Die Benutzerkennung ist der Name, mit dem sich der Benutzer einem IT-System gegenüber identifiziert. Dies kann der tatsächliche Name sein, ein Pseudonym, eine Abkürzung oder eine Kombination aus Buchstaben und/oder Ziffern.

Wählen Nutzer ein schwaches Passwort und ist der Benutzername (z. B. die E-Mail-Adresse) bekannt, kann sich ein Angreifer unter Umständen auch durch wiederholtes Ausprobieren von Passwörtern (Brute-Force-Angriff) Zugang zu einem Benutzerkonto verschaffen. Mittels Brute-Force-Techniken kann der Angreifer auch versuchen, kryptografisch geschützte Daten, z. B. eine verschlüsselte Passwort-Datei, zu entschlüsseln.

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die im Rahmen von Cloud Computing angebotenen Dienstleistungen umfassen das komplette Spektrum der Informationstechnik und beinhalten Infrastrukturen (Rechenleistung, Speicherplatz), Plattformen und Software.

Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. (Zusätzlich können programmierte Schadensfunktionen des Virus vorhanden sein.)

Ein Cyber-Angriff ist eine Einwirkung auf ein oder mehrere andere informationstechnische Systeme im oder durch den Cyber-Raum, die zum Ziel hat, deren IT-Sicherheit durch informationstechnische Mittel ganz oder teilweise zu beeinträchtigen.

Die Motivation von Cyber-Kriminellen ist es, mithilfe der Informationstechnik auf illegalen Wegen Geld zu verdienen. Die Bandbreite reicht von organisierter Cyber-Kriminalität bis hin zu einfacher Kriminalität mit geringen Schäden.

• Organisierte Cyber-Kriminalität reicht vom Identitätsdiebstahl mit Warenbetrug über den Diebstahl von Geld durch Missbrauch von Bankdaten bis hin zur Erpressung. Organisierte Cyber-Kriminelle nutzen die genannten Vorteile von Cyber-Angriffen bei ihren Aktivitäten mit hoher Professionalität aus.
• Im Gegensatz zur organisierten Kriminalität sind einfache Cyber-Kriminelle meist Einzelpersonen oder kleine Gruppen, die sich durch geringere Professionalität in ihrem Handeln auszeichnen. Dementsprechend ist auch die Auswahl der Angriffsziele eingeschränkt und der verursachte Schaden typischerweise geringer.

Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informations- und Kommunikationstechnik. Das Aktionsfeld der Informationssicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein. Häufig wird bei der Betrachtung von Cyber-Sicherheit auch ein spezieller Fokus auf Angriffe aus dem Cyber-Raum gelegt.

Eine DMZ ist ein Zwischennetz, das an Netzübergängen gebildet wird, aber weder zu dem einen, noch zu dem anderen Netz gehört. Sie stellt ein eigenes Netz dar, das nicht so stark gesichert ist wie das eigentlich zu schützende Netz.

DMZ werden bei einfachen Sicherheitsgateways üblicherweise an einer dritten Schnittstelle des Paketfilters erzeugt. Besteht das Sicherheitsgateway aus Paketfilter - Application-Level-Gateway - Paketfilter, dient in der Regel eine weitere Schnittstelle des Application-Level-Gateways (ALG) als DMZ-Schnittstelle. Verfügen Paketfilter oder ALG über mehr als drei Schnittstellen, können weitere DMZ gebildet werden.

Eine digitale Signatur ist eine Kontrollinformation, die an eine Nachricht oder Datei angehängt wird, mit der folgende Eigenschaften verbunden sind:

• Anhand einer digitalen Signatur kann eindeutig festgestellt werden, wer diese erzeugt hat, und
• es ist authentisch überprüfbar, ob die Datei, an die die digitale Signatur angehängt wurde, identisch ist mit der Datei, die tatsächlich signiert wurde.

Von DNS-Spoofing ist die Rede, wenn es einem Angreifer gelingt, die Zuordnung zwischen einem Rechnernamen und der zugehörigen IP-Adresse zu fälschen, also wenn ein Name in eine falsche IP-Adresse bzw. die IP-Adresse in einen falschen Namen umgewandelt wird. Beim klassischen DNS-Spoofing wird nicht der Client-PC durch Schadsoftware manipuliert, sondern es werden Schwachstellen in der DNS-Kommunikation ausgenutzt.

Eine Firewall (besser mit Sicherheitsgateway bezeichnet) ist ein System aus soft- und hardwaretechnischen Komponenten, um IP-Netze sicher zu koppeln

Als Firmware bezeichnet man Software, die in elektronische Geräte eingebettet ist. Je nach Gerät kann Firmware den Funktionsumfang von z.B. BIOS, Betriebssystem oder Anwendungssoftware enthalten. Firmware ist speziell auf die jeweilige Hardware zugeschnitten und nicht beliebig austauschbar.

Der IT-Grundschutz betrachtet die drei Grundwerte der Informationssicherheit:

• Vertraulichkeit,
• Verfügbarkeit
• und Integrität.

Jedem Anwender steht es natürlich frei, bei der Schutzbedarfsfeststellung weitere Grundwerte zu betrachten, wenn dies in seinem individuellem Anwendungsfall hilfreich ist. Weitere generische Oberbegriffe der Informationssicherheit sind zum Beispiel:

• Authentizität
• Verbindlichkeit
• Zuverlässigkeit
• Nichtabstreitbarkeit

Hintertüren sind Schadprogramme, die dazu dienen, einen unbefugten Zugang zu einem IT-System offen zu halten, der einen unbemerkten Einbruch in das System ermöglicht und dabei möglichst weitgehende Zugriffsrechte besitzt, beispielsweise um Angriffsspuren zu verstecken.

Hochverfügbarkeit bezeichnet die Fähigkeit eines Systems, mit einer hohen Wahrscheinlichkeit (oft 99,99 % oder höher) den Betrieb trotz Ausfall einer seiner Komponenten im geforderten Umfang und in vorgesehener Geschwindigkeit zu gewährleisten.
Die Nennung einer Reihe von Nachkomma-Neunen allein ist aber keinesfalls ausreichend, um ein hochverfügbares System zu planen und aufzubauen. Das extrem komplexe Zusammenspiel zahlreicher Komponenten lässt sich durch eine rein mathematische Betrachtung allein nicht erfassen zumal von vielen Einzelkomponenten, deren individuelle Verfügbarkeit oft gar nicht bekannt ist. Es ist daher erforderlich, alle für die Erreichung einer ausreichend hohen Verfügbarkeit relevanten Aspekte ganzheitlich zu berücksichtigen. Dabei sind die gegenseitigen Abhängigkeiten aller beteiligten technischen und organisatorischen Strukturen zu berücksichtigen und das erwartete Verhalten des Systems im Fehlerfall ist zu definieren. Prozentwerte können dabei allenfalls ein beschreibendes Hilfsmittel sein aber nicht das Maß der Dinge.

In der Informationsklassifizierung steht der Wert einer Information für eine Organisation im Vordergrund. Der Personenbezug ist bei der Beurteilung nur ein weiteres Kriterium, aber nicht das maßgebliche wie in den Datenschutzklassen.
Nicht jede Information mit und ohne Personenbezug hat den gleichen Wert. Ihre Bedeutung lässt sich anhand des Schadens definieren, den das Unternehmen nähme, wenn die Information in falsche Hände geriete. Je höher dieser potenzielle Schaden wäre, desto stärkere Sicherheitsmaßnahmen sind im Vorfeld zu ergreifen. 
Um eine angemessene Risikobewertung und entsprechend erforderliche Sicherheitsmaßnahmen durchführen zu können, benötigt man zunächst eine Kategorisierung des Werts einer Information. 
In der Informationssicherheit erfolgt dies üblicherweise durch Vertraulichkeitsklassen.
Klasse „öffentlich“
Als öffentlich werden alle Informationen eingestuft, aus deren Veröffentlichung kein Schaden für die Organisation entsteht, oder die bereits publiziert sind bzw. zur Publikation vorgesehen sind.
Beispiele: Publikationen,Broschüren, Jahresberichte
Klasse „intern“
Als interner Gebrauch werden alle Informationen eingestuft, aus deren Veröffentlichung ein Schaden für die Organisation entstehen kann, bzw. die offensichtlich nur für den Gebrauch innerhalb der Organisation gedacht sind.
Beispiele: Prozessbeschreibungen, Organigramme, Dienstplan
Klasse „vertraulich“
Als vertraulich werden alle Informationen eingestuft, aus deren Veröffentlichung ein beträchtlicher Schaden für die Organisation entstehen kann. Informationen, die auch innerhalb der Organisation nur bestimmten Personengruppen zugänglich sein sollten (Need to Know)
Beispiele: Revisionsberichte, Kalkulationen zur Preisgestaltung
Klasse „geheim“
Alle Informationen, aus deren Veröffentlichung ein existenzgefährdender Schaden für die Organisation oder Gefahr für Leib und Leben von Personen entsteht. 
Beispiele: Daten, deren Kenntnis dem Beicht- oder Seelsorgegeheimnis unterliegen; Daten über die Annahme einer Person an Kindes Statt (Adoptionsgeheimnis)

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.

Ein Informationssicherheitsbeauftragter (kurz IS-Beauftragter oder ISB) ist für die operative Erfüllung der Aufgabe "Informationssicherheit" zuständig. Andere Bezeichnungen sind CISO (Chief Information Security Officer) oder Informationssicherheitsmanager (ISM). Die Rolle des ISB sollte von einer Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde wahrgenommen werden.

Die Planungs-, Lenkungs- und Kontrollaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement bezeichnet. Dabei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.

Beim IT-Grundschutz werden unter Infrastruktur die für die Informationsverarbeitung und die IT genutzten Gebäude, Räume, Energieversorgung, Klimatisierung und die Verkabelung verstanden. Die IT-Systeme und Netzkoppelelemente gehören nicht dazu.

Neben den klassischen IT-nahen Maßnahmen der IT-Sicherheit (Datensicherung, Zugriffsregelungen, Verschlüsselung u.v.a.m.) spielen die Sicherheit der Energieversorgung, der Schutz vor Brand, eine ausreichende Kühlung, der Schutz vor Zugang/Zugriff von Unbefugten und zahlreiche weitere Aspekte aus dem baulich/technischen aus den Bereichen eine wichtiger Rolle für die Verfügbarkeit der IT. All diese Aspekte sind unter dem Begriff "Infrastruktur-Sicherheit" zusammengefasst.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Dieser Grundsatz verlangt eine Sicherstellung, dass Daten bei der Eingabe, bei der Aufbewahrung oder bei der Weitergabe nicht bewusst oder unbewusst verändert werden können. Sollen sie verändert werden, muss diese Veränderung nachverfolgt werden können.

In Datenverarbeitungsprogrammen ist folglich bei einer Eingabe auch zu protokollieren, vom wem diese stammt. Diese Kontroll-Daten dürfen nur für die Eingabekontrolle genutzt werden, nicht zur Arbeitskontrolle des Eingebenden.

IT-Systeme (Informationstechnologiesysteme) bestehen aus Hardware, Software, Netzwerken, Daten und den dazugehörigen Prozessen, die gemeinsam zur Verarbeitung, Speicherung und Übertragung von Informationen dienen. Diese Systeme ermöglichen es Unternehmen, Organisationen und Einzelpersonen, Daten effizient zu verwalten, Informationen zu verarbeiten und digitale Kommunikation zu nutzen.

Als Komponenten werden im IT-Grundschutz technische Zielobjekte (siehe dort) oder Teile von Zielobjekten bezeichnet.

Schaffung von konzeptionellen, organisatorischen und verfahrensmäßigen Voraussetzungen, die eine schnellstmögliche Zurückführung der eingetretenen außergewöhnlichen Situation in den Normalzustand unterstützen.

Die Leitlinie ist ein zentrales Dokument für die Informationssicherheit einer Institution. In ihr wird beschrieben, für welche Zwecke, mit welchen Mitteln und mit welchen Strukturen Informationssicherheit innerhalb der Institution hergestellt werden soll. Sie beinhaltet die von der Institution angestrebten Informationssicherheitsziele sowie die verfolgte Sicherheitsstrategie. Die Sicherheitsleitlinie beschreibt damit auch über die Sicherheitsziele das angestrebte Sicherheitsniveau in einer Behörde oder einem Unternehmen.

Ziel bei einem Man-in-the-Middle-Angriff ist es, sich unbemerkt in eine Kommunikation zwischen zwei oder mehr Partnern einzuschleichen, beispielsweise um Informationen mitzulesen oder zu manipulieren. Hierbei begibt sich der Angreifer "in die Mitte" der Kommunikation, indem er sich gegenüber dem Sender als Empfänger und gegenüber dem Empfänger als Sender ausgibt. Als erstes leitet der Angreifer eine Verbindungsanfrage des Senders zu sich um. Im nächsten Schritt baut der Angreifer eine Verbindung zu dem eigentlichen Empfänger der Nachricht auf. Wenn ihm das gelingt, kann der Angreifer unter Umständen alle Informationen, die der Sender an den vermeintlichen Empfänger sendet, einsehen oder manipulieren, bevor er sie an den richtigen Empfänger weiterleitet. Auf die Antworten des Empfängers kann der Angreifer wiederum ebenfalls zugreifen, wenn nicht entsprechende Schutzmechanismen wirksam sind.

Als mandantenfähig werden Anwendungen, IT-Systeme oder auch Dienstleistungen bezeichnet, bei denen die Prozesse, Informationen und Anwendungen eines Mandanten strikt von denen anderer Kunden getrennt sind, also keine Zugriffe oder Störungen von dem einen in den anderen Bereich möglich sind und somit auch deren Vertraulichkeit, Integrität oder Verfügbarkeit nicht beeinträchtigt werden kann.

System zur zentralisierten Verwaltung von mobilen Endgeräten einer Organisation inklusive Inventarisierung, Rollout und Fernkonfiguration, Systemmanagement und Endgeräteüberwachung sowie Fernwartung und Support.

Das Notfallhandbuch beinhaltet alle Informationen, die während und für die Notfall- und Krisenbewältigung benötigt werden. Es umfasst somit alle Notfallpläne wie den Krisenkommunikationsplan, den Krisenstabsleitfaden, die Wiederanlauf- und Wiederherstellungspläne.

Das Notfallkonzept umfasst das Notfallvorsorgekonzept und das Notfallhandbuch.

OpenSSL ist eine freie Softwarebibliothek, die Verschlüsselungsprotokolle wie Transport Layer Security (TLS) und andere implementiert.

Mit der Eingabe eines Passwortes weist der Benutzer nach, dass er zu dem geschlossenen System eine Zugangsberechtigung hat. (Beispiel: Eingabe der Geheimzahl am Geldautomaten) Im Internet werden Passwörter bei bestimmten Diensten benötigt, zum Beispiel bei der Einwahl ins Internet über einen Internetprovider.

Ein Patch ("Flicken") ist ein Softwarepaket, mit dem Softwarehersteller Sicherheitslücken in ihren Programmen schließen oder andere Verbesserungen integrieren. Die Einspielung dieser Updates erleichtern viele Programme durch automatische Update-Funktionen. Als Patch-Management bezeichnet man Prozesse und Verfahren, die helfen, verfügbare Patches für die IT-Umgebung möglichst rasch erhalten, verwalten und einspielen zu können.

Ein Penetrationstest ist ein gezielter, in der Regel simulierter, Angriffsversuch auf ein IT-System. Er wird als Wirksamkeitsprüfung vorhandener Sicherheitsmaßnahmen eingesetzt.

Wie beim Phishing sind auch beim Pharming meist Zugangsdaten das Ziel eines Angriffs. Der Unterschied zum Phishing besteht darin, dass beim Pharming die Infrastruktur so manipuliert wird, dass das Opfer auch dann auf einer gefälschten Webseite landet, wenn er die korrekte Adresse des Dienstes eingeben hat. Technisch geschieht das in der Regel durch eine Manipulation der DNS-Einträge in der lokalen Hosts-Datei, an einem Zwischenspeicher oder an der zentralen DNS-Infrastruktur.

Das Wort setzt sich aus "Password" und "Fishing" zusammen, zu Deutsch "nach Passwörtern angeln". Beim Phishing wird z. B. mittels gefälschter E-Mails und/oder Webseiten versucht, Zugangsdaten für einen Dienst oder eine Webseite zu erlangen. Wird diese Manipulation vom Opfer nicht erkannt und die Authentizität einer Nachricht oder Webseite nicht hinterfragt, gibt das Opfer seine Zugangsdaten u. U. selbst unwissentlich in unberechtigte Hände. Bekannte Beispiele sind Phishing-Angriffe gegen Bankkunden, die in einer E-Mail aufgefordert werden, ihre Zugangsdaten auf der Webseite der Bank einzugeben und validieren zu lassen. Mit dem gleichen Verfahren werden aber auch Nutzer von E-Commerce-Anwendung angegriffen, z. B. Online-Shops oder Online-Dienstleister. Angreifer setzen zunehmend Schadprogramme statt klassischem Phishing als Mittel zum Identitätsdiebstahl ein. Andere Varianten des Phishings setzen auf gefälschte Near Field Communication (NFC)-Tags oder Barcodes, die vom Opfer eingelesen werden und auf eine Phishing-Seite weiterleiten.

Unter "Poisoning" versteht man das Einschleusen von manipulierten Daten in einen Zwischenspeicher (Cache), der dann von anderen Anwendungen oder Diensten genutzt wird. Beispiele sind Angriffe mittels Poisoning auf DNS-, BGP-, oder ARP-Caches. Ein Angreifer kann so z. B. allgemein die Routen von Datenpaketen ändern oder gezielt Anfragen für Webseiten einer Bank auf eine gefälschte Seite umleiten.

Ein Proxy ist eine Art Stellvertreter in Netzen. Er nimmt Daten von einer Seite an und leitet sie an eine andere Stelle im Netz weiter. Mittels eines Proxys lassen sich Datenströme filtern und gezielt weiterleiten

Pseudonymisierung bezeichnet nach § 4 Ziffer 6 KDG „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;“

Von einer Pseudonymisierung kann man z. B. sprechen, wenn bei einer Kostenaufstellung statt der Namen und weiterer identifizierender Merkmale der Mitarbeiter/-innen nur eine Nummer mit den jeweiligen Kosten gelistet wird und diese Nummer auch nicht der Personalnummer entspricht, sondern nur der Stelle bekannt ist, die die Liste erstellt hat.

Risiko wird häufig definiert als die Kombination (also dem Produkt) aus der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens. Der Schaden wird häufig als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt. Risiko ist eine spezielle Form der Unsicherheit oder besser Unwägbarkeit.

In der ISO wird Risiko auch als das Ergebnis von Unwägbarkeiten auf Zielobjekte definiert. In diesem Sinne wird daher auch von Konsequenzen statt von Schaden gesprochen, wenn Ereignisse anders eintreten als erwartet. Hierbei kann eine Konsequenz negativ (Schaden) oder positiv (Chance) sein. Die obige Definition hat sich allerdings als gängiger in der Praxis durchgesetzt.

Im Unterschied zu "Gefährdung" umfasst der Begriff "Risiko" bereits eine Bewertung, inwieweit ein bestimmtes Schadensszenario im jeweils vorliegenden Fall relevant ist.

Als Risikoanalyse wird der komplette Prozess bezeichnet, um Risiken zu beurteilen (identifizieren, einschätzen und bewerten) sowie zu behandeln. Risikoanalyse bezeichnet nach den einschlägigen ISO-Normen ISO 31000 und ISO 27005 nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht:

• Identifikation von Risiken (Risk Identification)
• Analyse von Risiken (Risk Analysis)
• Evaluation oder Bewertung von Risiken (Risk Evaluation)

Im deutschen Sprachgebrauch hat sich allerdings der Begriff Risikoanalyse für den kompletten Prozess der Risikobeurteilung und Risikobehandlung etabliert. Daher wird auch in diesem Dokument weiter der Begriff Risikoanalyse für den umfassenden Prozess benutzt.

Risikoappetit
Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken bewertet und mit ihnen umgeht.

Ein Rootkit ist ein Schadprogramm, das manipulierte Versionen von Systemprogrammen enthält. Unter Unix sind dies typischerweise Programme wie login, ps, who, netstat etc. Die manipulierten Systemprogramme sollen es einem Angreifer ermöglichen, zu verbergen, dass er sich erfolgreich einen Zugriff mit Administratorenrechten verschafft hat, so dass er diesen Zugang später erneut benutzen kann.

Der Schutzbedarf beschreibt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.

Als Server wird Soft- oder Hardware bezeichnet, die bestimmte Dienste anderen (nämlich Clients) anbietet. Typischerweise wird damit ein Rechner bezeichnet, der seine Hardware- und Software-Ressourcen in einem Netz anderen Rechnern zugänglich macht. Beispiele sind Applikations-, Daten-, Web- oder E-Mail-Server.

Als Sicherheitsanforderung werden Anforderungen für den organisatorischen, personellen, infrastrukturellen und technischen Bereich bezeichnet, deren Erfüllung zur Erhöhung der Informationssicherheit notwendig ist bzw. dazu beiträgt. Eine Sicherheitsanforderung beschreibt also, was getan werden muss, um ein bestimmtes Niveau bezüglich der Informationssicherheit zu erreichen. Wie die Anforderungen im konkreten Fall erfüllt werden können, ist in entsprechenden Sicherheitsmaßnahmen beschrieben (siehe dort). Im englischen Sprachraum wird für Sicherheitsanforderungen häufig der Begriff "control" verwendet.

Der IT-Grundschutz unterscheidet zwischen Basis-Anforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf. Basis-Anforderungen sind fundamental und stets umzusetzen, sofern nicht gravierende Gründe dagegen sprechen. Standard-Anforderungen sind für den normalen Schutzbedarf grundsätzlich umzusetzen, sofern sie nicht durch mindestens gleichwertige Alternativen oder die bewusste Akzeptanz des Restrisikos ersetzt werden. Anforderungen bei erhöhtem Schutzbedarf sind exemplarische Vorschläge, was bei entsprechendem Schutzbedarf zur Absicherung sinnvoll umzusetzen ist.

Als Sicherheitsvorfall wird dabei ein unerwünschtes Ereignis bezeichnet, das Auswirkungen auf die Informationssicherheit hat und in der Folge große Schäden nach sich ziehen kann. Typische Folgen von Sicherheitsvorfällen können die Ausspähung, Manipulation oder Zerstörung von Daten sein.

Dies ist eine weitere Form eines Betrugversuches und eine Wortschöpfung aus den Begriffen SMS und Phishing. Beim Smishing erhalten Sie auf Ihr Smartphone oder Handy gefälschte SMS-Nachrichten, die zum Klicken eines Links auffordern, beispielsweise um ein Paket nachverfolgen zu können. Diese Links sollten auf keinen Fall angeklickt werden, denn es besteht die Gefahr sich dadurch Schadsoftware auf das Gerät zu holen. Diese versucht häufig Ihre Passwörter und Zugangsdaten auszuspähen.

Bei Cyber-Angriffen durch Social Engineering versuchen Kriminelle ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Sowohl im Bereich der Cyber-Kriminalität als auch bei der Spionage gehen die Täter geschickt vor, um vermeintliche menschliche Schwächen wie Neugier oder Angst auszunutzen und so Zugriff auf sensible Daten und Informationen zu erhalten.

Unter Spam versteht man unerwünschte Nachrichten, die massenhaft und ungezielt per E-Mail oder über andere Kommunikationsdienste versendet werden. In der harmlosen Variante enthalten Spam-Nachrichten meist unerwünschte Werbung. Häufig enthält Spam jedoch auch Schadprogramme im Anhang, Links zu verseuchten Webseiten oder wird für Phishing-Angriffe genutzt.

Spoofing (von to spoof, zu deutsch: manipulieren, verschleiern oder vortäuschen) nennt man in der Informationstechnik verschiedene Täuschungsversuche zur Verschleierung der eigenen Identität und zum Fälschen übertragener Daten. Das Ziel besteht darin, die Integrität und Authentizität der Informationsverarbeitung zu untergraben.

Als Spyware werden Programme bezeichnet, die heimlich, also ohne darauf hinzuweisen, Informationen über einen Benutzer bzw. die Nutzung eines Rechners sammeln und an den Urheber der Spyware weiterleiten. Spyware gilt häufig nur als lästig, es sollte aber nicht übersehen werden, dass durch Spyware auch sicherheitsrelevante Informationen wie Passwörter ausgeforscht werden können.

Starke Authentisierung bezeichnet die Kombination von zwei Authentisierungstechniken, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei- oder Mehr-Faktor-Authentisierung bezeichnet.

Die Daten sollen für die Betroffenen auf nachvollziehbare Art und Weise verarbeitet werden. Deswegen müssen diese informiert werden über Art und Umfang der Verarbeitung per Informationsschreiben bei der Neu-Erhebung von Daten.
Außerdem haben die Betroffenen über ihr Auskunftsrecht nach einer Verarbeitung die Möglichkeit, sich über Art und Umfang selber zu informieren. Derartige Anfragen sind vom Verantwortlichen innerhalb eines Monates zu beantworten. 

Ein Trojanisches Pferd, oft auch (fälschlicherweise) kurz Trojaner genannt, ist ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung. Ein Trojanisches Pferd verbreitet sich nicht selbst, sondern wirbt mit der Nützlichkeit des Wirtsprogrammes für seine Installation durch den Benutzer.

Bei der Verarbeitung personenbezogener Daten, insbesondere bei der Erhebung, bei der Speicherung und bei der Weitergabe ist durch entsprechende technische und organisatorische Maßnahmen sicherzustellen, dass nur den Personen Daten zugänglich gemacht werden, die auch dazu befugt sind.

Als wichtigste organisatorische Maßnahme gilt ein Berechtigungskonzept, in dem festgelegt wird, welche Mitarbeiter welche Daten verarbeiten dürfen, und dessen Umsetzung in den Arbeitsprozessen und IT-Systemen. 
Räume, in denen Personalakten verwahrt werden, müssen abschließbar sein, den Schlüssel erhalten nur Berechtigte. Die Anmeldung an einem IT-System darf nur über ein Benutzerkonto erfolgen, das einer einzelnen Person zugerechnet wird. Zugriff auf das Meldewesen-Programm haben nur bestimmte Mitarbeiter.

Die wichtigste technische Maßnahme zur Sicherung der Vertraulichkeit ist die Verschlüsselung. Dabei werden die personenbezogenen Daten nach der Erhebung in einer Form gespeichert oder weitergegeben, die es Unbefugten unmöglich macht, diese Daten zu entziffern.
Cäsar ließ einst seine geheimen Botschaften auf ein um einen Stab gewickeltes Band schreiben. Anschließend wurde nur das Band weitergegeben. Die Reihenfolge der Buchstaben auf diesem Band ergab keinen Sinn. Nur mit einem Stab in der richtigen Stärke, auf den das Band aufgewickelt wurde, konnte man die Botschaft entziffern.
Verschlüsselung funktioniert nach wie vor nach diesem Prinzip, dass der Original-Text mit Hilfe einer Regel (eines Algorithmus) umgewandelt wird. Wichtig ist dabei der sogenannte Schlüssel, im Fall von Cäsars Methode die Dicke des Stabes. Je ausgefallener die Regel und je komplizierter der Schlüssel sind, desto sicherer ist die Verschlüsselung.
Nach heutigen Maßstäben ist folglich Cäsars Methode nicht sicher.
Nur der zur Verarbeitung Befugte besitzt dann den Schlüssel, mit dem die Daten wieder entschlüsselt werden können. Natürlich muss vor der Verarbeitung die Methode der Verschlüsselung festgelegt und der Schlüssel auf sichere Weise ausgetauscht werden.

Vielen ist nicht bewusst, dass E-Mails ohne entsprechende Sicherungsmaßnahmen vom Sender zum Empfänger über mehrere Server laufen und dabei frei einsehbar sind. Die wenigsten Mail-Postfach – Anbieter haben eine entsprechende Verschlüsselung voreingestellt, daher ist die Nutzung der verschlüsselt sendenden Bistumsmail dringend geboten.

​​​​​​​Manchmal scheitert Vertraulichkeit aber auch an ganz einfachen Verstößen. Man denke an laute Telefonate in der Öffentlichkeit, an ungesicherte Computer-Monitore in Behandlungszimmern oder an liegengebliebene Vertragsunterlagen.

Klassische Form von Schadsoftware, die sich selbst verbreitet und unterschiedliches Schadpotenzial in sich tragen kann (keine Schadfunktion bis hin zum Löschen der Daten auf einer Festplatte). Viren treten in Kombination mit einem Wirt auf, z. B. einem infizierten Dokument oder Programm.

Virtuelle lokale Netze (Virtual LANs, VLANs) werden zur logischen Strukturierung von Netzen verwendet. Dabei wird innerhalb eines physikalischen Netzes eine logische Netzstruktur abgebildet, indem funktionell zusammengehörende Arbeitsstationen und Server zu einem virtuellen Netz verbunden werden.

Ein Virtuelles Privates Netz (VPN) ist ein Netz, das physisch innerhalb eines anderen Netzes (oft des Internet) betrieben wird, jedoch logisch von diesem Netz getrennt wird. In VPNs können unter Zuhilfenahme kryptographischer Verfahren die Integrität und Vertraulichkeit von Daten geschützt und die Kommunikationspartner sicher authentisiert werden, auch dann, wenn mehrere Netze oder Rechner über gemietete Leitungen oder öffentliche Netze miteinander verbunden sind.

Der Begriff VPN wird oft als Bezeichnung für verschlüsselte Verbindungen verwendet, zur Absicherung des Transportkanals können jedoch auch andere Methoden eingesetzt werden, beispielsweise spezielle Funktionen des genutzten Transportprotokolls.

Bei (Computer-, Internet-, E-Mail-)Würmern handelt es sich um Schadsoftware, ähnlich einem Virus, die sich selbst reproduziert und sich durch Ausnutzung der Kommunikationsschnittstellen selbstständig verbreitet.

Der Begriff Zertifikat wird in der Informationssicherheit in verschiedenen Bereichen mit unterschiedlichen Bedeutungen verwendet. Zu unterscheiden sind vor allem:

• ISO 27001-Zertifikate: Der ISO-Standard 27001 "Information technology - Security techniques - Information security management systems requirements specification" ermöglicht eine Zertifizierung des Informationssicherheitsmanagements.
• ISO 27001-Zertifikate auf der Basis von IT-Grundschutz: Damit kann dokumentiert werden, dass für den betrachteten Informationsverbund alle relevanten Sicherheitsanforderungen gemäß IT-Grundschutz realisiert wurden. Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung durch einen vom BSI zertifizierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehören eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports. Die Zertifizierungsstelle BSI stellt aufgrund des Audit-Reports fest, ob die notwendigen Sicherheitsanforderungen umgesetzt sind, erteilt im positiven Falle ein Zertifikat und veröffentlicht es.
• Schlüsselzertifikat: Ein Schlüsselzertifikat ist eine elektronische Bescheinigung, mit der Signaturprüfschlüssel einer Person zugeordnet werden. Bei digitalen Signaturen wird ein Zertifikat als Bestätigung einer vertrauenswürdigen dritten Partei benötigt, um nachzuweisen, dass die zur Erzeugung der Digitalen Signatur eingesetzten kryptographischen Schlüssel wirklich zu dem Unterzeichnenden gehören.
• Zertifikate für IT-Produktsicherheit: Zertifiziert wird nach international anerkannten Sicherheitskriterien, wie z. B. den Common Criteria (ISO/IEC 15408). Auf dieser Basis können Produkte und Systeme unterschiedlichster Art evaluiert werden. Eine wesentliche Voraussetzung ist jedoch, dass die am Ende des Verfahrens im Zertifikat zu bestätigenden Sicherheitseigenschaften im Zusammenhang mit der Wahrung von Vertraulichkeit, Verfügbarkeit und Integrität stehen.
  Zugang

Mit Zugang wird die Nutzung von IT-Systemen, System-Komponenten und Netzen bezeichnet.

Zugangsberechtigungen erlauben somit einer Person, bestimmte Ressourcen wie IT-Systeme bzw. System-Komponenten und Netze zu nutzen.

Mit Zugriff wird die Nutzung von Informationen bzw. Daten bezeichnet.

Über Zugriffsberechtigungen wird geregelt, welche Personen im Rahmen ihrer Funktionen oder welche IT-Anwendungen bevollmächtigt sind, Informationen, Daten oder auch IT-Anwendungen, zu nutzen oder Transaktionen auszuführen.

Mit Zutritt wird das Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützen Arealen in einem Gelände bezeichnet.

Zutrittsberechtigungen erlauben somit Personen, bestimmte Umgebungen zu betreten, also beispielsweise ein Gelände, ein Gebäude oder definierte Räume eines Gebäudes.