IT Security Glossar

Alerts

Warnmeldungen

Systeme, die auf Basis von Logs oder anderen Informationen, z.B. Netflow, korrelieren können, erzeugen Alerts. Zu diesen Systemen gehören SIEMs, IDS/IPS, AV- und EDR-Lösungen, etc. Ein Alert kann aus einem einzelnen Log heraus entstehen oder aufgrund einer bestimmten Kombination von Logs und weiteren Informationen (= Korrelation) erzeugt werden. Ein Alert kann sich auch als False Positive herausstellen, ein Fehlalarm. Ist ein Alert kein False Positive, wird er zum Incident bzw. Security Incident.

APT

Advanced Persistent Threat

APT (deutsch „fortgeschrittene andauernde Bedrohung“) ist ein im Bereich der Cyber-Bedrohung (Cyber-Attacke) verwendeter Begriff für einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Behörden und Unternehmen aller Größen und Branchen.

Attack Chain

Auch Cyber Kill Chain

Die Cyber Kill Chain wurde von Lockheed Martin entwickelt, um Cyberangriffe zu beschreiben. Sie besteht aus mehreren Stufen, die ein immer tieferes Vordringen des Angreifers beschreiben. Die Cyberangriffskette bietet die Möglichkeit, die Abfolge der Ereignisse zu verstehen, die bei einem externen Angriff auf die IT-Umgebung eines Unternehmens auftreten. Sie kann IT-Sicherheitsteams dabei helfen, Strategien und Technologien zu entwickeln, um den Angriff in verschiedenen Phasen einzudämmen und die IT-Systeme besser zu schützen.

Behovioural Indicators of Compromise

Verhaltensbasierte Indicators of Compromise basieren im Unterschied zu IOCs (Erläuterung siehe unten) auf der Identifikation bestimmter Aktivitäten (Netzwerk, Prozess, Datei, Registrierung usw.), die auf eine Bedrohung hinweisen. Mit einer BIOC-Regel lässt sich der Strom eingehender Daten überwachen und Benachrichtigungen erstellen, wenn ein verdächtiges Verhalten erkannt wird.

Brute-Force-Angriff

Brutale Gewalt

Unter einer Brute-Force-Attacke versteht man eine Angriffsmethode, bei der mithilfe hoher Rechenleistung abgesicherte Zugänge durch wiederholte und systematische Eingabe von Nutzer-Passwort-Varianten und -Kombinationen aufgebrochen werden.

BSI

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik ist eine deutsche Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat mit Sitz in Bonn, die für Fragen der IT-Sicherheit zuständig ist.

Benachrichtigung über Alerts

Bei Cases oder Tickets handelt es sich um die Meldung eines aufgetretenen und gefundenen Alerts an den entsprechenden Bearbeiter. Der Case muss dabei die erforderlichen Informationen enthalten, um die Situation nachvollziehen und möglichst auch lösen zu können.

CDC

Cyber Defense Center

Ein Cyber Defense Center (CDC) ist eine zentrale Einrichtung innerhalb einer Organisation, die sich mit der aktiven Überwachung, Erkennung, Analyse und Abwehr von Cyber-Bedrohungen befasst. Ein CDC bildet die operative Säule einer umfassenden IT-Sicherheitsstrategie und stellt sicher, dass Unternehmen ihre digitale Infrastruktur vor Angriffen schützen und auf Sicherheitsvorfälle effektiv reagieren können.

CERT

Computer Emergency Response Team

In einem CERT arbeiten IT-Spezialisten und Sicherheitsfachleute an der Lösung von konkreten Sicherheitsvorfällen.

C2

Command & Control

Command and Control im Zusammenhang mit Cyberangriffen bezieht sich auf den Einfluss, den ein Hacker auf ein kompromittiertes Computersystem hat, das er kontrolliert.

C5

Cloud Computing Compliance Controls Catalogue

Der Cloud Computing Compliance Controls Catalog (C5) ist ein vom BSI eingeführtes Zertifizierungssystem, welches Organisationen beim Nachweis der betrieblichen Sicherheit gegen gängige Cyberangriffe bei der Nutzung von Cloud-Services im Rahmen der Sicherheitsempfehlungen für Cloud-Anbieter der Bundesregierung unterstützt.

CA

Certificate Authority

Eine Zertifizierungsstelle, auch Zertifizierungsinstanz, ist in der Informationssicherheit eine Organisationseinheit, die digitale Zertifikate innerhalb einer Public-Key-Infrastruktur herausgibt.

CISO

Chief Information Security Officer

Ein Chief Information Security Officer bezeichnet die Rolle des Gesamtverantwortlichen für Informationssicherheit in einer Organisation.

Compliance

Regelkonformität

Compliance ist die betriebswirtschaftliche und rechtswissenschaftliche Umschreibung für die Regeltreue von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes. Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen wird als Compliance-Management-System bezeichnet.

CSIRT

Computer Security Incident Response Team

Der Begriff wird oft synonym für CERT verwendet.

CTI

Cyber Threat Intelligence

Cyber Threat Intelligence (CTI) ist ein Teilgebiet der Cybersicherheit, das sich auf die strukturierte Erfassung, Analyse und Verbreitung von Daten zu potenziellen oder bestehenden Cyberbedrohungen konzentriert. Es liefert Organisationen die notwendigen Erkenntnisse, um Cyberangriffe vorherzusehen, zu verhindern und darauf zu reagieren, indem es das Verhalten der Bedrohungsakteure, ihre Taktiken und die Schwachstellen, die sie ausnutzen, versteht.

CVE

Common Vulnerabilities and Exposures

Common Vulnerabilities and Exposures ist ein vom US-amerikanischen National Cybersecurity FFRDC betriebenes und von der Mitre Corporation gepflegtes System zur standardisierten Identifikation und Benennung von öffentlich bekannten Sicherheitslücken und anderen Schwachstellen in Computersystemen.

CWE

Common Weakness Enumeration

Die Common Weakness Enumeration (CWE) ist ein Kategoriensystem für Schwachstellen und Sicherheitslücken in Hardware und Software. Es wird von einem Community-Projekt unterstützt, dessen Ziel darin besteht, Schwachstellen in Software und Hardware zu verstehen und automatisierte Tools zu erstellen, mit denen diese Schwachstellen identifiziert, behoben und vermieden werden können. 

Data Lake

Sammlung von Rohdaten

Data Lakes werden für Analysen, z.B. mit Analytics Engines, genutzt.

DDoS

Denial of Service

Ein Denial-of-Service-Angriff bezeichnet in der IT-Sicherheit einen Angriff auf das Schutzziel der Verfügbarkeit. Meist geschieht das durch Überlastung eines Rechnernetzes oder Netzwerkdienstes. Dabei wird eine Website, ein Server oder eine Netzwerkressource von einem Angreifer mit schädlichem Traffic überfordert.

DFIR

Digital Forensics & Incident Response

Digital Forensics and Incident Response (DFIR) ist ein Bereich der Cybersicherheit, der sich auf die Identifizierung, Untersuchung und Behebung von Cyberangriffen konzentriert.
DFIR hat zwei Hauptkomponenten:
Digitale Forensik: Ein Teilbereich der forensischen Wissenschaft, der Systemdaten, Benutzeraktivitäten und andere digitale Beweise untersucht, um festzustellen, ob ein Angriff im Gange ist und wer hinter den Aktivitäten stecken könnte.
Reaktion auf Vorfälle: Der übergreifende Prozess, den eine Organisation befolgt, um sich auf eine Datenschutzverletzung vorzubereiten, sie zu erkennen, einzudämmen und zu beheben.

DLP

Data Loss Prevention

DLP (auch Data Leak Prevention) ist ein Begriff aus dem Bereich der Informationssicherheit und ist aus der „Exfiltration Prevention“-Technik hervorgegangen. Klassisch gesehen gehört DLP zu den Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützt und je nach Ausprägung direkt oder indirekt deren Integrität und Zuordenbarkeit.

DORA

Digital Operational Resilience Act

Das Gesetz zur digitalen operativen Resilienz legt eine Reihe obligatorischer Praktiken für das Risikomanagement und die Cyber-Resilienz von Informations- und Kommunikationstechnologien (IKT) für den Finanzsektor fest. DORA ist eine Verordnung der Europäischen Union und wurde geschaffen, um die Stabilität des EU-Finanzsystems gegen digitale Bedrohungen zu gewährleisten.

DR

Desaster Recovery / Notfallwiederherstellung

Disaster Recovery bezeichnet Maßnahmen, die nach einem Ausfall von Komponenten in der Informationstechnik eingeleitet werden. Dazu zählt sowohl die Datenwiederherstellung als auch das Ersetzen nicht mehr benutzbarer Infrastruktur, Hardware und Organisation.

EDR

Endpoint Detection and Response

Das Kürzel EDR steht für Endpoint Detection and Response. Es handelt sich um ein Konzept und eine technische Lösung zum Schutz und zur Abwehr von Cyberbedrohungen von Endgeräten wie PCs, Laptops, Tablets und Smartphones oder Server. EDR zeichnet das Verhalten der Endgeräte auf und analysiert diese Daten. Bei erkanntem verdächtigem Verhalten bietet Endpoint Detection and Response automatisierte Reaktionen zur Abwehr wie die Isolierung der Endgeräte.

Endpoint Protection

Endgeräteschutz

Endpoint Protection ist ein Ansatz zum Schutz von Computernetzwerken, die remote mit Clientgeräten verbunden sind. Durch die Anbindung von Endgeräten wie Laptops, Tablets, Mobiltelefonen und anderen drahtlosen Geräten an Unternehmensnetzwerke entstehen Angriffspfade für Sicherheitsbedrohungen.

Enrichment

Anreicherung

Enrichment beschreibt einen Mechanismus im SIEM oder SOAR, um einen Alert mit weiteren, hilfreichen Informationen anzureichern, z.B. Netzwerk-, System- und Benutzerdaten.

EPP

Endpoint Protection Platform

Eine Endpoint Protection Platform schützt Endgeräte, indem sie bekannte Bedrohungen gegen die von ihr administrierten Endpunkte blockiert und somit verhindert, dass diese von Malware infiltriert werden.

ESI

Employee Security Index

Mittels ESI-Benchmark lässt sich das Sicherheitsverhalten der Mitarbeitenden im gesamten Unternehmen kontinuierlich messen, vergleichen und der individuelle Bedarf an E-Training steuern.

Evilginx

Evilginx ist ein Open-Source-Framework, das Hackern ermöglicht, sich zwischen den Benutzer und den Zielserver zu schalten. Dabei werden Anmeldedaten und sogenannte Access Tokens abgefangen, mit denen Angreifer Berechtigungen eines Users erhalten und als authentifizierter Nutzer agieren können.

FIDO

Fast Identity Online

FIDO ist eine Initiative der FIDO-Allianz, einer schon 2012 gegründeten nichtkommerziellen IT-Sicherheitsorganisation, mit dem Ziel, mit vielen verschiedenen Branchenakteuren offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln.

Forensic Analysis

Forensische Analyse

Die digitale Forensische Analyse beschäftigt sich mit der Untersuchung, Prüfung, Analyse und Wiederherstellung von (Beweis-)Material, das in digitalen Geräten und Computersystemen gefunden wird, oft im Zusammenhang mit Mobilgeräten und Computerkriminalität.

Hacking

Englisch für „technischer Kniff“

Hacking bezeichnet das Eindringen in Computersysteme. Unter Umgehung der Sicherheitsvorkehrungen können Hacker so Zugriff auf ein Rechnernetz, einen Computer, eine gesicherte Komponente oder Zugang zu gesperrten Daten oder einer sonst geschützten Funktion eines Computerprogramms erhalten.

HIPS

Host-based Intrusion Prevention System

Intrusion-Prevention-Systeme (IPS) sind Werkzeuge, die den Datenverkehr zu/von IT-Systemen oder Netzen aktiv überwachen, mit dem Ziel, Ereignisse herauszufiltern, die auf Angriffe, Missbrauchsversuche oder Sicherheitsverletzungen hindeuten. Ein HIPS (Host-based IPS) wird auf dem Computer ausgeführt, in den ein Eindringen verhindert werden soll.

IDS / IPS

Intrusion Detection / Protection System

IDS / IPS ist eine Security-Lösung, die ein Netzwerk oder eine Netzwerkkomponente wie einen Server oder einen Switch überwacht und versucht, Regelverletzungen und schädliche Vorfälle wie Hacker-Angriffe zu erkennen und diese dann teilweise automatisch abzuwehren.

Incidents bzw. Security Incidents

Vorfälle, bzw. Sicherheitsvorfälle

Security Incidents sind Sicherheitsvorfälle, bei denen die Schutzmaßnahmen eines Unternehmens versagt haben und Systeme oder Daten einer Organisation angegriffen und kompromittiert wurden.

Incident Response

Reaktion auf Vorfälle / IT-Störungsmanagement

Incident Response umfasst typischerweise den gesamten organisatorischen und technischen Prozess der Reaktion auf erkannte oder vermutete Sicherheitsvorfälle bzw. Betriebsstörungen in IT-Bereichen sowie hierzu vorbereitende Maßnahmen und Prozesse.

IAM

Identity and Access Management

Identitäts- und Zugriffsverwaltung soll sicherstellen, dass nur berechtigte Personen auf die Daten und Ressourcen einer Organisation zugreifen können. Mithilfe von IAM-Lösungen können IT-Administratoren den Zugriff auf Organisationsressourcen einschränken, sodass nur diejenigen Personen Zugriff haben, die ihn benötigen.

IOC

Indicator of Compromise

Indicator of Compromise (IOC) sind statische Merkmale und Daten, die auf die Kompromittierung eines Computersystems oder Netzwerks hinweisen. Es handelt sich beispielsweise um außergewöhnliche Netzaktivitäten, besondere Dateien, Einträge in Logfiles oder gestartete Prozesse.

IoT Security

Internet of Things Security / Sicherheit im Internet der Dinge

IoT-Sicherheit umfasst Maßnahmen zum Schutz der Integrität und Vertraulichkeit von Daten auf internetfähigen Geräten und der Netzwerke, in denen sie sich befinden.

ISB

Informations-Sicherheitsbeauftragter

Der Informationssicherheitsbeauftragte (ISB) ist für das Informationssicherheits-Management eines Unternehmens verantwortlich. Er kümmert sich darum, dass die Daten und IT-Systeme geschützt werden, sodass die Informationssicherheit dauerhaft gewährleistet und an aktuelle Entwicklungen angepasst wird.

ISBaaS

Informations-Sicherheitsbeauftragter as a Service

Bei einem ISBaaS wird die Verantwortung für das Informationssicherheits-Management eines Unternehmens an einen externen Informations-Sicherheitsbeauftragten übertragen.

ISMS

Information Security Management System

Ein Managementsystem für Informationssicherheit ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Ein ISMS wird durch die internationale Norm ISO/IEC 27001 definiert.

ISO

International Organization for Standardization

Die Internationale Organisation für Normung ist die internationale Vereinigung von Normungsorganisationen und erarbeitet internationale Normen in allen Bereichen mit Ausnahme der Elektrik und der Elektronik, für die die Internationale elektrotechnische Kommission (IEC) zuständig ist. ISO/IEC 27001 definiert ein ISMS.

ITIL

Information Technology Infrastructure Library

ITIL ist ein Best-Practice-Leitfaden und der De-facto-Industriestandard im Bereich IT-Service-Management.

ITSM

IT-Service-Management

IT-Service-Management (ITSM) bezeichnet die Gesamtheit von Maßnahmen und Methoden, die nötig sind, um die bestmögliche Unterstützung von Geschäftsprozessen durch die IT-Organisation zu erreichen.

Kerberoasting

Kerberos (altgriechisch, latinisiert Cerberus, dt. auch Zerberus)

Kerberos ist ein verteilter Authentifizierungsdienst für offene und unsichere Computernetze, um Man-in-the-middle-Angriffe zu unterbinden. Kerberoasting bezeichnet das Abgreifen von Service-Account Anmeldeinformationen.

KRITIS

Kritische Infrastrukturen

KRITIS bezeichnet kritische Infrastrukturen, d.h. Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Konkret geht es um Anlagen, Systeme oder Teile davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind.

Lateral Movement

Seitliche Bewegung

Schrittweise Bewegung eines Angreifers nach dem Eindringen durch ein Netzwerk, während er nach lohnenden Daten und Assets sucht.

LFI

Local File Inclusion

Local File Inclusion ist eine Sicherheitslücke, mit der Angreifer ausschließlich lokale Dateien in einem Script einbinden können. Dadurch lassen sich z.B. Inhalte aus Dateien, welche sich auf dem Server befinden, auslesen. Dabei kann es sich um Passwortdateien, Konfigurationsdateien oder andere Dateien mit sensiblen Inhalten handeln. Angreifer können durch diverse Techniken auch eigenen Code in vorhandene Dateien einschleusen, der mithilfe einer LFI-Sicherheitslücke ausgeführt werden kann. (Quelle: https://it-forensik.fiw.hs-wismar.de/index.php/Local_file_inclusion)

Logs bzw. Logdaten

Protokollierungseintrag

Bei einem Log bzw. einem Event handelt es sich um einen einzelnen Protokollierungseintrag eines Systems, eines Geräts oder einer Applikation. Beispiele:

+ Windows Login mit Event Id 4624
+ Exception bei einer Java-Anwendung
+ Heartbeat einer Maschine
+ Mitteilung einer Firewall, dass ein Paket blockiert bzw. zugelassen wurde

Ein Log bzw. Event beschreibt nicht zwingend ein Fehlerereignis. Es kann sich dabei auch um Meldungen über erfolgreiche Ereignisse (z.B. erfolgreicher Login) oder einfache Statusmeldung (z.B. Heartbeat) handeln.

Logquelle

Protokollierungseinträge eines Herkunftssystems

Gesammelte Protokollierungseinträge eines bestimmten Systems, Geräts oder Applikation. Logquellen stellen Events für Logmanagement und SIEM-Systeme oder Data Lakes zur Verfügung.

LPE

Local Privilege Escalation / Lokale Rechteausweitung

Eine lokale Rechteausweitung findet statt, wenn ein Benutzer die Systemrechte eines anderen Benutzers erlangt. LPE bezeichnet den Prozess, bei dem sich ein Angreifer, der zunächst nur begrenzte Rechte auf einem System hat – etwa nach einem Netzwerkangriff –, mit einer Vielzahl verfügbarer Techniken höhere Berechtigungen verschafft und so seine Kontrolle über das System ausweitet.

Malware

Schadprogramm

Malware bezeichnet Computerprogramme, die entwickelt wurden, um bei einem Opfer unerwünschte und gegebenenfalls schädliche Funktionen auszuführen.

Managed SOC

Security Operations Center eines externen Dienstleisters

Ein Security Operations Center (SOC) ist für den Schutz einer Organisation vor Cyberbedrohungen verantwortlich. Bei einem Managed SOC überwachen die Analysten eines externen Dienstleisters das Netzwerk einer Organisation rund um die Uhr und untersuchen alle möglichen Sicherheitsvorfälle. Wenn ein Cyberangriff erkannt wird, sind die SOC-Analysten dafür verantwortlich, alle notwendigen Schritte zu unternehmen, um ihn zu beheben.

MDR

Managed Detection and Response

Erkennung von IT-Sicherheitsbedrohungen und Reaktion auf Angriffe, erbracht als Service von einem externen Dienstleister.

MFA

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung, ist eine Verallgemeinerung der Zwei-Faktor-Authentisierung, bei der die Zugangsberechtigung durch mehrere, unabhängige Merkmale (Faktoren) überprüft wird.

MIoT

Medical Internet of Things

Das medizinische Internet der Dinge ist eine Anwendung des IoT für medizinische und gesundheitsbezogene Zwecke, zur Datenerfassung und -analyse für Forschung und Überwachung. Das MIoT wird als „Smart Healthcare“ bezeichnet, als Technologie zur Schaffung eines digitalisierten Gesundheitssystems, das verfügbare medizinische Ressourcen und Gesundheitsdienste verbindet.

MISP

Malware Information Sharing Platform

MISP ist eine Open-Source-Plattform zur Bedrohungsaufklärung. Das Projekt entwickelt Tools und Dokumentationen für eine effektivere Bedrohungsaufklärung durch den Austausch von Indicators of Compromise (IOC).

MITRE

Massachusetts Institute of Technology Research and Engineering

Die MITRE Corporation ist durch Abspaltung vom Massachusetts Institute of Technology (MIT) entstanden und ist heute eine Non-Profit Organisation zum Betrieb von Forschungsinstituten im Auftrag der Vereinigten Staaten.

MSSP

Managed Security Service Provider

Ein Managed Security Service Provider übernimmt die ausgelagerte Überwachung und Verwaltung von Sicherheitsgeräten und -systemen. Managed Security Services sind eine zuverlässige, entlastende und kosteneffiziente Alternative zum aufwendigen, eigenverantworteten Betrieb von IT-Sicherheits- und Netzwerklösungen.

MTTD

Mean Time to Detect

Durchschnittliche Zeit, bis ein Angriff entdeckt wird.

MTTR

Mean Time to Resolution

Durchschnittliche Zeit, bis ein Angriff und seine Folgen beseitigt sind.

NDR

Network Detection and Response

Network Detection and Response (NDR) beschreibt Sicherheitslösungen, die den Netzwerkverkehr kontinuierlich überwachen und analysieren, um verdächtigen Datenverkehr zu erkennen und darauf automatisiert zu reagieren. Zur Analyse des Netzwerkverkehrs und zum Erkennen von Anomalien kommen Verfahren der Künstlichen Intelligenz (KI) und des Maschinellen Lernens (ML) zum Einsatz.

NGFW

Next-Generation Firewall

Next Generation Firewalls (NGFWs) filtern den Netzwerk-Traffic, um ein Unternehmen vor internen und externen Bedrohungen zu schützen. Zusätzlich zu allen Funktionen einer klassischen Stateful Firewall – wie Paket-Filterung, IPSec- und SSL-VPN-Unterstützung, Netzwerk-Monitoring und IP-Mapping – bieten NGFWs umfassendere Funktionen für eine gründlichere Überprüfung von Inhalten. Mit diesen NGFW-Funktionen lassen sich Angriffe, Malware und andere Bedrohungen identifizieren und blockieren.

NIS2

Netzwerk- und Informationssicherheit

NIS-2 ist eine Gesetzesinitiative der EU zur Regelung und Verbesserung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, die als kritisch für die Gesellschaft eingestuft werden. Damit soll die Widerstandsfähigkeit gegenüber Cyberangriffen im öffentlichen und privaten Sektor verstärkt und die Reaktionsfähigkeit auf Sicherheitsvorfälle verbessert werden.

NIST

National Institute of Standards and Technology

Das "Nationale Institut für Standards und Technologie" ist eine Bundesbehörde der Vereinigten Staaten und ist für Standardisierungsprozesse zuständig. Die Verschlüsselungsalgorithmen DES und AES, die Hashfunktionen der SHA-Familie sowie der FIPS-Standard sind hier hervorgegangen und veröffentlicht worden.

NTA

Network Threat Analytics

Datenverkehrsüberwachung zur Feststellung, ob der Datenfluss mit der Art des Datenverkehrs konsistent ist, der normalerweise in einem Netz beobachtet wird.

Offensive Security

Offensive Sicherheit

Offensive Sicherheit bezeichnet eine Reihe proaktiver Sicherheitsstrategien, die dieselben Taktiken verwenden, wie sie böswillige Akteure bei realen Angriffen einsetzen. Das Ziel ist aber, die Netzwerksicherheit zu stärken, anstatt sie zu schädigen. Zu den üblichen offensiven Sicherheitsmethoden gehören Red Teaming, Penetrationstests und Schwachstellenanalysen.

OSINT

Open Source Intelligence

Open Source Intelligence (OSINT) ist die Sammlung und Analyse von Daten aus offenen Quellen (öffentlichen Quellen und öffentlich verfügbare Informationen), um verwertbare Informationen zu erstellen. OSINT wird hauptsächlich in den Bereichen nationale Sicherheit, Strafverfolgung und Business Intelligence eingesetzt.

OT Security

Operational Technology Security / Sicherheit der Betriebstechnologie

OT-Sicherheit umfasst den Schutz von OT-Systemen (Operational Technology), einschließlich SCADA-Systemen (Supervisory Control and Data Acquisition) und ICS-Systemen (Industrial Control Systems), die für die Überwachung und Steuerung industrieller Prozessabläufe in Branchen wie Fertigung, Versorgung und Transport unverzichtbar sind.

OTP

One Time Password

Ein Einmalpasswort ist ein Kennwort zur Authentifizierung eines Nutzers. Jedes Einmalkennwort ist nur für eine einmalige Verwendung gültig und kann kein zweites Mal benutzt werden. Entsprechend erfordert jede Authentifizierung ein neues Einmalkennwort.

Passkey

Passkeys sind eine Alternative zu Passwörtern und können zum passwortlosen Login verwendet werden. Hierzu wird im Gerät des Anwenders ein sog. geheimer Schlüssel im internen Speicher hinterlegt. Gleichzeitig wird ein passender öffentlicher Schlüssel erstellt, der beim Onlinedienst, z.B. einem Onlineshop, gespeichert wird. Diese Schlüssel sind die Grundlage für ein komplexes, kryptografisches Verfahren, das ab der Registrierung bei jeder Anmeldung unbemerkt abläuft. Für den Login reicht dann ein Fingerprint, Face-ID oder eine PIN.

Pentesting

Sicherheitstest

Pentest(ing) oder Penetrationstest, ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner, Netzwerke oder Anwendungen jeglicher Größe. Ein Penetrationstest prüft die Sicherheit von Systembestandteilen und Anwendungen eines Netzwerks oder Softwaresystems mit unautorisiert Mitteln und Methoden, wie sie auch von Hackern benutzt werden, um in das System einzudringen

Persistence

Persistenz

Im Fall des "Advanced Persistent Threat" (APT – Erläuterung siehe oben), die fortgeschrittene andauernde Bedrohung.

Phishing

Engl. für „Angeln“

Unter Phishing versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z.B. an persönliche Daten eines Internet-Benutzers zu gelangen oder zur Ausführung einer schädlichen Aktion zu bewegen, um z.B. die Zugangsdaten wie das Passwort und den Benutzernamen und gegebenenfalls auch einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen.

PKI

Public-Key-Infrastruktur

Mit Public-Key-Infrastruktur bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet.

Playbook

Handlungsanleitung

Handlungsanleitung im SOAR, um einen Alarm abzuarbeiten (automatisiert oder teilautomatisiert).

PoC

Proof of Concept

Im Projektmanagement ist ein PoC ein Meilenstein, an dem die prinzipielle Durchführbarkeit eines Vorhabens belegt ist. Der positive oder negative Machbarkeitsnachweis ist das Ergebnis einer Machbarkeitsstudie. Im Bereich IT können mittels eines PoC kritische Anforderungen an eine Anwendung bereits in einer Projektphase validiert werden.

PoV

Proof of Value

Ein POV zeigt, inwiefern Produkte und Dienstleistungen Probleme beheben oder lösen und welchen Nutzen Kunden erwarten können. Dabei steht nicht die technische Machbarkeit im Vordergrund, sondern der wirtschaftliche Mehrwert.

PowerShell

PowerShell

Framework zur Konfiguration und Verwaltung von Windows-Systemen.

PrivEsc

Privilege Escalation / Rechteausweitung

Bei der Privilege Escalation wird ein Fehler, ein Konstruktionsfehler oder ein Konfigurationsfehler in einem Betriebssystem oder einer Softwareanwendung ausgenutzt, um erweiterten Zugriff auf Ressourcen zu erhalten, die normalerweise vor einer Anwendung oder einem Benutzer geschützt sind.

PSIRT

Product Security Incident Response Team

Ein Product Security Incident Response Team (PSIRT) ist eine Einheit innerhalb einer Organisation, die sich im Kern auf die Identifizierung, Bewertung und Beseitigung der Risiken konzentriert, die mit Sicherheitslücken in den Produkten verbunden sind, die eine Organisation herstellt und/oder verkauft.

PtaaS

Pentest as a Service

System zur automatisierten Cybersicherheitsvalidierung, in Form eines Managed Service.

Ransomware

Von englisch „ransom“ für „Lösegeld“

Ransomware, auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann.

RCE

Remote Code Execution

Angriffe mittels Remote Code Execution (RCE) ermöglichen es einem Hacker, beliebige Befehle oder bösartigen Code aus der Ferne auf einem Zielcomputer oder Endgeräten auszuführen.

RDP

Remote Desktop Protocol

Das Remote Desktop Protocol ist ein proprietäres Netzwerkprotokoll von Microsoft für den Fernzugriff auf Computer.

Red Teaming

Unter Red Teaming versteht man einen umfassenden Sicherheitstest, bei dem ein Team aus Sicherheitsexperten die Verteidigungsmechanismen eines Unternehmens herausfordert. Dabei simuliert das Red Team realistische Angriffe, um Schwachstellen in der IT-Infrastruktur, den Prozessen, den Mitarbeiterkenntnissen und der Reaktionsfähigkeit des Unternehmens aufzudecken, mit dem Ziel, Sicherheitslücken zu identifizieren und Maßnahmen zur Verbesserung der Abwehrstrategien zu empfehlen. Dies hilft Unternehmen, ihre Resilienz gegenüber tatsächlichen Bedrohungen zu stärken und ihre Sicherheitskultur zu fördern.

Remediation

Wiederherstellen / Beheben

Remediation bedeutet im IT-Kontext, die in einer IT-Umgebung oder einem Netzwerk identifizierten Probleme zu korrigieren oder zu verbessern. Damit kann die Installation eines Patches, die Anpassung der Konfigurationseinstellungen oder die Deinstallation einer Softwareanwendung gemeint sein. Darunter wird aber auch der Wiederaufbau eines gesäuberten Systems nach einem Cyberangriff verstanden.

Risk Assessment

Risikobeurteilung

Unter Risikobeurteilung versteht man im Rahmen des Risikomanagements von Unternehmen die Beurteilung sämtlicher vorhandenen Risiken. Das Risikomanagement umfasst Risikobeurteilung, Risikobewältigung und Risikokommunikation, wobei die Risikobeurteilung in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert ist.

RTO

Recovery Time Objective

Das Recovery Time Objective legt die Zeit fest, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse vergehen darf.

RPO

Recovery Point Objective

Das Recovery Point Objective legt den Zeitraum fest, der zwischen zwei Datensicherungen liegen darf, und damit indirekt, wie viele Daten oder Transaktionen zwischen der letzten Sicherung und einem Systemausfall höchstens verloren gehen dürfen.

SASE

Secure Access Service Edge

SASE ist ein Architekturkonzept, bei dem WAN-Services und Sicherheitsfunktionen zu einer einheitlichen Cloud-nativen Lösung kombiniert werden. SASE besteht aus: SD-WAN und Security Services wie Secure Web, Firewall as a Service, Zero Trust Network Access, Cloud Access Security Broker und sicheres DNS.

Security Awareness

Sicherheitsbewusstsein

Security Awareness, oft auch als Security-Awareness-Training bezeichnet, ist ein Konzept, das verschiedene Schulungsmaßnahmen umfasst, um Mitarbeiter eines Unternehmens oder einer Organisation für Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren.

SecOps

Security Operations

SecOps ist ein ganzheitlicher Sicherheitsansatz, mit dem Sicherheits- und IT-Betriebsteams ihre Zusammenarbeit steuern können, um eine Organisation effektiv zu schützen. Typische SecOps-Aktivitäten umfassen Sicherheitsüberwachung, Threat Intelligence, Klassifizierung und Analyse sowie Incident Response.

SecMon

Security Monitoring

Security Monitoring bezeichnet die kontinuierliche Überwachung der Sicherheit von IT-Systemen. Ziel ist die Erkennung von Anomalien und verdächtigen Vorgängen, die Hinweis auf eine Cyberattacke sein können. Diese Hinweise werden geprüft und bewertet, um dann ggf. zeitnah die angemessenen Gegenmaßnahmen einleiten zu können.

SIEM

Security Information and Event Management

SIEM dient der Computersicherheit einer Organisation. Security Information and Event Management kombiniert die zwei Konzepte Security Information Management und Security Event Management für die Echtzeitanalyse von Sicherheitsalarmen, die aus unterschiedlichen Quellen generiert werden können, wie z.B. Anwendungen und Netzwerkkomponenten.

SOAR

Security Orchestration, Automation and Response

SOAR stellt Software und Verfahren zur Verfügung, mit denen sich Informationen über Sicherheitsbedrohungen sammeln und analysieren lassen. Auf deren Basis kann eine automatische Reaktion erfolgen. Ziel ist es, das Bedrohungs- und Schwachstellenmanagement in einem Unternehmen zu verbessern.

SOC

Security Operations Center

Ein Security Operations Center (SOC), teils auch unter der Bezeichnung Cyber Defense Center bekannt, ist eine Kommandozentrale für Cyber Security Experten und dient der zeitnahen Erkennung von Sicherheitsvorfällen. In einem SOC werden alle Experten, Werkzeuge und Prozesse kombiniert, mit dem Ziel, IT-Sicherheitsrisiken zu verhindern, zu entdecken, zu analysieren, zu bewerten, deren Behebung zu beschreiben und zu kontrollieren sowie im Bedarfsfall bei der Umsetzung von Gegenmaßnahmen zu unterstützen und eine Beweissicherung einzuleiten.

SOCaaS

SOC as a Service

Ein SOCaaS ist ein outgesourctes Security Operations Center bei einem Dienstleister für Managed Detection and Response.

SSH

Secure Shell

Secure Shell oder SSH bezeichnet ein kryptographisches Netzwerkprotokoll für den sicheren Betrieb von Netzwerkdiensten über ungesicherte Netzwerke. 

Social Engineering

„Soziale Manipulation“

Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Spear Phishing

Engl. "Speerfischen"

Spear-Phishing: Ähnlich wie bei der E-Mail-Phishing, jedoch spezifischer. Hier werden die Phishing-E-Mails an bestimmte Mitarbeiter oder Abteilungen gesendet und sind oft personalisiert, um die Authentizität zu erhöhen.

Syslog

System logging protocol

Syslog ist ein sehr weit verbreitetes Übertragungsprotokoll im SIEM-Umfeld, das zu Datenübertragung der Logs innerhalb von Unternehmen verwendet wird.

TIBER

Threat Intelligence-based Ethical Red Teaming

Im Rahmen von DORA sind bestimmte Unternehmen verpflichtet, fortschrittliche Tests basierend auf bedrohungsgesteuerten Penetrationstests durchzuführen, um die Resilienz gegen reale Cyberbedrohungen zu validieren. Die technischen Regulierungsstandards werden gemäß dem TIBER-EU-Rahmen definiert, mit dem Ziel, die Cyber-Resilienz des Finanzsektors zu verbessern, indem es nicht nur ermöglicht wird, Cyberangriffe zu verhindern, sondern auch sich von ihnen zu erholen.

TISAX

Trusted Information Security Assessment Exchange

TISAX ist ein für die Automobilindustrie entwickelter ISMS-Standard. Der Prüf- und Austauschmechanismus normierter Prüfergebnisse erfolgt nach dem branchenspezifischen Standard VDA-ISA und wurde hauptsächlich für die Risikobewertung von Lieferanten geschaffen.

TTP

Tactics, techniques, and procedures

TTP sind vom MITRE ATT&CK Framework geprägte Begriffe.

UBA

User Behaviour Analytics

Die Analyse des Benutzerverhaltens ist ein Cybersicherheitsprozess zur Überwachung der Benutzer eines Systems, mit dem Ziel der Erkennung von Insider-Bedrohungen, von gezielten Angriffen und Finanzbetrug.

UEBA

User and Entity Behavior Analytics

User Behavior Analytics (UBA) and User Entity Behavior Analytics (UEBA) ist das Konzept der Analyse des Verhaltens von Benutzern, Subjekten, Besuchern usw. für einen bestimmten Zweck. Es ermöglicht Cybersicherheitstools, ein Profil der normalen Aktivitäten jedes Anwenders zu erstellen, indem sie Muster menschlichen Verhaltens untersuchen und dann Abweichungen von diesem Profil (oder Anomalien) hervorheben, die auf eine potenzielle Gefährdung hinweisen können.

Use Case

Anwendungsfall

Erkennungsmechanismus im Regelwerk einer Analytics Engine, um einen bestimmten Sicherheitsvorfall entdecken zu können.

VPN

Virtual Private Network

Ein VPN bezeichnet eine Netzwerkverbindung, die von Unbeteiligten nicht einsehbar ist.

vSOC

Virtual SOC

Ein vSOC ist ein outgesourctes Security Operations Center bei einem Dienstleister für Managed Detection and Response.

Vulnerability Assessment

Schwachstellenanalyse

Bei einer Schwachstellenanalyse handelt es sich um den Prozess der Identifizierung, Quantifizierung und Priorisierung (oder Einstufung) der Schwachstellen eines Systems, unter anderem Informationstechnologiesysteme.

WAF

Web Application Firewall

Eine WAF bezeichnet ein Verfahren, das Webanwendungen vor Angriffen über das Hypertext Transfer Protocol (HTTP) schützen soll. Gegenüber klassischen Firewalls untersucht eine WAF die Kommunikation auf der Anwendungsebene. Dazu ist normalerweise keine Änderung an der zu schützenden Web-Anwendung nötig.

XDR

Extended Detection and Response

Die Extended Detection and Response (XDR) bietet transparente Einblicke in Daten über Netzwerke, Clouds, Endpunkte und Anwendungen hinweg. Gleichzeitig werden Analysen und Automatisierung genutzt, um aktuelle und zukünftige Bedrohungen zu erkennen, zu analysieren, zu verfolgen und zu beseitigen.

XSOAR

Extended Security Orchestration, Automation and Response

SOAR-Lösung von Palo Alto Networks

ZTNA

Zero Trust Network Access

ZTNA ist ein IT-Sicherheitskonzept, das davon ausgeht, dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist. Im Gegensatz zu traditionellen Sicherheitsansätzen, die darauf abzielen, das Innere des Netzwerks als vertrauenswürdig zu behandeln und den Zugriff von innen nach außen zu kontrollieren, legt Zero Trust Security den Schwerpunkt auf eine kontinuierliche Überprüfung und Authentifizierung aller Benutzer und Geräte, unabhängig von ihrem Standort oder ihrer Herkunft.