Glossar

Von A wie Akkreditierung bis Z wie Zertifizierung

A

Akkreditierung

Eine Akkreditierung ist für uns grundlegend. Sie besagt, dass wir uns selber anderen Behörden und Stellen und deren Regeln unterwerfen und von diesen regelmäßig geprüft werden – damit wir für unsere Kunden eine qualitativ hochwertige und verlässliche Leistung erbringen dürfen und können.

Wir sind bei der Deutschen Akkreditierungsstelle (DAkkS) gemäß DIN EN ISO 17021 und DIN EN ISO 17065 akkreditiert als

Bei anderen Stellen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Bundesnetzagentur (BNetzA) sind wir anerkannt, lizensiert oder haben Zulassungen. Je nach Dienstleistung ist diese Anerkennung auch an eine natürliche Person, z.B. an einen Auditor oder eine Auditorin gebunden.

Akkreditierung wird umgangssprachlich oft gleichgesetzt mit Anerkennung, Lizenzierung, Bescheinigung oder Zulassung einer Stelle für eine bestimmte Kompetenz und kommt aus dem Lateinischen von accredere, „Glauben schenken“.
 

Anwendungsbereich

Klar umrissener und abgegrenzter technischer oder organisatorischer Bereich, der zur Prüfung nach einer Norm oder einem Standard vorgesehen ist, auch als Scope (ISO) oder IT-Verbund (BSI) bezeichnet.

Auditor*in

Gutachter*in bzw. Person, die ein Audit durchführt. Unsere Auditor*innen sind entweder bei uns angestellt oder als externe Mitarbeitende von uns beauftragt, ein Audit durchzuführen.

AV (Datenschutz)

Meint Auftragsverarbeitung i.S.d. Art. 28 DSGVO. Wir führen AV-Audits durch, also Audits, die bei Lieferanten und Lieferantinnen durchgeführt werden oder die bei unseren Kund*innen als deren Auftragsverarbeitung durchgeführt werden. Ein AV-Audit gilt als verlässlicher Nachweis der Prüfungspflichten gemäß Art. 28 DSGVO bzw. § 80 SGB X.

AVV (Datenschutz)

Oftmals verwendet als Abkürzung für den Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO. Der AVV ist gesetzlich für die Auftragsverarbeitung vorgeschrieben und ist ein wesentlicher Prüfungspunkt unserer Datenschutzaudits.

B

bDSB

Betriebliche*r oder behördliche*r Datenschutzbeauftragte*r. Wir vergeben z.B. Fachkundenachweise für geschulte und von uns geprüfte bDSB. bDSB sind oftmals auch unsere Hauptansprechpartner*innen bei Datenschutzaudits. Natürlich haben auch wir einen bDSB für unserer Unternehmen bestellt.

BDSG

Bundesdatenschutzgesetz, ist oftmals Prüfungsgrundlage unserer Datenschutzaudits, insbesondere, wenn dadurch im BDSG als sogenannte Öffnungsklauseln der DSGVO ergänzende Anforderungen stehen.

BFArM

Bundesinstitut für Arzneimittel und Medizinprodukte; das BFArM hat spezielle Anforderungen an Digitale Gesundheitsanwendungen (DiGA) und Medizinprodukte erlassen. Seit dem 01. April 2022 müssen DiGA dem BfArM ein zertifiziertes Informationssicherheits-Management-System (ISMS) vorlegen und zudem weitere Nachweise aus den Bereichen Datenschutz und Informationssicherheit sowie Penetrationstests. Wir führen Audits und Zertifizierungen sowie Penetrationstests durch.

BSI

Bundesamt für Sicherheit in der Informationstechnik. Wir sind beim BSI z.B. zugelassen, anerkannt oder lizenziert als

Zudem nehmen wir seit 2010 die Rolle als Zertifizierungsdienstleister für das BSI war – als eine von 2 Stellen in Deutschland.

BSIG

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG). Dieses ist Grundlage für unsere Audits gemäß KRITIS und §8a BSIG.

C

C5

(Cloud Computing Compliance Criteria Catalogue); Standard zur Informationssicherheit in Cloud-Systemen des Bundesamtes für Informationssicherheit (BSI). Nach diesem Standard können Verfahren über das BSI mit einer prüfenden Stelle geführt werden. Die datenschutz cert GmbH kann in diesem Bereich als prüfende Stelle agieren. Der Cloud-Betreiber beauftragt die prüfende Stelle direkt. 

CA

Certification Authority (engl; Zertifizierungsstelle); kann u.a. eine Zertifizierungsstelle für Managementsysteme, aber auch eine Zertifizierungsstelle meinen, die sog. Root-Zertifikate ausstellt (root-CA). Weiterhin können von den Root-Zertifikaten sog. Unterzertifikate (Sub-Certificates) abgeleitet werden. Eine (Zertifizierungs-)Stelle, die dies offiziell machen darf, wird als Sub-CA bezeichnet. 

D

DAkkS

Deutsche Akkreditierungsstelle (Nationale Akkreditierungsstelle der Bundesrepublik Deutschland)

DiGA

Digitale Gesundheitsanwendungen, für die wir Konformitätsbewertungen und Audits durchführen. Seit dem 01. April 2022 müssen DiGA dem BfArM ein zertifiziertes Informationssicherheits-Management-System (ISMS) vorlegen und zudem weitere Nachweise aus den Bereichen Datenschutz und Informationssicherheit sowie Penetrationstests. Wir führen Audits und Zertifizierungen sowie Penetrationstests durch.

DSMS

Datenschutzmanagementsystem. Das DSMS kann nach ISO/IEC 27701 auditiert werden, z.B. im Rahmen eines ISMS-Audits nach ISO/IEC 27001.

E

EDPB

European Data Protection Board; das EDPB hat u.a. Regelungen für DSGVO Zertifizierungsstellen erlassen und unserer Zertifizierungsprogramm ips – information privacy standards® geprüft.

EDSA

Europäischer Datenschutzausschuss, der EDSA hat u.a. Regelungen für DSGVO Zertifizierungsstellen erlassen und unserer Zertifizierungsprogramm ips – information privacy standards® geprüft.

eIDAS

Englisch für Electronic IDentification, Authentication and trust Services). Bezeichnung aus der EU Verordnung Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG. Wir auditieren und zertifizieren gemäß eIDAS.

ETSI

European Telecommunications Standards Institute, Europäische Institut für Telekommunikationsnormen, eine unabhängige europäische Normungsorganisation, z.B. für Videoidentifikation. Wir auditieren und zertifizieren nach ETSI EN Standard, beispielsweise Videoidentverfahren für Banken, das Postwesen oder Versicherungen.

F

Fachexperte*in

Person, die sich in einer Branche oder Materie gut auskennt und das Team im Audit unterstützt. Für Audits nach IT-Sicherheitskatalog müssen Fachexpert*innen immer begleitend dabei sein.

G

Gutachter*in

Person, die Konformitätsbewertungen durchführt, z.B. Audits. Unsere Gutachter*innen erstellen auch Fachbegutachtungen, z.B. datenschutzrechtliche oder forensische Untersuchungen.

GWA

Gateway Administrator, auch Smart Meter Gateway Administrator (SMGW-Admin). Diese sind über die Technischen Richtlinien TR-03109 des BSI eingeführt und geregelt. Möchte ein sog. externer Marktteilnehmer als Smart Meter Gateway Administrator agieren, so muss dieser nach der TR-03109-6 (und weiteren TR, je nach Anwendungsgebiet) zertifiziert werden. Die datenschutz cert GmbH ist berechtigt entsprechende Zertifizierungsverfahren durchzuführen. 

H

HCM

Human Capital Management (Personalmanagement)

Herstellererklärung

Erklärung von Hersteller*innen eines zu prüfenden Produktes oder Services über bestimmte Aspekte des Produktes, z.B. zum Datenschutz oder zur Informationssicherheit, zu Updates oder Änderungen seit der letzten Prüfung. Die Erklärung wird wesentlicher Bestandteil für die Prüfung oder die Angebotskalkulation.

I

ips – information privacy standards®

Konformitätsbewertungsprogramm der datenschutz cert GmbH für DSGVO-Zertifizierungen.

IS

Informationssicherheit – wir leben Informationssicherheit und lieben sie, nicht nur in Audits und Zertifizierungen.

ISB

Informationssicherheitsbeauftragte*r; ist oftmals Ansprechpartner*in für unsere Audits. Natürlich haben auch wir einen ISB bestellt.

ISMS

Informationssicherheitsmanagementsystem; damit wird ein Managementsystem zur Identifikation des aktuellen Niveaus und zur Steigerung der Informationssicherheit bezeichnet. Dies kann nach verschiedenen Standards zertifiziert und von unabhängigen Stellen nachgewiesen werden. Beispielsweise kann der Zustand des ISMS über eine ISO/IEC 27001-Zertifizierung oder eine ISO 27001 auf der Basis von IT-Grundschutz-Zertifizierung (BSI) nachgewiesen werden. Die datenschutz cert GmbH ist als Zertifizierungsstelle für ISO/IEC 27001 Zertifizierungen von der DAkkS akkreditiert. Zusätzlich verfügen wir über Auditteamleiter*innen, die Sie durch ein Zertifizierungsverfahren auf Basis von IT-Grundschutz begleiten können. 

ISO

International Organization for Standardization (Internationale Organisation für Normung)

ISO/IEC 27001

ISO/IEC 27001 spezifiziert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), wir führen Audits und Zertifizierungen danach durch.

ISO/IEC 27005

ISO/IEC 27005 spezifiziert Anforderungen an ein Risikomanagement der Informationssicherheit. Wir führen Audits danach durch. Da die ISO/IEC 27005 keine akkredidierte Zertifizierungsnorm ist, können darüber keine Zertifikate ausgestellt werden. Sie kann aber in Verbindung mit der akkreditierten Norm ISO/IEC 27001 geprüft und ein Prüfnachweis ausgestellt werden.

ISO/IEC 27017

ISO/IEC 27017 spezifiziert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) für Cloud-Services. Wir führen Audits danach durch. Da die ISO/IEC 27017 keine akkredidierte Zertifizierungsnorm ist, können darüber keine Zertifikate ausgestellt werden. Sie kann aber in Verbindung mit der akkreditierten Norm ISO/IEC 27001 geprüft und ein Prüfnachweis ausgestellt werden.

ISO/IEC 27018

ISO/IEC 27018 spezifiziert Anforderungen an ein Datenschutzmanagement in öffentlichen Cloud-Services. Wir führen Audits danach durch. Da die ISO/IEC 27018 keine akkredidierte Zertifizierungsnorm ist, können darüber keine Zertifikate ausgestellt werden. Sie kann aber in Verbindung mit der akkreditierten Norm ISO/IEC 27001 geprüft und ein Prüfnachweis ausgestellt werden.

ISO/IEC 27019

ISO/IEC 27019 spezifiziert Anforderungen an ein Informationssicherheitsmanagement in Prozessleitsystemen und Automatisierungstechnik der Energieversorgung. Wir führen Audits danach durch. Da die ISO/IEC 27019 keine akkredidierte Zertifizierungsnorm ist, können darüber keine Zertifikate ausgestellt werden. Sie kann aber in Verbindung mit der akkreditierten Norm ISO/IEC 27001 geprüft und ein Prüfnachweis ausgestellt werden.

ISO/IEC 27701

ISO/IEC 27701 spezifiziert Anforderungen an ein Datenschutz-Managementsystem (DSMS). Geprüft und zertifiziert wird das DSMS nach ISO/IEC 27701 gemeinsam mit dem zugehörigen Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001

Wichtig: ISO/IEC 27701 gilt weder als anerkannte Zertifizierungsnorm im Sinne des Art. 43 DSGVO noch als Nachweis der Prüfungspflichten gemäß Art. 28 DSGVO.

Hinweis: Die datenschutz cert GmbH befindet sich zum Regelwerk ISO/IEC 27701 derzeit im Prozess der Erweiterung der Akkreditierung; erst mit vorliegender Akkreditierungsurkunde kann ein Zertifikat erteilt werden.

IT

Informationstechnologie; die technische Grundlage für unsere Audits und Zertifizierungen.

IT-Verbund

Anwendungsbereich im Rahmen von BSI-Grundschutzverfahren.

K

KBO

Konformitätsbewertungsordnung; in der KBO regeln wir Aspekte, die außerhalb von wirtschaftlichen Bedingungen, wie etwa Allgemeinen Geschäftsbedingungen gelten und die nur für die Konformitätsbewertung gelten. Die Regeln der KBO sind nicht verhandelbar, sie sind unveränderlich, da wir in der KBO viele Aspekte umsetzen, die wir aufgrund unserer Zulassungen, Anerkennungen, Akkreditierungen und Lizenzierungen umsetzen müssen. Ferner schützen wir mit der KBO auch unsere Patent- und Eigentumsrechte, wie z.B. Logos für Zertifizierungen und Urkunden.

Konformitätsbewertung

Ergebnisse und Entscheidungen, die nach einer Prüfung eines Gegenstandes auf Konformität zu bestimmten Anforderungen gefällt werden, beispielsweise eine Zertifizierung nach einem erfolgreichen Audit. Allgemein umschreiben wir mit dem Begriff alle Dienstleistungen, die wir für Sie durchführen können.

KRITIS

Der Begriff KRITIS hat sich umgangssprachlich durch den Umsetzungsplan KRITIS (UP-KRITIS) etabliert. Hiermit werden sog. Kritische Infrastrukturen beschrieben. Diese müssen gem. §8a (3) BSIG oder gem. §11 Abs. 1 Lit. a, b EnWG Nachweise über den Stand der Informationssicherheit erbringen. Die dazu notwendigen Audits und ggf. Zertifizierungen können von der datenschutz cert GmbH erbracht werden. 

L

Lead-Auditor*in

Leiter*in des Auditteams

LfDI

Landesbeauftragte(r) für Datenschutz und Informationsfreiheit. Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hat unserer Programm ips – information privacy standard ® geprüft, mit dem wir künftig DSGVO-Zertifizierungen anbieten wollen.

M

MC (Major Non Conformity)

Hauptabweichung/ Major Non-Conformities; Abweichung von mind. einer Normanforderung, die grundsätzlich die Funktionsfähigkeit des ISMS in Frage stellt

Monitoring

Auch Überwachung, Form eines Audits, das typischer Weise während der Laufzeit einer Zertifizierung regelmäßig (i.d.R. jährlich) durchgeführt wird, z.B. im Rahmen von Datenschutzaudits.

N

NC (Non Conformity)

Nebenabweichung/ Minor Non-Conformities; Abweichung von mind. einer Normanforderung, die in ihrer Geringfügigkeit die Funktionsfähigkeit des ISMS insgesamt nicht in Frage stellt

O

OWASP Top 10

Standard des Open Web Application Security Project für Angriffsszenarien auf Webapplikationen; die Einhaltung des Standards ist „state oft he art“ und wird von uns in vielen Audits vorausgesetzt bzw. gegengeprüft, wie etwa bei Videosprechstunden.

P

PDCA

Englisch für Plan-Do-Check-Act, Beschreibung eines Zyklus im Rahmen von Managementprozessen. Im Audit prüfen wir, ob der PDCA Zyklus etabliert ist. Ohne ihn kann keine Managementzertifizierung erfolgreich sein.

PKI

Public-Key-Infrastruktur; hierdurch wird eine zentrale, digitale, grundsätzlich selbstbetriebene Vertrauensinfrastruktur bezeichnet. Diese Vertrauensinfrastruktur besteht aus einem Zertifikatserzeuger, -verteiler und -überwacher. Häufig werden die darüber erzeugten Zertifikate als Faktor einer Mehrfaktorauthentifizierung verwendet, beispielsweise als VPN-Grundvoraussetzung. 

Q

QMS

Qualitätsmanagementsystem; wir haben ein eigenes QMS und eine Qualitätsmanagementbeauftragte bestellt. Selber prüfen können wir QMS nicht, wir haben aber starke Partner und Partnerinnen, die uns als Zertifizierungsstellen für QMS zur Seite stehen.

R

Re-Zertifizierung

Wiederholung eines Zertifizierungsverfahrens, z.B. bei regulärem Ablauf der Gültigkeit eines Zertifikates
 

Risiko

Kombination aus zu erwartender Häufigkeit bzw. Eintrittswahrscheinlichkeit eines gefährdenden Ereignisses und dem beim Ereigniseintritt zu erwartenden Schadensausmaß. Die Analyse des Risikos ist wesentlicher Bestandteil von Audits im Datenschutz und der Informationssicherheit oder bei IT-Grundschutz. Häufig wird ein Informationssicherheits-Risikomanagement nach ISO/IEC 27005 aufgesetzt.
Übrigens: Zertifizierungen minimieren das unternehmerische Risiko für die Nichteinhaltung von gesetzlichen Vorgaben, weil sie auch der steten Verbesserung dienen. Eine Zertifizierung ist jedoch keine Enthaftung für Risiken.

S

Scope

Anwendungsbereich oder auch IT-Verbund, der zur Prüfung vorgesehen ist

SIEM

Security Information and Event Management; eine SIEM wird häufig zur automatisierten Auswertung von digitalen Protokollen verwendet. Sie reagiert auf vorher konfigurierte Parameter und meldet diese an vorher definierte Stellen über zuvor festgelegte Kommunikationswege. Betreiber kritischer Infrastrukturen sind ab dem 01.05.2022 dazu verpflichtet ein System zur Angriffserkennung einzuführen. Viele verwenden hierfür eine SIEM mit SOC.

Site Visit

Durchführung eines Audits vor Ort

Smart Meter

Intelligente Messysteme, z.B. intelligente Stromzähler; wir auditieren und zertifizieren Smart Meter Gateway Administratoren.

SOC

Security Operation Center; Zentrale Stelle zur Überwachung der Cyber-Security und zur Behandlung von Vorfällen im Unternehmen. 

Stage 1

Pre-Audit zur Feststellung der Reife eines Scopes hinsichtlich der Durchführung des Stage 2 

Stage 2

Hauptaudit

T

ToE

Target of Evaluation, Gegenstand einer Evaluation, kommt oft in englisch-sprachigen Audits vor.

TOMs

Technische und organisatorische Maßnahmen (meist zur Sicherstellung des Datenschutzes); ein Dokument mit den TOMs ist grundlegend für ein Datenschutzaudit.

TR

Technischen Richtlinie des BSI; wir können und dürfen die Einhaltung von einigen TR prüfen und Ihrem Unternehmen dadurch ggf. einen notwendigen Nachweis liefern.

TR-ESOR

Technischen Richtlinie TR 03125, TR-ESOR des BSI zur Beweiswerterhaltung kryptographisch signierter Dokumente. Wir können und dürfen die Einhaltung von einigen TR prüfen und Ihrem Unternehmen dadurch ggf. einen notwendigen Nachweis liefern.

U

Überwachung

Auch Monitoring, Form eines Audits, das typischer Weise während der Laufzeit einer Zertifizierung regelmäßig (i.d.R. jährlich) durchgeführt wird.

V

Validierung

Prüfung der Tauglichkeit eines Objektes für eine bestimmte Aufgabe; wir haben dies mit dem Oberbegriff Konformitätsbewertung zusammengefasst.

Verantwortliche*r (Datenschutz)

Verantwortliche Stelle oder auch „Verantwortlicher“ nach Art. 4 lit. 7 DSGVO; jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann die/der Verantwortliche beziehungsweise können die bestimmten Kriterien ihrer/seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Verantwortliche sind oftmals Antragsteller*innen für ein Datenschutzaudit oder ein Siegel.

Verifizierung

Prüfung eines Objektes gegen eine bestimmte Spezifikation; wir haben dies mit dem Oberbegriff Konformitätsbewertung zusammengefasst.

VVT

Verzeichnis der Verarbeitungstätigkeit gemäß § 30 DSGVO, es ist grundlegendes Dokument für ein Datenschutzaudit und stellt die grundlegenden Informationen für eine datenschutzrechtliche Bewertung durch die/den Verantwortlichen (s.o.) zusammen.

Z

Zertifizierung

Verfahren, mit dem die Einhaltung von Anforderungen nachgewiesen wird, oftmals auch im Rahmen einer Konformitätsbewertung. Wir lieben Zertifizierungen. Dies ist unsere Aufgabe und Berufung.

Zertifizierte*r Pentester*in

Hierdurch wird ein*e Penetrationstester*in bezeichnet, die*der über international oder national anerkannte Zertifikate verfügt, die das Penetrationsvorgehen definieren und überwachen. Beispielsweise ist ein*e IS-Penetrationstester*in beim BSI zertifiziert. Diese*r darf bei einem BSI-zertifizierten IT-Sicherheitsdienstleister Penetrationstests durchführen. Unsere Pentester*innen sind beim BSI danach zertifiziert.