GRC-Glossar: die wichtigsten Begriffe aus Risikomanagement, Compliance, Datenschutz und BCM

Die Ausprägung eines Risikos, bevor risikomindernde Massnahmen berücksichtigt werden. Berechnet als Kombination aus Eintrittswahrscheinlichkeit und Schadensausmass im ungeschützten Zustand. Das Brutto-Risiko zeigt, wie gross das Risiko theoretisch wäre, wenn keine Kontrollen existierten, es ist die Grundlage, um die Wirksamkeit von Massnahmen zu beurteilen.

Das verbleibende Risiko nach Berücksichtigung der umgesetzten Massnahmen. Wenn ein Brutto-Risiko als «hoch» eingestuft war und eine Firewall sowie Monitoring-Kontrollen greifen, bleibt als Netto-Risiko vielleicht «mittel» übrig. Residual- und Netto-Risiko werden synonym verwendet; ISO 27005 bevorzugt «Residual».

Das Ausmass an Risiko, das eine Organisation bewusst einzugehen bereit ist, um ihre Ziele zu erreichen. Ein konservatives Versicherungsunternehmen hat einen niedrigen Risikoappetit bei Cybervorfällen, während ein Start-up im Wachstum bewusst höhere operationelle Risiken akzeptiert. Der Risikoappetit wird typischerweise durch die Geschäftsleitung definiert und fliesst in Entscheidungsregeln ein.

Ein vom Verwaltungsrat oder der Geschäftsleitung verabschiedetes Dokument, das den Risikoappetit konkret mit Schwellwerten und Kategorien festlegt. Ein gutes RAS formuliert für jede Risikokategorie eine klare Aussage («Wir akzeptieren keinen Ausfall kundenzugänglicher Systeme von mehr als 4 Stunden pro Jahr») und verknüpft sie mit Key Risk Indicators.

Die zentrale, durchsuchbare Liste aller identifizierten Risiken einer Organisation mit Bewertung, Eigentümer, Massnahmen und Status. Ein strukturiertes Risikoinventar ist die Minimalanforderung jedes ISMS und jeder revisionssicheren Risikomanagement-Praxis. Ohne Inventar lässt sich weder die Gesamtrisiko-Exposition darstellen noch eine Priorisierung begründen.

Eine zweidimensionale Darstellung von Risiken, meist 5×5, mit Eintrittswahrscheinlichkeit auf der einen und Schadensausmass auf der anderen Achse. Jede Zelle entspricht einer Kombination (etwa «möglich × kritisch»), die Risiken werden als Punkte eingetragen. Die Heatmap ist das bevorzugte Visualisierungswerkzeug im Management-Reporting, weil sie auf einen Blick zeigt, wo sich Risikokonzentrationen befinden.

Eine quantitative oder qualitative Kennzahl, die eine frühzeitige Warnung vor einem sich erhöhenden Risiko gibt. Beispiele: Anzahl fehlgeschlagener Login-Versuche pro Stunde, Überfälligkeit kritischer Patches, durchschnittliche MTTR bei Incidents. Ein gutes KRI ist messbar, zeitnah verfügbar und hat einen definierten Schwellwert, bei dessen Überschreiten eine Eskalation ausgelöst wird.

Ein potenzieller Auslöser eines Schadens, also die «Quelle», aus der ein Risiko entstehen kann. Bedrohungen können menschlich (Phishing, Insider), technisch (Hardware-Defekt, Zero-Day), naturbedingt (Brand, Wasserschaden) oder organisatorisch (Lieferantenausfall) sein. Das Pendant ist die Schwachstelle, die die Bedrohung ausnutzen kann.

Eine Schwäche oder Lücke in einem System, Prozess oder in der Organisation, die von einer Bedrohung ausgenutzt werden kann. Typische Beispiele: ungepatchte Software, fehlende Zugriffstrennung, schwache Authentifizierung, unklare Verantwortlichkeiten. Die Kombination aus Bedrohung und Schwachstelle ergibt erst das Risiko.

Die Person in der Organisation, die fachlich und organisatorisch für die Steuerung eines konkreten Risikos verantwortlich ist. Der Risikoeigner entscheidet über Massnahmen, genehmigt Residualrisiken und berichtet über Entwicklungen. Wichtig: der Risikoeigner ist nicht der CISO oder der Risiko-Manager, sondern die jeweilige Fach- oder Linien­verantwortung.

Ein Governance-Modell, das Verantwortlichkeiten in drei Ebenen trennt: die First Line (operative Einheiten, die Risiken direkt steuern), die Second Line (Risikomanagement- und Compliance-Funktionen, die überwachen und beraten) und die Third Line (die interne Revision, die unabhängig prüft). Das Modell stammt aus dem Banken- und Finanzsektor, wird heute aber branchenübergreifend angewendet.

Die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen an die Einführung, den Betrieb und die kontinuierliche Verbesserung eines ISMS. Die aktuelle Version ist ISO/IEC 27001:2022; Kontrollen finden sich im Anhang A und werden detailliert in ISO/IEC 27002 beschrieben. Zertifizierungen gelten meist drei Jahre mit jährlichen Überwachungsaudits.

Die generische Norm für Risikomanagement, nicht zertifizierbar, aber weit verbreitet als Referenz-Framework. Sie beschreibt Prinzipien (integriert, strukturiert, inklusiv, dynamisch), einen Rahmen und einen Risikomanagement-Prozess. ISO 31000 ist branchenneutral und eignet sich als Überbau, wenn mehrere Risikoarten (IT, operativ, finanziell, Projekt) integriert werden sollen.

Die ISO-Norm für Business Continuity Management. Sie definiert, wie Organisationen Störungen erkennen, auf sie reagieren und sich davon erholen. Zentrale Elemente sind die Business Impact Analysis, der Business Continuity Plan und der Disaster Recovery Plan. Zertifizierbar und für Unternehmen mit kritischen Prozessen (Finanzdienstleister, Gesundheit, KRITIS) häufig vorausgesetzt.

Ein vom US National Institute of Standards and Technology entwickeltes Framework für Cybersecurity. Die aktuelle Version 2.0 (2024) gliedert sich in sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover. Nicht zertifizierbar, aber international anerkannt, ideal als Selbsteinschätzungs-Werkzeug und als Brücke zwischen technischen Kontrollen und Governance.

Die 2023 in Kraft getretene EU-Richtlinie zur Netz- und Informationssicherheit, Nachfolgerin der NIS-Richtlinie. Sie erweitert den Anwendungsbereich massiv (ca. 160 000 Unternehmen EU-weit) und führt strenge Pflichten ein: Risikomanagement-Massnahmen, Meldewesen bei Sicherheitsvorfällen, persönliche Haftung der Geschäftsleitung. Schweizer Unternehmen mit Tochtergesellschaften oder relevanten Kunden in der EU sind mittelbar betroffen.

Eine EU-Verordnung für den Finanzsektor, anwendbar seit Januar 2025. DORA fordert von Banken, Versicherern und Finanzmarktteilnehmern eine umfassende digitale operationelle Resilienz, mit harten Vorgaben zu IT-Risikomanagement, Incident-Reporting, Penetration Testing und Third-Party-Risk-Management. Die Verordnung gilt direkt, ohne Umsetzung in nationales Recht.

Ein von der ISACA herausgegebenes Framework für IT-Governance und -Management. Die aktuelle Version COBIT 2019 unterscheidet zwischen Governance- und Management-Objectives und ist stärker auf die Unternehmens-IT als Ganzes ausgerichtet als etwa ISO 27001. COBIT wird oft in Organisationen eingesetzt, die IT als strategischen Faktor verankern wollen.

Eine strukturierte, unabhängige Überprüfung, ob definierte Anforderungen, etwa aus einer Norm, einem Vertrag oder internen Policies, tatsächlich eingehalten werden. Audits werden in intern (durch die eigene Revision), extern (Lieferanten-Audit durch den Kunden) und Zertifizierungs-Audits (durch akkreditierte Stellen) unterteilt. Ein Audit-Report dokumentiert Feststellungen, Non-Conformities und Empfehlungen.

Eine konkrete Vorkehrung, die ein Risiko reduziert oder einen Compliance-Nachweis erbringt. Kontrollen lassen sich in präventive (verhindern), detektive (erkennen) und korrektive (beheben) gliedern. Beispiele: Vier-Augen-Prinzip bei Zahlungen (präventiv), SIEM-Alerting (detektiv), Backup-Restore (korrektiv). ISO 27002 listet 93 Kontrollen für Informationssicherheit.

Die EU-Verordnung 2016/679, seit Mai 2018 anwendbar. Sie regelt die Verarbeitung personenbezogener Daten natürlicher Personen und gilt auch für Unternehmen ausserhalb der EU, sofern sie Waren oder Dienstleistungen in der EU anbieten oder EU-Bürger tracken (Marktort-Prinzip). Bussen bis 20 Mio. Euro oder 4 % des globalen Jahresumsatzes, Schweizer Unternehmen mit EU-Kunden unterliegen ihr ebenso wie europäische.

Das revidierte Schweizer Datenschutzgesetz, in Kraft seit 1. September 2023. Es hebt das Schweizer Datenschutzniveau weitgehend auf DSGVO-Standard, bleibt aber schlanker (u.a. keine allgemeine Datenschutz­folgenabschätzung, keine automatischen Auskunftsrechte bei vielen Drittländern). Verstösse können strafrechtlich verfolgt werden, Bussen bis 250 000 CHF, und zwar gegen natürliche Personen, nicht gegen das Unternehmen.

Eine strukturierte Risikoanalyse, die Verantwortliche durchführen müssen, wenn eine Verarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten der Betroffenen birgt. Typische Auslöser: systematische Überwachung, grosse Mengen besonders schützenswerter Daten, neue Technologien. Die DSFA dokumentiert die Verarbeitung, bewertet Risiken und legt Massnahmen fest, sie ist regelmässig zu aktualisieren.

Der schriftliche Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der die Verarbeitung personenbezogener Daten regelt. Pflicht­bestandteile sind u. a.: Gegenstand, Dauer, Art der Daten, Weisungsgebundenheit, Pflichten des Verarbeiters (Vertraulichkeit, TOM, Unterauftragsverarbeitung, Betroffenenrechte), Prüfrechte. Ohne gültigen AVV ist die Weitergabe an Dienstleister unzulässig.

Die identifizierte oder identifizierbare natürliche Person, deren Personendaten verarbeitet werden. Ihre Rechte umfassen u. a. Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit und das Recht, nicht einer rein automatisierten Entscheidung unterworfen zu werden. Diese Rechte sind in der Regel innerhalb eines Monats zu bearbeiten.

Eine natürliche oder juristische Person, die Personendaten im Auftrag eines Verantwortlichen verarbeitet. Klassische Beispiele sind Cloud-Anbieter, IT-Dienstleister, Payroll-Provider. Der Auftragsverarbeiter darf Daten nur nach dokumentierten Weisungen verarbeiten, muss angemessene TOM umsetzen und die Einhaltung nachweisen.

Alle Vorkehrungen, die ein angemessenes Schutzniveau für die Verarbeitung gewährleisten. Technisch: Verschlüsselung, Zugriffskontrolle, Pseudonymisierung, Backups. Organisatorisch: Rollen­konzepte, Schulungen, Verpflichtungen auf Vertraulichkeit, Löschkonzepte. TOM sind zentraler Bestandteil jedes AVV und werden bei Audits geprüft.

Die systematische Untersuchung, welche Geschäftsprozesse kritisch sind, welche Abhängigkeiten sie haben und wie gross der Schaden eines Ausfalls mit der Zeit wird. Das Ergebnis ist eine priorisierte Liste der Prozesse mit zugehörigen RTO- und RPO-Zielen. Die BIA ist die Basis für jeden BCP, ohne sie werden Recovery-Pläne willkürlich.

Das Handbuch, das im Krisenfall die Fortführung kritischer Geschäftsprozesse regelt, mit Rollen, Alarmierungswegen, Ausweichstandorten, Prioritäten und Wiederanlaufprozeduren. Ein BCP ist nur nützlich, wenn er regelmässig getestet und aktualisiert wird; ein Plan in der Schublade ist schlechter als keiner, weil er falsche Sicherheit vermittelt.

Der technische Teil der Business-Continuity-Planung: wie werden IT-Systeme, Daten und Infrastruktur nach einer Störung wiederhergestellt. Der DRP definiert konkrete Schritte, Failover zum Ausweich-Rechenzentrum, Restore aus Backups, Neu-Bereitstellung von Services. Während der BCP geschäfts­prozess­orientiert ist, ist der DRP system­orientiert.

Die maximale Zeit, die zwischen einem Ausfall und der Wiederherstellung eines Prozesses oder Systems liegen darf. Ein RTO von «4 Stunden» für das Buchhaltungssystem heisst: spätestens vier Stunden nach einem Ausfall muss das System wieder funktionieren. Das RTO ergibt sich aus der BIA und beeinflusst direkt die Kosten der Continuity-Lösungen, ein niedriges RTO erfordert redundante Systeme und Hot-Standby.

Der maximal tolerierbare Datenverlust, gemessen in Zeit. Ein RPO von «1 Stunde» heisst: bei einem Totalausfall dürfen höchstens die Daten der letzten Stunde verloren gehen. Das RPO bestimmt die Backup-Frequenz, RPO = 24h erlaubt tägliche Backups, RPO = 15 min erfordert kontinuierliche Replikation.

Die maximale Zeit, die ein Prozess ausfallen darf, ohne das Überleben oder die strategischen Ziele der Organisation ernsthaft zu gefährden. MTPD ist eine absolute Obergrenze, das RTO muss deutlich darunter liegen. Während RTO operativ definiert wird, ist MTPD typischerweise eine Geschäftsführungs-Entscheidung.

Das minimale Leistungsniveau, das während einer Störung aufrechterhalten werden muss. Beispiel: Ein Callcenter kann normal 100 Anfragen pro Stunde bearbeiten, das MBCO könnte bei 20 pro Stunde liegen, mit reduziertem Team im Notfall-Modus. Das MBCO zwingt zu klaren Priorisierungen, was wirklich erhalten bleiben muss.

Die Gesamtheit der Strukturen, Prozesse und Kommunikationswege, die in einer Krise aktiviert werden. Typischerweise gibt es einen Krisenstab mit klar definierten Rollen (Leitung, Kommunikation, IT, Recht, HR), vordefinierten Eskalationswegen und geübten Abläufen. Gutes Krisenmanagement zeigt sich daran, dass die ersten 60 Minuten nicht improvisiert sind.

Eine detaillierte, schrittweise Anleitung für eine spezifische operative Situation, etwa «Ausfall des Primär-Datenbankservers» oder «Verdacht auf Ransomware auf Admin-Workstation». Runbooks sollen so geschrieben sein, dass auch jemand, der nicht die ursprüngliche Person ist, die Massnahmen korrekt ausführen kann: klare Voraussetzungen, nummerierte Schritte, Entscheidungspunkte, Validierungen.

Die drei klassischen Schutzziele der Informationssicherheit: Vertraulichkeit (Daten dürfen nur Berechtigte einsehen), Integrität (Daten dürfen nicht unbemerkt verändert werden), Verfügbarkeit (Daten und Systeme sind dann zugänglich, wenn sie gebraucht werden). Die CIA-Triade ist der Ausgangspunkt jeder Risikoanalyse, für jedes Asset wird gefragt, wie hoch jedes der drei Schutzziele einzustufen ist.

Vom Center for Internet Security gepflegte Best-Practice-Kataloge: die CIS Controls sind 18 priorisierte Sicherheitskontrollen, die CIS Benchmarks sind produktspezifische Härtungsvorgaben (etwa für Microsoft 365, Windows Server, AWS, Kubernetes). Besonders die Benchmarks sind in Schweizer KMU beliebt, weil sie konkret ausführbar sind und regelmässig aktualisiert werden.

Ein Sicherheitsparadigma, das auf dem Grundsatz «Never trust, always verify» basiert. Anstatt das interne Netzwerk als vertrauenswürdig anzunehmen (klassisches Perimeter-Modell), wird jeder Zugriff, egal ob intern oder extern, einzeln authentifiziert, autorisiert und kontinuierlich überprüft. Zero Trust ist kein Produkt, sondern eine Architektur, die über mehrere Jahre umgesetzt wird.

Ein Login-Verfahren, das mindestens zwei unabhängige Faktoren kombiniert: Wissen (Passwort), Besitz (Smartphone, Hardware-Token) oder Inhärenz (Fingerabdruck, Gesicht). MFA ist die wirkungsvollste einzelne Massnahme gegen Passwort-Diebstahl und Phishing, sie verhindert über 99 % automatisierter Angriffe. Idealerweise mit FIDO2/Passkeys umgesetzt, nicht mit SMS.

Eine Plattform, die Logs und Events aus unterschiedlichen Quellen (Firewalls, Endpoints, Cloud-Services, Applikationen) sammelt, korreliert und analysiert. Ein SIEM erkennt Muster, die auf Angriffe hindeuten, löst Alerts aus und unterstützt die forensische Analyse. Bekannte Produkte: Splunk, Sentinel, QRadar, Elastic Security. Ein SIEM ohne definierte Use-Cases und 24/7-Monitoring ist nur ein teurer Log-Speicher.

Die Gesamtheit aus Prozessen und Systemen, die regelt, wer in einer Organisation welche digitalen Identitäten hat und auf welche Ressourcen zugreifen darf. IAM umfasst Joiner-Mover-Leaver-Prozesse, Rollenmodelle (RBAC), Privileged Access Management, Identity Federation (SSO), Access Recertifications. IAM-Schwächen zählen zu den häufigsten Ursachen für Compliance-Findings.

Social-Engineering-Angriff, bei dem Opfer über gefälschte Nachrichten dazu gebracht werden, Zugangsdaten preiszugeben oder Schadcode auszuführen. Varianten: Spear Phishing (zielgerichtet auf Einzelpersonen), Whaling (auf Führungskräfte), Business Email Compromise (gefälschter CEO-Auftrag). Technische Kontrollen (Mail-Filter, DMARC, MFA) wirken nur in Kombination mit Awareness-Training.

Schadsoftware, die Daten des Opfers verschlüsselt und für die Entschlüsselung Lösegeld fordert, moderne Varianten exfiltrieren zusätzlich Daten und drohen mit Veröffentlichung («double extortion»). Ransomware-Angriffe auf Schweizer KMU und Gemeinden haben in den letzten Jahren signifikant zugenommen. Wichtigste Abwehr: geprüfte Offline-Backups, Netzwerk­segmentierung, MFA und ein realistisches Playbook.

Das Managementsystem, das Informationssicherheit steuert, analog zum Qualitätsmanagementsystem (QMS) oder Umweltmanagement­system (UMS). Es umfasst Policies, Prozesse, Rollen, Risikomanagement, Kontrollen, Schulungen, Audits und die kontinuierliche Verbesserung (PDCA-Zyklus). Ein zertifiziertes ISMS nach ISO 27001 ist oft Voraussetzung, um mit Grosskunden oder der öffentlichen Hand ins Geschäft zu kommen.

Die exakte Abgrenzung, welche Teile der Organisation (Standorte, Geschäftsbereiche, Services, Systeme) vom ISMS erfasst sind. Ein sinnvoll gewählter Scope ist der entscheidende Hebel: zu klein, die Zertifizierung ist aussagelos; zu gross, die Einführung wird erdrückend. Der Scope muss nachvollziehbar begründet und dokumentiert sein und wird im Zertifikat aufgeführt.

Das Kerndokument eines ISMS nach ISO 27001: eine Auflistung aller 93 Annex-A-Kontrollen mit der Aussage, ob sie angewendet werden, warum (oder warum nicht) und wo der Nachweis liegt. Das SoA ist der erste Ort, an den ein Zertifizierungsauditor schaut, es zeigt, wie reflektiert das Unternehmen seine Kontrollen gewählt hat. Ein SoA mit «alle Kontrollen anwendbar, keine Ausnahmen» ist ein Warnsignal.

Der Verbesserungszyklus, auf dem jedes Managementsystem basiert: Plan (Ziele und Massnahmen definieren), Do (umsetzen), Check (Wirksamkeit prüfen), Act (anpassen). Praktisch bedeutet das: jährliche Risiko-Reviews, regelmässige Audits, Management-Reviews, kontinuierliche Verbesserung. Ohne PDCA ist ein ISMS ein statisches Dokument-Set.

Eine dokumentierte Abweichung von einer definierten Anforderung, einer Norm, einer internen Policy, einem Vertrag. Abweichungen werden in Major (systematisches Versagen, gefährdet die Zertifizierung) und Minor (Einzelabweichung) unterteilt. Jede NC muss mit Ursachen­analyse und Korrekturmassnahme behandelt werden, bevor die Zertifizierung erneuert wird.

Die Schweizer Datenschutzaufsichtsbehörde, das Pendant zu den nationalen Datenschutzbehörden in der EU (etwa dem BfDI in Deutschland). Der EDÖB hat unter dem revDSG deutlich erweiterte Kompetenzen: Untersuchungen, verbindliche Anordnungen, Meldung von Datenschutzverletzungen nimmt er entgegen. Seine Hinweise und Leitfäden sind die primäre Auslegungsquelle für das revDSG.

Die Schweizer Aufsichtsbehörde für Banken, Versicherungen, Börsen und Fondsleitungen. FINMA-Rundschreiben (etwa RS 2023/1 «Operationelle Risiken und Resilienz» und RS 2008/21 «Operationelle Risiken Banken») setzen verbindliche Anforderungen an Risikomanagement, IT-Sicherheit und Business Continuity für beaufsichtigte Institute.

Die nationale Behörde für Cybersicherheit, hervorgegangen aus dem Nationalen Zentrum für Cybersicherheit (NCSC). Sie betreibt die Meldestelle für Cybervorfälle, publiziert Empfehlungen und koordiniert bei Angriffen auf kritische Infrastrukturen. Unter dem seit 2024 gültigen Informations­sicherheits­gesetz (ISG) gibt es eine gestaffelte Meldepflicht für bestimmte Unternehmen.

Eine vom BWL herausgegebene Richtlinie, die einen Grundschutz für Betreiber kritischer Infrastrukturen in der Schweiz empfiehlt. Inhaltlich an den NIST CSF angelehnt, mit schweiz­spezifischen Anpassungen. Kein Gesetz, aber in Ausschreibungen und Branchen­standards (Strom, Wasser, Verkehr) regelmässig referenziert.

Das seit Januar 2024 in Kraft getretene Bundesgesetz, das Informationssicherheit bei Bundesbehörden und bestimmten Betreibern kritischer Infrastrukturen regelt. Ab 2025 wird zusätzlich eine Meldepflicht für Cyber­vorfälle bei kritischen Infrastrukturen eingeführt. Die Wirkung auf den privaten Sektor ist indirekt, aber wer Bundesaufträge hat, muss ISG-konform arbeiten.