Glossar für informations- und kommunikationsspezifische Begriffe

§203 StGB

Verletzung von Privatgeheimnissen
Die Verschwiegenheitspflicht (auch Schweigepflicht und im StGB als Verbot der Offenbarung von Privatgeheimnissen) ist die rechtliche Verpflichtung bestimmter Berufsgruppen, ihnen anvertraute Geheimnisse nicht an Dritte weiterzugeben.
Zu diesen Berufsgruppen zählen u.a. Ärzte, Psychologen, Rechtsanwälte, Wirtschaftsprüfer, Beauftragte für Datenschutz usw.
Die Verschwiegenheitspflicht umfasst sowohl medizinische, finanzielle, als auch vertragliche Daten.

802.1x

Standard zur Authentifizierung in Rechnernetzen
Der Standard IEEE 802.1x stellt eine generelle Methode für die Authentifizierung und Autorisierung in lokalen Netzen zur Verfügung. Dabei erfolgt am Netzwerkzugang die Authentifizierung eines Teilnehmers wodurch der Zugriff auf die angebotenen Dienste (LAN, VLAN oder WLAN) zugelassen oder abgewiesen wird.
Durch diese Möglichkeit der Nutzung eines Authentifizierungsservers kann auch lokal unbekannten Teilnehmern der Netzzugang ermöglicht werden.

ADV

Auftragsdatenverarbeitung
Auftragsdatenverarbeitung (kurz: ADV), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. § 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.

APT

Advanced Persistent Threat
Ein sogenannter Advanced Persistent Threat (APT) ist ein Netzwerk-Angriff, bei dem sich eine unautorisierte Person Zugriff auf ein Netzwerk verschafft und sich dort so lange wie möglich unentdeckt aufhält. Die Intention eines APT-Angriffs ist in erster Linie, Daten zu stehlen und keinen sonstigen Schaden anzurichten. Ziel solcher APT-Angriffe sind oftmals Organisationen in Bereichen, bei denen sehr wertvolle Informationen zu holen sind. Es handelt sich somit um einen komplexen, zielgerichteten und effektiven Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten.

Audits

Überprüfung
Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein solches Untersuchungsverfahren erfolgt häufig im Rahmen eines Qualitätsmanagements. Die Audits werden von einem speziell hierfür geschulten Auditor durchgeführt.

Datenflussdiagramm

Strukturierte Analyse von Datenflüssen
Ein Datenflussdiagramm oder Datenflussplan (engl. data flow diagram) stellt die Art der Verwendung, die Bereitstellung und Veränderung von Daten innerhalb eines Programms dar. Es kann auch dazu verwendet werden, den Datenfluss eines Prozesses oder einer Tätigkeit wiederzugeben (z. B. die Datenverwendung und Veränderung bei der Angebotserstellung in einem Handelsunternehmen). Ein Datenflussdiagramm hat keinen Kontrollfluss, es gibt keine Entscheidungsregeln und keine Schleifen. Die konkreten Operationen auf den Daten können durch einen Programmablaufplan dargestellt werden.

Deep-linking

Verweis auf ein „tiefergelegenes“ Dokument
Ein Deep-Link verweist unmittelbar auf eine ganz bestimmte, „tieferliegende“ Unterseite einer Internetpräsenz oder webbasierten Anwendung. Dies kann eine bestimmte Datei, ein einzelner Artikel oder ein offenes Verzeichnis sein. Die Verwendung von Deep-Links ist umstritten, da hierdurch einzelne Webseiten oder Medien (wie zum Beispiel Fotos) per aus einem Gesamtangebot herausgelöst werden können.

Denial of Service

Nichtverfügbarkeit eines Dienstes
Denial of Service (DoS; engl. für „Dienstblockade“ oder „Dienstverweigerung“) bezeichnet in der Informationstechnik die Nichtverfügbarkeit eines Dienstes, der eigentlich verfügbar sein sollte. Obwohl es verschiedene Gründe für die Nichtverfügbarkeit geben kann, spricht man von DoS in der Regel als die Folge einer Überlastung von Infrastruktursystemen. Dies kann durch unbeabsichtigte Überlastungen verursacht werden oder durch einen mutwilligen, und oft auch absichtlichen Angriff auf einen Server, einen Rechner oder sonstige Komponenten in einem Datennetz.
Wird die Überlastung von einer größeren Anzahl anderer Systeme verursacht, so wird von einer verteilten Dienstblockade oder Distributed Denial of Service (DDoS) gesprochen.

ERP-Daten

Enterprise-Resource-Planning
Daten zur Planung und Steuerung von unternehmerischen Aufgaben, Ressourcen wie Kapital, Personal, Betriebsmittel, Material, Informations- und Kommunikationstechnik, IT-Systeme im Sinne des Unternehmenszwecks. Ein Beispiel hierfür ist die Materialbedarfsplanung.
Ein ERP-System ist eine komplexe oder eine Vielzahl von miteinander kommunizierenden Anwendungssoftware bzw. IT-Systemen, die zur Unterstützung der Ressourcenplanung des gesamten Unternehmens eingesetzt wird.

Exploit

Ausnutzung
Ein Exploit (englisch to exploit ‚ausnutzen‘) ist eine systematische Möglichkeit, Schwachstellen auszunutzen, die bei der Entwicklung eines Programms nicht berücksichtigt wurden. Dabei werden (mit Hilfe von Programmcodes) Sicherheitslücken und Fehlfunktionen von Programmen oder ganzen Systemen ausgenutzt, um sich Zugang zu Ressourcen zu verschaffen oder in Computersysteme einzudringen, bzw. diese zu beeinträchtigen. Ein Exploit eines Hackers ist mit der Brechstange eines Einbrechers vergleichbar: beide verschaffen sich damit Zugang zu Dingen, für die sie keine Berechtigung besitzen.

Framing

Rahmen für eingebundene Inhalte
Ein Frame ist ein Teilbereich einer HTML-Seite, in dem eine andere HTML-Seite transkludiert (eingebunden) werden kann. Das einzelne Segment wird dabei als Frame (dt. Rahmen) bezeichnet.
Ein Vorteil ist die Möglichkeit zur parallelen Darstellung mehrerer Einzeldokumente. Dadurch lässt sich die vom Webserver zum Webbrowser übertragene Datenmenge reduzieren und es wird eine Modularisierung einer Website ohne serverseitige Techniken möglich.

Gateway

Verbindung von Rechnernetzen
Ein Gateway (englisch für Ausfahrt und Einfahrt, wörtlich Torweg) verbindet Rechnernetze, die auf völlig unterschiedlichen Netzwerkprotokollen basieren können.
Typische Gateways sind Internetgateways (Router + Modem) und VPN-Gateways.
Ein VPN-Gateway ermöglicht über ein öffentliches Netz, wie dem Internet, beispielsweise den sicheren Zugriff auf ein entferntes Firmennetzwerk, das normalerweise nicht öffentlich zugänglich ist. Somit können verschiedene Dienste, wie E-Mail, Intranet oder Laufwerksfreigaben, die eigentlich nur LAN-intern zur Verfügung stehen, über eine getunnelte Verbindung genutzt werden.

Good Practice

Erfolgreiche und anerkannte Lösungen
Praktisch erfolgreiche Lösungen oder Verfahrensweisen, auch auf längere Sicht und in einer Gesamtschau aller Belange (nachhaltig). Sie entsprechen vorhandenen Leitbildern, strategischen Zielen und anerkannten Werten und beachten anerkannte Standards.
Good-Practice-Lösungen müssen nicht best practice sein, zumal oft schwierig sein kann, die - einzig - beste Lösung zu ermitteln, die alle relevanten Ziele am besten erfüllt, bzw. die "beste" als Vorbild zu verwenden.

Härtung

Erhöhung der Sicherheit von IT-Systemen
Das Bundesamt für Sicherheit in der Informationstechnik bezeichnet als Härten in der IT-Sicherheit „[…] die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind.“ Ziel ist es, ein System zu schaffen, das von vielen, auch weniger vertrauenswürdigen Personen benutzt werden kann.

ICS-Daten

Industrielle Steuerung
Industrial Control System – Daten stehen für einen übergeordneter Begriff für verschiedene Arten von Steuerungssystemen in industriellen Anlagen.
Die Steuerungstechnik umfasst den Entwurf und die Realisierung von Steuerungen. Sie ist ein Teilgebiet der Automatisierungstechnik.

IDS

Intrusion Detection System
Ein Intrusion Detection System (englisch intrusion „Eindringen“, IDS) bzw. Angrifferkennungssystem ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Rechnernetz gerichtet sind. Das IDS kann eine Firewall ergänzen oder auch direkt auf dem zu überwachenden Computersystem laufen und so die Sicherheit von Netzwerken erhöhen.

IPS

Intrusion Prevention System
Als Intrusion-Prevention-Systeme (kurz: IPS) werden Intrusion-Detection-Systeme (kurz: IDS) bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff abwehren können.

ISO 27001

Internationale Norm zur Informationstechnologiesicherheit
Die internationale Norm ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

IT-Grundschutz

Standards für die Informationstechnologiesicherheit herausgegeben vom BSI
Als IT-Grundschutz bezeichnet die Bundesverwaltung eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT). Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zum Erreichen des Ziels empfehlen die IT-Grundschutz-Kataloge technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.

Kritikalität

Bedeutung von IT-Systemen
Die Kritikalität einer Einheit drückt aus, welche Bedeutung ihrem Fehlverhalten beigemessen wird.
Die Kritikalität wird in Stufen angegeben, wobei die Einstufung umso höher ist, je gravierendere Auswirkungen bei Fehlverhalten zu erwarten sind.

KRITIS

Kritische Infrastrukturen
Kritische Infrastrukturen (KRITIS) sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Kritische Infrastrukturen sind häufig vernetzt und hängen voneinander ab, welches zu Risiken und Kaskadeneffekten führen kann. Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.
Darüber hinaus müssen die Betreiber dem BSI erhebliche IT-Sicherheitsvorfälle melden. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können.
Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Diese wird festlegen, welche Unternehmen den Regelungen des Gesetzes unterliegen.

Patch-Management

Bereitstellen und Verwalten von Softwareaktualisierungen
Patch-Management ist der Bereich des Systemmanagements, der sich mit der Beschaffung, dem Testen und der Installation von Patches (Codeänderungen) auf einem verwalteten Computersystem beschäftigt. Die Aufgaben im Patch-Management sind unter anderem: Pflege des aktuellen Wissensstands über verfügbare Patches, die Entscheidungsfindung in Bezug auf die für ein bestimmtes System geeigneten Patches, Sicherstellen, dass Patches korrekt installiert werden, Testen der Systeme nach der Installation und Dokumentation aller damit verbundenen Prozeduren wie beispielsweise die erforderlichen Detailkonfigurationen.

PCI DSS

Payment Card Industry Data Security Standard
Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird. Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen. Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.

Penetrationstest

Sicherheitstest
Penetrationstest ist der fachsprachliche Ausdruck für einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke jeglicher Größe. Unter einem Penetrationstest versteht die Sicherheitsfachperson in der Informationstechnik die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden, die ein Angreifer (ugs. „Hacker“) anwenden würde, um unautorisiert in das System einzudringen (Penetration). Der Penetrationstest ermittelt somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Wesentlicher Teil eines Penetrationtests sind Werkzeuge, die dabei helfen, möglichst alle Angriffsmuster nachzubilden, die sich aus den zahlreichen bekannten Angriffsmethoden herausbilden.

Public Cloud

Öffentliche „Cloud“
Die Public Cloud oder öffentliche Cloud ist ein Angebot eines frei zugänglichen Providers, der seine Dienste offen über das Internet für jedermann zugänglich macht.

Review

Überprüfung
Regelmäßige Überprüfung der Anforderungen, Richtlinien, Prozesse usw..

RoW

Rest of World
Bei einer weltweiten Gesamtbetrachtung derjenige Teil, welcher nicht explizit genannt wurde.

SCADA

Supervisory Control and Data Acquisition
Unter Supervisory Control and Data Acquisition (SCADA) versteht man das Überwachen und Steuern technischer Prozesse mittels eines Computer-Systems.

Schadsoftware

Schädliche Computerprogramme
Als Schadprogramm auch Evilware oder Malware bezeichnet man Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Malware ist damit ein Oberbegriff, der u.a. den Computervirus umfasst.

Secure Software Development Lifecycle

Softwareentwicklungsprozess (-lebenszyklus)
Der Software Development Life Cycle (SDLC) ist eine Vorgabe, welche Aufgaben Schritt für Schritt in verschiedenen Ebenen im Rahmen der Softwareentwicklung durchgeführt werden müssen. SDLC ist eine Struktur, auf welcher das Entwicklungsteam innerhalb der IT-Abteilung aufgebaut wird. Es ist ein detaillierten Plan beschrieben, wie spezifische Software zu entwickeln, zu erhalten und zu ersetzen ist. Der Life Cycle definiert eine Methode zur Verbesserung der Qualität der Software und des gesamten Entwicklungsprozesses.

Security Policy

Sicherheitsrichtlinie
Eine Sicherheitsrichtlinie (auch Sicherheitsleitlinie, Sicherheitspolitik) beschreibt den erstrebten Sicherheitsanspruch einer Institution (Behörde, Unternehmen, Verband etc.). Mit Sicherheit ist hier in der Regel Informationssicherheit gemeint. Die Schwerpunkte liegen dabei heute im Bereich der elektronischen Datenverarbeitung und den damit einhergehenden Sicherheitsanforderungen. Hierbei liegt die Annahme bzw. Tatsache zugrunde, dass Informationen per se einen Wert darstellen bzw. ihr Schutz per Gesetz oder Verordnung gefordert ist.
Im Rahmen der Informationssicherheit lässt sich Sinn und Zweck einer Sicherheitsrichtlinie umfassend mit der Sicherstellung von Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität (VIVA) der Informationen beschreiben. Die Sicherheitsrichtlinie wird von der Leitung der Institution, in Unternehmen also vom Vorstand bzw. von der Geschäftsleitung verabschiedet und vorgelebt. Sie muss von allen Mitgliedern der Institution zur Kenntnis genommen, verstanden und beachtet werden.

Source code

Quelltext
Unter dem Begriff Quelltext, auch Quellcode (englisch source code) oder unscharf Programmcode genannt, wird in der Informatik der für Menschen lesbare, in einer Programmiersprache geschriebene Text eines Computerprogrammes verstanden. Abstrakt betrachtet kann der Quelltext für ein Programm auch als Software-Dokument bezeichnet werden, welches das Programm formal so exakt und vollständig beschreibt, dass dieses aus ihm vollständig automatisch von einem Computer in Maschinensprache übersetzt werden kann.

Threat Intelligence

Erkennung von Bedrohungsszenarien
Erfassung und Dokumentation von eingetretenen und möglichen Bedrohungen. Analyse von Schwachstellen und Entwicklung von zukünftigen Szenarien.

TOM

Technische und organisatorische Maßnahmen
Gemäß § 9 Bundesdatenschutzgesetz (BDSG) sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der Anlage (zu § 9 Satz 1) BDSG. Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne physisch umsetzbar sind.
Als organisatorische Maßnahmen sind solche Schutzversuche zu verstehen die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden.

Trojaner

Trojanisches Pferd
Programm, welches sich als nützliches Werkzeug tarnt, jedoch schädlichen Programmcode einschleust und im Verborgenen unerwünschte Aktionen ausführt.

Virus

Sich selbst reproduzierende, unselbstständige Schadsoftware
Ein Computer-Virus ist eine nicht selbstständige Programmroutine, die sich nach ihrer Ausführung selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.

Wurm

Eigenständige Schadsoftware
Selbstständiges, sich selbst reproduzierendes Programm, das sich in einem System (vor allem in Netzen) ausbreitet.

Zero-Day-Exploit

Unbekannte Schwachstelle
Ein Zero Day Exploit Attack (ZETA) ist ein Angriff, der am selben Tag erfolgt, an dem eine Schwachstelle in einer Software entdeckt wird. In diesem Fall wird die Schwachstelle ausgenutzt, bevor sie vom Softwarehersteller durch einen Fix geschlossen werden kann.

Weitere Begriffserklärungen:

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Glossar/cs_Glossar_node.html
http://www.itwissen.info
http://wirtschaftslexikon.gabler.de
http://www.kaspersky.com/internet-security-center/definitions