Im Sinne dieser Richtlinie ist:

2.1
Authentifizierung der Prozess zur Überprüfung und Verifikation der von einer oder einem Nutzenden oder einem System behaupteten Identität,

2.2
Authentisierung der Nachweis der Echtheit (Authentizität) einer Identität mit einem Authentisierungsmittel,

2.3
Authentisierungsfaktor die Information, wie ein Passwort, Schlüsseldateien, ein digitales Zertifikat oder biometrische Informationen, die zur Authentisierung benötigt wird,

2.4
Authentisierungsmittel ein oder eine Kombination mehrerer Authentisierungsfaktoren, welche es dem Inhaber erlauben, eine Identität nachzuweisen,

2.5
Bedrohung ein Ereignis, wie beispielsweise höhere Gewalt, menschliche Fehlhandlung, technisches Versagen, Organisationsmangel oder vorsätzlicher Angriff, durch das ein Schaden entstehen kann; eine Bedrohung wird durch eine ausnutzbare Schwachstelle zur Gefahr,

2.6
Betrachtungsgegenstand der abgegrenzte Teil aller Verwaltungsaufgaben, für den die jeweilige risikobasierte Konzeption durchgeführt werden soll; er definiert sich durch die verarbeiteten Informationen und die eingesetzten Ressourcen,

2.7
Computerprogramm eine Folge von Anweisungen, die von einem IT-System ausgeführt werden kann; hierunter fallen insbesondere Skripte, Anwendungen und Betriebssysteme,

2.8
Datensicherung das Kopieren von elektronisch gespeicherten Daten und erforderlichen Metainformationen, um sie im Fall eines Datenverlustes wiederherstellen zu können,

2.9
Datenwiederherstellung die Rekonstruktion der elektronisch gespeicherten Daten in ihren vorherigen Kontext aus einer Datensicherung,

2.10
dienstliches IT-System ein IT-System, welches zur Erfüllung von dienstlichen Aufgaben bestimmt ist und dem vollständigen Risikomanagement des Bezugserlasses zu b unterworfen ist,

2.11
dienstlicher Wechseldatenträger ein Wechseldatenträger, welcher zur Erfüllung von dienstlichen Aufgaben bestimmt ist und einem behördlichen Risikomanagement gemäß dem Bezugserlass zu b unterworfen ist,

2.12
Domänenrisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in den Behörden verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat,

2.13
domänenspezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken der Sicherheitsdomäne angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Domänenrisiken nach der Maßnahmenumsetzung dargestellt,

2.14
domänenübergreifendes Fachverfahren ein Fachverfahren, das von mehreren Sicherheitsdomänen der niedersächsischen Landesverwaltung genutzt wird und von einer niedersächsischen Landesbehörde verantwortlich als Fachverfahrenseigentümer gepflegt wird,

2.14a
ebenenübergreifendes Fachverfahren ein Fachverfahren, das über Verwaltungsgrenzen hinweg genutzt wird (z. B. von mehreren Bundesländern, von der Landes- und Bundesverwaltung, von der Landes- und Kommunalverwaltung) und von einer Behörde der niedersächsischen Landesverwaltung verantwortlich als Fachverfahrenseigentümer gepflegt wird,

2.15
Einsatzszenario die detaillierte Beschreibung der Zweckbestimmungen, für die ein Service nach Einschätzung des Serviceeigentümers oder ein Fachverfahren nach Einschätzung des Fachverfahrenseigentümers konzipiert worden ist; ein Einsatzszenario hat immer einen Bezug zu den Verwaltungsaufgaben, bei deren Erfüllung die Services und Fachverfahren Unterstützung bieten sollen,

2.16
Eintrittswahrscheinlichkeit die Einschätzung, mit welcher Wahrscheinlichkeit ein Gefahrenszenario eintreten wird; die Eintrittswahrscheinlichkeit stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar; sie wird in Stufen (z. B. "unwahrscheinlich", "möglich", "wahrscheinlich", "sehr wahrscheinlich") klassifiziert,

2.16a
erheblicher Sicherheitsvorfall in Übereinstimmung mit Nummer 6.7 des Bezugserlasses zu c ein Sicherheitsvorfall, der

1. a)

   schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung oder das Land Niedersachsen verursacht hat oder verursachen kann oder

2. b)

   andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

2.17
Fachverfahren eine Leistung, die eine Fachverwaltung zur Unterstützung von Verwaltungsaufgaben, die in strukturierten Abläufen abgearbeitet werden, bereitstellt; es setzt sich in der Regel aus den Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen,

2.18
Fachverfahrenseigentümer die Behörde, bei der die Konzeption, Erstellung, Inbetriebnahme, Pflege und Außerbetriebnahme eines Fachverfahrens sowie die Schutzbedarfseignung für das Fachverfahren und das Fachverfahrensrisiko verantwortet wird,

2.19
Fachverfahrensrisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Einsatz des Fachverfahrens verarbeiteten Informationen, nachdem der Fachverfahrenseigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat,

2.20
Fachverfahrensrisikobeschreibung das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise informiert; dazu werden die Risiken für ein Fachverfahren, die umgesetzten Sicherheitsmaßnahmen und die Fachverfahrensrisiken nach der Maßnahmenumsetzung transparent gemacht,

2.21
fachverfahrensspezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken eines Fachverfahrens angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Fachverfahrensrisiken nach der Maßnahmenumsetzung dargestellt,

2.22
Gefahr die Möglichkeit, dass eine Bedrohung die Schwachstelle einer Ressource ausnutzt und dadurch den Informationen Schaden zufügen könnte,

2.23
Gefahrenanalyse die Identifizierung von Gefahrenszenarien für jede Ressource, mit der die Informationen eines Betrachtungsgegenstandes verarbeitet werden,

2.24
Gefahrenszenario die präzise und verständliche Beschreibung darüber, wie eine Schwachstelle durch eine Bedrohung ausgenutzt werden kann; ein Gefahrenszenario hat immer einen Bezug zu einem der drei Sicherheitsziele (Integrität, Verfügbarkeit, Vertraulichkeit); ein Gefahrenszenario ist unmittelbar an eine Ressource geknüpft,

2.25
Geschäftsprozess eine Folge von Einzeltätigkeiten, die schrittweise ausgeführt werden und die Verwaltungsaufgaben abbilden; anhand dieser werden die Betrachtungsgegenstände der risikobasierten Konzeptionen bestimmt; für die servicespezifischen Sicherheitskonzepte ergeben sich die Geschäftsprozesse aus den Serviceverzeichnissen; für die fachverfahrensspezifischen Sicherheitskonzepte ergeben sich die Geschäftsprozesse aus den Fachverfahrensverzeichnissen; für die domänenspezifischen Sicherheitskonzepte ergeben sich die Verwaltungsaufgaben aus den Geschäftsverteilungsplänen,

2.26
Handlungsstrategie die aus den Ergebnissen der risikoorientierten Vorgehensweise aufbereitete Darstellung für die Behördenleitung zur Entscheidung über umzusetzende oder zu ändernde Sicherheitsmaßnahmen mit dem Ziel der Risikoreduzierung spezifiziert um zugehörige Zeit- und Ressourcenplanungen,

2.27
Information die im Zusammenhang mit dem Handeln der niedersächsischen Landesverwaltung verarbeiteten Daten, deren Integrität, Verfügbarkeit und Vertraulichkeit zu gewährleisten ist,

2.28
Informationseigentümer die Behörde, bei der die Informationsklassifizierung erfolgt und das Domänenrisiko verantwortet wird,

2.29
Informationsklassifizierung die Aktivität, die Informationseigentümer durchführen, um ihren Informationen für die Sicherheitsziele Integrität, Verfügbarkeit und Vertraulichkeit jeweils eine Schutzkategorie zuzuordnen,

2.30
Informationssicherheitsmanagementsystem die Aufstellung von Verfahren und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern,

2.30a
Informationssicherheitsvorfall (ISi-Vorfall) ein anhand eines sicherheitsdomänenspezifischen Katalogs bewertetes Ereignis i. S. der Informationssicherheit, das eine Einschränkung oder den Verlust der Vertraulichkeit, Verfügbarkeit oder Integrität von Informationen nach sich zieht, nach sich gezogen hat oder nach sich gezogen haben könnte,

2.31
Informationstechnik (IT) ein technisches Mittel zur Verarbeitung oder Übertragung von Informationen (§ 1 Abs. 1 Nr. 6 NDIG),

2.32
IT-System ein einzelnes Bestandteil oder eine Kombination mehrerer, die aus Hard- und Softwarekomponenten bestehen und eine datenverarbeitende Funktionalität bereitstellen,

2.32a
Krise ein Schadensereignis, das sich in erheblicher Weise negativ auf die Institution auswirkt, dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können und für das keine spezifischen Notfallpläne vorhanden sind (vgl. Definition in BSI-Standard 200-4),

2.32b
Landesdatennetz betreibende Behörde i. S. des NDIG der Landesbetrieb IT.Niedersachsen,

2.33
Leistungsempfänger die Behörde, die einen Service eines Serviceeigentümers nutzt oder ein Fachverfahren eines Fachverfahrenseigentümers einsetzt,

2.34
Mobile Endgeräte informationstechnische und kommunikationstechnische Geräte, die aufgrund ihrer Größe und ihres Gewichts ohne größere körperliche Anstrengung tragbar und somit mobil einsetzbar sind,

2.34a
Notfall eine Unterbrechung des Geschäftsbetriebes, die mindestens einen zeitkritischen Geschäftsprozess betrifft, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Zur Bewältigung von Notfällen wird eine Besondere Aufbauorganisation (BAO) benötigt (vgl. Definition im BSI Standard 200-4),

2.35
Ressource das Sachmittel oder Personal zur Unterstützung der Verwaltungsaufgaben, das Schwachstellen aufweisen kann; Ressourcen werden - neben Personal - als IT-Systeme (Hardware und Software), Fachanwendungen, Bürokommunikationsanwendungen, Verträge, Papierakten, Gebäude, Räume und sonstige Sachmittel kategorisiert,

2.36
Risiko das Ergebnis einer systematischen Einschätzung möglicher Schäden zu der von einer Ressource ausgehenden Gefahr; das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens,

2.37
Risikoakzeptanz eine der vier Möglichkeiten zur Risikobehandlung und kommt vor allem in Betracht, wenn Risiken durch Sicherheitsmaßnahmen unter Wirtschaftlichkeitsaspekten nicht weiter reduziert oder vermieden werden können; die Risikoakzeptanz erfordert, dass die Risiken der Behördenleitung nach der Maßnahmenumsetzung bewusst gemacht und von ihr als vertretbar verantwortet werden,

2.38
Risikoanalyse die Risikoeinschätzung einschließlich Risikobewertung,

2.39
Risikobehandlung die Entscheidung über den Umgang mit den identifizierten Risiken anhand von vier Optionen: Risikoreduzierung, Risikovermeidung, Risikoakzeptanz oder Risikotransfer,

2.40
Risikobeschreibung ein Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert; dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht,

2.41
Risikobewertung die Ausweisung der Risiken in einer Risikomatrix anhand eines dreistufigen Systems mit einem Risikolevel,

2.42
Risikoeinschätzung die Quantifizierung der Gefahrenszenarien, indem die beiden Risikomerkmale "Eintrittswahrscheinlichkeit" (Nummer 2.16) und "Schadensausmaß" (Nummer 2.47) anhand eines stufenbasierten Systems prognostiziert werden,

2.43
Risikolevel die Positionierung eines Risikowertes in einer Risikomatrix anhand eines dreistufigen Systems mit dem Risikolevel "grün", "gelb" oder "rot",

2.44
Risikoreduzierung eine der vier Möglichkeiten zur Risikobehandlung und stellt den Regelfall dar; identifizierte Risiken werden durch die Umsetzung von Sicherheitsmaßnahmen soweit reduziert, dass das Risiko in der Risikomatrix aus dem Risikolevel "gelb" in den Risikolevel "grün" oder aus dem Risikolevel "rot" in den Risikolevel "grün" oder "gelb" verschoben werden kann,

2.45
Risikotransfer eine der vier Möglichkeiten zur Risikobehandlung; sie hat zum Ziel, eine vollständige Verlagerung des identifizierten Risikos auf Dritte zu erreichen, sodass im Rahmen der Risikobehandlung kein Handlungsbedarf mehr für die niedersächsische Landesverwaltung besteht,

2.46
Risikovermeidung eine der vier Möglichkeiten zur Risikobehandlung; sie hat zum Ziel, durch die Umsetzung von Sicherheitsmaßnahmen ein Risiko zu eliminieren, statt zu reduzieren; dazu wird beispielsweise die Nutzung einer Ressource oder der Einsatz einer Funktion vermieden,

2.47
Schadensausmaß die Einschätzung zur Höhe des Schadens, der bei Eintritt eines Gefahrenszenarios bei den Informationen verursacht wird; das Schadensausmaß stellt ein Risikomerkmal im Rahmen der Risikoeinschätzung dar; es wird den Informationen für die Sicherheitsziele Integrität, Verfügbarkeit und Vertraulichkeit jeweils eine Schutzkategorie zugeordnet,

2.48
Schutzbedarfseignung die Eigenschaft, die ein Serviceeigentümer für seinen Service und ein Fachverfahrenseigentümer für sein Fachverfahren kommuniziert, damit die Leistungsempfänger einschätzen können, inwieweit der Service und das Fachverfahren, ggf. nach Umsetzung zusätzlicher Sicherheitsmaßnahmen zwecks weitergehender Risikoreduzierung, genutzt werden dürfen,

2.49
Schutzkategorie eine Gruppe annähernd gleichen Schadensausmaßes, die in den Sicherheitsdomänen zu definieren sind; beispielsweise

• normales Schadensausmaß die Auswirkungen eines Schadens, die begrenzt und überschaubar wären,

• hohes Schadensausmaß die Auswirkungen eines Schadens, die beträchtlich wären,

• sehr hohes Schadensausmaß die Auswirkungen eines Schadens, die ein existentielles oder katastrophales Ausmaß erreichen können,

2.50
Schwachstelle die Eigenschaft einer Ressource, die potenziell ausgenutzt werden kann, um eine Schadwirkung zu erzielen (z. B. sicherheitsrelevante Fehler einer Software oder die Verwundbarkeit eines anderen Sachmittels); durch eine Schwachstelle wird ein Sachmittel anfällig für Bedrohungen,

2.51
schwerwiegender Informationssicherheitsvorfall (schwerwiegender ISi-Vorfall) ein Ereignis, das domänenübergreifende oder sonstige bedeutende Auswirkungen haben kann.

Bei domänenübergreifenden Auswirkungen ist eine Ressource beeinträchtigt, die von mehreren Sicherheitsdomänen genutzt wird oder deren vergleichbare Nutzung zu Schäden in anderen Sicherheitsdomänen führen könnte.

Bedeutend sind Auswirkungen insbesondere bei domänenspezifischen ISi-Vorfällen, wenn

• ein sehr hohes Schadenspotenzial zu erwarten ist,

• die Möglichkeit besteht, dass die maximal tolerierbare Ausfallzeit (MTA) eines Geschäftsprozesses überschritten wird oder eine zentrale Informiertheit aufgrund eines besonderen öffentlichen Interesses erforderlich erscheint,

• die Wahrscheinlichkeit eines erneuten Sicherheitsvorfalles ähnlicher Ausprägung in der Landesverwaltung nicht ausgeschlossen werden kann,

• die konkrete Vorgehensweise der Verursacherin oder des Verursachers darauf schließen lässt, dass Schadensereignisse in der Landesverwaltung gezielt vorbereitet werden,

• diese geeignet sind, auch die IT-Sicherheit bei anderen Stellen, deren IT-Systeme mit dem Landesdatennetz verbunden sind, zu beeinträchtigen (vgl. § 14 Abs. 2 NDIG) oder

• eine Meldeverpflichtung gegenüber einer anderen Stelle außerhalb der Niedersächsischen Landesverwaltung ausgelöst wird,

2.52
Service die Leistung, die ein Serviceeigentümer zur Unterstützung von Verwaltungsaufgaben bereitstellt,

2.53
Serviceeigentümer die Behörde, bei der die Konzeption, Erstellung, Inbetriebnahme, Pflege und Außerbetriebnahme eines Services sowie die Schutzbedarfseignung für den Service und das Servicerisiko verantwortet werden,

2.54
Servicerisiko das Ergebnis einer systematischen Einschätzung möglicher Schäden für die unter Nutzung des Services verarbeiteten Informationen, nachdem der Serviceeigentümer angemessene Sicherheitsmaßnahmen für seine Ressourcen umgesetzt hat,

2.55
Servicerisikobeschreibung das Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise informiert; dazu werden die Risiken eines Services, die umgesetzten Sicherheitsmaßnahmen und die Servicerisiken nach der Maßnahmenumsetzung transparent gemacht,

2.56
servicespezifisches Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken des Services angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Servicerisiken nach der Maßnahmenumsetzung dargestellt,

2.57
Sicherheitsanforderung die Vorgabe, die in einer Informationssicherheitsrichtlinie ressortübergreifend geregelt und bei deren Umsetzung zu beachten ist,

2.58
Sicherheitsdomäne ein abgrenzbarer Teil der Landesverwaltung mit einheitlichen Sicherheitsanforderungen und/oder einheitlicher Sicherheitsadministration; dabei kann eine Sicherheitsdomäne weitere, untergeordnete Sicherheitsdomänen enthalten; eine untergeordnete Sicherheitsdomäne wendet grundsätzlich die Regeln der ihr übergeordneten Sicherheitsdomäne an, soweit sie sich in Abstimmung mit der übergeordneten Sicherheitsdomäne selbst keine spezielleren Regeln gibt,

2.59
Sicherheitsfeature eine technische oder organisatorische Lösung, die bereits umgesetzt ist und deshalb das Risiko um einen quantifizierten Risikoreduzierungswert mindert,

2.60
Sicherheitskonzept das Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise für die Behördenleitung zur Entscheidung dargestellt werden; dazu werden den Risiken des Betrachtungsgegenstandes angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die Risiken nach der Maßnahmenumsetzung dargestellt,

2.61
Sicherheitsmaßnahme eine technische oder organisatorische Lösung mit dem Ziel, ein bestehendes Risiko zu minimieren oder zu beherrschen,

2.61a
Sicherheitsvorfall i. S. des Bezugserlasses zu c ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden und/oder zugänglich sind, beeinträchtigt,

2.62
Speicherung eine Aufbewahrung von Informationen in IT-Systemen in der Verfügungsgewalt der Berechtigten; die Schutzziele Integrität, Verfügbarkeit und Vertraulichkeit der Informationen können gewährleistet werden,

2.63
sonstige Verwaltungsaufgabe eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird,

2.64
sonstiges IT-System jedes IT-System, das nicht als dienstliches IT-System bestimmt ist,

2.65
sonstige Wechseldatenträger jeder Wechseldatenträger, der nicht als dienstlicher Wechseldatenträger bestimmt ist,

2.65a
Störung eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen. Störungen werden in der Regel innerhalb des Normalbetriebes durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen,

2.66
Systemadministration eine Rolle, welche für den Betrieb von IT-Systemen verantwortlich ist und dazu, insbesondere gegenüber Anwenderinnen und Anwendern, über erweiterte Berechtigungen und Zutrittsrechte für die IT-Infrastruktur verfügt,

2.67
Übermittlung die Herausgabe einer Information aus der Verfügungsgewalt der Berechtigten; die Schutzziele Integrität, Verfügbarkeit und Vertraulichkeit können nach der Herausgabe der Information nicht mehr sichergestellt werden,

2.68
Wechseldatenträger Datenspeicher, die zum Anschluss an und zur Abtrennung von IT-Systemen, zum Transport und zur getrennten Speicherung von Daten sowie zum Austausch von Daten zwischen IT-Systemen bestimmt und geeignet sind; sie können durch eine in einem IT-System integrierte Funktion repräsentiert werden; Wechseldatenträger bilden einen Spezialfall der IT-Systeme, weil sie aufgrund ihrer Funktionseigenschaften anderen Bestimmungen unterliegen und werden deshalb als eigenständiger Begriff definiert,

2.69
Zentralstelle für Informationssicherheit i. S. des § 14 Abs. 1 NDIG das Niedersächsische Computer Emergency Response Team (N-CERT).