Im Sinne dieser Richtlinie ist:

2.1
Authentifizierung der Prozess zur Überprüfung und Verifikation der von einer oder einem Nutzenden oder einem System behaupteten Identität,

2.2
Authentisierung der Nachweis der Echtheit (Authentizität) einer Identität mit einem Authentisierungsmittel,

2.3
Authentisierungsfaktor die Information, wie ein Passwort, Schlüsseldateien, ein digitales Zertifikat oder biometrische Informationen, die zur Authentisierung benötigt wird,

2.4
Authentisierungsmittel ein oder eine Kombination mehrerer Authentisierungsfaktoren, welche es dem Inhaber erlauben, eine Identität nachzuweisen,

2.5
Bedrohung ein Ereignis, wie beispielsweise höhere Gewalt, menschliche Fehlhandlung, technisches Versagen, Organisationsmangel oder vorsätzlicher Angriff, durch das ein Schaden entstehen kann; eine Bedrohung wird durch eine ausnutzbare Schwachstelle zur Gefahr,

2.6
Betrachtungsgegenstand der abgegrenzte Teil aller Verwaltungsaufgaben, für den die jeweilige risikobasierte Konzeption durchgeführt werden soll; er definiert sich durch die verarbeiteten Informationen und die eingesetzten Ressourcen,

2.7
Computerprogramm eine Folge von Anweisungen, die von einem IT-System ausgeführt werden kann; hierunter fallen insbesondere Skripte, Anwendungen und Betriebssysteme,

2.8
Datensicherung das Kopieren von elektronisch gespeicherten Daten und erforderlichen Metainformationen, um sie im Fall eines Datenverlustes wiederherstellen zu können,

2.9
Datenwiederherstellung die Rekonstruktion der elektronisch gespeicherten Daten in ihren vorherigen Kontext aus einer Datensicherung,

2.10
dienstliches IT-System ein IT-System, welches zur Erfüllung von dienstlichen Aufgaben bestimmt ist und dem vollständigen Risikomanagement des Bezugserlasses zu b unterworfen ist,

2.11
dienstlicher Wechseldatenträger ein Wechseldatenträger, welcher zur Erfüllung von dienstlichen Aufgaben bestimmt ist und einem behördlichen Risikomanagement gemäß dem Bezugserlass zu b unterworfen ist,

2.12
Domänenrisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in den Behörden verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat,

2.13
domänenspezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken der Sicherheitsdomäne angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Domänenrisiken nach der Maßnahmenumsetzung dargestellt,

2.14
domänenübergreifendes Fachverfahren ein Fachverfahren, das von mehreren Sicherheitsdomänen der niedersächsischen Landesverwaltung genutzt wird und von einer niedersächsischen Landesbehörde verantwortlich als Fachverfahrenseigentümer gepflegt wird,

2.14a
ebenenübergreifendes Fachverfahren ein Fachverfahren, das über Verwaltungsgrenzen hinweg genutzt wird (z. B. von mehreren Bundesländern, von der Landes- und Bundesverwaltung, von der Landes- und Kommunalverwaltung) und von einer Behörde der niedersächsischen Landesverwaltung verantwortlich als Fachverfahrenseigentümer gepflegt wird,

2.15
Einsatzszenario die detaillierte Beschreibung der Zweckbestimmungen, für die ein Service nach Einschätzung des Serviceeigentümers oder ein Fachverfahren nach Einschätzung des Fachverfahrenseigentümers konzipiert worden ist; ein Einsatzszenario hat immer einen Bezug zu den Verwaltungsaufgaben, bei deren Erfüllung die Services und Fachverfahren Unterstützung bieten sollen,

2.16
Eintrittswahrscheinlichkeit die Einschätzung, mit welcher Wahrscheinlichkeit ein Gefahrenszenario eintreten wird; die Eintrittswahrscheinlichkeit stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar; sie wird in Stufen (z. B. "unwahrscheinlich", "möglich", "wahrscheinlich", "sehr wahrscheinlich") klassifiziert,

2.17
Fachverfahren eine Leistung, die eine Fachverwaltung zur Unterstützung von Verwaltungsaufgaben, die in strukturierten Abläufen abgearbeitet werden, bereitstellt; es setzt sich in der Regel aus den Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen,

2.18
Fachverfahrenseigentümer die Behörde, bei der die Konzeption, Erstellung, Inbetriebnahme, Pflege und Außerbetriebnahme eines Fachverfahrens sowie die Schutzbedarfseignung für das Fachverfahren und das Fachverfahrensrisiko verantwortet wird,

2.19
Fachverfahrensrisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Einsatz des Fachverfahrens verarbeiteten Informationen, nachdem der Fachverfahrenseigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat,

2.20
Fachverfahrensrisikobeschreibung das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise informiert; dazu werden die Risiken für ein Fachverfahren, die umgesetzten Sicherheitsmaßnahmen und die Fachverfahrensrisiken nach der Maßnahmenumsetzung transparent gemacht,

2.21
fachverfahrensspezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken eines Fachverfahrens angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Fachverfahrensrisiken nach der Maßnahmenumsetzung dargestellt,

2.22
Gefahr die Möglichkeit, dass eine Bedrohung die Schwachstelle einer Ressource ausnutzt und dadurch den Informationen Schaden zufügen könnte,

2.23
Gefahrenanalyse die Identifizierung von Gefahrenszenarien für jede Ressource, mit der die Informationen eines Betrachtungsgegenstandes verarbeitet werden,

2.24
Gefahrenszenario die präzise und verständliche Beschreibung darüber, wie eine Schwachstelle durch eine Bedrohung ausgenutzt werden kann; ein Gefahrenszenario hat immer einen Bezug zu einem der drei Sicherheitsziele (Integrität, Verfügbarkeit, Vertraulichkeit); ein Gefahrenszenario ist unmittelbar an eine Ressource geknüpft,

2.25
Geschäftsprozess eine Folge von Einzeltätigkeiten, die schrittweise ausgeführt werden und die Verwaltungsaufgaben abbilden; anhand dieser werden die Betrachtungsgegenstände der risikobasierten Konzeptionen bestimmt; für die servicespezifischen Sicherheitskonzepte ergeben sich die Geschäftsprozesse aus den Serviceverzeichnissen; für die fachverfahrensspezifischen Sicherheitskonzepte ergeben sich die Geschäftsprozesse aus den Fachverfahrensverzeichnissen; für die domänenspezifischen Sicherheitskonzepte ergeben sich die Verwaltungsaufgaben aus den Geschäftsverteilungsplänen,

2.26
Handlungsstrategie die aus den Ergebnissen der risikoorientierten Vorgehensweise aufbereitete Darstellung für die Behördenleitung zur Entscheidung über umzusetzende oder zu ändernde Sicherheitsmaßnahmen mit dem Ziel der Risikoreduzierung spezifiziert um zugehörige Zeit- und Ressourcenplanungen,

2.27
Information die im Zusammenhang mit dem Handeln der niedersächsischen Landesverwaltung verarbeiteten Daten, deren Integrität, Verfügbarkeit und Vertraulichkeit zu gewährleisten ist,

2.28
Informationseigentümer die Behörde, bei der die Informationsklassifizierung erfolgt und das Domänenrisiko verantwortet wird,

2.29
Informationsklassifizierung die Aktivität, die Informationseigentümer durchführen, um ihren Informationen für die Sicherheitsziele Integrität, Verfügbarkeit und Vertraulichkeit jeweils eine Schutzkategorie zuzuordnen,

2.30
Informationssicherheitsmanagementsystem die Aufstellung von Verfahren und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern,

2.31
Informationstechnik (IT) ein technisches Mittel zur Verarbeitung oder Übertragung von Informationen (§ 1 Abs. 1 Nr. 6 NDIG),

2.32
IT-System ein einzelnes Bestandteil oder eine Kombination mehrerer, die aus Hard- und Softwarekomponenten bestehen und eine datenverarbeitende Funktionalität bereitstellen,

2.32 a
Landesdatennetz betreibende Behörde i. S. des NDIG der Landesbetrieb IT.Niedersachsen,

2.33
Leistungsempfänger die Behörde, die einen Service eines Serviceeigentümers nutzt oder ein Fachverfahren eines Fachverfahrenseigentümers einsetzt,

2.34
Mobile Endgeräte informationstechnische und kommunikationstechnische Geräte, die aufgrund ihrer Größe und ihres Gewichts ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar sind,

2.35
Ressource das Sachmittel oder Personal zur Unterstützung der Verwaltungsaufgaben, das Schwachstellen aufweisen kann; Ressourcen werden - neben Personal - als IT-Systeme (Hardware und Software), Fachanwendungen, Bürokommunikationsanwendungen, Verträge, Papierakten, Gebäude, Räume und sonstige Sachmittel kategorisiert,

2.36
Risiko das Ergebnis einer systematischen Einschätzung möglicher Schäden zu der von einer Ressource ausgehenden Gefahr; das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens,

2.37
Risikoakzeptanz eine der vier Möglichkeiten zur Risikobehandlung und kommt vor allem in Betracht, wenn Risiken durch Sicherheitsmaßnahmen unter Wirtschaftlichkeitsaspekten nicht weiter reduziert oder vermieden werden können; die Risikoakzeptanz erfordert, dass die Risiken der Behördenleitung nach der Maßnahmenumsetzung bewusst gemacht und von ihr als vertretbar verantwortet werden,

2.38
Risikoanalyse die Risikoeinschätzung einschließlich Risikobewertung,

2.39
Risikobehandlung die Entscheidung über den Umgang mit den identifizierten Risiken anhand von vier Optionen: Risikoreduzierung, Risikovermeidung, Risikoakzeptanz oder Risikotransfer,

2.40
Risikobeschreibung ein Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert; dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht,

2.41
Risikobewertung die Ausweisung der Risiken in einer Risikomatrix anhand eines dreistufigen Systems mit einem Risikolevel,

2.42
Risikoeinschätzung die Quantifizierung der Gefahrenszenarien, indem die beiden Risikomerkmale "Eintrittswahrscheinlichkeit" (Nummer 2.16) und "Schadensausmaß" (Nummer 2.47) anhand eines stufenbasierten Systems prognostiziert werden,

2.43
Risikolevel die Positionierung eines Risikowertes in einer Risikomatrix anhand eines dreistufigen Systems mit dem Risikolevel "grün", "gelb" oder "rot",

2.44
Risikoreduzierung eine der vier Möglichkeiten zur Risikobehandlung und stellt den Regelfall dar; identifizierte Risiken werden durch die Umsetzung von Sicherheitsmaßnahmen soweit reduziert, dass das Risiko in der Risikomatrix aus dem Risikolevel "gelb" in den Risikolevel "grün" oder aus dem Risikolevel "rot" in den Risikolevel "grün" oder "gelb" verschoben werden kann,

2.45
Risikotransfer eine der vier Möglichkeiten zur Risikobehandlung; sie hat zum Ziel, eine vollständige Verlagerung des identifizierten Risikos auf Dritte zu erreichen, sodass im Rahmen der Risikobehandlung kein Handlungsbedarf mehr für die niedersächsische Landesverwaltung besteht,

2.46
Risikovermeidung eine der vier Möglichkeiten zur Risikobehandlung; sie hat zum Ziel, durch die Umsetzung von Sicherheitsmaßnahmen ein Risiko zu eliminieren, statt zu reduzieren; dazu wird beispielsweise die Nutzung einer Ressource oder der Einsatz einer Funktion vermieden,

2.47
Schadensausmaß die Einschätzung zur Höhe des Schadens, der bei Eintritt eines Gefahrenszenarios bei den Informationen verursacht wird; das Schadensausmaß stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar; es wird den Informationen für die Sicherheitsziele Integrität, Verfügbarkeit und Vertraulichkeit jeweils eine Schutzkategorie zugeordnet,

2.48
Schutzbedarfseignung die Eigenschaft, die ein Serviceeigentümer für seinen Service und ein Fachverfahrenseigentümer für sein Fachverfahren kommuniziert, damit die Leistungsempfänger einschätzen können, inwieweit der Service und das Fachverfahren, ggf. nach Umsetzung zusätzlicher Sicherheitsmaßnahmen zwecks weitergehender Risikoreduzierung, genutzt werden dürfen,

2.49
Schutzkategorie eine Gruppe annähernd gleichen Schadensausmaßes, die in den Sicherheitsdomänen zu definieren sind; beispielsweise

• normales Schadensausmaß die Auswirkungen eines Schadens, die begrenzt und überschaubar wären,

• hohes Schadensausmaß die Auswirkungen eines Schadens, die beträchtlich wären,

• sehr hohes Schadensausmaß die Auswirkungen eines Schadens, die ein existentielles oder katastrophales Ausmaß erreichen können,

2.50
Schwachstelle die Eigenschaft einer Ressource, die potenziell ausgenutzt werden kann, um eine Schadwirkung zu erzielen (z. B. sicherheitsrelevante Fehler einer Software oder die Verwundbarkeit eines anderen Sachmittels); durch eine Schwachstelle wird ein Sachmittel anfällig für Bedrohungen,

2.51
schwerwiegender Sicherheitsvorfall ein Ereignis, das domänenübergreifende oder sonstige erhebliche Auswirkungen haben kann; bei domänenübergreifenden Auswirkungen ist eine Ressource beeinträchtigt, die von mehreren Sicherheitsdomänen genutzt wird oder deren vergleichbare Nutzung zu Schäden in anderen Sicherheitsdomänen führen könnte; erheblich sind Auswirkungen bei domänenspezifischen Sicherheitsvorfällen beispielsweise, wenn das Schadensausmaß hoch ist, die Wahrscheinlichkeit eines erneuten Sicherheitsvorfalles ähnlicher Ausprägung in der Landesverwaltung nicht ausgeschlossen werden kann oder die konkrete Vorgehensweise der Verursacherin oder des Verursachers darauf schließen lässt, dass Schadensereignisse in der Landesverwaltung gezielt vorbereitet werden,

2.52
Service die Leistung, die ein Serviceeigentümer zur Unterstützung von Verwaltungsaufgaben bereitstellt,

2.53
Serviceeigentümer die Behörde, bei der die Konzeption, Erstellung, Inbetriebnahme, Pflege und Außerbetriebnahme eines Services sowie die Schutzbedarfseignung für den Service und das Servicerisiko verantwortet werden,

2.54
Servicerisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Nutzung des Services verarbeiteten Informationen, nachdem der Serviceeigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat,

2.55
Servicerisikobeschreibung das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise informiert; dazu werden die Risiken eines Services, die umgesetzten Sicherheitsmaßnahmen und die Servicerisiken nach der Maßnahmenumsetzung transparent gemacht,

2.56
servicespezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken des Services angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Servicerisiken nach der Maßnahmenumsetzung dargestellt,

2.57
Sicherheitsanforderung die Vorgabe, die in einer Informationssicherheitsrichtlinie ressortübergreifend geregelt und bei deren Umsetzung zu beachten ist,

2.58
Sicherheitsdomäne ein abgrenzbarer Teil der Landesverwaltung mit einheitlichen Sicherheitsanforderungen und/oder einheitlicher Sicherheitsadministration; dabei kann eine Sicherheitsdomäne weitere, untergeordnete Sicherheitsdomänen enthalten; eine untergeordnete Sicherheitsdomäne wendet grundsätzlich die Regeln der ihr übergeordneten Sicherheitsdomäne an, soweit sie sich in Abstimmung mit der übergeordneten Sicherheitsdomäne selbst keine spezielleren Regeln gibt,

2.59
Sicherheitsfeature eine technische oder organisatorische Lösung, die bereits umgesetzt ist und deshalb das Risiko um einen quantifizierten Risikoreduzierungswert mindert,

2.60
Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken des Betrachtungsgegenstandes angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Risiken nach der Maßnahmenumsetzung dargestellt,

2.61
Sicherheitsmaßnahme eine technische oder organisatorische Lösung mit dem Ziel, ein bestehendes Risiko zu minimieren oder zu beherrschen,

2.62
Speicherung eine Aufbewahrung von Informationen in IT-Systemen in der Verfügungsgewalt der Berechtigten; die Schutzziele Integrität, Verfügbarkeit und Vertraulichkeit der Informationen können gewährleistet werden,

2.63
sonstige Verwaltungsaufgabe eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird,

2.64
sonstiges IT-System jedes IT-System, das nicht als dienstliches IT-System bestimmt ist,

2.65
sonstige Wechseldatenträger jeder Wechseldatenträger, der nicht als dienstlicher Wechseldatenträger bestimmt ist,

2.66
Systemadministration eine Rolle, welche für den Betrieb von IT-Systemen verantwortlich ist und dazu, insbesondere gegenüber Anwenderinnen und Anwendern, über erweiterte Berechtigungen und Zutrittsrechte für die IT-Infrastruktur verfügt,

2.67
Übermittlung die Herausgabe einer Information aus der Verfügungsgewalt der Berechtigten; die Schutzziele Integrität, Verfügbarkeit und Vertraulichkeit können nach der Herausgabe der Information nicht mehr sichergestellt werden,

2.68
Wechseldatenträger Datenspeicher, die zum Anschluss an und zur Abtrennung von IT-Systemen, zum Transport und zur getrennten Speicherung von Daten sowie zum Austausch von Daten zwischen IT-Systemen bestimmt und geeignet sind; sie können durch eine in einem IT-System integrierte Funktion repräsentiert werden; Wechseldatenträger bilden einen Spezialfall der IT-Systeme, weil sie aufgrund ihrer Funktionseigenschaften anderen Bestimmungen unterliegen und werden deshalb als eigenständiger Begriff definiert,

2.69
Zentralstelle für Informationssicherheit i. S. des § 14 Abs. 1 NDIG das Niedersächsische Computer Emergency Response Team (N-CERT).