Das IT-Lexikon, verständlich.
Von Phishing und Ransomware bis NIS2, DSGVO und KI: die wichtigsten Begriffe rund um IT-Sicherheit, Recht und Compliance, verständlich erklärt für kleine und mittlere Unternehmen. Suchen Sie nach einem Begriff oder filtern Sie nach Bereich.
Phishing
Gefälschte E-Mails, Webseiten oder Nachrichten, die Sie zur Herausgabe von Passwörtern und Bankdaten oder zum Klick auf einen schädlichen Link verleiten. Die häufigste Angriffsform überhaupt.
Spear-Phishing
Gezieltes Phishing auf eine bestimmte Person oder Firma. Die Nachricht ist persönlich zugeschnitten und dadurch besonders glaubwürdig.
CEO-Fraud
Auch Chefmasche genannt: Betrüger geben sich als Geschäftsführung aus und drängen Mitarbeitende per E-Mail zu einer dringenden Überweisung. Spielt mit Autorität und Zeitdruck.
Whaling
Spear-Phishing, das gezielt auf Führungskräfte zielt, also die großen Fische wie Geschäftsführung oder Buchhaltung.
Smishing
Phishing per SMS oder Messenger, oft getarnt als Paketbenachrichtigung oder angebliche Bankwarnung.
Vishing
Phishing per Telefon. Anrufer geben sich als Bank, Microsoft-Support oder Behörde aus, um an Daten oder einen Fernzugriff zu kommen.
Quishing
Phishing über QR-Codes. Der Code führt auf eine gefälschte Seite, beliebt auf Aufklebern, in E-Mails oder auf gefälschten Rechnungen.
Spoofing
Das Fälschen von Absenderangaben wie E-Mail-Adresse, Telefonnummer oder Webseite, damit ein Angriff vertrauenswürdig wirkt.
Ransomware
Schadsoftware, die alle Daten verschlüsselt und für die Freigabe Lösegeld fordert. Einer der gefährlichsten Angriffe für Unternehmen.
Malware
Sammelbegriff für jede Art von Schadsoftware, also Viren, Trojaner, Ransomware, Spyware und mehr.
Trojaner
Schadsoftware, die sich als harmloses Programm tarnt und im Hintergrund Daten stiehlt oder weitere Schadsoftware nachlädt.
Man-in-the-Middle
Ein Angreifer klinkt sich unbemerkt in eine Verbindung ein, etwa in ein offenes WLAN, und liest oder verändert die Kommunikation mit.
Credential Stuffing
Angreifer probieren gestohlene Zugangsdaten aus früheren Datenlecks automatisiert bei vielen Diensten durch. Funktioniert, weil viele Menschen Passwörter mehrfach nutzen.
Brute-Force-Angriff
Das automatisierte Durchprobieren unzähliger Passwortkombinationen, bis die richtige gefunden ist. Schwache Passwörter fallen in Sekunden.
Zero-Day-Exploit
Das Ausnutzen einer Sicherheitslücke, für die es noch kein Update gibt. Besonders gefährlich, weil noch kein Schutz verfügbar ist.
DDoS-Angriff
Eine Webseite oder ein Dienst wird mit massenhaften Anfragen überlastet, bis er nicht mehr erreichbar ist.
Drive-by-Download
Schadsoftware, die sich allein durch den Besuch einer manipulierten Webseite installiert, ohne dass Sie etwas anklicken.
Supply-Chain-Angriff
Angriff über einen Lieferanten oder Dienstleister, dessen Software oder Zugänge kompromittiert wurden, um darüber an dessen Kunden zu gelangen.
Insider Threat
Ein Risiko, das von innen kommt, ob durch böswillige oder unachtsame Mitarbeitende, Ex-Beschäftigte oder Dienstleister mit Zugang.
Botnet
Ein Netzwerk aus heimlich gekaperten Geräten, die ferngesteuert für Angriffe missbraucht werden, etwa zum Versand von Spam oder für Überlastungsangriffe. Betroffene merken davon oft nichts.
Mehr-Faktor-Anmeldung
Auch MFA: ein zweiter Nachweis zusätzlich zum Passwort, etwa ein Code aus einer App. Selbst ein gestohlenes Passwort reicht damit nicht mehr aus.
Zero Trust
Sicherheitsprinzip nach dem Motto niemandem blind vertrauen. Jeder Zugriff wird geprüft, egal ob er von innen oder außen kommt.
Endpoint Protection
Auch EDR: moderner Schutz für Geräte, der verdächtiges Verhalten erkennt und stoppt, statt nur bekannte Viren abzugleichen.
Patchmanagement
Das geregelte, möglichst automatische Einspielen von Updates, damit bekannte Sicherheitslücken schnell geschlossen werden.
Firewall
Eine Schutzbarriere, die den Netzwerkverkehr kontrolliert und unerwünschte Zugriffe blockiert.
VPN
Ein verschlüsselter Tunnel für Ihre Internetverbindung. Er schützt Ihre Daten in unsicheren Netzen wie öffentlichem WLAN und ermöglicht zugleich den sicheren Zugriff auf das Firmennetz, etwa aus dem Home Office.
Verschlüsselung
Das Umwandeln von Daten in einen unlesbaren Code, den nur Befugte wieder lesbar machen können. Schützt Daten auf Geräten und beim Versand.
Backup
Datensicherung nach der 3-2-1-Regel: drei Kopien, auf zwei verschiedenen Medien, eine davon außer Haus. So überstehen Sie auch einen Ransomware-Angriff.
Passwort-Manager
Ein Tresor, der für jeden Dienst ein eigenes, starkes Passwort erzeugt und speichert. Sie müssen sich nur noch ein Masterpasswort merken.
Awareness-Training
Schulungen, die Mitarbeitende für Angriffe wie Phishing sensibilisieren. Der Mensch ist die wichtigste Verteidigungslinie.
Least Privilege
Das Prinzip der minimalen Rechte: Jeder erhält nur die Zugriffe, die er wirklich braucht. Das begrenzt den Schaden, wenn ein Konto übernommen wird.
Sandbox
Eine abgeschottete Testumgebung, in der verdächtige Dateien gefahrlos geöffnet und geprüft werden.
Penetrationstest
Ein kontrollierter Angriff durch Sicherheitsfachleute, der gezielt nach Schwachstellen sucht, bevor echte Angreifer sie finden. Deckt Lücken auf, die im Alltag übersehen werden.
MDR
Managed Detection and Response: ein Dienst, bei dem Fachleute Ihre Systeme laufend überwachen und auf Bedrohungen reagieren, auch ohne eigenes Sicherheitsteam im Haus.
Schatten-IT
Software, Apps oder Cloud-Dienste, die Mitarbeitende ohne Wissen der IT nutzen. Praktisch im Alltag, aber ein blinder Fleck für die Sicherheit.
NIS2
Eine EU-Richtlinie, die viele Unternehmen zu mehr IT-Sicherheit und zu Meldepflichten bei Vorfällen verpflichtet. Betrifft zunehmend auch den Mittelstand und seine Lieferanten.
DORA
Der Digital Operational Resilience Act ist eine EU-Verordnung für die Finanzbranche. Sie verpflichtet Finanzunternehmen und ihre IT-Dienstleister zu hoher digitaler Widerstandsfähigkeit und gilt seit Anfang 2025.
Cyber Resilience Act
Eine EU-Verordnung, die Hersteller von Produkten mit digitalen Elementen, also Software und vernetzte Geräte, zu Sicherheit über den gesamten Lebenszyklus verpflichtet, inklusive regelmäßiger Updates.
AI Act
Die KI-Verordnung der EU regelt den Einsatz künstlicher Intelligenz nach Risikoklassen. Je höher das Risiko einer Anwendung, desto strenger die Pflichten für Anbieter und Anwender.
BFSG
Das Barrierefreiheitsstärkungsgesetz verpflichtet viele Unternehmen, digitale Produkte und Dienste wie Webseiten und Onlineshops barrierefrei zu gestalten. Es gilt seit Juni 2025.
KRITIS
Kritische Infrastrukturen sind Einrichtungen mit besonderer Bedeutung für das Gemeinwesen, etwa Energie, Wasser oder Gesundheit. Ihre Betreiber unterliegen besonders strengen Sicherheits- und Meldepflichten.
DSGVO
Die Datenschutz-Grundverordnung regelt EU-weit den Umgang mit personenbezogenen Daten. Datenpannen können meldepflichtig sein und Bußgelder nach sich ziehen.
AVV
Der Auftragsverarbeitungsvertrag regelt nach DSGVO, wie ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, etwa ein Cloud-Anbieter. Er ist Pflicht, sobald ein Dienstleister Zugriff auf solche Daten hat.
ISO 27001
Ein international anerkannter Standard für ein Managementsystem zur Informationssicherheit. Eine Zertifizierung belegt, dass ein Unternehmen seine Sicherheit systematisch steuert.
TISAX
Ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilbranche. Viele Hersteller verlangen es von ihren Zulieferern und Dienstleistern.
GoBD
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern und Unterlagen in elektronischer Form. Sie regeln, wie digitale Belege revisionssicher aufbewahrt werden.
TDDDG
Das Gesetz über den Datenschutz in der Telekommunikation und bei digitalen Diensten regelt unter anderem den Einsatz von Cookies. Für die meisten nicht notwendigen Cookies ist die Einwilligung der Nutzer Pflicht.
Incident Response
Der geplante Ablauf für den Ernstfall: einen Sicherheitsvorfall schnell erkennen, eindämmen und sauber wieder in den Normalbetrieb zurückkehren.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik, die zentrale Cybersicherheitsbehörde in Deutschland, die Standards setzt und vor aktuellen Bedrohungen warnt.
Kein Begriff gefunden. Rufen Sie uns gerne an: +49 7248 255927-0.
Social Engineering
Die Kunst, Menschen statt Technik zu manipulieren. Angreifer nutzen Vertrauen, Hilfsbereitschaft oder Druck, um an Informationen oder Zugänge zu gelangen.