Abkürzungen
Verzeichnis der Abkürzungen und Synonyme
Zur Suche innerhalb des Verzeichnisses bitte die Suchfunktion des Browsers verwenden. ([STRG] + F).
Abkürzung/Begriff | Erklärung |
---|---|
Advisory | Sicherheitswarnung von Herstellern oder CERTs, die auf eine Schwachstelle oder Angriffsmöglichkeit bei einer Hard- oder Software hinweist. |
ANSI | American National Standards Institute
Die ANSI ([[1]] ist ein privatwirtschaftliches Standardisierungsorgan der USA. |
ALG | Application Level Gateway
Ein ALG (Sicherheitsgateway) trennt eine Verbindung zwischen Kommunikationspartnern wie ein Proxy netztechnisch auf und filtert diese auf Anwendungsebene. |
API | Application Programming Interface
Eine API ist eine dokumentierte Software-Schnittstelle, mit deren Hilfe ein Software-System bestimmte Funktionen eines anderen Software-Systems nutzen kann. |
Authentifizierung | Die Authentifizierung bezeichnet den Vorgang, die Identität einer Person oder eines Rechnersystems an Hand eines bestimmten Merkmals zu überprüfen. |
Authentizität | Nachweis über die Echtheit elektronischer Daten (auch Integrität) und die eindeutige Zuordnung zum Verfasser, Ersteller und/oder Absender. |
Autorisierung | Bei einer Autorisierung wird geprüft, ob eine Person, IT-Komponente oder Anwendung zur Durchführung einer bestimmten Aktion berechtigt ist. |
BCM
BCMS |
Business Continuity Management
Business Continuity Management System BCM bezeichnet alle organisatorischen, technischen und personellen Maßnahmen, die zur Fortführung der Geschäftsprozesse einer Institution nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen. Das BCMS ist das dafür nötige Managementsystem, |
BIA | Business Impact Analyse
Eine Analyse zur Ermittlung von potentiellen direkten und indirekten Folgeschäden für eine Institution, die durch einen Ausfall eines oder mehrerer Geschäftsprozesse verursacht werden. |
Biometrie | Biometrie ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale um die Person eindeutig zu authentisieren (z.B. Iris, Fingerabdruck, Gesichtsproportionen, Stimme). |
BNetzA | Bundesnetzagentur
Regulierungsbehörde für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, sowie Zertifizierungsstelle nach dem Signaturgesetz. |
Bot Botnet Bot-Netz |
Ein Bot-Netz besteht aus sehr vielen PCs, die nach erfolgreichem Angriff (Installation des Bot) ferngesteuert und so missbraucht werden. (z.B. zum Spamversand oder für verteilte Angriffe (DDoS). |
Brute-Force-Angriff | Ein Angriff bei dem durch massives Ausprobieren aller Möglichkeiten, versucht wird Passworte zu erraten oder Verschlüsselungen zu brechen. |
BO | Buffer Overflow
Ein Pufferüberlauf (auch Stapel- oder Speicherüberlauf) ist eine häufige Sicherheitslücke in Programmen. Angreifer können dadurch Teile des laufenden Programms überschreiben, so dass dies entweder abstürzt oder gezwungen wird, Aktionen des Angreifers auszuführen. |
BSC | Basis-Sicherheits-Check (alt)
Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Maßnahmen in einer Organisation bereits umgesetzt sind und welche grundlegenden Sicherheitsmaßnahmen noch fehlen. (gem. BSI Standard 100-2 und Grundschutz Kataloge – nicht mehr gütig) |
BSI | Bundesamt für Sicherheit in der Informationstechnik
Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft. |
CRL | Certificate Revocation List (Sperrlisten)
Liste gesperrter und widerrufener Zertifikate. |
CA | Certification Authority (Zertifizierungsinstanz)
Eine Zertifizierungsstelle (CA) hat die Aufgabe digitalen Zertifikate herauszugeben und zu überprüfen. Sie trägt dabei die Verantwortung für die Bereitstellung, Zuweisung und Integritätssicherung der von ihr ausgegebenen Zertifikate. |
CC | Common Criteria (Common Criteria for Information Technology Security Evaluation)
Ein internationaler Standard (ISO 15408) für die Bewertung und Zertifizierung der Sicherheit von Computersystemen. Es gibt verschiedene Vertrauenswürdigkeitsstufen (Evaluation Assurance Level), von Stufen "EAL1" (funktionell getestet) bis "EAL7" (formal verifizierter Entwurf und getestet), |
CERT CSIRT |
Computer Emergency Response Team Computer Security Incident Response Team Ein Team von Sicherheitsexperten und IT-Fachleuten zur Sammlung, Bewertung und Verteilung von Warnmeldungen von Sicherheitslücken und zur Koordination und Management von kritischen Sicherheitsvorfällen. |
DIN |
Deutsches Institut für Normung Das Deutsche Institut für Normung e. V. ist eine nationale Normungsorganisation in der Bundesrepublik Deutschland. |
DKIM | DomainKeys Identified Mail
Ein E-Mail-Authentifizierungsstandard, der es ermöglicht, den Absender einer E-Mail-Nachricht zu überprüfen und sicherzustellen, dass die Nachricht während der Übertragung nicht verändert wurde. |
DMARC | Domain-based Message Authentication, Reporting, and Conformance (DMARC)
Ein E-Mail-Authentifizierungsprotokoll, das entwickelt wurde, um E-Mail-Spoofing zu verhindern. Es baut auf den bestehenden Technologien SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) |
DMZ | Demilitarisierte Zone
Ein Netzbereich mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die darin betriebenen Server. |
DN | Distinguished Name
Der DN bezeichnet den Pfad von einem Verzeichniseintrag zum Wurzelknoten, so dass durch den DN alle Einträge in einem X.500-Verzeichnis eindeutig adressiert werden können. (z.B. C=//Land//; O=//Firma//; OU=//Abteilung//; CN=//Name//). |
DoS DDoS |
Denial-of-Service Distributed Denial-of-Service Angriff, bei dem ein IT-System (i.d.R. von Außen) lahmgelegt werden soll. Bei verteilten Angriffen (DDoS) werden Bot-Netze eingesetzt, so dass die Angriffe von verschiedenen Quellen und mit stärkerer Bandbreite erfolgen. |
DSB bDSB |
Datenschutzbeauftragter betrieblicher/behördlicher Datenschutzbeauftragter DSB bezeichnet die Aufsichtsbehörde (Bund oder Land), wird aber häufig auch für den bDSB (Datenschutzbeauftragten einer Institution). verwendet. |
ERP | Enterprise-Ressource-Planning
ERP bedeutet die vorhandenen Ressourcen (z.B. Kapital, Personal, Betriebsmittel) möglichst effizient für den betrieblichen Ablauf einzuplanen und dadurch Geschäftsprozesse zu optimieren. |
Gefährdung | BSI: Eine Gefährdung ist eine Bedrohung, die konkret über eine Schwachstelle auf ein Objekt einwirkt. Eine Bedrohung wird somit erst durch eine vorhandene Schwachstelle zur Gefährdung für ein Objekt. (vergl. Risiko). |
GSC | GrundSchutz-Check
Bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz definierten Anforderungen in einer Organisation bereits erfüllt sind und welche grundlegenden Anforderungen noch nicht erfüllt sind. |
Honeypot | Zusätzlich aufgestellte, nicht produktiv genutzte Systeme, die Angreifern ein "schmackhaftes" Angriffsziel bieten. Diese werden besonders überwacht, um Angriffe auf ein Netzwerk zu erkennen und zu protokollieren. |
HSM | Hardware Security Modul
Ein HSM ist eine speziell gehärtete Hardware-Appliance, zur Erzeugung, Aufbewahrung und Verarbeitung kryptographischer Schlüssel. |
Hashwert Hashfunktion |
Ein Hashwert ist eine mathematische Prüfsumme, die durch Anwendung einer Hashfunktion aus einer elektronischen Nachricht erzeugt wird. |
HTTP | Hypertext Transport Protocol
HTTP ist ein TCP-Protokoll zur Übertragung von Daten, und die Basis des World Wide Web (WWW) [RFC1945, RFC2616] |
HTTPS | Hypertext Transfer Protocol Secure
Eine sichere Version von HTTP, die Daten durch Verschlüsselung schützt und die Authentizität sowie Integrität der Kommunikation zwischen Browser und Website gewährleistet [RFC 2818]. |
ITSEC | Information Technology Security Evaluation Criteria
Ein europäischer Standard für die Prüfung und Zertifizierung von Systemen im Hinblick auf ihre Vertrauenswürdigkeit. Die Zertifizierung erfolgt in Evaluationsstufen (E1 bis E6). |
IDS | Intrusion Detection System
Hard- und Software, zur Überwachung von Rechnern oder Netzen um Angriffe durch Vergleich mit gespeicherten Angriffsmustern zu erkennt. |
ISMS | Informations-Sicherheits-Management-System
Ein ISMS beinhaltet die Definition von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. |
ISO | International Organization for Standardization
Die ISO ([[2]]) ist eine internationale Vereinigung landesspezifischer Standardisierungsgremien (z.B. das DIN für Deutschland). Sie verabschiedet internationale Standards in allen technischen Bereichen. |
IETF | Internet Engineering Task Force
Die IETF ist eine internationale Gemeinschaft, die sich um den reibungslosen Betrieb und die Weiterentwicklung der Internet-Architektur bemüht. Die in der IETF entwickelten Standards und Empfehlungen werden als Request for Comments (RFC) unter [[3]] veröffentlicht. |
IT-Verbund Informationsverbund Scope |
Die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. |
Integrität | Bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. |
IT-Grundschutz | Bezeichnet eine Methodik des BSI zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von Informationsverbünden über Standard-Sicherheitsmaßnahmen. |
ISB InSiBe ITSB CISO CSO |
Informationssicherheitsbeauftragter / IT-Sicherheitsbeauftragter bzw. Chief Information Security Officer / Chief Security Officer Eine Person mit Fachkompetenz zur Informationssicherheit in einer Stabsstelle einer Institution, die für alle Aspekte rund um die Informationssicherheit zuständig ist. |
IPSec | Internet Protocol Security
IPsec ist ein Protokoll, das eine gesicherte (verschlüsselte) Kommunikation über potentiell unsichere IP-Netze ermöglicht. |
Keylogger | Hard- oder Software zum Mitschneiden von Tastatureingaben. Häufig von Angreifern genutzt um Anmeldeinformationen auszuspähen. |
Kumulationseffekt | Beschreibt, dass sich der Schutzbedarf eines IT-Systems erhöhen kann, wenn durch Kumulation mehrerer Schäden oder durch mehrere Anwendungen auf einem IT-System ein insgesamt höherer Gesamtschaden entstehen kann. |
LDAP | Lightweight Directory Access Protocol
LDAP ist ein TCP-Protokoll mit dem Informationen in ein Verzeichnisdienst gespeichert, abgerufen oder modifiziert werden können. |
MAC | Message Authentication Code
Ein MAC dient zur Sicherung der Integrität und Authentizität einer Nachricht. Anders als bei einer digitalen Signatur werden hier symmetrische Algorithmen und geheime Schlüssel zur Erstellung und Prüfung des MACs eingesetzt. |
MIME | Multipurpose Internet Mail Extensions
MIME ist ein Kodierstandard, der die Struktur und den Aufbau von E-Mails und anderer Internetnachrichten festlegt. [RFC1521] |
Nichtabstreitbarkeit | Die Gewährleistung der Urheberschaft beim Versand oder Empfang von Daten und Informationen. Die Nichtabstreitbarkeit ist eine Voraussetzung für Verbindlichkeit. |
NIS
NIS2 |
Die NIS2-Richtlinie (Network and Information Security Directive 2) ist eine überarbeitete Version der ursprünglichen NIS-Richtlinie der Europäischen Union. Sie zielt darauf ab, die Cybersicherheit in Europa zu verbessern und ist besonders relevant für Betreiber wesentlicher Dienste und digitale Dienste. |
NIST | National Institute for Standards and Technology
Das NIST ist ein staatliches Standardisierungsinstitut in den USA. |
OCR | Optical Character Recognition
Unter OCR versteht man die optische Erkennung von Zeichen in Bildern. Z.B. beim Scannen von Dokumenten um aus den gescannten Seiten wieder elektronisch verarbeitbare Textinformationen zu erzeugen. |
PSE | Personal Security Environment
Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software- oder als Hardware-Lösung (z.B. als SmartCard) realisiert sein. |
PIN | Personal Identification Number
Eine in der Regel vier- bis achtstellige persönliche Geheimzahl. |
PGP | Pretty Good Privacy
Ein Programm zur Erzeugung asymmetrischer Schlüssel sowie zur Verschlüsselung und Signatur von Daten. [RFC2440] |
PKCS | Public Key Cryptography Standards
PKCS ist eine von der Firma RSA Security Inc. entwickelte Reihe von Standards auf Basis von asymmetrischen Kryptoalgorithmen. |
PKI | Public-Key-Infrastruktur
Eine PKI ist eine technische und organisatorische Infrastruktur, zum Ausstellen, Verteilen und Prüfen digitaler Zertifikate auf der Basis kryptographischer Schlüsselpaare. |
Proxy | Ein Proxy (Stellvertreter) trennt eine Verbindung zwischen Kommunikationspartnern (Client - Server) netztechnisch auf. Beide Seiten kommunizieren nur mit dem Proxy, der die Informationen zwischen beiden vermittelt. |
Risiko | Risiko wird unterschiedlich definiert. Beispiel:
Als die Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens. Als die Kombination einer Bedrohung und einer Schwachstelle. |
Rootkit | Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken. |
SHA-1 SHA-2 SHA-3 SHAKE |
Secure Hash Algorithm
SHA-1 ist ein im Auftrag der NSA entwickelter Hashalgorithmus (160 Bit Hashwerte). |
S/MIME | Secure Multipurpose Internet Mail Extensions
S/MIME ist ein standardisiertes Format für die Verschlüsselung und Signatur von E-Mails und E-Mail-Anhängen im MIME-Format. [RFC1521, RFC2632, RFC2633] |
SPC | Software Publishing Certificate
SPC ist eine im Rahmen der Microsoft Authenticode Technologie verwendete Datenstruktur, die bei der Signatur von Programm-Code eingesetzt wird. |
SPF | Sender Policy Framework
Ein E-Mail-Authentifizierungsstandard, der E-Mail-Spoofing verhindern soll, indem er es dem empfangenden Mailserver ermöglicht zu überprüfen, ob eine E-Mail von einem autorisierten Mailserver der absendenden Domain gesendet wurde. |
Spyware | (Spionage-)Software, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software oder an Dritte sendet. |
SSH | Secure Shell
Bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit denen man eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann. |
SSL | Secure Socket Layer
SSL ist ein Protokoll zur sicheren (verschlüsselten) Übertragung von Daten, das vor allem zur sicheren Übertragung von Webseiten zwischen Web-Server und Browser eingesetzt wird. |
TLS | Transport Layer Security
Ein Sicherheitsprotokoll, das bei der Internetkommunikation für Datenschutz und Integrität sorgt. Die Implementierung von TLS ist ein Standardverfahren zur Erstellung sicherer Webanwendungen. |
TTS | Trouble-Ticket-System
Computergestütztes Vorfallsbearbeitungssystem zur Erfassung, Bearbeitung und termingerechten Beantwortung von Anfragen und Vorgänge. |
Trust-Center | Trust-Center wird häufig als Synonym für die von einem Zertifizierungsdiensteanbieter betriebenen Infrastrukturen Im Umfeld der elektronischen Signatur verwendet. |
Verbindlichkeit | Unter Verbindlichkeit versteht man, dass ein Rechtsgeschäft seine rechtliche Wirkung entfaltet. Voraussetzungen hierfür sind häufig die Einhaltung von formalen Erfordernissen (z.B. Schriftform) und das Vorhandensein von Beweismitteln. |
Verteilungseffekt | Der Verteilungseffekt wirkt sich auf den Schutzbedarf relativierend aus.
Beispiel: Eine Anwendung erfordert eine hohe Verfügbarkeit und läuft redundant auf mehreren IT-Systemen. Damit wird die Verfügbarkeitsanforderung jedes einzelnen IT-Systems niedriger. |
Vertraulichkeit | Vertraulichkeit ist der Schutz vor ungewollter oder unberechtigter Kenntnisnahme oder Preisgabe von Informationen. |
VLAN | Virtual Local Area Network
Ein logisch separiertes Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks. |
VPN | Virtuelles Privates Netz
Bei einem VPN wird ein virtuelles privates Netz in einem öffentlicher Transportnetze (z.B. Internet) geschaffen, in dem die Teilnehmer so wie in einem lokalen Netz kommunizieren können. |
Web of Trust | In einem Web of Trust soll die Authentizität öffentlicher Schlüssel durch gegenseitige Beglaubigung (Signatur) der Schlüssel sichergestellt werden (z.B. bei PGP). |
W3C | World Wide Web Consortium
Das World Wide Web Consortium ([4]) entwickelt Spezifikationen, Leitfäden, Software und Werkzeuge, für die Nutzung des World Wide Web (WWW). |
WWW | World Wide Web
Das WWW ist der bekannteste Teil des Internet, der über das HTTP-Protokoll Webseiten im Browser des Nutzers zur Verfügung stellt. |
X.500 | X.500 ist eine von der ITU entwickelte Empfehlung für einen (globalen) Verzeichnisdienst. |
X.509 | X.509 ist eine von der ITU entwickelte Empfehlung für ein Rahmenwerk zur Authentifizierung unter Verwendung asymmetrischer Kryptoalgorithmen. |
XML | Extensible Markup Language
XML ist ein, von der W3C Arbeitsgruppe entwickelter, Standard zur strukturierten Darstellung von Daten in Textform, die sowohl für Maschinen als auch für Menschen lesbar sind. |
Zeitstempel | Zeitstempel sind gemäß [ISO18014-1] digitale Daten, mit denen die Existenz bestimmter Daten vor einem bestimmten Zeitpunkt bewiesen werden kann. |
Zugriff | Zugriff bezeichnet den Zugriff auf (die Nutzung von) Informationen bzw. Daten. |
Zutritt | Zutritt bezeichnet das Betreten von abgegrenzten Bereichen wie z. B. Gebäude oder Räumen. |
Zugang | Mit Zugang wird die Nutzung von Ressourcen wie IT-Systemen, System-Komponenten und Netzen bezeichnet um darüber dann ggf. Zugriff auf Informationen oder Daten zu bekommen. |
BOS | Behörden und Organisationen mit Sicherheitsaufgaben |
ITSCM | Information Technology Service Continuity Management (IT-Notfallmanagement)
Siehe auch BCM, BCMS. |
LÜKEX | Ressort- und Länderübergreifende Krisenmanagementübung. |
MBCO | Minimum Business Continuity Objective (Notbetriebsniveau). |
MTA MTPD |
Maximal tolerierbare Ausfallzeit Maximal Tolerable Period of Disruption |
OE | Organisationseinheit |
PDCA | Plan Do Check Act - Regelkreis des kontinuierlichen Verbesserungsprozesses (KVP). |
KVP | Kontinuierlicher Verbesserungsprozess - Grundprinzip des Qualitätsmanagements nach ISO 9001. |
RPA RPO RTA RTO |
Recovery Point Actual (Zugesicherter maximaler Datenverlust) Recovery Point Objective (maximal zulässiger Datenverlust) Recovery Time Actual (erreichbare Wiederanlaufzeit) Recovery Time Objective (geforderte Wiederanlaufzeit) |
SPoF | Single Point of Failure |
WAP WAZ WHP |
Wiederanlaufplan Wiederanlaufzeit Wiederherstellungsplan |
Krise | Schadensereignis, das sich in massiver Weise negativ auf eine Organisation auswirkt und das nicht im Normalbetrieb bewältigt werden kann. |
Krisenbewältigung | alle Tätigkeiten die dazu dienen, eine Krise zu bewältigen, nachdem sie eingetreten ist. |
Lage | Eine Lage im Krisenmanagement ist eine sachliche Momentaufnahme des aktuellen Standes einer Krise, um die Auswirkungen bewerten und angemessene Maßnahmen ergreifen zu können. |
Lagebild | Ein Lagebild ist eine textliche oder visuelle Zusammenfassung relevanter Informationen zu einer Situation, um Entscheidungen zu treffen. |
Normalbetrieb | planmäßiger Geschäftsbetrieb einer Organisation. |
Notbetrieb | nach einem Schadensereignis stattfindender, meist eingeschränkter, Geschäftsbetrieb, der die erforderlichen sowie zeitkritischen Funktionen der betroffenen Geschäftsprozesse sicherstellt. |
Notfall | Unterbrechungen mindestens eines (zeit)kritischen Geschäftsprozesses, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. |
Notfallbeauftragter | (auch Business Continuity Manager) ist für den Aufbau, den Betrieb und die kontinuierliche Verbesserung des Notfallmanagements (auch Business Continuity Management) verantwortlich. |
Notfallhandbuch Notfallkonzept Notfallvorsorgekonzept |
Dokument mit allen Informationen, die für die Notfallbewältigung benötigt werden Das Dokument umfasst z. B. Notfallpläne, die Geschäftsordnung des Stabes und das Kommunikationskonzept für Notfälle. |
Notfallplanung Notfallvorsorge Vorsorgemaßnahme |
Alle geplanten präventiven Maßnahmen zum Schutz der Organisation vor Notfällen und Bewältigung von Notfällen. |
Störung | Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann. |
Wiederanlauf | alle Maßnahmen, um strukturiert in einen (vorab geregelten) Notbetrieb wechseln zu können. |
Wiederherstellung | geordnete Rückkehr in einen Zustand, in dem der Normalbetrieb aller Geschäftsprozesse wieder möglich ist. |
Maleware | (kurz für „Malicious Software“) bezeichnet Software, die entwickelt wurde, um Schaden an Computern, Netzwerken oder Benutzer/innen zu verursachen. Malware umfasst eine Vielzahl von Bedrohungen, darunter Viren, Würmer, Trojaner, Ransomware, Spyware und Adware. |