# Wissensdatenbank IT-Sicherheit, vetosec

Alle Begriffe der IT-Sicherheit, erklärt für kleine und mittlere Betriebe in Österreich. Jeder Eintrag beantwortet die Frage im ersten Satz.

## Grundlagen

### IT-Sicherheit im KMU
Was bedeutet IT-Sicherheit für ein KMU?

IT-Sicherheit im KMU bedeutet, die wenigen Maßnahmen zuverlässig umzusetzen, die den größten Teil der realen Angriffe abfangen: aktuelle Systeme, getestete Backups, Zwei-Faktor-Anmeldung, saubere Berechtigungen und Mitarbeiter, die Phishing erkennen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/it-sicherheit-kmu/

### Schwachstelle und Schwachstellenanalyse
Was ist eine Schwachstelle?

Eine Schwachstelle ist ein Fehler oder eine Fehlkonfiguration in Software, Hardware oder Einstellungen, über die ein Angreifer in ein System gelangen kann. Eine Schwachstellenanalyse sucht diese Punkte systematisch und bewertet ihr Risiko.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/schwachstelle/

### Angriffsfläche
Was ist die Angriffsfläche in der IT-Sicherheit?

Die Angriffsfläche ist die Summe aller Punkte, über die jemand in Ihre IT eindringen kann: erreichbare Geräte, Zugänge, Programme und Schnittstellen. Jeder dieser Punkte muss gewartet und überwacht werden. Wer die Angriffsfläche klein hält, hat weniger Stellen zu verteidigen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/angriffsflaeche/

### Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Was sind die Schutzziele der Informationssicherheit?

Die Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bedeutet, dass nur befugte Personen Daten sehen. Integrität bedeutet, dass Daten unverfälscht bleiben. Verfügbarkeit bedeutet, dass Daten und Systeme bereitstehen, wenn Sie sie brauchen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/schutzziele/

### Zero Trust
Was ist Zero Trust?

Zero Trust ist ein Sicherheitsmodell, bei dem jeder Zugriff einzeln geprüft wird, auch wenn er aus dem eigenen Netzwerk kommt. Geprüft wird, wer zugreift, mit welchem Gerät und auf welche Daten. Berechtigungen werden auf das für die Aufgabe Notwendige begrenzt.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/zero-trust/

### IT-Inventar
Was ist ein IT-Inventar?

Ein IT-Inventar ist eine aktuelle Liste aller Geräte, Programme, Konten und Dienste, die Ihr Betrieb nutzt. Sie hält fest, was vorhanden ist, wo es läuft und wer dafür zuständig ist. Das Inventar ist die Grundlage für Updates, Datensicherung und die Reaktion auf einen Vorfall.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/it-inventar/

## Prüfung und Audit

### IT-Sicherheitscheck
Was ist ein IT-Sicherheitscheck?

Ein IT-Sicherheitscheck ist eine strukturierte Prüfung der IT eines Betriebs. Er erhebt den Ist-Zustand von Netzwerk, Servern, Arbeitsplätzen und Zugängen, bewertet die gefundenen Risiken und ordnet sie nach Dringlichkeit.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/it-sicherheitscheck/

### IT-Sicherheitsaudit
Was ist ein IT-Sicherheitsaudit?

Ein IT-Sicherheitsaudit ist die Prüfung der IT-Sicherheit eines Unternehmens gegen einen vorher festgelegten Maßstab. Dieser Maßstab kann ein anerkannter Standard sein, ein gesetzlicher Anforderungskatalog oder die Prüfliste des Auditors.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/it-sicherheitsaudit/

### IT-Audit
Was ist ein IT-Audit?

Ein IT-Audit ist die systematische Prüfung der Informationstechnik einer Organisation, also der Systeme, der Abläufe und der Nachweise dahinter.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/it-audit/

### Penetrationstest
Was ist ein Penetrationstest?

Ein Penetrationstest ist ein beauftragter, kontrollierter Angriffsversuch auf die eigenen Systeme. Er weist nach, ob eine gefundene Schwachstelle tatsächlich ausnutzbar ist.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/penetrationstest/

### Schwachstellenscan
Was ist ein Schwachstellenscan?

Ein Schwachstellenscan ist eine automatisierte Prüfung von Systemen auf bekannte Sicherheitslücken und Fehlkonfigurationen. Eine Software vergleicht dabei Versionsstände und Einstellungen mit öffentlichen Schwachstellendatenbanken und meldet jeden Treffer mit einer Risikobewertung.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/schwachstellenscan/

### Gap-Analyse
Was ist eine Gap-Analyse in der IT-Sicherheit?

Eine Gap-Analyse vergleicht den Ist-Zustand der IT-Sicherheit mit einem Soll-Zustand und hält jede Lücke dazwischen fest. Der Soll-Zustand stammt aus einem Anforderungskatalog, etwa aus der DSGVO oder aus den Vorgaben eines Auftraggebers. Das Ergebnis ist eine priorisierte Liste der offenen Punkte.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/gap-analyse/

### Befund und Maßnahmenplan
Was ist ein Befund mit Maßnahmenplan?

Ein Befund ist der schriftliche Bericht einer IT-Prüfung. Er hält fest, was geprüft wurde, was gefunden wurde und wie hoch das Risiko jedes einzelnen Fundes ist. Der Maßnahmenplan ordnet diese Funde nach Dringlichkeit und benennt zu jedem Fund die konkrete Abhilfe.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/befund-massnahmenplan/

## Angriffe

### Ransomware
Was ist Ransomware?

Ransomware ist Schadsoftware, die Ihre Daten verschlüsselt und für die Freigabe Lösegeld fordert. Häufig werden die Daten vor der Verschlüsselung zusätzlich kopiert, um mit einer Veröffentlichung zu drohen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/ransomware/

### Phishing
Was ist Phishing?

Phishing ist der Versuch, über gefälschte Nachrichten an Zugangsdaten oder Geld zu kommen. Die Nachricht gibt sich als bekannter Absender aus und erzeugt Zeitdruck.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/phishing/

### Social Engineering
Was ist Social Engineering?

Social Engineering ist die gezielte Manipulation von Menschen, um an Zugangsdaten, Informationen oder Geld zu gelangen. Die Täter geben sich als vertrauenswürdige Person aus, etwa als Vorgesetzter, Lieferant oder Techniker, und nutzen Hilfsbereitschaft, Zeitdruck und Autorität aus.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/social-engineering/

### CEO-Fraud und Rechnungsbetrug
Was ist CEO-Fraud?

CEO-Fraud ist ein Betrug, bei dem sich Täter als Geschäftsführung ausgeben und eine eilige Überweisung anordnen. Beim verwandten Rechnungsbetrug wird eine echte Rechnung abgefangen oder nachgebaut und die Bankverbindung ausgetauscht, sodass die Zahlung bei den Tätern landet.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/ceo-fraud/

### Schadsoftware (Malware)
Was ist Schadsoftware (Malware)?

Schadsoftware, englisch Malware, ist Software, die ein System schädigen, ausspähen oder fernsteuern soll. Dazu zählen Viren, Trojaner, Ransomware, Spionageprogramme und Ladeprogramme, deren einzige Aufgabe darin besteht, weitere Schadsoftware nachzuholen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/malware/

### Passwortangriff
Was ist ein Passwortangriff?

Ein Passwortangriff ist der Versuch, sich mit einem erratenen, gestohlenen oder anderswo geleakten Passwort an einem Konto anzumelden. Angriffsziele sind vor allem Zugänge, die aus dem Internet erreichbar sind, etwa Webmail, Fernwartung, VPN-Zugänge und Cloud-Dienste.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/passwortangriff/

### Angriff über die Lieferkette
Was ist ein Angriff über die Lieferkette?

Ein Angriff über die Lieferkette nutzt einen Dritten als Weg in Ihren Betrieb, etwa einen IT-Dienstleister mit Fernzugriff, einen Softwarehersteller oder ein manipuliertes Update. Der Angreifer bricht bei einem Partner ein und gelangt über dessen Zugang oder Programm zu Ihren Systemen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/supply-chain-angriff/

### DDoS-Angriff
Was ist ein DDoS-Angriff?

Ein DDoS-Angriff überlastet einen Dienst mit einer Flut gleichzeitiger Anfragen aus vielen Quellen, bis er für echte Nutzer nicht mehr erreichbar ist. DDoS steht für Distributed Denial of Service, also eine von vielen Rechnern gleichzeitig ausgeführte Blockade eines Dienstes.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/ddos/

### Zero-Day-Lücke
Was ist eine Zero-Day-Lücke?

Eine Zero-Day-Lücke ist eine Sicherheitslücke in Software, für die es noch kein Update des Herstellers gibt. Wird sie ausgenutzt, bevor eine Korrektur bereitsteht, spricht man von einem Zero-Day-Angriff. Der Name beschreibt die null Tage, die dem Hersteller zur Behebung blieben.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/zero-day/

### Datenleck
Was ist ein Datenleck?

Ein Datenleck ist ein Vorfall, bei dem Daten in die Hände Unbefugter gelangen, sei es durch einen Angriff, eine Fehlkonfiguration oder ein Versehen. Sind personenbezogene Daten betroffen, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/datenleck/

## Schutzmaßnahmen

### Backup und Wiederherstellung
Was ist ein Backup und warum muss es getestet werden?

Ein Backup ist eine Sicherungskopie Ihrer Daten. Den Wert eines Backups bestimmt die Wiederherstellung: Erst ein getesteter Rücksicherungslauf beweist, dass die Kopie im Ernstfall trägt.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/backup-wiederherstellung/

### Zwei-Faktor-Authentifizierung (2FA)
Was ist Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung verlangt beim Anmelden neben dem Passwort einen zweiten Nachweis, etwa einen Code aus einer App oder einen Sicherheitsschlüssel zum Anstecken. Ein gestohlenes Passwort allein reicht damit für den Zugriff nicht mehr aus.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/zwei-faktor-authentifizierung/

### Berechtigungskonzept und minimale Rechte
Was ist ein Berechtigungskonzept?

Ein Berechtigungskonzept legt fest, wer auf welche Daten zugreifen darf. Das Prinzip der minimalen Rechte gibt jedem Konto genau die Rechte, die für seine Aufgabe nötig sind.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/berechtigungskonzept/

### SPF, DKIM und DMARC
Was sind SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind drei Einträge in der Verwaltung Ihrer Internet-Domain. Gemeinsam verhindern sie, dass Fremde E-Mails im Namen Ihrer Domain versenden.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/spf-dkim-dmarc/

### Die 3-2-1-Regel für Backups
Was ist die 3-2-1-Regel bei Backups?

Die 3-2-1-Regel ist eine Faustregel für die Datensicherung: drei Kopien Ihrer wichtigen Daten, gespeichert auf zwei verschiedenen Medienarten, davon eine Kopie außer Haus. So trifft ein einzelnes Ereignis wie ein Brand oder ein Verschlüsselungsangriff alle Kopien gleichzeitig nur in seltenen Ausnahmen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/drei-zwei-eins-regel/

### Passwortmanager
Was ist ein Passwortmanager?

Ein Passwortmanager ist ein Programm, das die Zugangsdaten eines Betriebs verschlüsselt in einem digitalen Tresor speichert und beim Anmelden einträgt. Sie merken sich ein einziges starkes Hauptpasswort, der Manager erzeugt für jeden Dienst ein eigenes langes Passwort und bewahrt es auf.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/passwortmanager/

### Patch-Management und Updates
Was ist Patch-Management?

Patch-Management ist der geregelte Umgang mit Sicherheitsupdates. Ein Patch ist die Korrektur, mit der ein Hersteller eine bekannt gewordene Sicherheitslücke schließt. Geregelt heißt: Sie wissen, welche Systeme laufen, erfahren von neuen Updates und spielen sie in einer festgelegten Frist ein.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/patch-management/

### Firewall
Was ist eine Firewall?

Eine Firewall ist ein Kontrollpunkt zwischen Ihrem Firmennetz und dem Internet, der jede Verbindung nach festen Regeln erlaubt oder blockiert. Sie entscheidet, welche Dienste aus dem Internet erreichbar sind und welche Verbindungen aus dem Betrieb hinausgehen dürfen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/firewall/

### VPN
Was ist ein VPN?

Ein VPN (virtuelles privates Netzwerk) ist eine verschlüsselte Verbindung, mit der sich Mitarbeiter von außerhalb in das Firmennetz einwählen. Der Datenverkehr läuft durch einen geschützten Kanal und bleibt unterwegs für Dritte unlesbar. Der Zugang öffnet sich erst nach erfolgreicher Anmeldung.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/vpn/

### Verschlüsselung
Was ist Verschlüsselung?

Verschlüsselung wandelt lesbare Daten mit einem geheimen Schlüssel in eine unlesbare Form um, die nur mit diesem Schlüssel wieder lesbar wird. Im Betrieb schützt sie Daten auf Notebooks, Mobiltelefonen und externen Festplatten sowie den Datenverkehr auf dem Weg durch das Internet.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/verschluesselung/

### Virenschutz und EDR
Was ist EDR?

EDR (Endpoint Detection and Response) ist eine Schutzsoftware für Arbeitsplätze und Server, die verdächtige Abläufe erkennt, Alarm schlägt und ein betroffenes Gerät vom Netz trennen kann. Klassischer Virenschutz erkennt Schadprogramme an bekannten Mustern, EDR beobachtet zusätzlich das Verhalten der Programme.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/edr-virenschutz/

### Netzwerksegmentierung
Was ist Netzwerksegmentierung?

Netzwerksegmentierung teilt ein Firmennetz in getrennte Bereiche, zwischen denen nur ausdrücklich erlaubte Verbindungen möglich sind. Wird ein Gerät übernommen, bleibt der Schaden auf seinen Bereich begrenzt. Übliche Bereiche sind Büro, Server, Produktion und Gäste-WLAN.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/netzwerksegmentierung/

### Notfallplan
Was gehört in einen IT-Notfallplan?

Ein IT-Notfallplan ist eine kurze schriftliche Anleitung dafür, wer bei einem IT-Ausfall oder Cyberangriff was tut, wen er verständigt und in welcher Reihenfolge der Betrieb wieder anläuft. Er liegt ausgedruckt vor, weil im Ernstfall die IT selbst betroffen ist.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/notfallplan/

### Mitarbeiterschulung (Awareness)
Was ist eine Awareness-Schulung?

Eine Awareness-Schulung ist eine kurze, regelmäßige Unterweisung der Belegschaft, die typische Angriffe auf Menschen erkennbar macht, etwa gefälschte Rechnungen, Anrufe im Namen der Geschäftsführung oder nachgebaute Anmeldeseiten. Sie legt außerdem fest, wo ein Verdacht gemeldet wird.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/awareness-schulung/

### Monitoring und Protokollierung
Was ist Monitoring und Protokollierung in der IT?

Monitoring und Protokollierung bedeuten, dass IT-Systeme laufend beobachtet und wichtige Ereignisse mitgeschrieben werden, etwa Anmeldungen, Fehler und Änderungen an Berechtigungen. Diese Protokolle zeigen im Ernstfall, was wann geschehen ist und über welchen Zugang jemand hereinkam.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/monitoring-logging/

## Recht und Normen

### Technische und organisatorische Maßnahmen (TOM)
Was sind technische und organisatorische Maßnahmen?

Technische und organisatorische Maßnahmen sind die Schutzvorkehrungen, die die Datenschutz-Grundverordnung für die Verarbeitung personenbezogener Daten verlangt. Artikel 32 DSGVO fordert dafür ein Schutzniveau, das dem Risiko angemessen ist.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/tom-dsgvo/

### NIS2
Was ist NIS2?

NIS2 ist die EU-Richtlinie 2022/2555 zur Netz- und Informationssicherheit. Sie verpflichtet Unternehmen in bestimmten Sektoren zu Risikomanagement, zur Meldung von Sicherheitsvorfällen und nimmt die Geschäftsleitung ausdrücklich in die Verantwortung.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/nis2/

### ISO/IEC 27001
Was ist ISO 27001?

ISO/IEC 27001 ist der internationale Standard für ein Managementsystem der Informationssicherheit. Er beschreibt, wie eine Organisation ihre Sicherheitsrisiken erfasst, behandelt und laufend überprüft.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/iso-27001/

### DSGVO
Was ist die DSGVO?

Die DSGVO ist die Datenschutz-Grundverordnung der Europäischen Union (Verordnung (EU) 2016/679). Sie gilt seit 25. Mai 2018 und regelt, wie Unternehmen personenbezogene Daten verarbeiten dürfen. Dazu gehört die Pflicht, diese Daten technisch angemessen zu schützen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/dsgvo/

### DORA
Was ist DORA?

DORA ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Sie gilt seit 17. Jänner 2025 und verpflichtet Finanzunternehmen, ihre IT gegen Ausfälle und Angriffe abzusichern. Auch deren IT-Dienstleister sind davon betroffen.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/dora/

### Meldepflicht bei einer Datenpanne
Wann muss ich eine Datenpanne melden?

Die Meldepflicht bei einer Datenpanne verlangt, eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach Bekanntwerden an die Datenschutzbehörde zu melden (Artikel 33 DSGVO). Bei voraussichtlich hohem Risiko sind auch die betroffenen Personen zu verständigen (Artikel 34).

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/meldepflicht-datenpanne/

### Auftragsverarbeitung (AVV)
Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AVV) ist der von Artikel 28 DSGVO vorgeschriebene Vertrag mit einem Dienstleister, der personenbezogene Daten im Auftrag und nach Weisung eines Unternehmens verarbeitet. Typische Fälle sind ein Cloud-Anbieter oder ein externer IT-Betreuer mit Fernwartungszugang.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/auftragsverarbeitung/

### Cyberversicherung
Was deckt eine Cyberversicherung ab?

Eine Cyberversicherung deckt finanzielle Folgen von Angriffen auf die IT eines Betriebs ab. Sie besteht in der Regel aus einer Eigenschadendeckung, etwa für Betriebsunterbrechung und Wiederherstellung, und aus einer Haftpflichtdeckung für Ansprüche Dritter. Der genaue Umfang steht in der Polizze.

Vollständiger Eintrag: https://vetosec.at/it-sicherheit/cyberversicherung/
