Glossar

Auf dieser Seite informieren wir über die Bedeutung wichtiger Begriffe der IT-Sicherheit.

Begriffe

Authentifizierung - Der Prozess des Nachweises der Identität einer Person. Die Authentifizierung ist das erste Element des AAA-Systems, das Authentifizierung, Autorisierung und Accounting umfasst. Die Authentifizierung erfolgt nach dem ersten Schritt der Identifizierung (d.h. dem Anspruch auf eine Identität). Die Authentifizierung erfolgt durch die Bereitstellung eines oder mehrerer Authentifizierungsfaktoren - Typ 1: etwas, das Sie wissen (z.B. Passwort, PIN oder Kombination), Typ 2: etwas, das Sie haben (z.B. Smartcard  oder USB-Laufwerk), und Typ 3: etwas, das Sie sind (z.B. Biometrie-Fingerprint, Iris-Scan, Retina-Scan, Handgeometrie, Unterschriftenprüfung, Spracherkennung und Tippdynamik).

Blacklist – Eine Blacklist ist eine Liste bestimmter Dateien, von denen bekannt ist, dass sie bösartig sind oder anderweitig unerwünscht sind. Es ist verboten, ein Programm auf der Liste auszuführen, während jedes andere Programm, ob gutartig oder bösartig, standardmäßig ausgeführt werden darf.

Botnet - Eine Sammlung unschuldiger Computer, die durch bösartigen Code kompromittiert wurden, um einen Fernsteuerungsagenten auszuführen, der einem Angreifer die Möglichkeit gibt, die Ressourcen des Systems aus der Ferne zu nutzen, um illegale oder kriminelle Handlungen durchzuführen. Zu diesen Aktionen gehören z.B. Hosting falscher Webservices, Spoofing von DNS, Übertragung von SPAM, Lauschen der Netzwerkkommunikation, Aufzeichnung von VOIP-Kommunikationen und der Versuch, Verschlüsselung oder Passwort-Hashes zu knacken. Botnets können aus Dutzenden bis über einer Million Einzelcomputern bestehen. Der Begriff Botnet ist eine verkürzte Form des Roboternetzwerks.

BYOD (Bring Your Own Device) - Die Sicherheitsrichtlinie eines Unternehmens, die festlegt, ob Mitarbeiter ihre eigenen Geräte in die Arbeitsumgebung einbringen können oder nicht. Ob solche Geräte mit dem Firmennetzwerk verbunden werden können oder nicht und inwieweit diese Verbindung die Interaktion mit Unternehmensressourcen ermöglicht. Eine BYOD-Richtlinie kann von einem vollständigen Verbot der Mitnahme persönlicher Geräte in die Einrichtung bis hin zur Möglichkeit reichen, dass jedes Gerät mit dem Firmennetzwerk verbunden werden kann, wobei der volle Zugriff auf alle Unternehmensressourcen gewährleistet ist. Im Allgemeinen legt eine BYOD-Richtlinie angemessene Sicherheitsbeschränkungen fest, welche Geräte auf Firmeneigentum verwendet werden können, und beschränkt den Zugriff auf sensible Unternehmensnetzwerk-Ressourcen erheblich.

Cloud Computing - Ein Mittel, um Computing-Dienste der Öffentlichkeit oder zur internen Nutzung über Remote-Dienste anzubieten. Die meisten Cloud-Computersysteme basieren auf Remote-Virtualisierung, bei der die den Kunden angebotene Anwendung oder Betriebsumgebung auf der Computerhardware des Cloud-Anbieters gehostet wird. Es gibt eine breite Palette von Cloud-Lösungen, darunter Softwareanwendungen (z.B. E-Mail- und Dokumentenbearbeitung), benutzerdefiniertes Code-Hosting (insbesondere Ausführungsplattformen und Webservices) sowie vollständige Systemersetzungen. Die meisten Formen von Cloud Computing gelten als Public Cloud, da sie von einem Dritten bereitgestellt werden. Allerdings sind auch Private Cloud (intern gehostet), Community Cloud (eine privat gehostete Cloud einer Gruppe von Unternehmen), eine gehostete Private Cloud (die Cloud-Server sind Eigentum eines Dritten und werden von ihm verwaltet, werden aber in der Einrichtung des Kunden gehostet) und Hybrid Cloud (eine Mischung aus öffentlich und privat) möglich.

CVE (Common Vulnerabilities and Exposures) - Eine Online-Datenbank die von der MITRE-Organisation zum Dokumentieren von Software-Schwachstellen für die Öffentlichkeit betrieben wird. Dazu gehören alle Angriffe und Missbräuche, die für irgendeine Art von Computersystem oder Softwareprodukt bekannt sind. Häufig werden neue Angriffe und Exploits in einem CVE dokumentiert, lange bevor ein Anbieter das Problem zugibt oder ein Update oder Patch zur Lösung des Problems veröffentlicht.

Cyberattacke - Jeder Versuch, den Sicherheitsbereich einer logischen Umgebung zu verletzen. Ein Angriff kann sich auf das Sammeln von Informationen, die Schädigung von Geschäftsprozessen, die Ausnutzung von Fehlern, die Überwachung von Zielen, die Unterbrechung von Geschäftsaufgaben, die Wertsteigerung, die Schädigung logischer oder physischer Vermögenswerte oder die Nutzung von Systemressourcen zur Unterstützung von Angriffen gegen andere Ziele konzentrieren. Cyberangriffe können durch Ausnutzung einer Schwachstelle in einem öffentlich zugänglichen Dienst, durch Tricks eines Benutzers, einen infektiösen Anhang zu öffnen, oder sogar durch die automatisierte Installation von Ausbeutungstools durch unschuldige Website-Besuche ausgelöst werden.

Cyberspionage - Der unethische Akt der Verletzung der Privatsphäre und Sicherheit eines Unternehmens, um Daten zu verlieren oder interne/private und vertrauliche Informationen preiszugeben. Cyberspionage kann von Einzelpersonen, Organisationen oder Regierungen mit dem direkten Ziel durchgeführt werden, dem verletzten Unternehmen Schaden zuzufügen, um Einzelpersonen, Organisationen oder Regierungen zu helfen.

DDoS (Distributed Denial of Service) Angriff - Ein Angriff, der versucht, den Zugriff auf und die Nutzung einer Ressource zu blockieren. Es ist eine Verletzung der Verfügbarkeit. Der Zweck eines DDoS-Angriffs ist es, das Angriffsniveau über das hinaus, das von einem einzigen Angriffssystem erzeugt werden kann, deutlich zu erhöhen, um größere und besser geschützte Opfer zu überlasten. DDoS-Angriffe werden oft über Botnetze durchgeführt.

Digitales Zertifikat - Ein Mittel, mit dem die Identität nachgewiesen oder die Authentifizierung gemeinhin über eine vertrauenswürdige Drittanbieterin, die als Zertifizierungsstelle bekannt ist, durchgeführt werden kann. Es handelt sich um den öffentlichen Schlüssel eines Subjekts, der vom privaten Schlüssel einer Zertifizierungsstelle unterzeichnet wurde und Textinformationen wie Aussteller, Subjektidentität, Erstellungsdatum, Ablaufdatum, Algorithmen, Seriennummer und Daumenabdruck (d.h. Hash-Wert) verdeutlicht.

DMZ (Demilitarisierte Zone) - Ein Segment oder Subnetz eines privaten Netzwerks, in dem Ressourcen gehostet und von der Allgemeinheit über das Internet abgerufen werden. Die DMZ ist über eine Firewall vom privaten Netzwerk isoliert und wird über eine Firewall vor offensichtlichen Missbräuchen und Angriffen aus dem Internet geschützt.

DOS (Denial of Service) - Ein Angriff, der versucht, den Zugriff auf und die Nutzung einer Ressource zu blockieren. Es ist eine Verletzung der Verfügbarkeit. DOS- (oder DoS-) Angriffe beinhalten Überflutungsangriffe, Verbindungsabbau und Ressourcenbedarf. Ein Flooding-Angriff sendet massive Mengen an Netzwerkverkehr an das Ziel und überlastet die Fähigkeit von Netzwerkgeräten und Servern, die Rohdaten zu verarbeiten. Die Erschöpfung der Verbindung führt immer wieder dazu, dass Verbindungsanforderungen an ein Ziel gestellt werden, um alle mit Verbindungen verbundenen Systemressourcen zu verbrauchen, was den Aufbau oder die Aufrechterhaltung anderer Verbindungen verhindert. Eine Ressourcenanforderung DoS fordert wiederholt eine Ressource von einem Server an, um sie zu sehr zu beschäftigen, um auf andere Anfragen zu reagieren.

Firewall - Ein Sicherheitstool, das eine Hard- oder Softwarelösung sein kann, die zum Filtern des Netzwerkverkehrs verwendet wird. Eine Firewall basiert auf einer impliziten Verweigerungshaltung, bei der der gesamte Datenverkehr standardmäßig blockiert wird. Regeln, Filter oder ACLs können definiert werden, um anzugeben, welcher Traffic die Firewall passieren darf. Fortschrittliche Firewalls können Entscheidungen auf der Grundlage von Benutzerauthentifizierung, Protokoll, Headerwerten und sogar Nutzlastinhalten treffen.

Hacker - Eine Person, die Kenntnisse und Fähigkeiten besitzt, um Programmcode oder ein Computersystem zu analysieren und seine Funktionen oder Operationen zu ändern. Ein Hacker kann ethisch und autorisiert sein (die ursprüngliche Definition) oder bösartig und unbefugt (die geänderte, aber aktuelle Verwendung des Begriffs). Hacker können von Profis, die erfahrene Programmierer sind, bis hin zu denen reichen, die wenig bis gar keine Kenntnisse über die Besonderheiten eines Systems oder Exploits haben, aber den Anweisungen folgen können; in diesem Fall werden sie als Skriptkiddies bezeichnet.

Honeypot - Eine Falle oder ein Köder für Angreifer. Ein Honeypot wird verwendet, um Angreifer abzulenken, um sie daran zu hindern, tatsächliche Produktionssysteme anzugreifen. Es handelt sich um ein falsches System, das so konfiguriert ist, dass es wie ein Produktionssystem aussieht und funktioniert und dort positioniert ist, wo es von einer nicht autorisierten Einheit angetroffen wird, die nach einer Verbindung oder einem Angriffspunkt sucht. Ein Honeypot kann falsche Daten enthalten, um Angreifer dazu zu bringen, viel Zeit und Mühe damit zu verbringen, das falsche System anzugreifen und auszunutzen. Ein Honeypot kann auch in der Lage sein, neue Angriffe oder die Identität der Angreifer zu entdecken.

IDS (Intrusion Detection System) - Ein Sicherheitstool, das versucht, das Vorhandensein von Eindringlingen oder das Auftreten von Sicherheitsverletzungen zu erkennen, um Administratoren zu benachrichtigen, eine detailliertere oder gezieltere Protokollierung zu ermöglichen oder sogar eine Reaktion auszulösen, wie z.B. das Trennen einer Sitzung oder das Blockieren einer IP-Adresse. Ein IDS gilt als ein passiveres Sicherheitstool, da es Angriffe erkennt, nachdem sie bereits eingetreten sind, anstatt sie am Erfolg zu hindern.

IPS (Intrusion Prevention System) - Ein Sicherheitstool, das versucht, Angriffsversuche zu verhindern bevor diese erfolgreich werden. Ein IPS gilt als ein aktiveres Sicherheitstool, da es versucht, proaktiv auf potenzielle Bedrohungen zu reagieren. Ein IPS kann IP-Adressen blockieren, Dienste ausschalten, Ports blockieren und Sitzungen trennen sowie Administratoren benachrichtigen.

Keylogger - Ein Mittel, mit dem die Tastenanschläge eines Opfers aufgezeichnet werden, während sie in die physische Tastatur eingegeben werden. Ein Keylogger kann eine Softwarelösung oder ein Hardwaregerät sein, mit dem alles erfasst wird, was ein Benutzer eingeben könnte, einschließlich Passwörter, Antworten auf geheime Fragen oder Details und Informationen aus E-Mails, Chats und Dokumenten.

Kritische Infrastruktur - Die physischen oder virtuellen Systeme und Vermögenswerte, die für ein Unternehmen oder Land von entscheidender Bedeutung sind. Wenn diese Systeme kompromittiert werden, wäre das Ergebnis katastrophal. Wenn die unternehmenskritischen Prozesse eines Unternehmens unterbrochen werden, kann dies dazu führen, dass das Unternehmen nicht mehr existiert. Wenn die kritische Infrastruktur eines Landes zerstört wird, wird dies schwerwiegende negative Auswirkungen auf die nationale Sicherheit, die wirtschaftliche Stabilität, die Sicherheit und Gesundheit der Bürger, den Verkehr und die Kommunikation haben.

Lauschen - Der Akt des Abhörens einer Transaktion, Kommunikation, Datenübertragung oder Konversation. Das Abhören kann sowohl auf die Datenpaketerfassung über eine Netzwerkverbindung (auch bekannt als Sniffing oder Paketerfassung) als auch auf die Audioaufzeichnung über ein Mikrofon (oder das Hören mit Ohren) angewendet werden.

Malware (bösartige Software) - Jeder Code, der speziell für den Zweck geschrieben wurde, Schaden anzurichten, Informationen offenzulegen oder anderweitig die Sicherheit oder Stabilität eines Systems zu beeinträchtigen. Malware umfasst eine Vielzahl von Arten von bösartigen Programmen, darunter: Virus, Wurm, Trojanisches Pferd, Logikbombe, Backdoor, Remote Access Trojan (RAT), Rootkit, Ransomware und Spyware/Adware.

Packet Sniffing - Der Akt des Sammelns von Frames oder Paketen aus einer Datennetzkommunikation. Diese Aktivität ermöglicht die Auswertung des Headerinhalts sowie der Nutzlast der Netzwerkkommunikation. Das Paketschnüffeln erfordert, dass die Netzwerkschnittstellenkarte in den promiskuitiven Modus versetzt wird, um den MAC-Adressfilter (Media Access Control) zu deaktivieren, der ansonsten alle Netzwerkkommunikation, die nicht für die spezifische lokale Netzwerkschnittstelle bestimmt ist, verwerfen würde.

Patch - Ein Update oder eine Änderung oder ein Betriebssystem oder eine Anwendung. Ein Patch wird häufig verwendet, um Fehler oder Bugs im bereitgestellten Code zu beheben und neue Funktionen und Fähigkeiten einzuführen. Es ist eine gute Sicherheitspraxis, alle Updates und Patches vor der Implementierung zu testen und zu versuchen, über Patches auf dem Laufenden zu bleiben, um die neueste Version des Codes zu erhalten, die die wenigsten bekannten Fehler und Schwachstellen aufweist.

Penetration Test - Ein Mittel zur Sicherheitsbewertung, bei dem automatisierte Tools und manuelle Ausbeutungen von Sicherheits- und Angriffsexperten durchgeführt werden. Ein Penetrationstest verwendet die gleichen Werkzeuge, Techniken und Methoden wie kriminelle Hacker und kann daher Ausfallzeiten und Systemschäden verursachen. Solche Auswertungen können jedoch bei der Sicherung eines Netzwerks helfen, indem sie Fehler aufdecken, die für automatisierte Tools auf Basis von Human- (z.B. Social Engineering) oder physikalischen Angriffskonzepten nicht sichtbar sind.

Phishing - Ein Social-Engineering-Angriff, der versucht, Informationen von Opfern zu sammeln. Phishing-Angriffe können über E-Mail, SMS, über soziale Netzwerke oder über Smartphone-Apps erfolgen. Das Ziel eines Phishing-Angriffs kann es sein, Anmeldeinformationen, Kreditkarteninformationen, Systemkonfigurationsdetails oder andere Unternehmens-, Netzwerk-, Computer- oder persönliche Identitätsinformationen zu erfahren. Phishing-Angriffe sind oft erfolgreich, weil sie legitime Kommunikationen von vertrauenswürdigen Unternehmen oder Gruppen nachahmen, wie beispielsweise falsche E-Mails von einer Bank oder einer Einzelhandelswebsite.

Ransomware - Eine Form von Malware, die die Daten eines Opfers auf seinem Computer als Geisel hält, typischerweise durch eine robuste Verschlüsselung. Es folgt eine Zahlungsaufforderung in Form von Bitcoin, um die Kontrolle über die erfassten Daten an den Nutzer zurückzugeben.

Sandboxing - Ein Mittel zur Isolierung von Anwendungen, Code oder ganzen Betriebssystemen, um Tests oder Auswertungen durchzuführen. Die Sandkiste begrenzt die Aktionen und Ressourcen, die dem eingeschränkten Element zur Verfügung stehen. Dies ermöglicht es, das isolierte Element für die Bewertung zu verwenden und gleichzeitig zu verhindern, dass dem Hostsystem oder verwandten Daten oder Speichermedien Schaden zugefügt wird.

Schwachstelle - Jede Schwachstelle eines Vermögens- oder Sicherheitsschutzes, die eine Bedrohung darstellen würde, die zu Schaden führen könnte. Es kann sich um einen Programmierfehler, einen Konfigurationsfehler, eine Einschränkung des Umfangs oder der Leistungsfähigkeit, einen Fehler in Architektur, Design oder Logik oder einen klugen Missbrauch gültiger Systeme und ihrer Funktionen handeln.

Social Engineering - Ein Angriff, bei dem der Mensch und nicht die Technologie im Mittelpunkt steht. Diese Art von Angriff ist psychologisch und zielt darauf ab, entweder Zugang zu Informationen oder zu einer logischen oder physischen Umgebung zu erhalten. Ein Social-Engineering-Angriff kann verwendet werden, um Zugang zu einer Einrichtung zu erhalten, indem ein Mitarbeiter betrogen wird, indem er die Tür hält, wenn er eine Lieferung durchführt, indem er Zugang zu einem Netzwerk erhält, indem er einen Benutzer betrügt, indem er seine Kontoinformationen an das falsche technische Supportpersonal weitergibt, oder indem er Kopien von Daten erhält, indem er einen Mitarbeiter ermutigt, vertrauliche Materialien in eine E-Mail oder einen Post für soziale Netzwerke einzufügen.

SPAM - Eine Form von unerwünschten Nachrichten oder Mitteilungen, die typischerweise per E-Mail empfangen werden, aber auch über Textnachrichten, soziale Netzwerke oder VoIP erfolgen. Der meiste SPAM ist Werbung, aber einige können bösartigen Code, bösartige Hyperlinks oder bösartige Anhänge beinhalten.

Spear Phishing - Eine Form des Social Engineering Angriffs, der sich an Opfer richtet, die eine bestehende digitale Beziehung zu einer Online-Einheit wie einer Bank oder einer Retail-Website haben. Eine Spear-Phishing-Meldung ist oft eine E-Mail, obwohl es auch Textnachrichten und VoIP-Spear-Phishing-Angriffe gibt, die genau wie eine legitime Kommunikation von einer vertrauenswürdigen Instanz aussehen. Der Angriff veranlasst das Opfer, auf einen Hyperlink zu klicken, um eine Firmenwebsite zu besuchen, nur um dann auf eine falsche Version der von Angreifern betriebenen Website weitergeleitet zu werden. Die falsche Website sieht oft ähnlich aus und funktioniert ähnlich wie die legitime Website und konzentriert sich darauf, dass das Opfer seine Anmeldeinformationen und möglicherweise andere persönliche Identitätsinformationen wie Antworten auf seine Sicherheitsfragen, eine Kontonummer, seine Sozialversicherungsnummer, seine Postanschrift, E-Mail-Adresse und/oder Telefonnummer bereitstellt. Das Ziel eines Speer-Phishing-Angriffs ist es, Identitätsinformationen zum Zwecke der Account-Übernahme oder des Identitätsdiebstahls zu stehlen.

Spoofing - Der Akt der Verfälschung der Identität der Quelle einer Kommunikation oder Interaktion. Es ist möglich, IP-Adresse, MAC-Adresse und E-Mail-Adresse zu fälschen.

Spyware - Eine Form von Malware, die Benutzeraktivitäten überwacht und an eine externe Partei weiterleitet. Spyware kann insofern legitim sein, als sie von einer Werbe- und Marketingagentur betrieben wird, um Kundendemografien zu sammeln. Spyware kann jedoch auch von Angreifern betrieben werden, die das Datenerfassungstool nutzen, um eine Identität zu stehlen oder genug über ein Opfer zu erfahren, um es auf andere Weise zu schädigen.

Trojanisches Pferd (Trojaner) - Eine Form von Malware, bei der eine bösartige Nutzlast in eine gutartige Hostdatei eingebettet ist. Das Opfer wird dazu verleitet zu glauben, dass die einzige abgerufene Datei der sichtbare gutartige Wirt ist. Wenn das Opfer jedoch die Hostdatei verwendet, wird die bösartige Nutzlast automatisch auf seinem Computersystem abgelegt.

Verhaltensüberwachung - Aufzeichnung der Ereignisse und Aktivitäten eines Systems und seiner Benutzer. Die aufgezeichneten Ereignisse werden mit den Sicherheitsrichtlinien und Verhaltensregeln verglichen, um die Einhaltung der Vorschriften zu bewerten und/oder Verstöße zu erkennen. Die Verhaltensüberwachung kann die Verfolgung von Trends, die Festlegung von Schwellenwerten und die Definition von Reaktionen beinhalten. Die Trendverfolgung kann aufzeigen, wenn Fehler zunehmen die technische Unterstützungsdienste erfordern, oder wenn abnormale Auslastungen auftreten, die auf das Vorhandensein von bösartigem Code hinweisen. Schwellenwerte werden verwendet, um das Ausmaß der Aktivität oder der Ereignisse zu definieren, die von Belang sind und eine Reaktion erfordern. Die Werte unterhalb des Schwellenwerts werden aufgezeichnet, lösen aber keine Reaktion aus.

Virus - Eine Form von Malware, die sich oft an eine Hostdatei anhängt. Wenn auf die Hostdatei zugegriffen wird, aktiviert sie den Virus, so dass er andere Objekte infizieren kann. Die meisten Viren verbreiten sich durch menschliche Aktivitäten innerhalb und zwischen Computern. Ein Virus ist typischerweise darauf ausgelegt, Daten zu beschädigen oder zu zerstören, aber verschiedene Viren setzen ihren Angriff mit unterschiedlichen Geschwindigkeiten oder Zielen um. Beispielsweise versuchen einige Viren, Dateien auf einem Computer so schnell wie möglich zu zerstören, während andere dies über Stunden oder Tage hinweg langsam tun.

VPN (Virtual Private Network) - Eine Kommunikationsverbindung zwischen Systemen oder Netzwerken, die typischerweise verschlüsselt ist, um einen sicheren, privaten, isolierten Kommunikationsweg bereitzustellen.

Wurm - Eine Form von Malware, die sich auf die Replikation und Verteilung konzentriert. Ein Wurm ist ein in sich geschlossenes bösartiges Programm, das versucht, sich selbst zu duplizieren und sich auf andere Systeme zu verbreiten. Im Allgemeinen ist der durch einen Wurm verursachte Schaden indirekt und auf die Replikations- und Verteilungsaktivitäten des Wurms zurückzuführen, die alle Systemressourcen verbrauchen. Ein Wurm kann verwendet werden, um andere Formen von Malware auf jedem System, auf das er trifft, abzulegen.

Zwei-Faktor-Authentifizierung - Die Mittel zum Nachweis der Identität unter Verwendung von zwei Authentifizierungsfaktoren, die normalerweise als stärker angesehen werden als jede Einzelfaktor-Authentifizierung. Eine Form der Multi-Faktor-Authentifizierung. Gültige Faktoren für die Authentifizierung sind Typ 1: Etwas, das Sie kennen, wie Passwörter und PINs; Typ 2: Etwas, das Sie haben, wie Smartcards oder OTP-Geräte (One Time Password); und Typ 3: Jemand, der Sie sind, wie Fingerabdrücke oder Retina-Scans (auch bekannt als Biometrie).