahren zum Schlüsselaustausch kombiniert (Hybridverfahren).
Verschlüsselung in Ruhe und im Transit
Diese Unterscheidung ist Compliance-Sprache. Verschlüsselung im Transit (Encryption in Transit) sichert Daten, während sie über Netzwerke wandern, etwa per TLS. Verschlüsselung in Ruhe (Encryption at Rest) sichert Daten, während sie auf Festplatten, in Datenbanken oder Cloud-Buckets liegen, etwa per BitLocker, LUKS oder AES-256 auf S3-Ebene. Die DSGVO verlangt beides als angemessene Maßnahme nach Artikel 32 für sensible Daten.
Cloud- und Anwendungssicherheit
Sieben Begriffe für die Welt, in der Anwendungen nicht mehr im eigenen Rechenzentrum laufen. Die Werkzeuge sind teilweise neu, die Grundprinzipien dieselben.
API-Sicherheit
APIs (Application Programming Interfaces) sind die Verbindungsstücke moderner Software-Architekturen und damit auch die häufigsten Eintrittstore für Angreifer. Typische Schwachstellen: fehlende oder schwache Authentifizierung, mangelnde Eingabe-Validierung, unzureichende Rate-Limits gegen Missbrauch, übermäßige Datenausgabe (Excessive Data Exposure).
Das OWASP API Security Top 10 bietet eine bewährte Checkliste. API-Sicherheit ist 2026 ein eigenes Marktsegment mit spezialisierten Anbietern wie Salt Security, Noname Security und Traceable.
Cloud Access Security Broker (CASB)
Ein Cloud Access Security Broker schiebt sich als Sicherheits-Proxy zwischen die Nutzer und ihre Cloud-Anwendungen. Funktionen: Sichtbarkeit über die genutzten Cloud-Dienste (auch Schatten-IT), Durchsetzung von Datenklassifizierung, Verschlüsselung von Daten vor dem Hochladen, Anomalie-Erkennung bei verdächtigen Zugriffen. CASB-Funktionen sind oft Bestandteil größerer SASE-Plattformen.
Container-Sicherheit
Container-Sicherheit umfasst den Schutz von Anwendungen, die in Docker- oder Kubernetes-Containern verpackt sind. Drei Ebenen: Image-Scanning vor dem Deployment (auf bekannte Schwachstellen in Basis-Images), Laufzeitschutz (Erkennung anormalen Verhaltens im laufenden Container), Konfigurationshärtung (sichere Kubernetes-Policies). Verbreitete Werkzeuge: Trivy, Snyk, Aqua, Sysdig.
DevSecOps
DevSecOps integriert Sicherheit als gleichberechtigten Baustein in den DevOps-Prozess. Statt nachträglich zu prüfen, prüft DevSecOps automatisiert in jeder Pipeline-Stufe: Code-Scan beim Commit, Dependency-Check beim Build, Container-Scan beim Push, Penetrationstest beim Staging, kontinuierliche Überwachung im Betrieb. Kulturell ist DevSecOps eine Verantwortungsverlagerung: Sicherheit ist nicht mehr Sache eines getrennten Teams am Ende, sondern Aufgabe aller Beteiligten.
Shift-Left
Shift-Left bedeutet, Sicherheitsprüfungen so früh wie möglich im Software-Entwicklungsprozess durchzuführen, also nach links auf der typischen Zeitleiste. Ein Bug, der im Code-Review gefunden wird, kostet bei der Behebung einen Bruchteil eines Bugs, der erst nach dem Deployment in Produktion auffällt.
Konkrete Werkzeuge: Static Application Security Testing (SAST), Software Composition Analysis (SCA), Linter mit Sicherheitsregeln. Shift-Left ist eine der wenigen Stellen, an denen Sicherheit und Wirtschaftlichkeit ohne Zielkonflikt zusammenlaufen.
Software Bill of Materials (SBOM)
Eine Software Bill of Materials ist eine maschinenlesbare Stückliste aller Komponenten, aus denen ein Software-Produkt besteht: Eigenentwicklung, Open-Source-Bibliotheken, kommerzielle Dritt-Komponenten, jeweils mit Versionsnummer. Im Schwachstellenfall (etwa Log4Shell 2021) lässt sich mit einem SBOM in Minuten beantworten, welche Produkte betroffen sind.
Der Cyber Resilience Act schreibt SBOMs ab 2027 für alle in der EU verkauften digitalen Produkte verbindlich vor. Verbreitete Formate: SPDX, CycloneDX.
Web Application Firewall (WAF)
Eine Web Application Firewall sitzt vor einer Webanwendung und filtert HTTP-Anfragen auf bösartige Muster: SQL Injection, Cross-Site Scripting, Path Traversal. Eine WAF schützt nicht vor allem, ist aber eine wirksame zusätzliche Schicht, besonders bei Anwendungen, deren Codebasis schwer zu härten ist. Verbreitete Lösungen: Cloudflare WAF, AWS WAF, Akamai Kona, Imperva.
Security Operations und Threat Intelligence
Sieben Begriffe rund um den laufenden Betrieb der Cybersecurity. In welcher Form ein Unternehmen das umsetzt (eigenes SOC, Managed Service, Lean-Setup mit SIEM-Standard) hängt von Größe, Risikoprofil und Budget ab. Komplett ohne diese Funktionen wird es 2026 in regulierten Branchen schwierig.
Honeypot
Ein Honeypot ist ein absichtlich verwundbar gestaltetes System, das Angreifer anlocken soll. Sobald jemand zugreift, ist das ein klares Alarmsignal, weil legitime Nutzer dort nichts zu suchen haben. Honeypots dienen sowohl der Frühwarnung als auch der Forschung über aktuelle Angreifer-Taktiken. Erweitert wird das Konzept zum Honeynet (mehrere vernetzte Honeypots) und zur Deception-Technologie, die das ganze Netz mit lockenden Falschspuren spickt.
Indicators of Compromise (IoC)
Indicators of Compromise sind technische Spuren eines Angriffs, etwa verdächtige IP-Adressen, Datei-Hashes von Schadsoftware, ungewöhnliche Domain-Namen, spezifische Registry-Einträge. IoCs werden in Threat-Intelligence-Feeds geteilt und in SIEM- und EDR-Systeme eingespeist, damit diese gleichartige Angriffe in der eigenen Umgebung erkennen können. Bewährter Standard zum Austausch: STIX/TAXII.
Security Information and Event Management (SIEM)
Ein SIEM-System sammelt Protokolldaten aus allen Sicherheits- und IT-Systemen, korreliert sie und schlägt bei verdächtigen Mustern Alarm. Ein gut konfiguriertes SIEM ist das Herzstück eines Security Operations Centers. Schwieriger Teil: die Korrelationsregeln. Zu lasche Regeln produzieren Alarm-Müdigkeit, zu strenge übersehen echte Vorfälle. Bekannte SIEM-Plattformen: Splunk, IBM QRadar, Microsoft Sentinel, Elastic Security.
SOAR
Security Orchestration, Automation and Response ergänzt das SIEM um automatisierte Reaktions-Playbooks. Erkennt das SIEM einen Vorfall, kann SOAR ohne menschliches Zutun definierte Schritte einleiten: Konto sperren, Firewall-Regel ergänzen, Endpoint isolieren, Ticket erstellen, Mitarbeiter benachrichtigen. SOAR senkt die Reaktionszeit von Stunden auf Minuten und entlastet Analysten von repetitiven Routinen.
Security Operations Center (SOC)
Ein Security Operations Center ist das zentrale Team, das die Cybersecurity-Operations eines Unternehmens betreibt: rund um die Uhr Monitoring, Alarmbearbeitung, Incident Response, Threat Hunting. Ein eigenes 24/7-SOC bedeutet typischerweise mindestens 8 bis 12 Vollzeitstellen, was sich nur größere Unternehmen leisten. Für den Mittelstand sind Managed Detection and Response (MDR) und SOC-as-a-Service realistische Alternativen. Anbieter im DACH-Raum: SECUINFRA, r-tec, Arctic Wolf.
Threat Hunting
Threat Hunting ist die proaktive Suche nach Angreifern im eigenen Netzwerk, also bevor Alarme schrillen. Hypothesengetrieben: Ein Analyst formuliert eine konkrete Annahme, etwa dass ein Angreifer möglicherweise per Pass-the-Hash die Domain-Admins kompromittiert hat, und prüft sie systematisch in den Telemetriedaten. Threat Hunting ist die Königsdisziplin der defensiven Cybersecurity und setzt qualifizierte Analysten voraus.
Threat Intelligence
Threat Intelligence ist die strukturierte Beschäftigung mit aktuellen Bedrohungen: Wer greift wie an, welche Werkzeuge, welche Ziele, welche Branchen? Threat Intelligence kommt aus offenen Quellen (OSINT), aus kommerziellen Anbietern (Mandiant, Recorded Future, CrowdStrike Intelligence) und aus Behörden-Kanälen (CERT-Bund, ENISA). Verarbeitet wird sie auf drei Ebenen: strategisch (Trends, Vorstandsbericht), operativ (Angriffskampagnen), taktisch (konkrete IoCs).
Schwachstellen- und Risikomanagement
Sieben Begriffe für die kontinuierliche Frage: Wo sind wir verwundbar, wie schlimm wäre es, was machen wir zuerst? Risikomanagement ist die unspektakuläre Seite der Cybersecurity. Wer sie sauber betreibt, hat im Ernstfall vorgesorgt.
CVE
Common Vulnerabilities and Exposures ist das standardisierte Identifikationssystem für öffentlich bekannte Software-Schwachstellen, betrieben von MITRE im Auftrag der US-Regierung. Jede Schwachstelle erhält eine eindeutige Nummer im Format CVE-Jahr-Nummer (Beispiel: CVE-2021-44228 für Log4Shell). CVEs sind die gemeinsame Sprache, in der Hersteller, Forscher und Sicherheitsabteilungen weltweit über Schwachstellen kommunizieren.
CVSS
Das Common Vulnerability Scoring System bewertet Schwachstellen auf einer Skala von 0 bis 10. Der Score setzt sich aus Faktoren wie Ausnutzbarkeit, Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit zusammen.
| CVSS-Score | Einstufung | Patch-Frist (BSI-Empfehlung) |
|---|---|---|
| 9,0 bis 10,0 | Kritisch | 24 bis 72 Stunden |
| 7,0 bis 8,9 | Hoch | 7 Tage |
| 4,0 bis 6,9 | Mittel | 30 Tage |
| 0,1 bis 3,9 | Niedrig | nach Patch-Zyklus |
Aktuelle Version: CVSS 4.0, veröffentlicht 2023.
Penetrationstest
Ein Penetrationstest ist ein simulierter Angriff durch beauftragte Sicherheitsexperten, die wie echte Angreifer vorgehen, aber mit klarem Auftrag und nachvollziehbarer Dokumentation. Typische Vorgehensweisen folgen Methodiken wie OWASP, PTES oder dem BSI-Praxis-Leitfaden. Pentests sind keine einmalige Maßnahme, sondern gehören mindestens jährlich auf den Plan, bei substanziellen Änderungen sofort. Pentest-Berichte sind Pflichtbestandteil vieler Zertifizierungen.
Purple Team
Das Purple Team ist die Zusammenführung von Red Team (Angreifer) und Blue Team (Verteidiger). Statt im klassischen Wettkampf-Modus zu agieren, arbeiten beide Seiten kollaborativ: Das Red Team zeigt seine Techniken, das Blue Team prüft die Erkennungs- und Reaktionsfähigkeiten, gemeinsam wird gehärtet. Purple-Team-Übungen sind besonders lehrreich, weil sie konkrete Lücken in der eigenen Verteidigung offenlegen.
Red Team / Blue Team
Das Red Team simuliert einen realistischen Angreifer, oft über Wochen oder Monate und ohne dass die normalen Verteidiger vorgewarnt sind. Ziel: testen, wie gut die echte Verteidigung im Alltag funktioniert. Das Blue Team ist die operative Verteidigungseinheit: SOC-Analysten, Incident Responder, Netzwerk- und Endpoint-Verantwortliche. Red-Team-Übungen unterscheiden sich vom klassischen Penetrationstest durch breiteres Ziel (gesamtes Unternehmen statt einzelner Anwendung) und realistischere Bedrohungssimulation.
Risikoanalyse
Die Risikoanalyse bewertet jedes identifizierte Risiko nach zwei Dimensionen: Eintrittswahrscheinlichkeit und Schadensauswirkung. Das Produkt ergibt eine Risiko-Einstufung, aus der sich Priorität und Behandlungsstrategie ableiten. Vier mögliche Strategien: vermeiden (Tätigkeit einstellen), reduzieren (Maßnahmen ergreifen), übertragen (Cyber-Versicherung), akzeptieren (bewusste Hinnahme). Eine dokumentierte Risikoanalyse ist Pflichtbestandteil jedes ISMS und damit auch der ISO-27001- und NIS-2-Anforderungen.
Vulnerability Scanner
Ein Vulnerability Scanner prüft Systeme automatisiert auf bekannte Schwachstellen, indem er Versions-Banner ausliest, Konfigurationen abgleicht und gezielte Tests durchführt. Im Unterschied zum Penetrationstest geht der Scanner breit, aber flach: viele Systeme, jeweils nach bekannten CVEs. Bekannte Tools: Nessus, Qualys, OpenVAS (Open Source), Rapid7 InsightVM. Ein wöchentlicher Scan gehört zur Mindestausstattung jedes ernsthaft betriebenen Schwachstellen-Managements.
Vorfallsmanagement und Wiederherstellung
Sieben Begriffe für den Fall, dass die Verteidigung doch durchbrochen wird. Niemand will diese Begriffe brauchen. Wer sie nicht parat hat, braucht sie umso bitterer.
Backup
Eine Sicherungskopie von Daten, die im Schadensfall die Wiederherstellung erlaubt. Best Practice ist die 3-2-1-Regel: drei Kopien auf zwei verschiedenen Medien, eine davon offline gelagert. Das Backup gehört regelmäßig getestet, sonst zeigen die Sicherungen erst im Ernstfall ihre Lücken. Ransomware-resistente Backup-Strategien arbeiten zusätzlich mit Immutable Storage (unveränderliche Schnappschüsse) und Air Gap (physische Netzwerktrennung der Sicherung).
Business Continuity Management (BCM)
Business Continuity Management ist die Gesamtdisziplin, mit der ein Unternehmen sicherstellt, dass kritische Geschäftsprozesse auch bei massiven Störungen weiterlaufen. Cybersecurity-Vorfälle sind nur ein Teilaspekt, BCM denkt auch an Brände, Stromausfall, Pandemien oder Lieferketten-Ausfälle. Zentrale Werkzeuge: Business Impact Analyse, Notfallhandbücher, regelmäßige Übungen. ISO 22301 ist der einschlägige Standard.
Disaster Recovery
Disaster Recovery ist der technische Teilbereich des Business Continuity Managements. Wie wird die IT-Infrastruktur nach einem Ausfall wiederhergestellt? Konkrete Bausteine: redundante Rechenzentren, Failover-Verfahren, dokumentierte Wiederanlauf-Pläne, getestete Restore-Prozeduren. Ohne regelmäßige Disaster-Recovery-Übungen ist ein DR-Plan ein Wunschzettel, kein Werkzeug.
IT-Forensik
IT-Forensik ist die strukturierte Sicherung und Auswertung digitaler Spuren nach einem Cybersicherheits-Vorfall. Ziele: Hergang verstehen, Schadensausmaß bestimmen, Angreifer-Werkzeuge identifizieren, gegebenenfalls gerichtsverwertbare Beweise sichern. Wichtig: chain of custody (lückenlose Beweismittelkette), Schreibschutz aller untersuchten Datenträger, dokumentierte Werkzeuge. In Deutschland spielen das BSI und spezialisierte Dienstleister wie HiSolutions eine zentrale Rolle.
Incident Response
Strukturierter Prozess zur Bewältigung eines Cybersicherheits-Vorfalls. Sechs Phasen: Vorbereitung, Erkennung, Eindämmung, Beseitigung, Wiederherstellung, Nachbereitung. Ohne Incident-Response-Plan beginnt die Improvisation im Ernstfall und kostet wertvolle Zeit, die laut NIS-2 streng reguliert ist. Ein Incident-Response-Plan gehört dokumentiert, geübt und mit konkreten Telefonnummern unterlegt, weil im Ernstfall niemand erst LinkedIn nach dem Forensik-Dienstleister durchsuchen will.
Recovery Point Objective (RPO)
Das Recovery Point Objective beziffert, wie viel Datenverlust ein Geschäftsprozess höchstens verkraften kann, gemessen in Zeit. Ein RPO von 4 Stunden bedeutet: Im schlimmsten Fall sind die letzten 4 Stunden an Daten verloren. Der RPO definiert damit indirekt das Backup-Intervall. Wer 4 Stunden RPO verträgt, braucht mindestens alle 4 Stunden eine Sicherung.
Recovery Time Objective (RTO)
Das Recovery Time Objective beziffert, wie schnell ein Geschäftsprozess nach einem Ausfall wieder verfügbar sein muss. Ein RTO von 2 Stunden bedeutet: Innerhalb von 2 Stunden muss die Anwendung wieder produktiv laufen. RPO und RTO werden gemeinsam für jeden kritischen Prozess festgelegt und bestimmen direkt das Budget für Redundanz und Disaster Recovery.
Compliance und Regulierung
Zehn Begriffe für den juristischen Rahmen, in dem sich Cybersecurity 2026 bewegt. Wer hier nicht aufpasst, riskiert nicht nur Schaden durch Angreifer, sondern auch Bußgelder und persönliche Haftung. Die Regulierungsdichte ist in Europa innerhalb weniger Jahre erheblich gestiegen.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik ist die zentrale Cybersicherheits-Behörde des Bundes mit Sitz in Bonn. Das BSI veröffentlicht Standards (IT-Grundschutz, BSI 200-Reihe), warnt vor aktuellen Bedrohungen, betreibt ein Computer Emergency Response Team (CERT-Bund) und ist Aufsichtsbehörde für NIS-2 und den Cyber Resilience Act. Die Personalstärke gemessen am stetig wachsenden Aufgabenkatalog wirkt allerdings weiterhin dürftig.
C5
Der Cloud Computing Compliance Criteria Catalogue ist ein vom BSI entwickelter Anforderungskatalog für Cloud-Anbieter. C5 definiert mehr als 100 Kriterien aus 17 Bereichen, von Organisation und Personal über Zutritts- und Zugriffskontrolle bis zu Kryptographie. Für die öffentliche Verwaltung in Deutschland ist ein C5-Testat häufig Voraussetzung, um einen Cloud-Dienst beauftragen zu können. Bekannte Anbieter mit C5-Testat: AWS, Microsoft Azure, Google Cloud, IONOS, OVHcloud.
Cyber Resilience Act (CRA)
EU-Verordnung für Hersteller digitaler Produkte. Die Verordnung trat am 11. Dezember 2024 in Kraft, ihre volle Anwendung beginnt am 11. Dezember 2027. Der CRA verpflichtet Hersteller zu Security-by-Design, Schwachstellen-Management über den Produkt-Lebenszyklus und einer Software Bill of Materials. Bußgelder bis 15 Mio. Euro oder 2,5 Prozent des Weltumsatzes. Betroffen sind nahezu alle Hersteller von Hard- und Software mit digitalen Elementen, die in der EU verkauft werden, von Smart-Home-Geräten bis zu Industriesteuerungen.
DORA
Der Digital Operational Resilience Act regelt die digitale operationale Resilienz im EU-Finanzsektor. Anwendbar seit 17. Januar 2025. DORA betrifft Banken, Versicherungen, Investmentgesellschaften, Krypto-Dienstleister und ihre kritischen IT-Dienstleister. Kernpflichten: IKT-Risikomanagement, Meldung schwerwiegender Vorfälle, regelmäßige Resilienztests und Aufsicht über Dritt-IT-Dienstleister. Aufsichtsbehörden in Deutschland: BaFin und Bundesbank.
DSGVO
Die Datenschutz-Grundverordnung der EU regelt seit 2018 den Umgang mit personenbezogenen Daten. Cybersecurity-relevant sind insbesondere die Meldepflicht bei Datenpannen innerhalb von 72 Stunden und die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen (Artikel 32). Bußgelder bis 20 Mio. Euro oder 4 Prozent des Weltumsatzes. Die DSGVO ist das älteste Glied der modernen EU-Cybersecurity-Regulierungskette und Vorlage für viele jüngere Texte.
ISO 27001
Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Definiert Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung eines ISMS. Eine ISO-27001-Zertifizierung deckt rund 70 bis 80 Prozent der NIS-2-Anforderungen ab und ist im B2B-Geschäft zunehmend Voraussetzung für Lieferantenverträge. Die Zertifizierung erfolgt durch akkreditierte Stellen wie TÜV, DEKRA oder DQS, mit einem typischen Erstaudit-Zyklus von drei Jahren.
IT-Sicherheitsgesetz 2.0
Das IT-Sicherheitsgesetz 2.0 trat 2021 in Kraft und erweiterte das ursprüngliche IT-SiG von 2015. Mit dem Gesetz wurde der KRITIS-Begriff ausgeweitet, die Kategorie Unternehmen im besonderen öffentlichen Interesse eingeführt und die Bußgelder erheblich verschärft. Mit dem NIS-2-Umsetzungsgesetz vom Dezember 2025 wurde das IT-SiG 2.0 weitgehend abgelöst, einzelne Bestimmungen bleiben aber relevant.
KRITIS
Kritische Infrastrukturen (KRITIS) sind Einrichtungen, deren Ausfall erhebliche Auswirkungen auf das Gemeinwesen hätte. In Deutschland gehören dazu die Sektoren Energie, Wasser, Ernährung, Gesundheit, Finanzwesen, Transport und Verkehr, Informationstechnik und Telekommunikation, Staat und Verwaltung, Medien und Kultur. KRITIS-Betreiber unterliegen verschärften Meldepflichten und Auflagen, geprüft durch BSI und sektorale Aufsichtsbehörden. Die genaue Abgrenzung erfolgt über Schwellenwerte in der BSI-KRITIS-Verordnung.
NIS-2-Richtlinie
EU-Richtlinie zur Stärkung der Cybersicherheit, in Deutschland umgesetzt durch das NIS-2-Umsetzungsgesetz vom Dezember 2025. Betrifft rund 29.500 Unternehmen aus 18 Sektoren. Pflichten: Risikomanagement, 24-Stunden-Meldung von Vorfällen, Lieferketten-Sicherheit, persönliche Haftung der Geschäftsleitung. Bußgelder bis 10 Mio. Euro oder 2 Prozent des Weltumsatzes. Die persönliche Haftung der Geschäftsleitung ist die größte Veränderung gegenüber der ersten NIS-Richtlinie und bringt Cybersecurity dort hin, wo sie hingehört: auf den Chefschreibtisch.
TISAX
Trusted Information Security Assessment Exchange ist ein Branchenstandard für Informationssicherheit in der deutschen Automobilindustrie, getragen vom VDA. TISAX baut auf der ISO 27001 auf und ergänzt sie um automobilspezifische Anforderungen, etwa zum Schutz von Prototypen-Daten. Faktisch ist ein gültiges TISAX-Label Voraussetzung, um als Zulieferer für die deutschen OEMs (VW, BMW, Mercedes, Porsche, Audi) arbeiten zu dürfen. Die Auditstufen reichen von Level 1 (Selbstauskunft) bis Level 3 (umfangreiches Audit).
Drei Jahre Vollgas-Regulierung haben die Cybersecurity-Welt vom Technikkeller in die Geschäftsleitung katapultiert. Wer 2026 noch glaubt, IT-Sicherheit sei delegierbar, hat die Pointe von NIS-2 verpasst. Das vorliegende Glossar ist deshalb bewusst kein Lexikon für Spezialisten, sondern ein Werkzeug für Menschen, die in den nächsten drei Jahren persönlich haften.
— Markus Seyfferth, Chefredakteur Dr. Web
Was ist Cybersecurity und welche Begriffe sollten Entscheider kennen?
Cybersecurity bezeichnet den Schutz von IT-Systemen, Daten und digitalen Geschäftsprozessen vor unbefugtem Zugriff, Manipulation und Ausfall. Für Entscheider sind 2026 vor allem die regulatorischen Begriffe (NIS-2, DSGVO, Cyber Resilience Act, ISO 27001) und die operativen Grundkonzepte (Zero Trust, MFA, Incident Response, Backup) relevant. Dieses Glossar deckt mit 99 Begriffen den strategisch wichtigsten Wortschatz ab.
Welche Cybersecurity-Gesetze gelten 2026 in Deutschland?
Drei Regelwerke prägen den Rahmen: die DSGVO seit 2018 für personenbezogene Daten, das NIS-2-Umsetzungsgesetz seit Dezember 2025 für Risikomanagement und Vorfallsmeldung in 18 Sektoren, der Cyber Resilience Act mit voller Anwendung ab Dezember 2027 für Hersteller digitaler Produkte. Sektorspezifisch kommen DORA (Finanzsektor) und das IT-Sicherheitsgesetz 2.0 (KRITIS) hinzu.
Was ist der Unterschied zwischen NIS-2 und dem Cyber Resilience Act?
NIS-2 verpflichtet Unternehmen aus 18 Sektoren zu einem Risikomanagement-System und definiert Meldepflichten bei Vorfällen. Der Cyber Resilience Act richtet sich an Hersteller digitaler Produkte und verpflichtet zu Security-by-Design, Schwachstellen-Management und einer Software Bill of Materials. NIS-2 reguliert also Betreiber, der CRA reguliert Hersteller.
Was bedeutet Zero Trust konkret im Mittelstand?
Zero Trust bedeutet im Mittelstand vor allem drei Dinge: Multi-Faktor-Authentifizierung für alle Mitarbeiter, eine Identitätsplattform als Single Source of Truth (typischerweise Microsoft Entra ID oder Google Workspace) und eine Segmentierung des Netzwerks, die kritische Systeme von Bürorechnern trennt. Eine vollständige Mikrosegmentierung wie in Großkonzernen ist selten realistisch und auch nicht zwingend nötig.
Wie wird ein Unternehmen NIS-2-konform?
Sechs Schritte: prüfen, ob das Unternehmen überhaupt betroffen ist (Schwellenwert-Check anhand Sektor, Mitarbeiterzahl und Umsatz); ein Informationssicherheits-Managementsystem aufbauen, idealerweise auf Basis ISO 27001; technische Mindestmaßnahmen umsetzen (MFA, EDR, Patch-Management, Backup); einen Incident-Response-Plan dokumentieren und mit Lieferanten abstimmen; die Geschäftsleitung schulen, weil sie persönlich haftet; die Meldewege zur zuständigen Aufsichtsbehörde einrichten.
Quellen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Lagebericht zur IT-Sicherheit in Deutschland 2025
- Europäische Kommission: Richtlinie (EU) 2022/2555 (NIS-2)
- Europäische Kommission: Verordnung (EU) 2024/2847 (Cyber Resilience Act)
- ENISA: Threat Landscape Report 2025
- Microsoft Digital Defense Report 2025
- IBM Cost of a Data Breach Report 2025
- FBI Internet Crime Complaint Center (IC3): Annual Report 2024
- NIST Post-Quantum Cryptography Standardization Project
- OWASP API Security Top 10
- FIDO Alliance: Passkey Adoption Status 2026
