Glossar
Fachbegriffe
verständlich erklärt
Unser digitales Wörterbuch — von A wie Accessibility bis Z wie Zero Trust.
Accessibility
Barrierefreiheit im digitalen Kontext. Bezeichnet die Gestaltung von Websites und Anwendungen, die für alle Menschen — unabhängig von Einschränkungen — nutzbar sind.
Agile Entwicklung
Ein iterativer Ansatz in der Softwareentwicklung, bei dem Projekte in kurzen Zyklen (Sprints) umgesetzt werden. Ermöglicht schnelles Feedback und flexible Anpassungen.
AI Literacy
AI Literacy (KI-Kompetenz) bezeichnet das grundlegende Verständnis, das Mitarbeitende brauchen, um künstliche Intelligenz sicher, kritisch und regelkonform einzusetzen. Dazu gehört zu wissen, wie KI-Systeme funktionieren und wo ihre Grenzen liegen (etwa Halluzinationen), welche Daten man bedenkenlos eingeben darf und welche nicht, wie man KI-Ergebnisse einordnet und prüft und welche internen Regeln gelten. Der EU AI Act macht AI Literacy ausdrücklich zur Pflicht: Anbieter und Betreiber von KI-Systemen müssen seit Februar 2025 dafür sorgen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Damit wird Awareness rund um KI zu einem festen Bestandteil von Compliance und Governance — und nicht zur einmaligen Schulung, sondern als kontinuierliche Sensibilisierung. welabs verankert AI Literacy über Awareness-Formate und Schulungen in der Organisation; mehr unter KI-Governance und Security Awareness.
API
Application Programming Interface — eine Schnittstelle, über die verschiedene Software-Systeme miteinander kommunizieren können. APIs ermöglichen den Datenaustausch und die Integration von Diensten.
Audit-Readiness
Audit-Readiness bezeichnet den Zustand, in dem ein Unternehmen jederzeit prüfbereit ist — also ein anstehendes Audit ohne hektische Last-Minute-Aktionen bestehen kann. Sie ist das praktische Ziel hinter Zertifizierungen wie ISO 27001 oder Verfahren wie TISAX: Nicht nur am Audittag, sondern dauerhaft müssen Richtlinien aktuell sein, Maßnahmen tatsächlich gelebt werden und Nachweise lückenlos vorliegen. Typische Bestandteile sind eine vollständige und gepflegte Dokumentation, belastbare Nachweise über durchgeführte Aktivitäten (etwa Rezertifizierungen von Zugriffsrechten, Awareness-Schulungen oder Auswertungen von Sicherheitsvorfällen) sowie klar zugeordnete Verantwortlichkeiten. Der entscheidende Unterschied zu einem Papier-ISMS: Audit-Readiness entsteht nicht dadurch, dass Dokumente für den Auditor geschrieben werden, sondern dadurch, dass die Dokumentation die gelebte Realität abbildet — denn genau das prüfen Auditoren in Interviews und Stichproben. Unternehmen, die kontinuierlich prüfbereit arbeiten, sparen sich nicht nur Stress vor dem Audit, sie senken auch ihr tatsächliches Sicherheitsrisiko und können Kundenanfragen zur Lieferkettensicherheit schnell und souverän beantworten. welabs baut Prozesse und Dokumentation von Anfang an prüffähig auf und begleitet bis zum erfolgreichen Audit. Mehr dazu auf der Seite Compliance und ISMS.
Auto-Labeling
Automatische Vergabe von Sensitivity Labels in Microsoft Purview anhand des Inhalts. Statt dass Nutzende jedes Dokument manuell klassifizieren, erkennt Auto-Labeling sensible Informationstypen oder Muster und weist passende Labels selbsttätig zu — sowohl beim Erstellen als auch nachträglich für Bestandsdaten in SharePoint und Exchange. Der Einsatz startet üblicherweise im Simulationsmodus, um False Positives vor der Aktivierung zu prüfen.
Backend
Die serverseitige Logik einer Anwendung. Verarbeitet Daten, kommuniziert mit Datenbanken und stellt Informationen für das Frontend bereit.
Branding
Der strategische Prozess der Markenbildung. Umfasst Logo, Farbpalette, Typografie, Tonalität und alle visuellen und kommunikativen Elemente einer Marke.
CISO (Chief Information Security Officer)
Der Chief Information Security Officer (CISO) ist die für Informationssicherheit verantwortliche Leitungsrolle in einem Unternehmen. Er entwickelt die Sicherheitsstrategie, bewertet Risiken, priorisiert Maßnahmen, verantwortet das ISMS und ist Ansprechpartner für Geschäftsführung, Auditoren, Kunden und Behörden. Anders als die rein technische IT-Leitung denkt der CISO vom Geschäftsrisiko her: Welche Informationen sind geschäftskritisch, welche Bedrohungen sind realistisch, und welche Maßnahmen stehen in einem vernünftigen Verhältnis zu Aufwand und Nutzen. Im Mittelstand fehlt für eine eigene Vollzeit-CISO-Stelle häufig das Volumen — und gleichzeitig steigen die Anforderungen aus NIS2, ISO 27001 und Kundenverträgen. Hier setzt das Modell einer externen Sicherheitsverantwortung an: Ein erfahrener Experte übernimmt die strategische Steuerung der Informationssicherheit auf Abruf, bringt Konzern-Know-how ein und bereitet Entscheidungen so auf, dass die Geschäftsführung sie treffen kann — ohne dass intern eine teure Dauerstelle geschaffen werden muss. welabs bietet diese Rolle als Strategic Security Advisor (SSA) an: regelmäßiges Sparring, Risikobewertung, Roadmap und Begleitung der Umsetzung. Mehr dazu auf der Seite Security-Roadmap und CISO-Sparring.
CMS
Content Management System — eine Software zur Erstellung und Verwaltung von Webinhalten ohne Programmierkenntnisse. Beispiele: WordPress, Statamic, Strapi.
Compliance Manager
Werkzeug in Microsoft Purview, das den Compliance-Status einer Organisation anhand eines Compliance Scores bewertet. Es bildet regulatorische Vorgaben wie DSGVO, ISO 27001 oder NIS2 in konkrete Verbesserungsmaßnahmen ab, weist Verantwortlichkeiten zu und dokumentiert den Fortschritt. So wird Compliance messbar und gegenüber Auditoren nachweisbar.
Conversion Rate
Der Prozentsatz der Website-Besucher, die eine gewünschte Aktion ausführen — zum Beispiel einen Kauf tätigen, ein Formular ausfüllen oder sich anmelden.
Corporate Design
Das visuelle Erscheinungsbild eines Unternehmens. Definiert Logo, Farben, Schriften und Gestaltungsrichtlinien für eine konsistente Markenwahrnehmung.
Data Classification
Das systematische Einordnen von Daten nach Schutzbedarf — die Grundlage jeder wirksamen Informationssicherheit. In Microsoft Purview geschieht die Klassifizierung über sensible Informationstypen, trainierbare Klassifizierer und Sensitivity Labels. Sie bildet zugleich die technische Umsetzung der ISO-27001-Anforderung A.5.12 zur Klassifizierung von Informationen.
Data Loss Prevention (DLP)
Data Loss Prevention (DLP) bezeichnet Technologie und Regelwerk zum Schutz vor dem ungewollten Abfluss sensibler Daten. DLP-Richtlinien erkennen vertrauliche Inhalte — etwa Kreditkartennummern, IBANs, Gesundheitsdaten oder als vertraulich klassifizierte Dokumente — und greifen ein, wenn diese das Unternehmen zu verlassen drohen: Sie können den Nutzer warnen, die Aktion protokollieren oder die Weitergabe ganz blockieren. In Microsoft 365 wirkt DLP über Exchange, SharePoint, OneDrive und Teams hinweg und lässt sich über Endpoint DLP bis auf Notebooks und Desktops ausdehnen, wo es etwa das Kopieren auf USB-Sticks, das Hochladen in nicht genehmigte Cloud-Dienste oder das Drucken kontrolliert. DLP entfaltet seinen Nutzen erst im Zusammenspiel mit einer sauberen Informationsklassifizierung: Erst wenn klar ist, welche Daten schützenswert sind, können Richtlinien zielgenau greifen. Die größte Herausforderung in der Praxis ist die Kalibrierung — zu strenge Regeln behindern die tägliche Arbeit und werden umgangen, zu lasche Regeln schützen nicht. Gut eingestelltes DLP findet die Balance und unterstützt zugleich Nachweise für ISO 27001, NIS2 und DSGVO. welabs konzipiert und kalibriert DLP-Richtlinien praxisnah und führt sie schrittweise ein — mehr dazu auf der Seite Microsoft Purview.
Digitale Transformation
Der umfassende Wandel von Geschäftsprozessen, Unternehmenskultur und Kundeninteraktionen durch den Einsatz digitaler Technologien.
Endpoint DLP
Erweiterung der Data Loss Prevention auf Endgeräte wie Notebooks und Desktops. Endpoint DLP von Microsoft Purview kontrolliert dort Aktionen mit sensiblen Daten — etwa das Kopieren auf USB-Sticks, das Hochladen in nicht genehmigte Cloud-Dienste, das Drucken oder das Einfügen in die Zwischenablage. So wird Schutz auch außerhalb der Microsoft-365-Dienste durchgesetzt.
Entra ID
Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsdienst von Microsoft und das Rückgrat der Anmeldung in Microsoft 365 und vielen weiteren Anwendungen. Bis 2023 war der Dienst unter dem Namen Azure Active Directory (Azure AD) bekannt. Entra ID verwaltet Benutzerkonten, Gruppen und Geräte und entscheidet bei jeder Anmeldung, ob ein Zugriff erlaubt wird. Zentrale Sicherheitsfunktionen sind Single Sign-On, Multi-Faktor-Authentifizierung und der bedingte Zugriff (Conditional Access), mit dem sich Anmeldungen abhängig von Risiko, Standort, Gerät oder Anwendung gezielt absichern lassen — etwa indem ein Login von einem unbekannten Gerät zusätzliche Bestätigung verlangt. Über Funktionen wie Privileged Identity Management lassen sich administrative Rechte nur noch zeitlich begrenzt und nach Freigabe vergeben, was das Risiko dauerhaft überprivilegierter Konten senkt. Für die meisten mittelständischen Unternehmen ist Entra ID die zentrale Stelle, an der ein Rollenmodell und saubere Joiner-Mover-Leaver-Prozesse technisch umgesetzt werden — und damit ein Kernbaustein eines funktionierenden Identity und Access Managements. Richtig konfiguriert, hebt Entra ID das Sicherheitsniveau spürbar, ohne die tägliche Arbeit auszubremsen. welabs plant und implementiert Entra-ID-Setups mit Fokus auf Zugriffssteuerung und Rezertifizierung — mehr unter Identity und Access Management.
EU AI Act
Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in Risikoklassen ein: unannehmbares Risiko (verbotene Praktiken), hohes Risiko (umfangreiche Pflichten), begrenztes Risiko (Transparenzpflichten, etwa Kennzeichnung) und minimales Risiko. Je nach Einstufung gelten unterschiedliche Anforderungen an Risikomanagement, Dokumentation, Transparenz und menschliche Aufsicht. Der AI Act ist im August 2024 in Kraft getreten und wird gestaffelt anwendbar: Verbote und Vorgaben zur AI Literacy gelten seit Februar 2025, Pflichten für KI-Modelle mit allgemeinem Verwendungszweck seit August 2025, und die zentralen Anforderungen für Hochrisiko-KI greifen ab August 2026. Betroffen sind nicht nur Entwickler, sondern auch Unternehmen, die KI einkaufen oder einsetzen — also faktisch fast jedes Unternehmen. welabs klärt Ihre Betroffenheit und bereitet die nötigen Maßnahmen vor; mehr unter KI-Governance und AI Act sowie im Beitrag EU AI Act für den Mittelstand.
Frontend
Der sichtbare Teil einer Website oder Anwendung, mit dem Nutzer direkt interagieren. Wird mit HTML, CSS und JavaScript erstellt.
Gap-Analyse
Eine Gap-Analyse (Lückenanalyse) ist der strukturierte Soll-Ist-Vergleich am Anfang fast jedes Sicherheits- oder Compliance-Projekts. Sie stellt den aktuellen Stand der Informationssicherheit den Anforderungen eines Zielbilds gegenüber — etwa den Controls von ISO 27001, den Vorgaben aus NIS2 oder dem Prüfkatalog VDA ISA für TISAX — und macht sichtbar, wo Lücken bestehen. Das Ergebnis ist kein abstraktes Reifegradmodell für die Schublade, sondern eine konkrete Liste: Welche Anforderungen sind bereits erfüllt, welche teilweise, welche gar nicht? Wo fehlen Richtlinien, technische Maßnahmen, Nachweise oder gelebte Prozesse? Eine gute Gap-Analyse bewertet die Lücken zugleich nach Risiko und Aufwand, sodass klar wird, was zuerst angegangen werden sollte. Damit wird sie zur Grundlage für einen belastbaren Maßnahmenplan mit realistischen Aufwänden, Verantwortlichkeiten und Terminen — und gibt der Geschäftsführung eine ehrliche Standortbestimmung, bevor in Zertifizierung oder Audit investiert wird. Gerade im Mittelstand verhindert sie teure Fehlstarts, weil sie unnötige Maßnahmen früh ausschließt und den Blick auf das Wesentliche lenkt. welabs führt Gap-Analysen kompakt und praxisnah durch und leitet daraus eine priorisierte Roadmap bis zum Audit ab. Mehr dazu auf der Seite Compliance und ISMS.
IAM (Identity & Access Management)
Identity und Access Management (IAM) umfasst alle Prozesse und Technologien, mit denen ein Unternehmen digitale Identitäten verwaltet und steuert, wer auf welche Systeme und Daten zugreifen darf. Es beantwortet zwei zentrale Sicherheitsfragen: Ist jemand wirklich, wer er vorgibt zu sein (Authentifizierung), und darf diese Person genau das tun, was sie tun möchte (Autorisierung). Kern eines guten IAM ist ein Rollenmodell, das Berechtigungen an Aufgaben statt an einzelne Personen knüpft, ergänzt um saubere Joiner-Mover-Leaver-Prozesse: Wer neu kommt, bekommt automatisch die passenden Rechte; wer die Abteilung wechselt, verliert die alten; wer geht, wird zuverlässig und vollständig deaktiviert. Regelmäßige Rezertifizierungen stellen sicher, dass sich über die Jahre keine überflüssigen Rechte ansammeln — eine der häufigsten Schwachstellen in gewachsenen Umgebungen. Technisch wird IAM im Microsoft-Umfeld meist über Entra ID und Active Directory umgesetzt, häufig kombiniert mit Multi-Faktor-Authentifizierung und bedingtem Zugriff. Ein gepflegtes IAM senkt das Risiko von Datenabfluss und Insider-Bedrohungen erheblich und ist zugleich Pflichtbestandteil von ISO 27001, NIS2 und TISAX. welabs bringt Konzern-Erfahrung in den Mittelstand — von der Berechtigungsanalyse bis zum gelebten Rollenmodell. Mehr unter Identity und Access Management.
Information Protection
Funktionsbereich von Microsoft Purview, der sensible Informationen klassifiziert und dauerhaft schützt. Kern sind Sensitivity Labels, die Verschlüsselung mit Azure Rights Management, visuelle Kennzeichnungen und granulare Zugriffsrechte direkt in Dokumente und E-Mails einbetten. So bleibt der Schutz auch dann erhalten, wenn Dateien die Unternehmensgrenzen verlassen.
Informationsklassifizierung
Informationsklassifizierung ist das systematische Einordnen von Informationen nach ihrem Schutzbedarf — die Grundlage jeder wirksamen Informationssicherheit. Üblich ist ein gestuftes Schema wie Öffentlich, Intern, Vertraulich und Streng vertraulich, das festlegt, wie Informationen jeder Stufe gespeichert, weitergegeben, übertragen und gelöscht werden dürfen. Erst wenn klar ist, welche Daten besonders schützenswert sind, lassen sich Maßnahmen wie Verschlüsselung, Zugriffsbeschränkung oder Data Loss Prevention sinnvoll und verhältnismäßig einsetzen. Standards wie ISO 27001 (Control A.5.12), TISAX und NIS2 fordern eine solche Klassifizierung ausdrücklich. Der häufigste Fehler in der Praxis: Ein technisch ausgefeiltes Labeling wird ausgerollt, ohne dass die Mitarbeitenden verstehen, welche Stufe wann gilt — das Ergebnis ist ein Klassifizierungs-Friedhof, in dem alles vorsichtshalber als vertraulich markiert wird. Erfolgreich wird Informationsklassifizierung erst durch ein einfaches, nachvollziehbares Schema, klare Beispiele, technische Unterstützung etwa über Sensitivity Labels in Microsoft Purview und begleitendes Change-Management. welabs entwickelt Schema, Richtlinie und Rollout aus einer Hand — prüfbar gegen ISO 27001, TISAX, NIS2 und DSGVO. Mehr dazu auf der Seite Informationsklassifizierung.
Insider Risk Management
Funktion von Microsoft Purview zur Früherkennung interner Bedrohungen — etwa Datendiebstahl durch ausscheidende Mitarbeitende oder fahrlässigen Umgang mit sensiblen Informationen. Die Lösung korreliert Signale wie ungewöhnliche Downloads, USB-Kopien oder verdächtige E-Mail-Aktivität. In Deutschland erfordert der Einsatz Pseudonymisierung, klare Zugriffsrollen und in der Regel eine Betriebsvereinbarung, um DSGVO- und mitbestimmungskonform zu sein.
ISMS (Informationssicherheits-Managementsystem)
Ein Informationssicherheits-Managementsystem (ISMS) ist der organisatorische Rahmen, mit dem ein Unternehmen Informationssicherheit nicht dem Zufall überlässt, sondern systematisch steuert. Es umfasst Leitlinien, Rollen, Prozesse und Maßnahmen, mit denen Risiken für Vertraulichkeit, Integrität und Verfügbarkeit von Informationen erkannt, bewertet und behandelt werden. Der bekannteste Standard für ein ISMS ist ISO/IEC 27001; auch NIS2 und TISAX setzen ein funktionierendes ISMS faktisch voraus. Im Kern steht der kontinuierliche Verbesserungszyklus (Plan-Do-Check-Act): Schutzbedarf und Risiken werden ermittelt, Maßnahmen abgeleitet, ihre Wirksamkeit überprüft und das System laufend angepasst. Ein gutes ISMS ist dabei kein Aktenordner für den Auditor, sondern bildet ab, wie im Alltag tatsächlich gearbeitet wird — von der Klassifizierung von Informationen über Zugriffsrechte bis zum Umgang mit Sicherheitsvorfällen. Für den Mittelstand kommt es darauf an, den Aufwand angemessen zu halten: Ein ISMS muss zur Größe und zum Risikoprofil des Unternehmens passen, statt Konzernstrukturen zu kopieren. welabs begleitet den Aufbau eines schlanken, prüffähigen ISMS von der Gap-Analyse bis zum gelebten Prozess — mehr dazu auf der Seite Compliance und ISMS.
ISO 27001
ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS). Die Norm legt fest, wie ein Unternehmen Informationssicherheit systematisch aufbaut, betreibt und kontinuierlich verbessert — risikobasiert und nachweisbar. Herzstück ist ein dokumentierter Risikomanagement-Prozess: Werte und ihr Schutzbedarf werden erfasst, Risiken bewertet und mit geeigneten Maßnahmen behandelt. Der Anhang A der Norm liefert dazu einen Katalog von Sicherheitsmaßnahmen (Controls), etwa zu Zugriffssteuerung, Klassifizierung von Informationen, Lieferantenbeziehungen und dem Umgang mit Sicherheitsvorfällen. Eine ISO-27001-Zertifizierung wird von einer akkreditierten Stelle ausgestellt und ist drei Jahre gültig, mit jährlichen Überwachungsaudits. Für viele mittelständische Unternehmen ist sie längst kein reines Prestigeprojekt mehr, sondern Voraussetzung, um als Lieferant oder Partner beauftragt zu werden — und sie bildet die Grundlage, um Anforderungen aus NIS2 und TISAX effizient mit abzudecken. Entscheidend für den Projekterfolg ist, die Dokumentation aus den tatsächlich gelebten Prozessen heraus zu entwickeln, statt ein Papier-ISMS zu bauen, das der Realität nicht standhält. welabs begleitet Unternehmen von der Gap-Analyse über den Maßnahmenplan bis zum Zertifikat — siehe Compliance und ISMS.
ISO 42001
ISO/IEC 42001 ist die erste internationale Norm für KI-Managementsysteme (AI Management System, kurz AIMS) und wurde Ende 2023 veröffentlicht. Sie überträgt das bewährte Managementsystem-Prinzip — wie es ISO 27001 für die Informationssicherheit etabliert hat — auf den verantwortungsvollen Umgang mit künstlicher Intelligenz. Im Kern fordert ISO 42001 einen risikobasierten Ansatz über den gesamten KI-Lebenszyklus, klare Rollen und Verantwortlichkeiten, ein AI Impact Assessment (Folgenabschätzung der Auswirkungen auf Menschen und Gesellschaft) sowie kontinuierliche Verbesserung nach dem PDCA-Zyklus. Weil sie dieselbe Grundstruktur wie ISO 27001 nutzt, lässt sich ein AIMS schlank in ein bestehendes ISMS integrieren und hilft zugleich, viele Anforderungen des EU AI Act strukturiert zu erfüllen. welabs baut KI-Managementsysteme angelehnt an ISO 42001 auf und verzahnt sie mit Ihrer Informationssicherheit; mehr unter KI-Governance und im Vergleich ISO 42001 vs. ISO 27001.
KI-Governance
KI-Governance bezeichnet den organisatorischen Rahmen, mit dem ein Unternehmen den Einsatz künstlicher Intelligenz steuert und verantwortet. Sie regelt, welche KI-Systeme genutzt werden, wer sie wie einsetzen darf, welche Risiken entstehen und wie regulatorische Anforderungen — allen voran der EU AI Act — erfüllt werden. Typische Bausteine sind ein KI-Inventar mit Risikoklassifizierung, eine KI-Policy mit Freigabeprozess, klare Verantwortlichkeiten sowie eine kontinuierliche Überwachung über den gesamten KI-Lebenszyklus. Methodisch orientiert sich KI-Governance an den Prinzipien der Norm ISO/IEC 42001 und lässt sich gut in ein bestehendes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 integrieren, statt parallele Strukturen aufzubauen. Gerade weil viele Mitarbeitende KI-Tools wie ChatGPT oder Microsoft Copilot bereits nutzen, ist Governance kein theoretisches Thema, sondern Voraussetzung für Datenschutz, Compliance und Vertrauen. welabs baut KI-Governance pragmatisch auf — von der Policy über die AI-Act-Bewertung bis zum Managementsystem; mehr unter KI-Governance und AI Act.
KI-Policy
Eine KI-Policy (KI-Richtlinie oder KI-Nutzungsrichtlinie) ist das zentrale Regelwerk dafür, wie ein Unternehmen künstliche Intelligenz einsetzt. Sie legt fest, welche KI-Tools für welche Zwecke erlaubt sind, welche Daten in welche Systeme gegeben werden dürfen, wie neue KI-Anwendungen freigegeben werden und wer dafür verantwortlich ist. Ergänzend regelt sie Transparenz (Kennzeichnung KI-generierter Inhalte), den Umgang mit Ergebnissen und die Sensibilisierung der Mitarbeitenden. Eine gute KI-Policy ist kein Verbotskatalog, sondern ermöglicht produktive Nutzung in klaren Leitplanken — und verhindert so, dass vertrauliche Daten unkontrolliert in fremde Sprachmodelle gelangen (Stichwort Schatten-KI). Sie ist die Grundlage jeder weiteren KI-Governance und ein zentraler Baustein, um den EU AI Act zu erfüllen. welabs entwickelt praxistaugliche KI-Richtlinien inklusive Freigabeprozess und Verankerung in der Organisation; mehr unter KI-Governance und im Leitfaden KI-Policy erstellen.
Microsoft Copilot
Microsoft 365 Copilot ist der in Microsoft 365 integrierte KI-Assistent, der auf Basis großer Sprachmodelle Inhalte in Word, Excel, Outlook, Teams und SharePoint erstellt, zusammenfasst und durchsucht. Entscheidend für die Sicherheit: Copilot greift auf genau die Daten zu, auf die auch die jeweilige Nutzerin oder der Nutzer Zugriff hat. Dadurch werden bestehende Berechtigungs- und Klassifizierungslücken plötzlich sichtbar und nutzbar — aus „hilfreich" wird schnell Oversharing, wenn schlecht gepflegte SharePoint- und Teams-Berechtigungen vertrauliche Informationen breit verfügbar machen. Eine sichere Copilot-Einführung setzt deshalb saubere Informationsklassifizierung, ein aufgeräumtes Berechtigungskonzept (Least Privilege), Sensitivity Labels und Data-Loss-Prevention-Regeln voraus — flankiert von einer KI-Policy. welabs begleitet die Copilot-Governance von der Oversharing-Analyse bis zum kontrollierten Rollout; mehr unter KI-Governance, Microsoft Purview und im Leitfaden Microsoft Copilot sicher einführen.
Microsoft Purview
Microsoft Purview ist die Daten-Governance- und Compliance-Plattform von Microsoft. Sie bündelt Werkzeuge, um Daten über Microsoft 365, Azure und hybride Umgebungen hinweg zu klassifizieren, zu schützen und zu überwachen — ohne zusätzliche Drittanbieter-Tools. Die wichtigsten Bausteine sind Sensitivity Labels (Vertraulichkeitsstufen, die an Dokumente und E-Mails geheftet werden), Auto-Labeling (automatisches Erkennen und Kennzeichnen schützenswerter Inhalte), Data Loss Prevention (DLP) zum Verhindern von Datenabfluss, Information Protection sowie Insider Risk Management. Für Unternehmen im Microsoft-Ökosystem ist Purview besonders attraktiv, weil viele dieser Schutzfunktionen bereits in den Microsoft-365-Lizenzen enthalten sind — aber häufig ungenutzt brachliegen. Der häufigste Fehler in der Praxis ist, Purview rein technisch einzuführen: Ohne verständliches Klassifizierungs-Schema, Schulung und Betrieb entsteht ein Purview-Friedhof aus angelegten, aber ungenutzten Labels. Sinnvoll ist die Reihenfolge: erst Schema und Prozess, dann Tool. Richtig eingesetzt schützt Purview vertrauliche Daten dort, wo sie entstehen, und liefert zugleich Nachweise für ISO 27001, NIS2 und TISAX. welabs holt aus bestehenden M365-Lizenzen den Schutz heraus, für den Unternehmen ohnehin bezahlen — von der Lizenzprüfung bis zum unternehmensweiten Rollout. Mehr unter Microsoft Purview und M365 Security.
NIS2
NIS2 ist die zweite EU-Richtlinie zur Netz- und Informationssicherheit, die das Schutzniveau kritischer und wichtiger Einrichtungen in der Europäischen Union deutlich anhebt. Sie weitet den Kreis der betroffenen Unternehmen stark aus: Neben klassischen Betreibern kritischer Infrastruktur fallen nun auch viele mittelständische Unternehmen aus Branchen wie Energie, Gesundheit, Transport, Lebensmittel, Abfallwirtschaft, digitale Dienste und verarbeitendes Gewerbe darunter — abhängig von Größe und Sektor. NIS2 verlangt unter anderem ein angemessenes Risikomanagement, technische und organisatorische Sicherheitsmaßnahmen, eine zügige Meldung erheblicher Sicherheitsvorfälle sowie Sicherheit in der Lieferkette. Neu ist die ausdrückliche Verantwortung der Geschäftsleitung: Leitungsorgane müssen Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und können bei Versäumnissen persönlich in die Haftung genommen werden. Wichtig zu wissen: Auch Unternehmen, die nicht unmittelbar unter NIS2 fallen, bekommen die Anforderungen zunehmend über Kunden und Auftraggeber in der Lieferkette weitergereicht. Wer ein ISMS nach ISO 27001 betreibt, hat einen Großteil der NIS2-Anforderungen bereits abgedeckt. welabs klärt im kostenlosen Erstgespräch die Betroffenheit und setzt die nötigen Maßnahmen pragmatisch um — mehr unter Compliance und ISMS.
Phishing
Phishing ist eine Cyberangriffsmethode, bei der Angreifer mit gefälschten E-Mails, Nachrichten oder Websites versuchen, an vertrauliche Daten wie Passwörter, Zugangsdaten oder Kreditkartennummern zu gelangen oder Schadsoftware einzuschleusen. Die Nachrichten imitieren vertrauenswürdige Absender — Banken, Microsoft, Paketdienste oder Kolleginnen und Kollegen — und erzeugen gezielt Druck oder Neugier, damit das Opfer auf einen Link klickt, einen Anhang öffnet oder Daten preisgibt. Phishing ist der häufigste Einstiegspunkt erfolgreicher Angriffe, weil es nicht auf technische Schwachstellen zielt, sondern auf den Menschen. Es existieren zahlreiche Varianten: Spear-Phishing richtet sich gezielt an einzelne Personen mit persönlich zugeschnittenen Inhalten, beim CEO-Fraud geben sich Angreifer als Geschäftsleitung aus, und Vishing nutzt gefälschte Telefonanrufe. Technische Schutzmaßnahmen wie Spam-Filter, Multi-Faktor-Authentifizierung und sichere E-Mail-Authentifizierung senken das Risiko, können es aber nicht ausschließen — die letzte Verteidigungslinie sind aufmerksame Mitarbeitende. Wirksam dagegen ist regelmäßiges Security-Awareness-Training kombiniert mit realistischen Phishing-Simulationen, die messen, wie gut Angriffe erkannt und gemeldet werden. welabs trainiert Teams mit der Plattform WePhish und macht den Lernfortschritt messbar — mehr dazu auf der Seite Security Awareness und Phishing-Simulation.
Responsive Design
Ein Ansatz im Webdesign, bei dem sich das Layout einer Website automatisch an die Bildschirmgröße des Geräts anpasst — Desktop, Tablet oder Smartphone.
Risikomanagement (Informationssicherheit)
Risikomanagement ist der systematische Umgang mit Risiken für die Informationssicherheit und das Herzstück jedes ISMS. Es beantwortet die Frage, worauf ein Unternehmen seine begrenzten Ressourcen konzentrieren sollte — statt nach Bauchgefühl zu investieren. Der Prozess folgt einem festen Ablauf: Zunächst werden schützenswerte Werte und ihr Schutzbedarf identifiziert, dann mögliche Bedrohungen und Schwachstellen erfasst. Anschließend werden die Risiken nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und priorisiert. Für jedes relevante Risiko wird eine Behandlungsentscheidung getroffen: vermeiden, vermindern, übertragen (etwa per Versicherung) oder bewusst akzeptieren. Die verbleibenden Restrisiken werden dokumentiert und von der Leitung verantwortet. Wichtig ist, dass Risikomanagement kein einmaliges Projekt ist, sondern ein laufender Kreislauf — Bedrohungslage, Technik und Geschäft verändern sich, also müssen Bewertungen regelmäßig aktualisiert werden. Standards wie ISO 27001 und NIS2 verlangen einen nachvollziehbaren, dokumentierten Risikomanagement-Prozess ausdrücklich; unter NIS2 trägt die Geschäftsleitung dafür die persönliche Verantwortung. Für den Mittelstand ist entscheidend, die Methode schlank zu halten und auf die tatsächlich relevanten Risiken zu fokussieren. welabs baut ein pragmatisches Risikomanagement auf und übersetzt die Ergebnisse in eine priorisierte Roadmap — mehr unter Security-Roadmap und Strategie.
SaaS
Software as a Service — ein Modell, bei dem Software über das Internet bereitgestellt und typischerweise als Abo-Modell bezahlt wird, statt lokal installiert zu werden.
Security Awareness
Security Awareness bezeichnet das Sicherheitsbewusstsein der Mitarbeitenden — und die gezielten Maßnahmen, mit denen ein Unternehmen es aufbaut und wachhält. Der Hintergrund: Ein großer Teil erfolgreicher Cyberangriffe beginnt nicht mit einer technischen Schwachstelle, sondern mit dem Menschen, etwa über Phishing-Mails, gefälschte Anrufe (Vishing) oder manipulierte Anhänge. Technische Schutzmaßnahmen allein reichen deshalb nicht; die Belegschaft muss Angriffsversuche erkennen, richtig reagieren und im Zweifel melden können. Wirksame Awareness ist mehr als eine jährliche Pflichtschulung: Sie verbindet kurze, alltagsnahe Lerninhalte mit realistischen Phishing-Simulationen, deren Klick- und Meldequoten gemessen und über die Zeit verbessert werden. Wichtig ist eine Kultur ohne Schuldzuweisung — wer auf eine Simulation hereinfällt, soll lernen, nicht bloßgestellt werden, und das Melden verdächtiger Mails muss ausdrücklich erwünscht sein. Standards wie ISO 27001 und NIS2 fordern regelmäßige Awareness-Maßnahmen ausdrücklich ein, inklusive Nachweis gegenüber Auditoren. welabs setzt Awareness-Programme mit der hauseigenen Plattform WePhish um: realistische Simulationen, verständliche Trainings und ein aussagekräftiges Management-Reporting, das den Fortschritt belegt. Mehr dazu auf der Seite Security Awareness und Phishing-Simulation.
Sensitivity Labels
Sensitivity Labels sind Klassifizierungs-Etiketten in Microsoft Purview Information Protection, mit denen Dokumente und E-Mails nach Vertraulichkeit gekennzeichnet werden — etwa Öffentlich, Intern, Vertraulich oder Streng vertraulich. Ein Label kann visuelle Kennzeichnungen wie Wasserzeichen, Kopf- und Fußzeilen auslösen und zugleich technischen Schutz durchsetzen: Verschlüsselung, Zugriffsbeschränkungen und Nutzungsrechte werden direkt in die Datei eingebettet. Der entscheidende Vorteil: Der Schutz reist mit dem Dokument, unabhängig davon, wohin es weitergegeben wird — auch außerhalb des Unternehmens bleibt eine als vertraulich eingestufte Datei nur für berechtigte Personen lesbar. Labels lassen sich manuell vergeben, per Richtlinie empfehlen oder über Auto-Labeling automatisch anhand des Inhalts zuweisen. Damit bilden sie die technische Umsetzung der Informationsklassifizierung und zahlen direkt auf Anforderungen aus ISO 27001, TISAX und DSGVO ein. In der Praxis entscheidet weniger die Technik als die Strategie über den Erfolg: Ein einfaches, verständliches Label-Schema und gutes Change-Management verhindern, dass Mitarbeitende vorsichtshalber alles als vertraulich markieren. welabs konfiguriert, pilotiert und rollt Sensitivity Labels mit Erfahrung aus großen Microsoft-365-Umgebungen aus — mehr dazu auf der Seite Microsoft Purview.
SEO
Search Engine Optimization — Maßnahmen zur Verbesserung der Sichtbarkeit einer Website in Suchmaschinen wie Google. Umfasst technische, inhaltliche und strukturelle Optimierungen.
Shadow AI
Shadow AI (Schatten-KI) bezeichnet die unkontrollierte Nutzung von KI-Tools durch Mitarbeitende ohne Freigabe, Richtlinie oder Kenntnis der IT — analog zur klassischen Schatten-IT. Typisch ist, dass Beschäftigte Dienste wie ChatGPT eigenständig für ihre Arbeit nutzen und dabei vertrauliche Informationen, Geschäftsgeheimnisse oder personenbezogene Daten in fremde Sprachmodelle eingeben. Daraus entstehen erhebliche Risiken: Datenschutzverstöße (DSGVO), Compliance-Probleme im Hinblick auf den EU AI Act, Qualitätsrisiken durch Halluzinationen sowie mögliche Urheberrechtsfragen. Reine Verbote funktionieren in der Praxis selten — sie treiben die Nutzung nur tiefer in den Schatten. Der bessere Weg ist eine klare KI-Policy in Kombination mit kontrollierter, sicherer Freigabe und Awareness, die Mitarbeitende befähigt, KI produktiv und regelkonform einzusetzen. welabs macht Schatten-KI sichtbar und überführt sie in eine geregelte Nutzung; mehr unter KI-Governance und im Beitrag Shadow AI.
TISAX
TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard für Informationssicherheit in der Automobilindustrie. Er wurde von der ENX Association im Auftrag des Verbands der Automobilindustrie (VDA) entwickelt und basiert auf dem Prüfkatalog VDA ISA, der inhaltlich eng an ISO/IEC 27001 angelehnt ist und um branchenspezifische Themen wie Prototypenschutz und Datenschutz ergänzt wird. Praktisch jeder Zulieferer, der mit Herstellern oder größeren Zulieferern zusammenarbeitet, muss ein gültiges TISAX-Label nachweisen, um sensible Informationen austauschen zu dürfen. Das Besondere am Verfahren: Die Prüfung wird von akkreditierten Prüfdienstleistern durchgeführt, und die Ergebnisse werden über die ENX-Plattform geteilt — so muss ein Unternehmen seinen Sicherheitsstand nicht gegenüber jedem Geschäftspartner einzeln nachweisen. Je nach Schutzbedarf und vereinbartem Assessment-Level reichen die Anforderungen von Selbstauskunft bis zum Vor-Ort-Audit. Für mittelständische Zulieferer ist TISAX häufig der konkrete Anlass, ein strukturiertes ISMS aufzubauen — die investierte Arbeit zahlt zugleich auf ISO 27001 und NIS2 ein. welabs bereitet Unternehmen gezielt auf das TISAX-Assessment vor und begleitet sie bis zum Label — siehe Compliance und ISMS.
UI Design
User Interface Design — die visuelle Gestaltung der Benutzeroberfläche. Umfasst Layout, Farben, Typografie, Icons und interaktive Elemente.
UX Design
User Experience Design — die Gestaltung des gesamten Nutzererlebnisses bei der Interaktion mit einem digitalen Produkt. Ziel ist eine intuitive, angenehme und effiziente Bedienung.
WCAG
Web Content Accessibility Guidelines — internationale Richtlinien für die barrierefreie Gestaltung von Webinhalten. Definiert Standards auf den Stufen A, AA und AAA.
Zero Trust
Auch bekannt unter ZTA (Zero Trust Architektur) – ein Sicherheitskonzept, das nach dem Prinzip „Vertraue niemandem, überprüfe immer" funktioniert – egal ob eine Person sich innerhalb oder außerhalb des Unternehmensnetzwerks befindet, muss diese sich bei jedem Zugriff erneut ausweisen. So wird verhindert, dass potentielle Angreifer, die einmal ins Netzwerk gelangt sind, sich ungehindert weiterbewegen können.