IHRE EIGENE DATENARCHITEKTUR
First-Party-Daten- & Messarchitektur
sGTM, Conversion API, BigQuery/Snowflake Data Lake, Consent Mode v2 + TCF 2.2, identity resolution und reverse ETL — die Dateninfrastruktur erfolgreicher Marken in einer Welt nach dem Third-Party-Cookie, mit konsequenter Engineering-Disziplin von Grund auf gebaut.
Wir treten nicht in ein Zeitalter ein, in dem das Pixel tot ist, sondern in eines, in dem Datenhoheit zur Pflicht wird; Infrastruktur ist Engineering-Arbeit, kein Plug-and-play-SaaS.
Mit Consent Mode v2, iOS 17 ATT, den Chrome-Cookie-Änderungen und TCF 2.2 ist das an Werbeplattformen gesendete Signal durchschnittlich um 40-60 % eingebrochen. Viele Marken haben parallel dazu, ohne es zu bemerken, mit mehreren SaaS-Tools fragmentierte Datenseen aufgebaut; jedes Tool mit eigener ID, eigener Consent-Interpretation, eigenem Event-Schema. Die First-Party-Datenoperationen von Roibase beseitigen diese Fragmentierung auf Basis von sechs Prinzipien; jedes Prinzip ist kein SaaS, sondern ein Engineering-Standard.
Roibase perspective
METHODIK
AUDIT → DESIGN → DEPLOY → VALIDATE → GOVERN → HANDOFF — Engineering-Disziplin
Datenarchitektur ist kein Tag-Management-Projekt, sondern eine langlebige Plattform. Der sechsstufige Prozess macht jede Entscheidung schriftlich fixiert, testbar und übergabefähig.
01
01
AUDIT
Audit des bestehenden client-seitigen GTM, GA4, Pixels, CMP, der Consent-Umsetzung, des Datenflusses und der Kostentransparenz; Signalverluste, Consent-Verstöße und Daten-Duplikate werden quantifiziert.
02
02
DESIGN
Event Taxonomy, Identity-Strategie, Consent-Policy, warehouse-Architektur und data contracts werden entworfen; Freigabe durch die Stakeholder (Legal, IT, Marketing, Data) wird eingeholt.
03
03
DEPLOY
sGTM-Container, CAPI-Endpoints, Consent-Mode-v2-Konfiguration, warehouse Streaming und dbt-Modelle gehen live; das Risiko wird per blue/green deployment reduziert.
04
04
VALIDATE
Die alte und neue Architektur laufen parallel im shadow mode + Dual-Tracking; bis zur Event-Parität von mindestens 99 % erfolgt kein Cutover; die QA-Checkliste umfasst 120+ Punkte.
05
05
GOVERN
Schema registry, PII-Tagging, Retention, RBAC, Audit-Log und Compliance-Reports werden aktiviert; das Data-Governance-Board tagt in monatlicher Cadence.
06
06
HANDOFF
3-wöchiges hands-on-Training für Ihr Team + runbook + 6 Monate asynchroner Support; kritische Alert-Rotation und SLA-Vereinbarung werden schriftlich übergeben.
— VERGLEICH
In-house vs. SaaS-abhängige Agentur vs. Roibase Data Engineering
Der konkrete Unterschied dreier Ansätze in Bezug auf Datenhoheit, Consent-Konformität, Engineering-Tiefe und Gesamtkosten.
| Dimension | In-house minimal | SaaS-abhängige Agentur | Roibase Engineering |
|---|---|---|---|
| Datenhoheit | Fragmentiert (jedes Tool eigene DB) | Beim SaaS-Anbieter | In Ihrem eigenen warehouse |
| sGTM + CAPI | Teilweise (client-only) | Nicht vorhanden oder beim Vendor | In Ihrer Infrastruktur, volle Ownership |
| Consent Mode v2 + TCF 2.2 | Grundintegration | CMP-Preset, keine Anpassung | Schriftliche Policy + Legal Review + Tests |
| Identity resolution | Nicht vorhanden oder E-Mail-only | Vendor-Blackbox | Deterministisches + probabilistisches offenes Modell |
| PII-Governance + Audit-Log | Ad-hoc | Vertraglich, nicht operativ | Runbook + monatlicher Compliance-Report |
| Data Contracts + Schema Registry | Nicht vorhanden | Abhängig vom SaaS-Schema | Versioniert, testbar, owned |
| Reverse ETL + Aktivierung | Manuelle CSV | SaaS-gebunden | Warehouse-nativ, freie Auswahl |
| Gesamtkosten pro Jahr | 50-120 k € (fragmentierte SaaS) | 120-250 k € (Agentur + Lizenzen) | 80-180 k € (Setup + warehouse) |
PROOF
Outcomes, measured
+45 %
Signalrückgewinnung
Rückgewinnung nicht attribuierter Conversions nach iOS 14+/ATT durch sGTM + CAPI.
94 %
Consent-Konformitätsquote
Akzeptable Consent-State-Verteilung nach TCF 2.2 + Consent Mode v2.
12
Tool-Konsolidierung
Typische Anzahl separater Daten-/Analytics-SaaS-Tools, die bei Kunden zusammengeführt werden können.
0 €
Monatliche Datenlizenzkosten
In Ihrem eigenen warehouse — nur Query- + Storage-Kosten; keine SaaS-per-seat-Gebühren.
8
Wochen Setup-Dauer
Typischer Zeitplan eines mittelständischen Kunden vom Audit bis zum Live-shadow-mode.
99,8 %
Event-Delivery-Rate
Durchschnittliche Event-Zustellrate nach sGTM + CAPI dual-path.
WHAT WE DO
Engagement scope
Every offering is an outcome-based work package. Roibase blends strategy and execution inside a single team — no hand-offs.
01 / 10
Server-side GTM (sGTM)
Ihr eigener sGTM-Container auf Google Cloud Run / AWS Fargate: Datenhoheit liegt bei Ihnen, kein Vendor-Lock-in, geringere Client-Last; PII-Redaktion erfolgt auf dem Server.
02 / 10
Consent Mode v2 + TCF 2.2
Integration eines IAB-TCF-2.2-konformen CMP, dynamische Ausspielung der Signale ad_user_data + ad_personalization je nach Consent-State; KVKK-/DSGVO-Legal-Basis-Abgrenzung durch schriftliche Richtlinie.
03 / 10
Conversion API (CAPI)
Server-seitige Conversion-Events für Meta, Google, TikTok, Pinterest; hashed PII + event deduplication; 30-50 % Signalrückgewinnung und iOS-14+/ATT-Konformität.
04 / 10
BigQuery / Snowflake Data Lake
Raw-Event-Streaming + dbt-Modelle + semantic layer + Visualisierung mit Looker Studio/Metabase/Looker; Partition + Clustering + Cost Optimization inklusive.
05 / 10
Identity resolution
Deterministischer (Login, E-Mail-Hash) + probabilistischer (Device-Fingerprint, Household) Identity Graph; eine einheitliche Nutzerkennung für Cross-Device-Journey und Cross-Channel-Attribution.
06 / 10
CDP-Readiness
Integration von Segment / RudderStack / mParticle oder warehouse-native CDP (Census, Hightouch) mit reverse ETL-Strecken; CDP-Auswahl durch unabhängige Bewertung.
07 / 10
Reverse ETL & Aktivierung
Automatische Übertragung berechneter Segmente (churn risk, LTV tier, product affinity) an Meta Custom Audience, Google Customer Match, Klaviyo, HubSpot, Braze.
08 / 10
Customer Match Rebuild
Neuaufbau von Lookalike + Retargeting mit hashed PII + CAPI; Infrastruktur, die die Werbeplattform-Performance in einer Welt ohne Pixel aufrechterhält.
09 / 10
Schema Registry + PII-Governance
Event-Schema versioniert, testbar; PII-Felder werden getaggt, Retention- + Masking-Richtlinien angewendet; Datenqualitätsüberwachung mit Schema-Drift-Alarmen.
10 / 10
Audit-Log + Zugriffsüberwachung
Es wird protokolliert, wer wann zu welchem Zweck auf welche Daten zugreift; role-based access control (RBAC), data contracts und monatlicher Compliance-Report werden automatisch generiert.
— NUTZEN
Der konkrete, messbare Ertrag der Datenhoheit
First-Party-Datenarchitektur bedeutet nicht nur Compliance; sie ist ein direkter Hebel für Werbeperformance, Kundenverständnis und Teamgeschwindigkeit.
+45 % Signal
Rückgewinnung von Werbesignalen
Mit Meta/Google/TikTok CAPI 30-50 % Signalrückgewinnung; Lerngeschwindigkeit und Optimierungsqualität der Werbeplattformen steigen deutlich.
−52 % SaaS-Kosten
Niedrigere Tool-Kosten
Der fragmentierte SaaS-Stack wird in einem warehouse + dbt-Layer konsolidiert; die jährlichen Lizenzkosten sinken um 40-60 %.
+38 % Entscheidungsgeschwindigkeit
Ihr Team wird schneller
Über den self-serve semantic layer beantworten Fachbereiche ihre eigenen Fragen; das Data-Team wird vom Bottleneck zum Enabler.
100 % audit-ready
Consent-Konformität schriftlich
TCF 2.2 + Consent Mode v2 + KVKK-Policy sind auditierbar und testbar; das 'Evidence File' ist für rechtliche Prüfungen bereit.
+28 % Attributionsgenauigkeit
Cross-Channel-Journey sichtbar
Per identity resolution eine geräte-/kanalunabhängige User-Journey; Attributionsmodelle und cohort-Analysen auf ganzheitlicher Datenbasis.
Runbook + RACI
Nachhaltige Daten-Governance
Schema registry, PII-Tagging, Retention, RBAC, Audit-Log — per runbook + monatlichem Compliance-Report an Ihr Team übergeben.
LIEFERUMFANG
Konkrete, schriftliche Deliverables für jedes First-Party-Projekt
Architektur, Code, Konfiguration, Dokumentation und Schulung — jede Lieferung wird versioniert und an Ihr Team übergeben.
Signal-Audit-Report
Quantitative Bewertung von bestehendem Signalverlust, Consent-Verstößen und Tool-Duplikationen, 40-60 Seiten.
Event Taxonomy & Data Contracts
Namen, Eigenschaften, Owner, Schema-Version und Backward-Compatibility-Regeln aller Events.
sGTM-Container-Setup
Live-sGTM auf Google Cloud Run / AWS Fargate, blue/green deployment + CI/CD pipeline + Rollback-Plan.
CAPI-Integrationen
Server-seitige Conversion-Events für Meta, Google, TikTok, Pinterest; event deduplication + hashed PII + Error Handling.
Consent Mode v2 + CMP-Policy
IAB-TCF-2.2-konforme CMP-Konfiguration, dynamische Signale ad_user_data/ad_personalization, schriftliche Consent-Policy + Legal Review.
BigQuery/Snowflake warehouse
Raw-Event-Streaming-Pipeline, Partition + Clustering, Cost Optimization, Monitoring + Alerting.
dbt-Modelle + semantic layer
Staging → Intermediate → Marts-Schichten, dbt-Tests, Exposures, Lineage Graph + Documentation Site.
Identity-Resolution-Pipeline
Deterministische + probabilistische Matching-Regeln, Household-Detection, Cross-Device-Journey-Tabelle.
Reverse-ETL-Strecken
Census/Hightouch zur Segmentübertragung an Meta CA, Google CM, Klaviyo, HubSpot, Braze; Schedule + Monitoring.
Schema Registry & PII-Governance
Versionierte Schema-Einträge, PII-Tagging, Retention- + Masking-Richtlinie, Schema-Drift-Alarme.
Audit-Log + Compliance-Report
RBAC-Konfiguration, Data-Access-Log, monatlich automatisiert generierter Compliance-Report (KVKK/DSGVO + Werbeplattform-Policy).
Runbook + 3-wöchige Schulung
Operatives runbook, On-Call-Rotation, SLA-Vereinbarung + 3-wöchiges hands-on-Training für Ihr Team.
— LEISTUNGSUMFANG
Was wir tun und was nicht — klare Grenzen
First-Party-Architektur ist Engineering-Arbeit; ein klar definierter Scope verhindert Überraschungen und Nachforderungen.
Was wir tun
- Signal-Audit + Bewertung der Consent-Qualität
- Design von Event Taxonomy + Data Contracts
- sGTM-Container-Setup + CI/CD + Monitoring
- CAPI-Integrationen für Meta/Google/TikTok/Pinterest
- Consent Mode v2 + TCF 2.2 + CMP-Konfiguration
- BigQuery/Snowflake warehouse + Streaming-Pipeline
- dbt-Modelle + semantic layer + Tests
- Identity resolution (deterministisch + probabilistisch)
- Reverse-ETL-Strecken (Census/Hightouch)
- Schema registry + PII-Governance + Audit-Log
- Koordination von Legal-/Compliance-Reviews
- Runbook + 3-wöchiges hands-on-Training
Was wir nicht tun
- Rechtsberatung (koordiniert mit Partneranwalt + Policy-Review)
- Verkauf von CDP-Lizenzen (wir geben vendor-agnostische Empfehlungen, provisionsfrei)
- Betrieb eines fragmentierten SaaS-Stacks (wir empfehlen Konsolidierung)
- Raw-Analytics-Agenturstunden (statt Pakete arbeiten wir in Engineering-Sprints)
- Garantierte 'Pre-Pixel'-Signalrückgewinnung (wir nennen realistische Bandbreiten)
- warehouse-Lizenz / Cloud-Rechnung (verbleibt im Kundenkonto)
- Werbekontenverwaltung (separater Scope mit PPC-/Growth-Teams)
- Plug-and-play-SaaS-Deployment (jeder Kunde erhält eine Custom-Architektur)
HOW WE WORK
Erste 8 Wochen Setup → 6 Monate Betrieb — was wann gemacht wird, ist schriftlich fixiert
01
Woche 1-2: Audit + Discovery
Audit des bestehenden GTM/GA4/CMP/Pixels, Consent-Health-Check, Stakeholder-Interviews, Architektur-Anforderungsdokument.
02
Woche 3-4: Design + Data Contracts
Event Taxonomy, Identity-Strategie, warehouse-Schema, Consent-Policy, Data Contracts — Freigabe von Legal + IT + Marketing.
03
Woche 5-6: sGTM + CAPI Deploy
Cloud-Run-/Fargate-Container geht live; CAPI-Integration für Meta/Google/TikTok; shadow mode wird gestartet.
04
Woche 7-8: warehouse + dbt
BigQuery/Snowflake-Streaming-Pipeline, dbt Staging + Intermediate + Marts, erste Version des semantic layer.
05
Woche 9-10: Validate + Cutover
Event-Paritätstest, QA-Checkliste, blue/green cutover; Decommissioning-Plan für die Altarchitektur.
06
Woche 11-12: Govern + Handoff
Schema registry, PII-Tagging, Audit-Log, RBAC; hands-on-Training für Ihr Team beginnt, runbook wird übergeben.
07
Monat 4-5: Aktivierung + Optimierung
Reverse-ETL-Strecken, erste Segment-Aktivierungen, Datenvorbereitung für MMM/Attribution, Cost Optimization.
08
Monat 6+: Steady State + Audit
Monatlicher Compliance-Report, quartalsweises Data-Governance-Board, Schema-Drift-Monitoring, SLA + On-Call-Rotation.
— TOOLSET
Die von uns eingesetzten Tools — vendor-agnostisch, aber mit klarer Auswahl
Wir wählen für jeden Kunden die passende Lösung; unsere Unabhängigkeit wahren wir, indem wir keine Provisionen annehmen.
SERVER-SIDE TRACKING
Google Tag Manager ServerStape.ioGoogle Cloud RunAWS FargateMeta Conversion APIGoogle Ads Enhanced ConversionsTikTok Events APIPinterest CAPI
CMP & CONSENT
OneTrustCookiebotDidomiUsercentricsGoogle Consent Mode v2IAB TCF 2.2
WAREHOUSE & CDP
BigQuerySnowflakeRedshiftdbt Core/CloudSegmentRudderStackmParticleAmplitude
REVERSE ETL & ACTIVATION
CensusHightouchPolytomicFivetranAirbyteStitchMeta Custom Audience APIGoogle Customer Match API
QUESTIONS
Frequently asked
Drei konkrete Vorteile: (1) 30-50 % Signalgewinn durch Umgehung von Ad-Blocker + ITP, (2) Datenhoheit — PII-Redaktion erfolgt auf dem Server, (3) schnellere Seitenladezeiten — geringere client-seitige Skriptlast. Zusätzlich entfällt der Vendor-Lock-in; die gesamte Tag-Logik liegt in Ihrer Cloud.
— GLOSSAR
Begriffe des First-Party-Data-Engineering
12 zentrale Begriffe, die Ihrem Team und den Stakeholdern eine gemeinsame Sprache geben.
- sGTM
- Server-side Google Tag Manager — ein Proxy, der das Payload des Browser-GTM aufnimmt, säubert und anreichert und an mehrere Destinations (GA4, Meta CAPI, TikTok etc.) verteilt. Verlängert Cookie-Lebensdauer, widersteht Adblockern und bildet das Rückgrat server-seitiger Conversion-APIs.
- CAPI
- Server-to-Server-Event-API von Meta, parallel zum Pixel. Holt die 20-40 % Conversion-Signal zurück, die im Browser durch ITP und Adblocker verloren gehen; für die Deduplication muss jedes Event eine event_id und denselben Zeitstempel tragen. Fundament jedes modernen Paid-Social-Stacks.
- Consent Mode v2
- Googles TCF-2.2-konformer Consent-Signal-Mechanismus; ad_user_data- + ad_personalization-States.
- TCF 2.2
- Seit 2024 verpflichtende Version des IAB Europe Transparency & Consent Framework. Standardisiert das Consent-Signal zwischen Publisher, Vendor und Nutzer; CMPs (OneTrust, Cookiebot, Didomi) liefern zusammen mit Google Consent Mode v2 die Pflicht-Compliance.
- Identity resolution
- Die Verknüpfung von Nutzeraktivitäten auf verschiedenen Geräten und Kanälen zu einer einzigen Identität; deterministisch + probabilistisch.
- CDP
- Customer Data Platform; System, das Nutzerprofile vereint und für Aktivierungskanäle öffnet (Segment, mParticle, warehouse-native).
- Reverse ETL
- Datenübertragung aus dem warehouse an operative Tools (Meta, Google, Klaviyo); Census und Hightouch sind typische Vendors.
- Customer Match
- Nutzung einer gehashten First-Party-Liste (E-Mail, Telefon, Postanschrift) als Targeting-/Exclusion-Audience in Google Search, YouTube und Display. Basis für Lookalike-Seeds und Win-back; sinnvoll meist erst ab einer Match Rate von 30 %+.
- Data warehouse
- Cloud-Datenspeicher für rohe und modellierte Event-Daten (BigQuery, Snowflake, Redshift, Databricks).
- Event schema
- Die schriftliche, versionierte Definition der Event-Namen, Eigenschaften, Datentypen und Owner; wird in einer schema registry gespeichert.
- PII
- Personally Identifiable Information; Daten, die eine Person identifizieren (E-Mail, Telefon, IP, Device-ID). Werden unter Tagging + Retention verwaltet.
- Data governance
- Die Gesamtheit der Disziplinen von Datenqualität, Zugriff, Steuerung und Compliance; RBAC + Audit-Log + Data Contracts sind Standard.
- GA4 Measurement Protocol
- Server-to-Server-Protokoll, das Events per HTTP direkt an GA4 sendet. Erzeugt Conversion-Signal aus Umgebungen ohne Web-Pixel (CRM, IoT, App-Server); Authentifizierung über api_secret + measurement_id, Consent-Mode-konform konfiguriert.
- Enhanced Conversions
- Mess-Layer in Google Ads, der Conversions per gehashte First-Party-Daten (E-Mail, Telefon) einem User zuordnet. Holt 3-15 % der durch ITP und Cookie-Verfall verlorenen Attribution zurück; gibt es in Web- und Lead-Form-Varianten.
- Offline Conversions
- Prozess, mit dem im CRM entstandene Conversions (Lead-to-Sale, Telefonabschluss, Storebesuch) per Click-ID (gclid/wbraid/fbclid) an die Ad-Plattform zurückgespielt werden. Zuverlässigster Weg, tROAS mit echtem Umsatz zu speisen.
- First-party Data
- Daten, die die Marke mit User-Consent direkt aus eigenen Properties (Web, App, CRM, Callcenter, E-Mail, Mitgliedschaft) erhebt. Robusteste Grundlage für Performance-Marketing nach dem Wegfall der Third-Party-Cookies; gehasht und in Ad-Plattformen aktiviert.
- Data Clean Room
- Sichere Rechenumgebung, in der zwei Parteien (z. B. Marke + Medien-Plattform) Matching und Aggregation durchführen, ohne sich gegenseitig die Roh-PII zu zeigen. Google Ads Data Hub, Amazon AMC, Snowflake/Databricks Clean Rooms — Overlap-Analyse, Attribution, Audience-Aufbau.
- Identity Graph
- Relationaler Graph, der eine Person über Geräte, E-Mail, Telefon, Zahlungs-Identifier und gehashte IDs hinweg verknüpft. Grundlage für Cross-Device-Attribution, Retention-Modelle und LAL-Seed-Qualität — das Herz jeder CDP.
- First-party Cookies
- Cookies, die die eigene Domain der Site setzt und die nur bei deren Requests mitgeschickt werden. Nach dem Wegfall der Third-Party-Cookies hat ITP auch diese Kategorie verkürzt — server-seitiges Cookie-Setting + 1y+-Rotationspolitik sind essenziell.
- Server-side Events
- Conversion-Events, die nicht vom Browser, sondern vom eigenen Server (sGTM, eigenes Backend) per API an die Ad-Plattform gesendet werden. Immun gegen Adblocker und Browser-Limits; nutzt Specs wie CAPI (Meta), GA4 MP, TikTok Events API.
- Hashed PII
- Personenbezogener Wert (E-Mail, Telefon, Name), der über eine Einweg-Kryptografie-Funktion (meist SHA-256) fixiert wird. Pflicht für Matching, Custom-Audience-Upload und Enhanced Conversions bei Ad-Plattformen — Privacy- und Compliance-Anforderung.
- Privacy Sandbox
- API-Suite von Google in Chrome, die Ad-Messung, Retargeting und Fraud-Detection ohne Third-Party-Cookies ermöglichen soll: Topics, Protected Audience (FLEDGE), Attribution Reporting. Die Google-Seite der Cookieless-Zukunft.
- CORS (Cross-Origin Resource Sharing)
- Browser-Sicherheitsmechanismus, der vom Server eine explizite Freigabe für origin-übergreifende Fetch/XHR-Requests verlangt. Steuerung über Access-Control-Allow-*-Header; Fehlkonfiguration ist der häufigste Integrationsbug bei SaaS-APIs.
- CSP (Content Security Policy)
- HTTP-Header, der erklärt, aus welchen Quellen eine Seite Scripts, Styles, Bilder und Iframes laden darf. Stärkste browserseitige Verteidigung gegen XSS; Nonce + strict-dynamic ist Modern-Best-Practice, mit report-uri/report-to fürs Monitoring.
- TLS / SSL
- Protokoll, das den gesamten Traffic zwischen Client und Server verschlüsselt und den Server per Zertifikat authentifiziert. Die Schicht unter HTTPS; im modernen Web ist TLS 1.3 Standard, Let's Encrypt liefert kostenlose Zertifikate, HSTS-Header ist Pflicht.
- Zero-Trust
- Sicherheitsmodell, das keiner Netzwerk-Lokation traut und jeden Request neu auf Basis von User + Gerät + Kontext authentifiziert und autorisiert. Moderne VPN-Alternative; aufgebaut auf Plattformen wie BeyondCorp, Cloudflare Access, Tailscale.
- AWS IAM (Identity and Access Management)
- Auth-Schicht in AWS, die "wer darf was mit welchem Service" beantwortet. User-/Group-/Role-/Policy-Hierarchie; Least-Privilege; SCP (Service Control Policy) für organisationsweite Guardrails; Sicherheits-Fundament jedes AWS-Workloads.
- OWASP Top 10
- Jährlich aktualisierte Liste von OWASP mit den zehn kritischsten Web-Application-Security-Risiken. Die 2021er-Edition führen Broken Access Control, Cryptographic Failures, Injection und Insecure Design an. Industriestandard für Security-Self-Assessments.
- SQL Injection
- Klassische Web-Schwachstelle: Angreifer injiziert SQL-Fragmente in Eingabefelder und manipuliert DB-Queries. Folgen: Login-Bypass, vollständige DB-Dumps, DROP-TABLE-artige Angriffe. Fix: Parameterised Queries / Prepared Statements bzw. ORM.
- XSS (Cross-Site Scripting)
- Angreifer injiziert bösartiges JavaScript in eine Webseite, das im Browser des Opfers ausgeführt wird. Drei Arten: Reflected, Stored, DOM-based — führt zu Cookie-Diebstahl und Session-Hijacking. Schutz: Output-Escaping, CSP-Header, HttpOnly + SameSite-Cookies.
- CSRF (Cross-Site Request Forgery)
- Angriff, der die authentifizierte Session des Opfers für unerwünschte Aktionen missbraucht. Der Angreifer lässt über eine andere Seite ein Auto-Submit-Formular an die Bank des Opfers schicken. Schutz: Anti-CSRF-Token, SameSite=Lax/Strict-Cookies, Double-Submit-Cookie-Pattern.
- Clickjacking
- Angreifer legt die Zielseite als transparenten iframe über die eigene Seite und verleitet den Nutzer dazu, unsichtbare Buttons zu klicken — Likes, Transfers, Permission-Grants ohne Zustimmung. Schutz: X-Frame-Options: DENY oder CSP frame-ancestors-Header.
- MITM (Man-in-the-Middle)
- Angriff, der die Kommunikation zwischen zwei Parteien abfängt oder verändert. Typische Vektoren: offenes WLAN, gefälschte Zertifikate, ARP-Spoofing. Mitigation: HTTPS, HSTS Preload, Certificate Pinning, DNS over HTTPS (DoH).
- Certificate Pinning
- Eine Mobile-/Desktop-App akzeptiert nur einen bestimmten Server-Zertifikat- (oder CA-)Public-Key. Selbst wenn ein Angreifer eine gefälschte CA auf das Endgerät bringt, vertraut die App ihr nicht. Eine der stärksten Verteidigungen gegen MITM — aber Key-Rotation wird komplexer.
- MFA / 2FA (Multi-Factor Authentication)
- Auth-Verfahren, das zusätzlich zum Passwort einen zweiten Beweisfaktor verlangt. Faktoren: was du weißt (Passwort), hast (Telefon, Hardware-Key), bist (Biometrie). SMS ist schwach; TOTP (Authenticator-Apps), Push-Notifications und FIDO2/WebAuthn sind moderne Wahl.
- SSO (Single Sign-On)
- Ein einziges Login öffnet mehrere angebundene Apps. Hauptprotokolle: SAML 2.0 (Enterprise) und OIDC (modernes Web/Mobile); typische IdPs: Okta, Azure AD, Google Workspace. Verbessert UX und gibt der IT zentrales User-Lifecycle-Management.
- SAML 2.0
- XML-basierter Legacy-Standard für Enterprise-SSO (2005). Trägt Authentication-Assertions vom IdP (Okta, ADFS) zum Service Provider via Browser-POST- oder Redirect-Binding. In modernen SaaS noch Standard, neue Projekte bevorzugen aber zunehmend OIDC.
- OIDC (OpenID Connect)
- Identity-Schicht auf OAuth 2.0. Liefert zusätzlich zum Access-Token ein ID-Token (JWT); Technik hinter "Sign in with Google/Apple/Microsoft". JSON-basiert, Mobile-/SPA-freundlich und moderner als SAML.
- JWT (JSON Web Token)
- Tragbares signiertes Identity-/Authorization-Token im Format Header.Payload.Signature. Treibt Stateless Sessions, Identity-Übergabe zwischen Microservices und OIDC-ID-Token. Best Practice: kurzlebiges Access- + langlebiges Refresh-Token; RS256/ES256 statt HS256.
- Security Headers
- HTTP-Response-Header, die dem Browser Sicherheitsregeln mitgeben: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Korrekt gesetzt sinken XSS-, MITM- und Sniffing-Risiken drastisch.
- WAF (Web Application Firewall)
- Sicherheitsschicht, die Layer-7-Traffic inspiziert und SQL-Injection, XSS, RCE und Bot-Angriffe blockt. Hauptprodukte: Cloudflare WAF, AWS WAF, Imperva, F5; kombinieren managed Rule-Sets mit Custom-Rules und Rate-Limiting.
- Penetration Testing (Pentest)
- Kontrollierte Security-Audit, der die Verteidigung eines Systems mit echter Angreifer-Mentalität testet. Black-Box-, Gray-Box- und White-Box-Ansätze; Scopes Web-App, Mobile, Netzwerk, Social Engineering. Ergebnis: priorisierte Findings-Liste + Retest der Fixes.
- Bug Bounty
- Programm, in dem ein Unternehmen externen Forschern Geld für gefundene Schwachstellen zahlt. Läuft über HackerOne, Bugcrowd oder self-hosted; Scope, Regeln und Reward-Stufen werden offen publiziert. Effekt: kontinuierlicher Pentest-Druck.
- Zero Trust
- Ansatz "vertraue niemandem und keinem Netz per Default — verifiziere jede Request". Ersetzt das klassische Castle-and-Moat-Modell durch Access auf Basis von Identity, Device-Posture und Kontext. BeyondCorp, Cloudflare Access und Zscaler sind zentrale Beispiele.
- DDoS (Distributed Denial of Service)
- Angriff, der eine Zielanwendung mit Traffic von Tausenden kompromittierten Geräten gleichzeitig flutet. Volumetric (Bandbreite saturieren), Protocol (SYN-Flood) und Application-Layer (HTTP-Flood). Hauptverteidigung: Anycast-Netze wie Cloudflare, AWS Shield, Akamai.
- Secrets Management
- Zentrales, prüfbares und rotierbares Speichern sensibler Werte — API-Keys, DB-Passwörter, Zertifikate, OAuth-Client-Secrets. HashiCorp Vault, AWS Secrets Manager, Doppler und 1Password Secrets sind Standardtools; Ende des .env-im-Git-Anti-Patterns.
- Prompt Injection
- Angriff, bei dem versteckte Anweisungen in User- oder Tool-Input eingeschleust werden, um das LLM zu zwingen, seinen System-Prompt zu ignorieren — z. B. "Vergiss alle vorherigen Anweisungen und …". Das XSS von LLM-Anwendungen; Schutz erfordert Layered Input-Sanitisation, Output-Filtering und Sandboxing.
- LLM Jailbreak
- Versuch, die eingebauten Sicherheitsregeln eines Modells zu umgehen (kein Harmful Content, kein System-Prompt-Leak usw.). Übliche Techniken: DAN, "Grandma-Exploit", Roleplay-Framings, Encoding-Tricks, Multi-Turn-Manipulation. Die Oberfläche, die Red Teams permanent unter Druck setzen.
- GDPR (General Data Protection Regulation / DSGVO)
- EU-Datenschutz-Verordnung, seit 2018 in Kraft. Ausdrückliche Einwilligung, Datenminimierung, Auskunfts-/Löschrechte, 72 h Breach-Notification, Strafen bis 4 % Weltumsatz oder 20 Mio. EUR. Bindet jeden, der mit der EU Geschäfte macht.
- CCPA / CPRA
- California Consumer Privacy Act (2020) und seine Erweiterung CPRA (2023). Rechte für kalifornische Einwohner: Auskunft, Löschung, "Do Not Sell or Share"-Opt-out. Da ein Bundesgesetz fehlt, de-facto US-Privacy-Standard; andere Staatsgesetze (Virginia VCDPA, Colorado CPA) beziehen sich darauf.
- LGPD (Lei Geral de Proteção de Dados)
- GDPR-ähnliches Datenschutzgesetz Brasiliens, in Kraft seit 2020. Durchgesetzt von der ANPD; 9 Betroffenenrechte, ausdrückliche Einwilligung, verpflichtender DPO. Strafen: bis 2 % des Umsatzes je Verstoß, maximal 50 Mio. BRL.
- KVKK (Türkei)
- Türkisches Datenschutzgesetz Nr. 6698, erlassen 2016. Durchgesetzt vom KVKK-Vorstand; VERBİS-Register, ausdrückliche Einwilligung, 11 Rechte für Betroffene, Adequacy-Anforderung bei Auslandstransfers. An GDPR angelehnt, an einigen Stellen strenger.
- DSA (Digital Services Act)
- Die EU-Regulierung für große Plattformen, ab 2024 voll in Kraft. Für VLOPs (Very Large Online Platforms, 45 Mio.+ EU-Nutzer — Meta, Google, TikTok …): jährliche Risikobewertung, Tracking illegaler Inhalte, algorithmische Transparenz, Verbot von Dark Patterns. Strafen bis 6 % Weltumsatz.
- DMA (Digital Markets Act)
- Wettbewerbsregel der EU gegen "Gatekeeper"-Plattformen (Apple, Google, Meta, Microsoft, Amazon, ByteDance, Booking) seit 2024. Verpflichtet Drittanbieter-App-Stores, Browser-Engine-Wahl, Messaging-Interoperabilität und verbietet Self-Preferencing. Grund, warum iOS in der EU Side-Loading öffnete.
- ePrivacy-Richtlinie ("Cookie Law")
- EU-Richtlinie von 2002 (Update 2009) — die ursprüngliche Vorschrift für ausdrückliche Einwilligung vor Cookies und Trackern. Weiterhin neben der DSGVO in Kraft; juristische Quelle der Cookie-Banner auf EU-Seiten. Eine Nachfolge-ePrivacy-Verordnung wird noch verhandelt.
- FLEDGE / Protected Audience API
- API der Google Privacy Sandbox, das Remarketing nach dem Wegfall von Third-Party-Cookies aufrechterhalten soll. Interest Groups werden im Browser gespeichert, die Auction läuft im Browser, IPs/IDs verlassen ihn nie. Default in Chrome 109+, IAB-Tests laufen.
- Topics API
- Nachfolger von FLoC in Googles Privacy Sandbox (2023). Der Browser leitet pro Woche 5 "Topics" aus der Browse-History ab (z. B. /Sports/Soccer); Advertiser sehen eine zufällige Teilmenge. Ziel: Interest-Matching ohne Cross-Site-Tracking.
- CHIPS (Cookies Having Independent Partitioned State)
- Chrome-Technologie, die Third-Party-Cookies in Per-Site-Partitionen aufteilt. Das Cookie eines eingebetteten Widgets ist nun pro Top-Site isoliert; Cross-Site-Tracking wird unmöglich, In-Site-State bleibt erhalten. Implementiert über das Partitioned-Attribut bei Set-Cookie.
- SKAdNetwork (Apple)
- iOS-Framework von Apple für Ad-Attribution ohne IDFA. Liefert ein deterministisches Match zwischen Ad-serving-Network und Install-auslösender Anzeige; 0-63 Conversion-Value, 24h-aggregierte Postbacks. Standard im mobilen Ad-Ökosystem nach ATT.
- ATT (App Tracking Transparency)
- Apple-Feature aus iOS 14.5 (2021), das Apps den IDFA-Zugriff ohne Systemdialog "Allow / Ask Not to Track" verbietet. ~75 % der Nutzer wählten Opt-out; veränderte die Mobile-Attribution-Industrie fundamental und drängte sie zu SKAdNetwork.
- IDFA / GAID
- IDFA (Identifier for Advertisers, iOS) und GAID (Google Advertising ID, Android) — gerätegebundene, vom Nutzer rücksetzbare Werbe-IDs. Vor ATT Rückgrat der Mobile-Attribution; heute ist GAID auf Android weiter aktiv, IDFA wechselte ins Opt-in-Modell.
- OpenRTB
- Offenes IAB-Protokoll, das den programmatischen Display- und Video-Anzeigen-Kauf/Verkauf standardisiert. Definiert die JSON-Form von Bid-Requests, Bid-Responses und Win-Notices zwischen SSPs und DSPs; v2.6 (2024) erweitert um Audio, CTV und Identity-Solutions. Technische Basis von Header-Bidding und PMPs.
- Prebid.js
- Verbreitetste Open-Source-Header-Bidding-Library. Auf der Publisher-Seite werden vor dem Ad-Server-(GAM)-Call parallel Bid-Requests an 10+ SSPs ausgelöst; der höchste Bid gewinnt. Hat Publisher-eCPM um 20-50 % gehoben und das programmatische Ökosystem transparent gemacht — eine Revolution.
- Cookie Consent Banner
- Das aus dem modernen Web bekannte Banner, das beim Seitenaufruf nach Cookie-Zustimmung fragt. Erforderlich durch EU-ePrivacy + DSGVO; "Reject All" muss genauso einfach sein, Einwilligung muss kategoriegranular wählbar sein. Hauptlösungen: CookieYes, OneTrust, Cookiebot.
- CMP (Consent Management Platform)
- Plattform, die Nutzer-Einwilligung sammelt, speichert und site-weit verteilt. Integriert sich mit IAB TCF v2.2 und meldet Drittanbieter via Consent-String. OneTrust, TrustArc, CookieYes, Cookiebot, Iubenda sind verbreitet; Pflichtbestandteil moderner Privacy-Stacks.
- IAB TCF v2.2 (Transparency & Consent Framework)
- Standard von IAB Europe zum Teilen von Consent zwischen Adtech-Vendors im EU-Markt. Eine Binary-Consent-String kodiert, welche der 12 Purposes und welche 1.000+ Vendors der Nutzer zustimmt; sie wird CMP→SSP→DSP transportiert. v2.2 (2023) präzisierte die Granularität von "Purpose 1: Device Storage".
- DSAR (Data Subject Access Request)
- Gemäß GDPR Art. 15 / KVKK / CCPA das Recht, binnen 30 Tagen eine dokumentierte Antwort auf "welche Daten haltet ihr über mich und mit wem habt ihr sie geteilt?" zu erhalten. DSAR-Portal, Runbook und automatisierte Daten-Pull-Pipeline sind Pflicht in jedem modernen Privacy-Programm.
- Privacy by Design
- Ann Cavoukians sieben Prinzipien (1995, in Art. 25 DSGVO verankert): proaktiv handeln, Default privacy-freundlich, Systeme privacy-first konzipieren, Ende-zu-Ende-Verschlüsselung, Full-Lifecycle-Schutz, Transparenz, Respekt vor dem Nutzer. Ethisches Fundament moderner Sicherheitsarchitektur.
- Right to be Forgotten
- GDPR Art. 17 — das Recht eines Individuums, die Löschung seiner personenbezogenen Daten zu verlangen. Ohne Rechtsgrundlage zur Aufbewahrung muss das Unternehmen binnen 30 Tagen löschen — inklusive Backups, Logs und Drittanbieter. Mit dem EuGH-Urteil Costeja 2014 auf Google-Suchergebnisse ausgedehnt.
- SPF (Sender Policy Framework)
- Anti-Spoofing-DNS-TXT-Standard, der die für eine Domain berechtigten Versender-IPs auflistet. Beispiel: v=spf1 include:_spf.mailgun.org -all. Der empfangende MTA gleicht die Sender-IP gegen SPF ab; bei Failure → Spam-Folder oder Ablehnung.
- DKIM (DomainKeys Identified Mail)
- Standard, der die Echtheit einer E-Mail per kryptografischer Signatur der Versendender-Domain belegt. Ein DKIM-Signature-Header wird der Mail hinzugefügt; der Empfänger verifiziert ihn gegen den im DNS veröffentlichten Public-Key. Zweites Bein moderner E-Mail-Auth neben SPF.
- DMARC (Domain-based Message Authentication, Reporting & Conformance)
- Standard, der SPF + DKIM kombiniert und dem Domain-Inhaber überlässt, was bei Auth-Failure passieren soll. Policy p=none / quarantine / reject; rua=mailto:dmarc@… sammelt Aggregatreports. Seit 2024 Pflicht für Bulk-Versender an Gmail/Yahoo.
- BIMI (Brand Indicators for Message Identification)
- Standard, der das Markenlogo eines Absenders neben der "From"-Zeile in Gmail/Yahoo-Inboxen anzeigt, sobald die Domain DMARC enforced. Setzt SVG-Tiny-Logo + Verified-Mark-Certificate (VMC) voraus; Mailbox-Support steigt seit 2023. Open-Rate +3-15 %.
- CAN-SPAM (US-Email-Gesetz)
- US-Gesetz von 2003 mit Pflichtregeln für Werbe-E-Mails: keine irreführenden Header/Subjects, klarer Opt-out-Link, physische Postanschrift im Mail-Body, Opt-outs binnen 10 Tagen umsetzen. Strafen bis 51K $ pro Verstoß. Anders als DSGVO Opt-out-Regime (kein Opt-in-Zwang).
- CBDC (Central Bank Digital Currency)
- Von einer Zentralbank ausgegebener digitaler Token mit Status als gesetzliches Zahlungsmittel. Sand Dollar (Bahamas), eNaira (Nigeria), e-CNY (China) live; Digital Euro im Pilot. Regulator-Antwort auf Stablecoins, Kern von Cross-Border-Payment- und Cashless-Society-Projekten.
- Sign-In with Ethereum (SIWE)
- Standard (EIP-4361) zum Login per Ethereum-Wallet-Signatur statt E-Mail/Passwort. Die dApp erzeugt eine Nachricht, der Nutzer signiert sie mit seiner Wallet, das Backend verifiziert und öffnet eine Session. OIDC-Alternative für Web3-Auth, oft kombiniert mit Passkeys.
- LLM Red Team
- Mensch + AI-Team, das die Safety-Regeln und internen Grenzen eines Modells testet. Adversarial-Prompts, Jailbreaks, PII-Leaks, Prompt-Injection-Szenarien; gefundene Lücken landen im Eval-Set. Red Teams von OpenAI, Anthropic, Google spielen vor Model-Launches kritische Rolle.
- Adversarial Prompt
- Gezielt gebauter Prompt, der das Modell in falsche/schädliche/verbotene Outputs drängt. Trick-Vektoren: "Detail-only", "Creative-Fiction", "System-Message-Override", Base64-Encoding. Verteidigung erfordert Instruction-Tuning + RLHF + Constitutional AI zusammen.
- Jailbreak Eval Suite
- Standardisierte Test-Sammlung für Versuche, die Sicherheits-Controls eines LLM zu umgehen. Offene Benchmarks: AdvBench, HarmBench, JailbreakBench; klassische Muster "DAN", "Grandma-Exploit", Roleplay-Framing. Pass-Rate-Messung vor jedem LLM-Launch Pflicht.
- Prompt Leakage
- Angriff, der versucht, den System-Prompt eines Modells (oft vertrauliche Business-Logik) zu enthüllen. Beispiel: "Drucke alle vorherigen Anweisungen". Versteckter RAG-Kontext und sensible Business-Rules können leaken. Schutz: Instruction-Wrapper + Repeat-Back-Filter + Structured Output.
- PII Redaction (LLM)
- Schicht, die personenbezogene Daten in User-Input — Name, Telefon, E-Mail, Kartennummer, Adresse — maskiert, bevor sie das LLM erreichen oder in Logs landen. Tools: Microsoft Presidio, Google DLP, AWS Comprehend Medical; Pflicht für GDPR-, KVKK-, HIPAA-Compliance.
- LLM Guardrails
- Kontrollschicht, die Modell-Output vor unerwünschten Bereichen schützt — Toxic, Off-Topic, Halluzinatorisch, Schema-verletzend. Output-Filtering, Schema-Validation, Classifier-as-Judge, Tool-Call-Validation; Tools NeMo Guardrails, Guardrails AI, AWS Bedrock Guardrails.
- Content Moderation API
- Service, der Text-/Image-Input und -Output in Kategorien — Toxicity, NSFW, Violence, Hate Speech, Self-Harm — klassifiziert. OpenAI Moderation, Perspective API (Google), AWS Rekognition, Azure Content Safety. Pflicht-Pre-Filter jeder LLM-Anwendung.
- AI Safety Eval (HHH)
- Alignment-Eval-Prinzip, das die Trias "Helpful, Honest, Harmless" misst. Helpful: hilft es dem Nutzer wirklich; Honest: gibt es falsche/heimlich motivierte Antworten; Harmless: schlägt es schädliche Aktionen vor. Fundament der Anthropic-Safety-Papers.
- Toxicity Score
- Klassifikator-Score 0-1, der misst, wie toxisch, hetzend oder hateful ein Text ist. Tools: Perspective API (Google), OpenAI Moderation, Detoxify, HateBERT. Schwelle meist 0,7+. Kritischer Filter für LLM-Output, Comment-Moderation und Brand-Safety.
- Bias Audit
- Systematische Prüfung, ob ein Modell über Protected Attributes (Gender, Race, Age, Religion) unfaire Outputs liefert. Metriken: Demographic Parity, Equal Opportunity, Counterfactual Fairness; Tools AI Fairness 360, Fairlearn. In regulierten Branchen Pflicht-Compliance.
- Anti-Cheat (VAC, EAC, BattlEye)
- System, das in Multiplayer-Spielen Cheats, Aimbots und Wallhacks blockiert. Valve VAC, Easy Anti-Cheat (EAC), BattlEye, Riot Vanguard, FACEIT AC verbreitet; Kernel-Level-Zugriff befeuert die Security-/Privacy-Debatte. Cheat-Prävention hat keine Obergrenze, aber schlechte Implementierung killt UX.
- SOC (Security Operations Center)
- 24/7-Team plus Infrastruktur, das Security-Events überwacht und auf sie reagiert. Struktur: Tier 1 (Alert-Triage), Tier 2 (Tiefen-Investigation), Tier 3 (Threat-Hunter, Forensik); gemeinsames Toolset SIEM, EDR, SOAR. Moderne Enterprises betreiben 100+-Personen-SOCs intern oder outsourcen zu MSSPs.
- SIEM (Security Information & Event Management)
- Plattform, die Logs und Security-Events zentral sammelt und per Korrelationsregeln Alerts auslöst. Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM, Sumo Logic führend; beantwortet "wer hat was getan" und "welche Anomalie" — das Herz moderner SOCs.
- EDR (Endpoint Detection & Response)
- Plattform für Real-Time-Malware-, Ransomware- und Lateral-Movement-Detection + Response auf Laptops, Servern, Mobile-Endpoints. CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Carbon Black, Sophos Intercept X führen. Nachfolger des klassischen Antivirus.
- XDR (Extended Detection & Response)
- Nachfolger des EDR, der zusätzlich Network-, E-Mail-, Cloud- und Identity-Signale vereint. Macht aus Siloed-Alerts ausserhalb des Endpoints eine einzige korrelierte Sicht; Palo Alto Cortex XDR, Microsoft Defender XDR, Trellix, SentinelOne Singularity führend. Tickets pro SOC-Analyst:in fallen 5-10×.
- SOAR (Security Orchestration, Automation & Response)
- Orchestrierungs-Plattform, die nach SIEM-Alerts automatisierte Playbooks fährt — "IP blocken", "Endpoint isolieren", "Passwort zurücksetzen" und weitere 100+-Schritt-Reaktionen. Splunk SOAR, Palo Alto XSOAR, Tines, Torq führend; entlastet Tier-1-SOC um 60 %+.
- Threat Intelligence
- Disziplin, die Wissen über aktive Threat-Actors, ihre Taktiken und IoCs (Indicators of Compromise — IPs, Hashes, Domains) bereitstellt. Recorded Future, Mandiant, CrowdStrike Intel, OTX, MISP liefern Feeds, die ins SIEM injiziert werden; beantwortet "betrifft uns dieses Leak?".
- CVE (Common Vulnerabilities & Exposures)
- Öffentlicher Katalog von Security-Vulnerability-IDs, gepflegt von MITRE — z. B. CVE-2024-12345. Jeder Eintrag verlinkt Vendor-Patch, Exploit-Details, betroffene Versionen und bekommt einen CVSS-Score. Atomare Einheit jedes Vulnerability-Management-Programms.
- CVSS (Common Vulnerability Scoring System)
- Standard-System (von FIRST.org gepflegt), das die Schwere einer Sicherheitslücke von 0,0 bis 10,0 bewertet. Schichten: Base Score (Exploitability + Impact), Temporal, Environmental; 9,0+ Critical, 7,0-8,9 High, 4,0-6,9 Medium. Basis für Patch-Priorisierung.
- NIST CSF (Cybersecurity Framework)
- 2014 von NIST veröffentlichtes Framework, das ein Cybersecurity-Programm in fünf Funktionen gliedert: Identify, Protect, Detect, Respond, Recover. v2.0 (2024) ergänzte Govern. Verbreitetstes Referenz-Framework in US-Bundes- und Global-Enterprise-Security.
- ISO 27001
- Internationaler Standard für ein Information-Security-Management-System (ISMS). Risk-Assessment + 93 Controls (Annex A) + kontinuierlicher Verbesserungszyklus; alle 3 Jahre Extern-Audit + jährliche Surveillance. Pflicht für B2B-SaaS-Vertrieb; Beleg für GDPR-/KVKK-Alignment.
- SOC 2
- Audit-Report der AICPA für SaaS-Unternehmen. Trust Services Criteria: Security (Pflicht), Availability, Processing Integrity, Confidentiality, Privacy. Type 1 = Point-in-Time, Type 2 = 6-12 Monate operative Evidenz. Schlüssel für Enterprise-Vertrieb in den USA.
- CIS Controls
- 18 kritischste Cybersecurity-Controls des Center for Internet Security (früher SANS Top 20). Implementation-Tiers IG1 (Small), IG2 (Mid), IG3 (Large) decken praktische Maßnahmen wie Asset-Inventory, MFA, Phishing-Awareness. Operative Karte des NIST CSF.
- MITRE ATT&CK Framework
- Offene Knowledge Base von MITRE, die Real-World-Angreifer-TTPs (Tactics, Techniques, Procedures) sammelt. 14 Taktiken Initial Access → Execution → Persistence → … → Impact, darunter 600+ Techniken. Referenz für Red-Team-Szenarien, Detection-Rules, Threat-Intel-Alignment.
- Zero-Day Exploit
- Software-Schwachstelle, von der der Vendor noch nichts weiß (0 Tage seit Patch), und das Exploit, das sie ausnutzt. Auf Bug-Bounty- und Dark-Web-Märkten Millionen wert; Waffe der Wahl für APT-Gruppen, Staatsakteure, Pegasus-Spyware. Schutz: Defense-in-Depth, EDR, Virtual Patching.
- Supply Chain Attack
- Angriff auf ein Ziel über die Software, Komponenten oder Vendors, die es nutzt — nicht direkt. Mahnbeispiele: SolarWinds Orion (2020), Kaseya (2021), MOVEit Transfer (2023), 3CX (2023). Ein Vendor-Compromise → 18.000+ Kunden betroffen; SBOM + Signed Artifacts + SLSA-Framework als Standardschutz.
- Ransomware
- Malware, die Opfer-Dateien verschlüsselt und Lösegeld für den Decrypt-Schlüssel verlangt. Moderne "Double Extortion": verschlüsselt + droht mit Dark-Web-Veröffentlichung. LockBit, BlackCat (ALPHV), Conti, Ryuk berüchtigt; 2024 Durchschnittslösegeld 2 Mio. $, Downtime 21 Tage.
- Phishing / Spear Phishing / Whaling
- Angriffe, die mit gefälschter E-Mail, SMS oder Seite Credentials/Daten klauen. Phishing: Massen + generisch; Spear-Phishing: gezielt (spezifische Person/Firma); Whaling: CEO/CFO/Senior-Execs als Ziel. AI-generierte Phishing-Welle 2024 +1.500 %. Schutz: DMARC + Email-Security-Gateway + Awareness-Training.
- Credential Stuffing
- Angriff, der Username/Password-Paare aus anderen Leaks automatisch auf weiteren Sites probiert, um Accounts zu übernehmen. Bot-getrieben, Millionen Requests/Sek.; HaveIBeenPwned tracked 13 Mrd.+ Leaks. Schutz: Rate-Limiting, CAPTCHA, MFA, Unique-Password + Password-Manager.
- Brute Force Attack
- Systematisches Durchprobieren von Passwort-Kombinationen. Zwei Spielarten: Online (gegen Live-Login) und Offline (gegen Hash-Dump). Tools: GPUs + Dictionary + Rule-based-Engines (Hashcat, John the Ripper); Top-GPU 2024 macht 600 Mrd. Hashes/Sek. Schutz: lange Passphrase + bcrypt/scrypt/argon2.
- UEBA (User & Entity Behavior Analytics)
- Security-Analytics-Schicht, die per ML User-/Device-Verhaltensmuster lernt und Anomalien meldet — Login-Zeit/Orts-Anomalien, atypischer File-Access, Lateral-Movement-Muster. Kritisch für Insider-Threat- + Compromised-Account-Detection. Leader: Splunk UBA, Exabeam, Microsoft Sentinel UEBA.
- CASB (Cloud Access Security Broker)
- Cloud-Security-Schicht, die SaaS-Nutzung der Mitarbeitenden überwacht und Policies durchsetzt. Shadow-IT-Discovery, DLP, Threat-Protection, Compliance-Check. Leader: Microsoft Defender for Cloud Apps, Netskope, McAfee MVISION, Zscaler CASB. Sicherheits-DMZ der SaaS-First-Ära.
- DLP (Data Loss Prevention)
- System, das die unautorisierte Exfiltration sensibler Daten — PII, Kartennummer, Geschäftsgeheimnisse — verhindert. Deep-Content-Inspection + Policy-Enforcement über Endpoint, Network, E-Mail, Cloud. Leader: Symantec DLP, Forcepoint, Microsoft Purview, Netskope. Herz von GDPR-, KVKK- und HIPAA-Compliance.
- IAM (Identity & Access Management)
- Plattform, die "wer darf in welches System mit welchen Rechten" steuert. Single Source of Identity (Okta, Azure AD/Entra, Auth0, Ping Identity), SSO, MFA, Joiner-Mover-Leaver-Lifecycle-Automation, RBAC/ABAC. Zentrum moderner Zero-Trust-Architekturen.
- Privileged Access Management (PAM)
- Plattform, die privilegierte Accounts — Admin, Root, Break-Glass — verwaltet und auditiert. Just-in-Time-Access, Password-Vault, Session-Recording, Approval-Workflows. CyberArk, BeyondTrust, Delinea, HashiCorp Boundary führend; Primärkontrolle gegen Insider-Threat + Privilege-Escalation.
- KYC (Know Your Customer)
- Finanz-regulatorische Pflicht zur Verifikation der Kundenidentität. Dokumente (ID, Pass), Liveness-Check (Selfie, Video), Adresse (Utility Bill), Source of Funds. Pflichtschritt für Banken, Crypto-Exchanges, Fintechs; Verstoß bedeutet Millionen-Strafen + Lizenzentzug.
- AML (Anti-Money Laundering)
- Regulatorische + operative Kontrollen gegen Geldwäsche. Transaction-Monitoring, Suspicious-Activity-Reports (SAR), Sanctions-Screening (OFAC, EU, UN), PEP-Check (Politically Exposed Person). Compliance-Funktion von Banken/Fintechs; FinCEN, FATF setzen globale Standards.
- PCI DSS Level 1
- Strengste Kartensicherheits-Standard für Unternehmen mit 6 Mio.+ Karten-Transaktionen jährlich. Jährliches On-Site-Audit durch QSA (Qualified Security Assessor), vierteljährliche Vulnerability-Scans, Penetration-Tests, Segmentation-Reviews. Stripe, Adyen, Shopify Payments sind Level-1-zertifiziert.
- Embedded Finance
- Einbettung von Finanzservices — Payments, Lending, Insurance, Bankkonten — direkt in nicht-finanzielle Produkte. Beispiele: Uber-Driver-Account, Shopify Capital, Tesla Insurance, Apple Card. Basis: Banking-as-a-Service-Anbieter (Stripe Treasury, Unit, Synapse); 2030 prognostizierter Markt 7 Bio. $+.
- Apple Pay / Google Pay (Wallet)
- Digital Wallet, das Kartendaten auf Phone/Wearable tokenisiert speichert und für NFC- oder Online-Zahlungen nutzt. Fraud-Raten bei Card-not-present-Transaktionen fallen 50 %+; Backend: Visa Token Service + Mastercard MDES. iOS-NFC ist seit 2024 (EU DMA) für Third-Party-Wallets offen.
- Direct Debit (SEPA DD / BACS)
- Vorautorisierter Pull vom Kundenkonto für wiederkehrende Zahlungen — Miete, Rechnungen, Abos. SEPA Direct Debit in Europa, BACS Direct Debit in UK, ACH Debit in den USA. Pull-Payment-Standard für Subscription-Business und Utilities; Regeln zu Pre-Notification, Mandate-ID, Chargeback-Recht.
- Wire Transfer
- Echtzeit-Hochwert-Banktransfer zwischen Konten — domestic (Fedwire in den USA), international (SWIFT). Same-Day-Settlement, 25-50 $ Gebühr, unwiderruflich. Standardweg für High-Value-B2B + Immobilienkauf; schneller + teurer als ACH.
- Cross-Border Payment
- Internationale Zahlung über Währungen und Bank-Netze hinweg. Klassisches SWIFT-Correspondent-Banking braucht 2-5 Tage + 2-5 % Gebühr; moderne Alternativen: Wise, Revolut, Stripe Cross-Border, Blockchain-Stablecoins wie USDC. Globaler Cross-Border-B2B-Markt 2024 über 150 Bio. $.
- Authorization vs Settlement
- Zwei Schritte einer Kartentransaktion. Authorization: Hold auf dem Karten-Limit (Sekunden); Settlement: Umwandlung des Holds in echten Abbuchungs-Posten (1-3 Geschäftstage). E-Commerce: Auth beim Order, Capture bei Versand; Restaurant: Auth + Adjusted-Settlement für Tip.
- Chargeback
- Kunde widerruft eine Transaktion über die Bank → Refund + 15-50 $ Chargeback-Gebühr für den Merchant. Gründe: "Item not received", Fraud, Duplicate Charge. Modern: Pre-Arbitration → Arbitration. Visa Compelling Evidence 3.0 (2023) gibt Händlern bessere Evidence-Tools.
- Friendly Fraud
- Kunde hat das Produkt erhalten + genutzt, eröffnet aber Chargeback mit "kenne ich nicht". 60-80 % der E-Commerce-Chargebacks gelten als Friendly Fraud. Verteidigung: Order-Screenshots, Tracking, IP-Match, Signature-Delivery-Confirmation.
- Interchange Fee
- Gebühr, die der Acquirer-Bank an die Issuer-Bank (Karteninhaber-Bank) zahlt. Festgelegt durch Visa-/Mastercard-Schedules — USA 1,5-3 %, EU 0,2-0,3 % (PSD2-Cap). Größter Anteil der ~2,5 % Gesamt-Merchant-Fee und profitabelste Einnahme der Fintechs.
- Acquirer Bank vs Issuer Bank
- Zwei Enden der Kartentransaktion. Issuer-Bank gibt dem Karteninhaber die Karte (Limit, Billing); Acquirer-Bank ist mit dem Merchant-Payment-Processor verbunden (Merchant-Funding, Settlement). Stripe + Adyen arbeiten meist mit Acquirers — Merchant-Backend-Partner.
- eKYC / Digital KYC
- 100 % digitaler Nachfolger des KYC. AI-Verifikation Selfie + ID-Dokument (Onfido, Jumio, Veriff, Persona); Onboarding in 30 s-2 min mit Manual-Review als Fallback. AI-Document-Tampering-Detection + Liveness-Anti-Spoofing essenziell. Conversion-Edge moderner Fintechs.
- Card Brand (Visa / Mastercard / Amex)
- Eigentümer der Karten-Netze. Visa + Mastercard sind Open-Loop (jede Bank kann Issuer oder Acquirer sein); Amex + Discover Closed-Loop (sind selbst die Bank). Globaler Volumen-Anteil: Visa ~38 %, Mastercard ~28 %, Amex ~22 %; Türkei: Troy als lokales Netz. Interchange + Network-Fees der Brand bilden die Merchant-Kostenbasis.
- Card-Present vs Card-Not-Present
- CP: Kunde mit Karte physisch im Store (Chip + PIN, NFC, Swipe). CNP: E-Commerce, Phone, Mail-Order. CNP-Fraud ist 8-10× CP; 3DS2 + Tokenization + Fraud-Scoring Pflicht. Fundamentaler Risikoprofil-Unterschied zwischen Brick-and-Mortar und Online-Retail.
- Open Banking / PISP / AISP
- Zwei von PSD2 geschaffene Third-Party-Rollen. AISP (Account Information Service Provider): Account-Aggregation, Financial-Planning (Mint, Tink). PISP (Payment Initiation Service Provider): direkte Zahlungsauslösung vom Bankkonto (Trustly, GoCardless Instant). Direkter Konkurrent der Kartenschemes.
- HIPAA
- 1996 erlassenes US-Datenschutzgesetz für Gesundheit. PHI = Patient-Identity + Health-Status; Storage- + Transit-Encryption, Access-Logs, 6 Jahre Audit-Trail Pflicht. Strafen 50K-1,5 Mio. $/Verstoß; HIPAA-Compliance Pflicht für jeden SaaS im Healthcare-Verkauf.
- RegTech (Regulatory Technology)
- Tech-Segment, das Compliance- + Regulatory-Prozesse automatisiert. AML/KYC (ComplyAdvantage, Chainalysis), Regulatory-Reporting (NICE Actimize, FIS Protegent), Tax-Automation (Avalara, TaxJar), GDPR-/CSRD-Reporting. 2024 RegTech-Investment 15 Mrd. $+; am schnellsten wachsende Supplier-Kategorie für Banken, Insurance, Fintech.
- InsurTech
- Tech-Segment, das die Versicherung digitalisiert. Lemonade (P&C, AI-Claims), Root (Telematics-Auto), Hippo (Smart-Home-Insurance), Coalition (Cyber-Insurance), Wefox; in der Türkei Quick Sigorta, BoMonti. Data-Driven + Customer-Experience-First-Gegenstück zur Legacy-Insurance.
01
CAPIConsent Mode v2
02
sGTMCustomer Match
03
TCF 2.2PII
04
Consent Mode v2
05
CDPCustomer Match
06
Reverse ETLData warehouse
07
CDPData warehouse
08
CAPIPII
09
Event schemaData governance
10
Data governance
11
Data governanceConsent Mode v2
12
PIIEvent schema
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
— ENTSCHEIDUNGSBAUM
Ist eine First-Party-Datenoperation für Sie geeignet?
Beantworten Sie 4 Fragen mit Ja/Nein; die Empfehlung soll eindeutig sein.
01 / 04
Liegt Ihr monatliches Werbebudget über 30k USD?
Schwelle, ab der die Signalrückgewinnung wirtschaftlich sinnvoll wird.
— LET'S BEGIN
Wie sehr vertrauen Sie Ihren Pixeln?
Mit einem 2-stündigen Signal-Audit decken wir verlorene Conversions, Consent-Probleme und warehouse-Chancen auf.