Abkürzungen: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
Zeile 101: Zeile 101:
|HTTP || Hypertext Transport Protocol
|HTTP || Hypertext Transport Protocol
HTTP ist ein TCP-Protokoll zur Übertragung von Daten, und die Basis des World Wide Web (WWW) [RFC1945, RFC2616]
HTTP ist ein TCP-Protokoll zur Übertragung von Daten, und die Basis des World Wide Web (WWW) [RFC1945, RFC2616]
|-
|HTTPS
|Hypertext Transfer Protocol Secure
Eine sichere Version von HTTP, die Daten durch Verschlüsselung schützt und die Authentizität sowie Integrität der Kommunikation zwischen Browser und Website gewährleistet \[RFC 2818\].
|- style="vertical-align:top;"
|- style="vertical-align:top;"
|ITSEC || Information Technology Security Evaluation Criteria
|ITSEC || Information Technology Security Evaluation Criteria

Version vom 9. Mai 2024, 08:43 Uhr

Verzeichnis der Abkürzungen und Synonyme

Zur Suche innerhalb des Verzeichnisses bitte die Suchfunktion des Browsers verwenden. ([STRG] + F).

Abkürzung/Begriff Erklärung
Advisory Sicherheitswarnung von Herstellern oder CERTs, die auf eine Schwachstelle oder Angriffsmöglichkeit bei einer Hard- oder Software hinweist.
ANSI American National Standards Institute

Die ANSI ([[1]] ist ein privatwirtschaftliches Standardisierungsorgan der USA.

ALG Application Level Gateway

Ein ALG (Sicherheitsgateway) trennt eine Verbindung zwischen Kommunikationspartnern wie ein Proxy netztechnisch auf und filtert diese auf Anwendungsebene.

API Application Programming Interface

Eine API ist eine dokumentierte Software-Schnittstelle, mit deren Hilfe ein Software-System bestimmte Funktionen eines anderen Software-Systems nutzen kann.

Authentifizierung Die Authentifizierung bezeichnet den Vorgang, die Identität einer Person oder eines Rechnersystems an Hand eines bestimmten Merkmals zu überprüfen.
Authentizität Nachweis über die Echtheit elektronischer Daten (auch Integrität) und die eindeutige Zuordnung zum Verfasser, Ersteller und/oder Absender.
Autorisierung Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist.
BCM

BCMS

Business Continuity Management

Business Continuity Management System BCM bezeichnet alle organisatorischen, technischen und personellen Maßnahmen, die zur Fortführung der Geschäftsprozesse einer Institution nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen. Das BCMS ist das dafür nötige Managementsystem,

BIA Business Impact Analyse

Eine Analyse zur Ermittlung von potentiellen direkten und indirekten Folgeschäden für eine Institution, die durch einen Ausfall eines oder mehrerer Geschäftsprozesse verursacht werden.

Biometrie Biometrie ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale um die Person eindeutig zu authentisieren (z.B. Iris, Fingerabdruck, Gesichtsproportionen, Stimme).
BNetzA Bundesnetzagentur

Regulierungsbehörde für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, sowie Zertifizierungsstelle nach dem Signaturgesetz.

Bot
Botnet
Bot-Netz
Ein Bot-Netz besteht aus sehr vielen PCs, die nach erfolgreichem Angriff (Installation des Bot) ferngesteuert und so missbraucht werden. (z.B. zum Spamversand oder für verteilte Angriffe (DDoS).
Brute-Force-Angriff Ein Angriff bei dem durch massives Ausprobieren aller Möglichkeiten, versucht wird Passworte zu erraten oder Verschlüsselungen zu brechen.
BO Buffer Overflow

Ein Pufferüberlauf (auch Stapel- oder Speicherüberlauf) ist eine häufige Sicherheitslücke in Programmen. Angreifer können dadurch Teile des laufenden Programms überschreiben, so dass dies entweder abstürzt oder gezwungen wird, Aktionen des Angreifers auszuführen.

BSC Basis-Sicherheits-Check (alt)

Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Maßnahmen in einer Organisation bereits umgesetzt sind und welche grundlegenden Sicherheitsmaßnahmen noch fehlen. (gem. BSI Standard 100-2 und Grundschutz Kataloge – nicht mehr gütig)

BSI Bundesamt für Sicherheit in der Informationstechnik

Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

CRL Certificate Revocation List (Sperrlisten)

Liste gesperrter und widerrufener Zertifikate.

CA Certification Authority (Zertifizierungsinstanz)

Eine Zertifizierungsstelle (CA) hat die Aufgabe digitalen Zertifikate herauszugeben und zu überprüfen. Sie trägt dabei die Verantwortung für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate.

CC Common Criteria (Common Criteria for Information Technology Security Evaluation)

Ein internationaler Standard (ISO 15408) für die Bewertung und Zertifizierung der Sicherheit von Computersystemen. Es gibt verschiedene Vertrauenswürdigkeitsstufen (Evaluation Assurance Level), von Stufen "EAL1" (funktionell getestet) bis "EAL7" (formal verifizierter Entwurf und getestet),

CERT
CSIRT
Computer Emergency Response Team
Computer Security Incident Response Team

Ein Team von Sicherheitsexperten und IT-Fachleuten zur Sammlung, Bewertung und Verteilung von Warnmeldungen von Sicherheitslücken und zur Koordination und Management von kritischen Sicherheitsvorfällen.

DIN

Deutsches Institut für Normung Das Deutsche Institut für Normung e. V. ist eine nationale Normungsorganisation in der Bundesrepublik Deutschland.

DMZ Demilitarisierte Zone

Ein Netzbereich mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die darin betriebenen Server.

DN Distinguished Name

Der DN bezeichnet den Pfad von einem Verzeichniseintrag zum Wurzelknoten, so dass durch den DN alle Einträge in einem X.500-Verzeichnis eindeutig adressiert werden können. (z.B. C=//Land//; O=//Firma//; OU=//Abteilung//; CN=//Name//).

DoS
DDoS
Denial-of-Service
Distributed Denial-of-Service

Angriff, bei dem ein IT-System (i.d.R. von Außen) lahmgelegt werden soll. Bei verteilten Angriffen (DDoS) werden Bot-Netze eingesetzt, so dass die Angriffe von verschiedenen Quellen und mit stärkerer Bandbreite erfolgen.

DSB
bDSB
Datenschutzbeauftragter
betrieblicher/behördlicher Datenschutzbeauftragter

DSB bezeichnet die Aufsichtsbehörde (Bund oder Land), wird aber häufig auch für den bDSB (Datenschutzbeauftragten einer Institution). verwendet.

ERP Enterprise-Ressource-Planning

ERP bedeutet die vorhandenen Ressourcen (z.B. Kapital, Personal, Betriebsmittel) möglichst effizient für den betrieblichen Ablauf einzuplanen und dadurch Geschäftsprozesse zu optimieren.

Gefährdung BSI: Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. (vergl. Risiko).
GSC GrundSchutz-Check

Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz definierten Anforderungen in einer Organisation bereits erfüllt sind und welche grundlegenden Anforderungen noch nicht erfüllt sind.

Honeypot Zusätzlich aufgestellte, nicht produktiv genutzte Systeme, die Angreifern ein "schmackhaftes" Angriffsziel bieten. Diese werden besonders überwacht, um Angriffe auf ein Netzwerk zu erkennen und zu protokollieren.
HSM Hardware Security Modul

Ein HSM ist eine speziell gehärtete Hardware-Appliance, zur Erzeugung, Aufbewahrung und Verarbeitung kryptographischer Schlüssel.

Hashwert
Hashfunktion
Ein Hashwert ist eine mathematische Prüfsumme, die durch Anwendung einer Hashfunktion aus einer elektronischen Nachricht erzeugt wird.
HTTP Hypertext Transport Protocol

HTTP ist ein TCP-Protokoll zur Übertragung von Daten, und die Basis des World Wide Web (WWW) [RFC1945, RFC2616]

HTTPS Hypertext Transfer Protocol Secure

Eine sichere Version von HTTP, die Daten durch Verschlüsselung schützt und die Authentizität sowie Integrität der Kommunikation zwischen Browser und Website gewährleistet \[RFC 2818\].

ITSEC Information Technology Security Evaluation Criteria

Ein europäischer Standard für die Prüfung und Zertifizierung von Systemen im Hinblick auf ihre Vertrauenswürdigkeit. Die Zertifizierung erfolgt in Evaluationsstufen (E1 bis E6).

IDS Intrusion Detection System

Hard- und Software, zur Überwachung von Rechnern oder Netzen um Angriffe durch Vergleich mit gespeicherten Angriffsmustern zu erkennt.

ISMS Informations-Sicherheits-Management-System

Ein ISMS beinhaltet die Definition von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

ISO International Organization for Standardization

Die ISO ([[2]]) ist eine internationale Vereinigung landesspezifischer Standardisierungsgremien (z.B. das DIN für Deutschland). Sie verabschiedet internationale Standards in allen technischen Bereichen.

IETF Internet Engineering Task Force

Die IETF ist eine internationale Gemeinschaft, die sich um den reibungslosen Betrieb und die Weiterentwicklung der Internet-Architektur bemüht. Die in der IETF entwickelten Standards und Empfehlungen werden als Request for Comments (RFC) unter [[3]] veröffentlicht.

IT-Verbund
Informationsverbund
Scope
Die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen.
Integrität Bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.
IT-Grundschutz Bezeichnet eine Methodik des BSI zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von Informationsverbünden über Standard-Sicherheitsmaßnahmen.
ISB
InSiBe
ITSB
CISO
CSO
Informationssicherheitsbeauftragter / IT-Sicherheitsbeauftragter
bzw.
Chief Information Security Officer / Chief Security Officer

Eine Person mit Fachkompetenz zur Informationssicherheit in einer Stabsstelle einer Institution, die für alle Aspekte rund um die Informationssicherheit zuständig ist.

IPSec Internet Protocol Security

IPsec ist ein Protokoll, das eine gesicherte (verschlüsselte) Kommunikation über potentiell unsichere IP-Netze ermöglicht.

Keylogger Hard- oder Software zum Mitschneiden von Tastatureingaben. Häufig von Angreifern genutzt um Anmeldeinformationen auszuspähen.
Kumulationseffekt Beschreibt, dass sich der Schutzbedarf eines IT-Systems erhöhen kann, wenn durch Kumulation mehrerer Schäden oder durch mehrere Anwendungen auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann.
LDAP Lightweight Directory Access Protocol

LDAP ist ein TCP-Protokoll mit dem Informationen in ein Verzeichnisdienst gespeichert, abgerufen oder modifiziert werden können.

MAC Message Authentication Code

Ein MAC dient zur Sicherung der Integrität und Authentizität einer Nachricht. Anders als bei einer digitalen Signatur werden hier symmetrische Algorithmen und geheime Schlüssel zur Erstellung und Prüfung des MACs eingesetzt.

MIME Multipurpose Internet Mail Extensions

MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E-Mails und anderer Internetnachrichten festlegt. [RFC1521]

Nichtabstreitbarkeit Die Gewährleistung der Urheberschaft beim Versand oder Empfang von Daten und Informationen. Die Nichtabstreitbarkeit ist eine Voraussetzung für Verbindlichkeit.
NIST National Institute for Standards and Technology

Das NIST ist ein staatliches Standardisierungsinstitut in den USA.

OCR Optical Character Recognition

Unter OCR versteht man die optische Erkennung von Zeichen in Bildern. Z.B. beim Scannen von Dokumenten um aus den gescannten Seiten wieder elektronisch verarbeitbare Textinformationen zu erzeugen.

PSE Personal Security Environment

Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software- oder als Hardware-Lösung (z.B. als SmartCard) realisiert sein.

PIN Personal Identification Number

Eine in der Regel vier- bis achtstellige persönliche Geheimzahl.

PGP Pretty Good Privacy

Ein Programm zur Erzeugung asymmetrischer Schlüssel sowie zur Verschlüsselung und Signatur von Daten. [RFC2440]

PKCS Public Key Cryptography Standards

PKCS ist eine von der Firma RSA Security Inc. entwickelte Reihe von Standards auf Basis von asymmetrischen Kryptoalgorithmen.

PKI Public-Key-Infrastruktur

Eine PKI ist eine technische und organisatorische Infrastruktur, zum Ausstellen, Verteilen und Prüfen digitaler Zertifikate auf der Basis kryptographischer Schlüsselpaare.

Proxy Ein Proxy (Stellvertreter) trennt eine Verbindung zwischen Kommunikationspartnern (Client - Server) netztechnisch auf. Beide Seiten kommunizieren nur mit dem Proxy, der die Informationen zwischen beiden vermittelt.
Risiko Risiko wird unterschiedlich definiert. Beispiel:

Als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens. Als die Kombination einer Bedrohung und einer Schwachstelle.

Rootkit Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.
SHA-1
SHA-2
SHA-3
SHAKE
Secure Hash Algorithm

SHA-1 ist ein im Auftrag der NSA entwickelter Hashalgorithmus (160 Bit Hashwerte).
SHA-2 ist von der NIST als Nachfolger von SHA-1 standardisiert (erlaubt Hashwerte bis 512 Bit).
SHA-3 wurde von der NIST als modernisierte Alternative zu SHA-2 standardisiert (Hashwerte bis 512 Bit (SHA), variable Länge (SHAKE)).

S/MIME Secure Multipurpose Internet Mail Extensions

S/MIME ist ein standardisiertes Format für die Verschlüsselung und Signatur von E-Mails und E-Mail-Anhängen im MIME-Format. [RFC1521, RFC2632, RFC2633]

SPC Software Publishing Certificate

SPC ist eine im Rahmen der Microsoft Authenticode Technologie verwendete Datenstruktur, die bei der Signatur von Programm-Code eingesetzt wird.

Spyware (Spionage-)Software, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software oder an Dritte sendet.
SSH Secure Shell

Bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit denen man eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann.

SSL Secure Socket Layer

SSL ist ein Protokoll zur sicheren (verschlüsselten) Übertragung von Daten, das vor allem zur sicheren Übertragung von Webseiten zwischen Web-Server und Browser eingesetzt wird.

TLS Transport Layer Security

Ein Sicherheitsprotokoll, das bei der Internetkommunikation für Datenschutz und Integrität sorgt. Die Implementierung von TLS ist ein Standardverfahren zur Erstellung sicherer Webanwendungen.

TTS Trouble-Ticket-System

Computergestütztes Vorfallsbearbeitungssystem zur Erfassung, Bearbeitung und termingerechten Beantwortung von Anfragen und Vorgänge.

Trust-Center Trust-Center wird häufig als Synonym für die von einem Zertifizierungsdiensteanbieter betriebenen Infrastrukturen Im Umfeld der elektronischen Signatur verwendet.
Verbindlichkeit Unter Verbindlichkeit versteht man, dass ein Rechtsgeschäft seine rechtliche Wirkung entfaltet. Voraussetzungen hierfür sind häufig die Einhaltung von formalen Erfordernissen (z.B. Schriftform) und das Vorhandensein von Beweismitteln.
Verteilungseffekt Der Verteilungseffekt wirkt sich auf den Schutzbedarf relativierend aus.

Beispiel: Eine Anwendung erfordert eine hohe Verfügbarkeit und läuft redundant auf mehreren IT-Systemen. Damit wird die Verfügbarkeitsanforderung jedes einzelnen IT-Systems niedriger.

Vertraulichkeit Vertraulichkeit ist der Schutz vor ungewollter oder unberechtigter Kenntnisnahme oder Preisgabe von Informationen.
VLAN Virtual Local Area Network

Ein logisch separiertes Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks.

VPN Virtuelles Privates Netz

Bei einem VPN wird ein virtuelles privates Netz in einem öffentlicher Transportnetze (z.B. Internet) geschaffen, in dem die Teilnehmer so wie in einem lokalen Netz kommunizieren können.

Web of Trust In einem Web of Trust soll die Authentizität öffentlicher Schlüssel durch gegenseitige Beglaubigung (Signatur) der Schlüssel sichergestellt werden (z.B. bei PGP).
W3C World Wide Web Consortium

Das World Wide Web Consortium ([4]) entwickelt Spezifikationen, Leitfäden, Software und Werkzeuge, für die Nutzung des World Wide Web (WWW).

WWW World Wide Web

Das WWW ist der bekannteste Teil des Internet, der über das HTTP-Protokoll Webseiten im Browser des Nutzers zur Verfügung stellt.

X.500 X.500 ist eine von der ITU entwickelte Empfehlung für einen (globalen) Verzeichnisdienst.
X.509 X.509 ist eine von der ITU entwickelte Empfehlung für ein Rahmenwerk zur Authentifizierung unter Verwendung asymmetrischer Kryptoalgorithmen.
XML Extensible Markup Language

XML ist ein, von der W3C Arbeitsgruppe entwickelter, Standard zur strukturierten Darstellung von Daten in Textform, die sowohl für Maschinen als auch für Menschen lesbar sind.

Zeitstempel Zeitstempel sind gemäß [ISO18014-1] digitale Daten, mit denen die Existenz bestimmter Daten vor einem bestimmten Zeitpunkt bewiesen werden kann.
Zugriff Zugriff bezeichnet den Zugriff auf (die Nutzung von) Informationen bzw. Daten.
Zutritt Zutritt bezeichnet das Betreten von abgegrenzten Bereichen wie z. B. Gebäude oder Räumen.
Zugang Mit Zugang wird die Nutzung von Ressourcen wie IT-Systemen, System-Komponenten und Netzen bezeichnet um darüber dann ggf. Zugriff auf Informationen oder Daten zu bekommen.
BOS Behörden und Organisationen mit Sicherheitsaufgaben
ITSCM Information Technology Service Continuity Management (IT-Notfallmanagement)

Siehe auch BCM, BCMS.

LÜKEX Ressort- und Länderübergreifende Krisenmanagementübung.
MBCO Minimum Business Continuity Objective (Notbetriebsniveau).
MTA
MTPD
Maximal tolerierbare Ausfallzeit
Maximal Tolerable Period of Disruption
OE Organisationseinheit
PDCA Plan Do Check Act - Regelkreis des kontinuierlichen Verbesserungsprozesses (KVP).
KVP Kontinuierlicher Verbesserungsprozess - Grundprinzip des Qualitätsmanagements nach ISO 9001.
RPA
RPO
RTA
RTO
Recovery Point Actual (Zugesicherter maximaler Datenverlust)
Recovery Point Objective (maximal zulässiger Datenverlust)
Recovery Time Actual (erreichbare Wiederanlaufzeit)

Recovery Time Objective (geforderte Wiederanlaufzeit)

SPoF Single Point of Failure
WAP
WAZ
WHP
Wiederanlaufplan
Wiederanlaufzeit
Wiederherstellungsplan
Krise Schadensereignis, das sich in massiver Weise negativ auf eine Organisation auswirkt und das nicht im Normalbetrieb bewältigt werden kann.
Krisenbewältigung alle Tätigkeiten die dazu dienen, eine Krise zu bewältigen, nachdem sie eingetreten ist.
Lage Eine Lage im Krisenmanagement ist eine sachliche Momentaufnahme des aktuellen Standes einer Krise, um die Auswirkungen bewerten und angemessene Maßnahmen ergreifen zu können.
Lagebild Ein Lagebild ist eine textliche oder visuelle Zusammenfassung relevanter Informationen zu einer Situation, um Entscheidungen zu treffen.
Normalbetrieb planmäßiger Geschäftsbetrieb einer Organisation.
Notbetrieb nach einem Schadensereignis stattfindender, meist eingeschränkter, Geschäftsbetrieb, der die erforderlichen sowie zeitkritischen Funktionen der betroffenen Geschäftsprozesse sicherstellt.
Notfall Unterbrechungen mindestens eines (zeit)kritischen Geschäftsprozesses, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann.
Notfallbeauftragter (auch Business Continuity Manager) ist für den Aufbau, den Betrieb und die kontinuierliche Verbesserung des Notfallmanagements (auch Business Continuity Management) verantwortlich.
Notfallhandbuch
Notfallkonzept
Notfallvorsorgekonzept
Dokument mit allen Informationen, die für die Notfallbewältigung benötigt werden Das Dokument umfasst z. B. Notfallpläne, die Geschäftsordnung des Stabes und das Kommunikationskonzept für Notfälle.
Notfallplanung
Notfallvorsorge
Vorsorgemaßnahme
Alle geplanten präventiven Maßnahmen zum Schutz der Organisation vor Notfällen und Bewältigung von Notfällen.
Störung Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann.
Wiederanlauf alle Maßnahmen, um strukturiert in einen (vorab geregelten) Notbetrieb wechseln zu können.
Wiederherstellung geordnete Rückkehr in einen Zustand, in dem der Normalbetrieb aller Geschäftsprozesse wieder möglich ist.