Abkürzungen: Unterschied zwischen den Versionen

Die ANSI ([[1]] ist ein privatwirtschaftliches Standardisierungsorgan der USA.

Ein ALG (Sicherheitsgateway) trennt eine Verbindung zwischen Kommunikationspartnern wie ein Proxy netztechnisch auf und filtert diese auf Anwendungsebene.

Eine API ist eine dokumentierte Software-Schnittstelle, mit deren Hilfe ein Software-System bestimmte Funktionen eines anderen Software-Systems nutzen kann.

BCMS

Business Continuity Management System BCM bezeichnet alle organisatorischen, technischen und personellen Maßnahmen, die zur Fortführung der Geschäftsprozesse einer Institution nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen. Das BCMS ist das dafür nötige Managementsystem,

Eine Analyse zur Ermittlung von potentiellen direkten und indirekten Folgeschäden für eine Institution, die durch einen Ausfall eines oder mehrerer Geschäftsprozesse verursacht werden.

Regulierungsbehörde für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, sowie Zertifizierungsstelle nach dem Signaturgesetz.

Ein Pufferüberlauf (auch Stapel- oder Speicherüberlauf) ist eine häufige Sicherheitslücke in Programmen. Angreifer können dadurch Teile des laufenden Programms überschreiben, so dass dies entweder abstürzt oder gezwungen wird, Aktionen des Angreifers auszuführen.

Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Maßnahmen in einer Organisation bereits umgesetzt sind und welche grundlegenden Sicherheitsmaßnahmen noch fehlen. (gem. BSI Standard 100-2 und Grundschutz Kataloge – nicht mehr gütig)

Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

Liste gesperrter und widerrufener Zertifikate.

Eine Zertifizierungsstelle (CA) hat die Aufgabe digitalen Zertifikate herauszugeben und zu überprüfen. Sie trägt dabei die Verantwortung für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate.

Ein internationaler Standard (ISO 15408) für die Bewertung und Zertifizierung der Sicherheit von Computersystemen. Es gibt verschiedene Vertrauenswürdigkeitsstufen (Evaluation Assurance Level), von Stufen "EAL1" (funktionell getestet) bis "EAL7" (formal verifizierter Entwurf und getestet),

Ein Team von Sicherheitsexperten und IT-Fachleuten zur Sammlung, Bewertung und Verteilung von Warnmeldungen von Sicherheitslücken und zur Koordination und Management von kritischen Sicherheitsvorfällen.

Deutsches Institut für Normung Das Deutsche Institut für Normung e. V. ist eine nationale Normungsorganisation in der Bundesrepublik Deutschland.

Ein E-Mail-Authentifizierungsstandard, der es ermöglicht, den Absender einer E-Mail-Nachricht zu überprüfen und sicherzustellen, dass die Nachricht während der Übertragung nicht verändert wurde.

Ein E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofing zu verhindern. Es baut auf den bestehenden Technologien SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail)

Ein Netzbereich mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die darin betriebenen Server.

Der DN bezeichnet den Pfad von einem Verzeichniseintrag zum Wurzelknoten, so dass durch den DN alle Einträge in einem X.500-Verzeichnis eindeutig adressiert werden können. (z.B. C=//Land//; O=//Firma//; OU=//Abteilung//; CN=//Name//).

Angriff, bei dem ein IT-System (i.d.R. von Außen) lahmgelegt werden soll. Bei verteilten Angriffen (DDoS) werden Bot-Netze eingesetzt, so dass die Angriffe von verschiedenen Quellen und mit stärkerer Bandbreite erfolgen.

DSB bezeichnet die Aufsichtsbehörde (Bund oder Land), wird aber häufig auch für den bDSB (Datenschutzbeauftragten einer Institution). verwendet.

ERP bedeutet die vorhandenen Ressourcen (z.B. Kapital, Personal, Betriebsmittel) möglichst effizient für den betrieblichen Ablauf einzuplanen und dadurch Geschäftsprozesse zu optimieren.

Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz definierten Anforderungen in einer Organisation bereits erfüllt sind und welche grundlegenden Anforderungen noch nicht erfüllt sind.

Ein HSM ist eine speziell gehärtete Hardware-Appliance, zur Erzeugung, Aufbewahrung und Verarbeitung kryptographischer Schlüssel.

HTTP ist ein TCP-Protokoll zur Übertragung von Daten, und die Basis des World Wide Web (WWW) [RFC1945, RFC2616]

Eine sichere Version von HTTP, die Daten durch Verschlüsselung schützt und die Authentizität sowie Integrität der Kommunikation zwischen Browser und Website gewährleistet [RFC 2818].

Ein europäischer Standard für die Prüfung und Zertifizierung von Systemen im Hinblick auf ihre Vertrauenswürdigkeit. Die Zertifizierung erfolgt in Evaluationsstufen (E1 bis E6).

Hard- und Software, zur Überwachung von Rechnern oder Netzen um Angriffe durch Vergleich mit gespeicherten Angriffsmustern zu erkennt.

Ein ISMS beinhaltet die Definition von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Die ISO ([[2]]) ist eine internationale Vereinigung landesspezifischer Standardisierungsgremien (z.B. das DIN für Deutschland). Sie verabschiedet internationale Standards in allen technischen Bereichen.

Die IETF ist eine internationale Gemeinschaft, die sich um den reibungslosen Betrieb und die Weiterentwicklung der Internet-Architektur bemüht. Die in der IETF entwickelten Standards und Empfehlungen werden als Request for Comments (RFC) unter [[3]] veröffentlicht.

Eine Person mit Fachkompetenz zur Informationssicherheit in einer Stabsstelle einer Institution, die für alle Aspekte rund um die Informationssicherheit zuständig ist.

IPsec ist ein Protokoll, das eine gesicherte (verschlüsselte) Kommunikation über potentiell unsichere IP-Netze ermöglicht.

LDAP ist ein TCP-Protokoll mit dem Informationen in ein Verzeichnisdienst gespeichert, abgerufen oder modifiziert werden können.

Ein MAC dient zur Sicherung der Integrität und Authentizität einer Nachricht. Anders als bei einer digitalen Signatur werden hier symmetrische Algorithmen und geheime Schlüssel zur Erstellung und Prüfung des MACs eingesetzt.

MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E-Mails und anderer Internetnachrichten festlegt. [RFC1521]

NIS2

Das NIST ist ein staatliches Standardisierungsinstitut in den USA.

Unter OCR versteht man die optische Erkennung von Zeichen in Bildern. Z.B. beim Scannen von Dokumenten um aus den gescannten Seiten wieder elektronisch verarbeitbare Textinformationen zu erzeugen.

Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software- oder als Hardware-Lösung (z.B. als SmartCard) realisiert sein.

Eine in der Regel vier- bis achtstellige persönliche Geheimzahl.

Ein Programm zur Erzeugung asymmetrischer Schlüssel sowie zur Verschlüsselung und Signatur von Daten. [RFC2440]

PKCS ist eine von der Firma RSA Security Inc. entwickelte Reihe von Standards auf Basis von asymmetrischen Kryptoalgorithmen.

Eine PKI ist eine technische und organisatorische Infrastruktur, zum Ausstellen, Verteilen und Prüfen digitaler Zertifikate auf der Basis kryptographischer Schlüsselpaare.

Als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens. Als die Kombination einer Bedrohung und einer Schwachstelle.

SHA-1 ist ein im Auftrag der NSA entwickelter Hashalgorithmus (160 Bit Hashwerte).
SHA-2 ist von der NIST als Nachfolger von SHA-1 standardisiert (erlaubt Hashwerte bis 512 Bit).
SHA-3 wurde von der NIST als modernisierte Alternative zu SHA-2 standardisiert (Hashwerte bis 512 Bit (SHA), variable Länge (SHAKE)).

S/MIME ist ein standardisiertes Format für die Verschlüsselung und Signatur von E-Mails und E-Mail-Anhängen im MIME-Format. [RFC1521, RFC2632, RFC2633]

SPC ist eine im Rahmen der Microsoft Authenticode Technologie verwendete Datenstruktur, die bei der Signatur von Programm-Code eingesetzt wird.

Ein E-Mail-Authentifizierungsstandard, der E-Mail-Spoofing verhindern soll, indem er es dem empfangenden Mailserver ermöglicht zu überprüfen, ob eine E-Mail von einem autorisierten Mailserver der absendenden Domain gesendet wurde.

Bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit denen man eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann.

SSL ist ein Protokoll zur sicheren (verschlüsselten) Übertragung von Daten, das vor allem zur sicheren Übertragung von Webseiten zwischen Web-Server und Browser eingesetzt wird.

Ein Sicherheitsprotokoll, das bei der Internetkommunikation für Datenschutz und Integrität sorgt. Die Implementierung von TLS ist ein Standardverfahren zur Erstellung sicherer Webanwendungen.

Computergestütztes Vorfallsbearbeitungssystem zur Erfassung, Bearbeitung und termingerechten Beantwortung von Anfragen und Vorgänge.

Beispiel: Eine Anwendung erfordert eine hohe Verfügbarkeit und läuft redundant auf mehreren IT-Systemen. Damit wird die Verfügbarkeitsanforderung jedes einzelnen IT-Systems niedriger.

Ein logisch separiertes Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks.

Bei einem VPN wird ein virtuelles privates Netz in einem öffentlicher Transportnetze (z.B. Internet) geschaffen, in dem die Teilnehmer so wie in einem lokalen Netz kommunizieren können.

Das World Wide Web Consortium ([4]) entwickelt Spezifikationen, Leitfäden, Software und Werkzeuge, für die Nutzung des World Wide Web (WWW).

Das WWW ist der bekannteste Teil des Internet, der über das HTTP-Protokoll Webseiten im Browser des Nutzers zur Verfügung stellt.

XML ist ein, von der W3C Arbeitsgruppe entwickelter, Standard zur strukturierten Darstellung von Daten in Textform, die sowohl für Maschinen als auch für Menschen lesbar sind.

Siehe auch BCM, BCMS.

Recovery Time Objective (geforderte Wiederanlaufzeit)

Virus

Würmer

Eine langandauernde und zielgerichtete Cyberangriffskampagne, die oft von staatlichen Akteuren ausgeht.

Das Internet of Things (Internet der Dinge) bezeichnet ein Netzwerk von physischen Geräten, Fahrzeugen, Gebäuden und anderen Objekten, die über das Internet miteinander verbunden sind und Daten austauschen können.

KI

ML entwickelt, untersucht und verwendet Lernalgorithmen, um Lösungen für Probleme zu lernen, die zu kompliziert sind, um sie mit Regeln zu beschreiben, zu denen es aber viele Daten gibt, die als Beispiele für die gewünschte Lösung dienen können.

CI/CD

GDPR

Die DSGVO ist eine Verordnung der EU zum Schutz personenbezogener Daten.

Ein Zugriffskontrollmodell, das den Zugriff auf IT-Ressourcen basierend auf den Rollen von Benutzenden im Unternehmen steuert.

Eine Firewall, die speziell den Datenverkehr von Webanwendungen filtert und schützt.

Ein offener Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Parteien, insbesondere in Single-Sign-On (SSO)-Systemen.

Eine Authentifizierungsmethode, die es Benutzerinnen und Benutzern ermöglicht, sich mit einem einzigen Satz von Anmeldedaten bei mehreren, unabhängigen Software-Systemen anzumelden.

Ein offenes Protokoll, das es Drittanbietern ermöglicht, im Namen eines Benutzers auf Ressourcen zuzugreifen, ohne dass die Anmeldeinformationen offengelegt werden müssen.

Ein Authentifizierungsprotokoll, das auf OAuth 2.0 basiert und es ermöglicht, die Identität eines Benutzers basierend auf einem Autorisierungsvorgang zu bestätigen.

Eine Sicherheitsmaßnahme, bei der der Benutzer mehrere Formen von Authentifizierungsnachweisen (z.B. Passwort und biometrische Daten) angeben muss, um Zugang zu einem System zu erhalten.

Ein kompaktes, URL-sicheres Mittel zur Übertragung von Ansprüchen zwischen zwei Parteien, typischerweise zur Authentifizierung und Informationsübertragung in Webanwendungen verwendet.

Ein Einmal-Passwort, das auf einem geheimen Schlüssel und der aktuellen Zeit basiert, häufig in MFA-Implementierungen verwendet.

Sicherheitsstrategien und -tools zur Verwaltung und Überwachung von privilegierten Benutzerkonten mit erweiterten Rechten, um Missbrauch zu verhindern.

Ein Authentifizierungsstandard, der starke Authentifizierung ohne Passwörter ermöglicht, häufig durch den Einsatz von biometrischen Daten oder physischen Sicherheitsschlüsseln.

Ein temporäres Passwort, das nur einmal für eine Anmeldung oder Transaktion verwendet werden kann. Es wird oft per SMS, E-Mail oder über eine App generiert und ist nach einmaliger Nutzung oder nach einer kurzen Zeitspanne ungültig.