Glossar Cybernotfall: Recht und Cybersicherheit

Verpflichtung des Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Kenntnis bei der zuständigen Aufsichtsbehörde zu melden.

Verpflichtung des Verantwortlichen, betroffene Personen über eine Datenschutzverletzung zu informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

Verarbeitung personenbezogener Daten durch einen Dienstleister im Auftrag und nach Weisung des Verantwortlichen.

Regelmäßige Sensibilisierung von Mitarbeitern für Cyberrisiken, mit dem Ziel sicherer Verhaltensweisen im Alltag.

Sicherungsregel: drei Datenkopien auf zwei verschiedenen Medien, davon eine extern und offline; zentrale Maßnahme gegen Ransomware.

Rechte Betroffener auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Beschwerde nach Kapitel III DSGVO.

Bundesoberbehörde mit Zuständigkeit für Cybersicherheit des Bundes und Aufsicht über NIS2- und KRITIS-Pflichten.

Prozess zur Sicherstellung der Aufrechterhaltung kritischer Geschäftsprozesse während und nach einem Vorfall.

Betrugsmasche, bei der Angreifer per gefälschter oder kompromittierter Geschäftsmail Mitarbeiter zu Zahlungen oder Datenpreisgaben veranlassen.

Funktion mit Gesamtverantwortung für Informationssicherheit in einer Organisation, mit direktem Berichtsweg zur Geschäftsleitung.

Meldung eines Cybervorfalls an die zuständigen Stellen, je nach Sachverhalt Datenschutzaufsicht, BSI, Polizei und Versicherung.

Versicherungsschutz für Schäden aus Cybervorfällen, typischerweise mit Eigenschaden-, Drittschaden- und Assistance-Komponenten.

Verletzung des Schutzes personenbezogener Daten, die zu unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung oder Offenlegung führt; meldepflichtig nach Art. 33 DSGVO.

Verfahren zur vorgängigen Bewertung der Risiken bestimmter Verarbeitungen für die Rechte und Freiheiten Betroffener.

Person zur Überwachung der Einhaltung des Datenschutzrechts in einer verantwortlichen Stelle, mit gesetzlich definierten Aufgaben und Schutzrechten.

Verteilter Angriff zur Überlastung von Diensten durch massenhafte Anfragen von vielen Quellen, mit dem Ziel der Nichtverfügbarkeit.

EU-Verordnung 2022/2554 über digitale operationale Resilienz im Finanzsektor; lex specialis für Finanzunternehmen gegenüber NIS2.

Übermittlung personenbezogener Daten in Länder außerhalb des EWR; nur unter den Voraussetzungen der Kapitel V DSGVO zulässig.

Sicherheitslösung auf Endgeräten zur Erkennung und Reaktion auf verdächtiges Verhalten über signaturlose Methoden.

Persönliche Haftung von Geschäftsführern und Vorständen für Versäumnisse in der IT-Sicherheit nach den Sorgfaltsmaßstäben von GmbHG, AktG und NIS2UmsuCG.

Strukturierte Reaktion auf einen Sicherheitsvorfall mit dem Ziel, Schaden zu begrenzen, Beweise zu sichern, Betrieb wiederherzustellen und rechtliche Pflichten zu erfüllen.

Methodische Sicherung, Analyse und Auswertung digitaler Spuren zur Aufklärung von Cybervorfällen und zur Beweissicherung.

Dokumentierter Handlungsleitfaden für den Eintritt schwerer IT-Störungen und Cybervorfälle, mit Rollen, Eskalation und Wiederanlauf.

Änderungsgesetz von 2021, das das BSIG umfassend erweitert hat; weitgehend abgelöst und ergänzt durch das NIS2UmsuCG.

Einrichtungen aus Sektoren von erheblicher Bedeutung für das Gemeinwesen, insbesondere Energie, Wasser, Ernährung, Gesundheit, Verkehr und IT.

Authentifizierungsverfahren, das mindestens zwei unabhängige Faktoren aus den Kategorien Wissen, Besitz und Inhärenz verlangt.

EU-Richtlinie 2022/2555 zur Erhöhung des Cybersicherheitsniveaus in der Union, in Deutschland umgesetzt durch das NIS2UmsuCG, in Kraft seit 6. Dezember 2025.

Deutsches Umsetzungsgesetz zur NIS2-Richtlinie, in Kraft seit 6. Dezember 2025; ändert insbesondere das BSI-Gesetz.

Vertragliche Verhaltenspflicht des Versicherungsnehmers, deren Verletzung den Versicherungsschutz reduzieren oder ausschließen kann.

Strukturierter Prozess zur zeitnahen Identifikation, Bewertung, Tests und Installation von Sicherheitsupdates.

Versuch, über gefälschte Nachrichten, Webseiten oder Anrufe Zugangsdaten oder vertrauliche Informationen zu erlangen oder Schadcode auszuliefern.

Schadsoftware, die Daten oder Systeme verschlüsselt und für die Entschlüsselung Lösegeld fordert, regelmäßig kombiniert mit Datendiebstahl und Veröffentlichungsdrohung.

Vom EU-Rat, der UNO oder den USA geführte Listen von Personen, Einrichtungen und Regionen, mit denen Geschäfte verboten oder genehmigungspflichtig sind.

Organisationseinheit zur kontinuierlichen Überwachung und Reaktion auf Sicherheitsereignisse, intern oder ausgelagert.

Betrag, den der Versicherungsnehmer im Schadenfall selbst trägt, bevor die Versicherung leistet.

Plattform zur zentralen Sammlung, Korrelation und Auswertung sicherheitsrelevanter Ereignisse aus IT-Systemen.

Manipulation von Personen mit dem Ziel, sicherheitsrelevante Handlungen zu provozieren oder Informationen preiszugeben.

Gezieltes Phishing auf einzelne Personen oder Funktionen mit personalisierten Inhalten, etwa für Führungskräfte oder Finanzabteilungen.

Angriff über Hersteller, Dienstleister oder Software-Lieferanten, durch die der Angreifer Zugang zu den Kundennetzen erlangt.

Strukturierte Krisenübung am Tisch, in der ein Vorfall durchgespielt und die Reaktion gemeinsam besprochen wird.

Verpflichtung des Verantwortlichen und Auftragsverarbeiters, geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung umzusetzen.

Verfahren zur Umwandlung von Daten in eine für Unbefugte nicht lesbare Form; zentral für Vertraulichkeit und Integrität.

Schriftliches Verzeichnis aller Verarbeitungstätigkeiten des Verantwortlichen oder Auftragsverarbeiters mit den in Art. 30 DSGVO genannten Inhalten.

Verschlüsselte Netzwerkverbindung zur sicheren Anbindung externer Standorte oder Mitarbeiter an ein internes Netz.

Kategorie nach NIS2 für Einrichtungen in besonders kritischen Sektoren, mit strengeren Pflichten und höheren Sanktionen.

Kategorie nach NIS2 für Einrichtungen in weiteren erfassten Sektoren mit reaktiver Aufsicht und Bußgeldobergrenze bis 7 Millionen Euro oder 1,4 Prozent.

Sicherheitsplattform, die Telemetrie aus Endgeräten, Netzwerk, Identitäten und Cloud zusammenführt und korreliert.

Sicherheitsmodell, das keinerlei impliziten Vertrauensvorschuss innerhalb des Netzwerks gewährt und jede Anfrage neu authentifiziert und autorisiert.

Sicherheitslücke, die dem Hersteller noch nicht bekannt ist und für die noch kein Patch existiert.

Strafvorschrift, die das Gründen, sich beteiligen, Unterstützen oder Werben für eine kriminelle Vereinigung unter Strafe stellt; bei Ransomware-Zahlungen relevant.

Stellt das unbefugte Verschaffen besonders gesicherter Daten unter Strafe.

Stellt das Herstellen, Beschaffen oder Verbreiten von Hackertools und Zugangsdaten unter Strafe.

Stellt die Schädigung des Vermögens durch unrichtige Programmgestaltung, unrichtige Daten oder unbefugte Datenverwendung unter Strafe.

Stellt das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten unter Strafe.

Strafvorschrift des Bundesdatenschutzgesetzes für die unbefugte Verarbeitung personenbezogener Daten in bestimmten Konstellationen.