Hier findet ihr eine Liste mit häufig abgefragten Abkürzungen aus dem IT-Security-Bereich, die bei verschiedenen Prüfungen vorkommen. Die Liste ist thematisch sortiert und enthält zu jeder Abkürzung eine kurze Erklärung. Ich hoffe, sie hilft euch bei der Vorbereitung oder im Arbeitsalltag, auch wenn euch viele Begriffe sicherlich bereits bekannt sind.
Netzwerksicherheit
ACL (Access Control List)
Eine Access Control List (ACL) definiert Regeln, die festlegen, welche Personen bzw. Geräte auf bestimmte Netzwerkressourcen zugreifen dürfen. ACLs schützen nicht direkt vor allen Angriffen, sondern kontrollieren in erster Linie den.
NGFW (Next-Generation Firewall)
Eine Next-Generation Firewall (NGFW) erweitert die klassische Firewall um Funktionen wie Intrusion Prevention, Application Control und Deep Packet Inspection.
WAF (Web Application Firewall)
Eine WAF schützt Webanwendungen, indem sie den HTTP/HTTPS-Verkehr analysiert und Angriffe wie SQL-Injection, Cross-Site-Scripting (XSS) oder Cross-Site-Request-Forgery (CSRF) blockiert. In der Regel arbeitet sie als Reverse Proxy und ergänzt klassische Firewalls auf Anwendungsebene (Layer 7).
SD-WAN (Software-Defined Wide Area Network)
SD-WAN optimiert Netzwerkverbindungen über Software und zentralisierte Steuerung. Es verbessert Sicherheit durch dynamische Richtlinien. SD-WAN spart Kosten im Vergleich zu MPLS.
NAC (Network Access Control)
Mithilfe von NAC Geräte vor dem Netzwerkzugriff auf ihre Identität und Richtlinienkonformität überprüft (z. B. über 802.1X). Nur zugelassene und konforme Geräte erhalten Zugang. Alle anderen werden blockiert oder eingeschränkt.
CDN (Content Delivery Network)
Ein CDN verteilt Inhalte über ein globales Netz von Edge-Servern. Diese speichern Daten lokal und stellen sie in der geografischen Nähe der Nutzer bereit. Dadurch werden Latenzen reduziert, die Downloadgeschwindigkeit erhöht und die Verfügbarkeit verbessert.
UTM (Unified Threat Management)
Als UTM werden Sicherheitsgeräte bezeichnet, die mehrere Funktionen wie Firewall, Intrusion Prevention, Antivirus, VPN und Webfilter in einer zentralen Lösung kombinieren.
SIEM (Security Information and Event Management)
SIEM sammelt, korreliert und analysiert Logs aus verschiedenen IT-Systemen, um sicherheitsrelevante Ereignisse in Echtzeit zu erkennen. Es erzeugt Alarme und Berichte zur Unterstützung von Incident Response, Forensik und Compliance.
IDS (Intrusion Detection System)
IDS überwacht Netzwerke oder Hosts auf verdächtige Aktivitäten und erkennt Angriffe anhand von Signaturen oder Anomalien. Es erzeugt Alarme, blockiert aber nicht aktiv. Ein IDS wird häufig mit einem IPS kombiniert oder in ein SIEM eingebunden.
IPS (Intrusion Prevention System)
Ein IPS überwacht den Netzwerkverkehr in Echtzeit und blockiert aktiv Angriffe, indem es verdächtige Pakete verwirft oder Verbindungen beendet. Es kann signaturbasiert, anomielbasiert oder beide Methoden kombinieren. IPS ist typischerweise inline geschaltet (im Datenpfad), während IDS nur passiv überwacht.
EDR (Endpoint Detection and Response)
EDR überwacht Endgeräte kontinuierlich auf verdächtiges Verhalten, sammelt Daten zu Prozessen, Dateien und Netzwerkaktivitäten und erkennt so auch komplexe Angriffe, wie etwa Ransomware oder Zero-Day-Exploits.
XDR (Extended Detection and Response)
XDR ist die Weiterentwicklung von EDR. Es erweitert die klassische EDR, indem es Daten aus Endgeräten, Netzwerken, Cloud-Diensten, IAM und E-Mail integriert. Dadurch ermöglicht XDR eine zentralisierte Erkennung und automatisierte Reaktion auf komplexe Bedrohungen.
SOAR (Security Orchestration, Automation, and Response)
SOAR integriert verschiedene Sicherheitslösungen und automatisiert Standardprozesse zur Reaktion auf Vorfälle. SOAR umfasst drei Hauptfunktionen:
- Orchestration: Verbindung und Koordination unterschiedlicher Systeme (SIEM, EDR, Firewalls, Ticket-Systeme).
- Automation: Standardaufgaben automatisch ausführen (z. B. IP blockieren, Quarantäne eines Systems).
- Response: strukturierte und teilweise automatisierte Incident Response.
HIDS (Host Intrusion Detection System)
Ein HIDS überwacht einzelne Hosts, wie beispielsweise Server oder Endgeräte, auf verdächtige Aktivitäten wie etwa Dateiänderungen, unautorisierte Prozesse oder Log-Manipulationen. Es erkennt auch Insider-Bedrohungen und arbeitet mit Log-Analysen und Integritätsprüfungen.
Kryptografie und PKI
HSM (Hardware Security Module)
in HSM ist ein manipulationssicheres Hardwaregerät zur sicheren Erzeugung, Speicherung und Verwendung kryptografischer Schlüssel. Es führt kryptografische Operationen wie Signieren oder Verschlüsseln innerhalb der Hardware aus, ohne dass die Schlüssel im Klartext das Modul verlassen. HSMs sind für den Schutz sensibler Daten und in regulierten Umgebungen (z. B. Banken, PKI) unverzichtbar. Ein Beispiel dafür ist: Hardware Security Modules (HSMs) Solutions | Entrust
TPM (Trusted Platform Module)
Ein TPM (ab TPM 2.0 Pflicht für Windows 11) ist ein spezieller Sicherheitschip auf dem Motherboard, der kryptografische Schlüssel sicher speichert und Operationen wie Signieren, Ver- und Entschlüsseln in der Hardware ausführt. Die typischen Funktionen sind: Key Storage, Trusted Boot / Secure Boot, BitLocker.
OCSP (Online Certificate Status Protocol)
OCSP ermöglicht die Echtzeitprüfung der Gültigkeit von TLS-Zertifikaten. Ein OCSP-Responder der Zertifizierungsstelle liefert den entsprechenden Status (gültig, widerrufen oder unbekannt). OCSP ist effizienter als die ältere CRL (Certificate Revocation List).
FDE (Full Disk Encryption)
Mit FDE werden alle Daten auf einer Festplatte verschlüsselt, um „Data at Rest“ zu schützen. Der Zugriff ist nur nach Authentifizierung über einen Schlüssel möglich, beispielsweise mit Passwort, TPM oder Smartcard. FDE verhindert somit den unbefugten Zugriff auf Daten im Falle eines Verlusts oder Diebstahls von Geräten.
Identitäts- und Zugriffsmanagement
MFA (Multifactor Authentication)
Bei der MFA wird ein Zugriff durch die Kombination von mindestens zwei unterschiedlichen Authentifizierungsfaktoren (Wissen, Besitz, Inhärenz) abgesichert. Dadurch wird das Risiko von Angriffen wie Phishing oder Passwortdiebstahl deutlich reduziert.
Die drei klassischen Faktor-Kategorien sind:
- Wissen (etwas, das man weiß, z. B. Passwort oder PIN).
- Besitz: etwas, das man hat (Token, Smartcard, Smartphone-App).
- Inhärenz (etwas, das man ist, z. B. Fingerabdruck, Gesicht, Stimme).
SSO (Single Sign-On)
Mit SSO können sich Nutzer einmal anmelden und anschließend auf mehrere Systeme zugreifen. Dies spart Zeit, birgt aber Risiken, wenn Zugangsdaten kompromittiert werden. MFA ergänzt SSO, um dieses Risiko zu minimieren.
LDAP (Lightweight Directory Access Protocol)
LDAP ist ein Protokoll, das den Zugriff auf und die Verwaltung von Verzeichnisdiensten wie Microsoft Active Directory ermöglicht. Es ermöglicht die zentrale Authentifizierung und Autorisierung von Benutzern und Geräten. Mit LDAPS (LDAP over TLS) wird die Kommunikation verschlüsselt.
SAML (Security Assertion Markup Language)
SAML ist ein XML-basiertes Standardprotokoll, das den Austausch von Authentifizierungs- und Autorisierungsinformationen zwischen einem Identity Provider und einem Service Provider ermöglicht. Es ermöglicht Single Sign-On (SSO) für Web- und Cloud-Anwendungen.
OAuth (Open Authorization)
OAuth ist ein Autorisierungsframework, das Anwendungen den Zugriff auf Ressourcen ermöglicht, ohne dass Zugangsdaten weitergegeben werden müssen. OAuth wird vor allem in APIs und Webdiensten eingesetzt, um delegierten Zugriff zu ermöglichen.
OIDC (OpenID Connect)
OIDC ist ein auf OAuth 2.0 basierendes Authentifizierungsprotokoll, das standardisierte Identitätsinformationen überträgt. Es nutzt JSON Web Tokens (JWT) und ermöglicht Single Sign-On für Web- und mobile Anwendungen. OIDC ist leichtgewichtig, API-freundlich und wird in modernen Cloud-Umgebungen weit verbreitet eingesetzt.
PAP (Password Authentication Protocol)
PAP ist ein einfaches Authentifizierungsprotokoll, das Benutzername und Passwort unverschlüsselt überträgt. Da es anfällig für Abhören ist, gilt PAP als unsicher und wurde durch modernere Verfahren wie CHAP, MS-CHAP oder MFA ersetzt. (Kann aber immer noch bei der Prüfung in einer Auswahlliste vorkommen.)
PAM (Privileged Access Management)
Als PAM werden Verfahren und Werkzeuge zur Kontrolle und Absicherung privilegierter Konten mit hohen Rechten (z. B. Administrator, Root) bezeichnet.
Was ist PAM (Privileged Access Management)? | Microsoft Security
802.1X: IEEE 802.1X
802.1X ist eine der zentralen Grundlagen für NAC (Network Access Control). 802.1X ist ein Standard für portbasierte Netzwerkzugangskontrolle (Port-based Network Access Control, PNAC). Er ermöglicht die Authentifizierung von Endgeräten (sogenannte Supplicants, z. B. Laptops, Smartphones) gegenüber einem Authenticator (z. B. ein Switch oder WLAN-Access-Point), bevor der Zugriff auf das Netzwerk gewährt wird.
BYOK (Bring Your Own Key)
Mit BYOK können Cloud-Kunden eigene Verschlüsselungsschlüssel nutzen, anstatt die Schlüssel des Cloud-Anbieters zu übernehmen. Dadurch behalten sie mehr Kontrolle über ihre Daten und können strengere Sicherheits- und Compliance-Anforderungen erfüllen.
Risikomanagement und Geschäftskontinuität
BIA (Business Impact Analysis)
Mithilfe der BIA werden die Auswirkungen von Störungen oder Ausfällen auf Geschäftsprozesse analysiert. Sie identifiziert kritische Prozesse, bestimmt maximale Ausfallzeiten (MTD) sowie RTO/RPO und dient als Grundlage für Business-Continuity-Pläne (BCP) und Disaster-Recovery-Pläne (DRP). Das Ziel besteht darin, Ressourcen und Maßnahmen zu priorisieren, um die Kontinuität des Betriebs sicherzustellen.
BCP (Business Continuity Plan)
Ein BCP beschreibt Maßnahmen und Prozesse, um geschäftskritische Funktionen bei Störungen oder Katastrophen aufrechtzuerhalten. Er integriert das Risikomanagement und den Disaster-Recovery-Plan (DRP) und basiert auf den Ergebnissen der Business-Impact-Analyse (BIA). Für die Effektivität sind regelmäßige Tests und Übungen (z.B. Tabletop, wird bei der Prüfung auch gefragt) entscheidend.
DRP (Disaster Recovery Plan)
Ein DRP definiert Strategien und Maßnahmen, mit denen IT-Systeme nach Katastrophen oder schwerwiegenden Störungen wiederhergestellt werden. Er definiert Backups, Recovery-Strategien und Wiederherstellungszeiten.
MTD (Maximum Tolerable Downtime)
Die MTD definiert die längste Zeitspanne, in der ein geschäftskritischer Prozess oder ein IT-System ausfallen darf, ohne dass der Organisation irreparabler Schaden entsteht. Die MTD wird in der Business Impact Analysis (BIA) festgelegt und dient als Basis für Notfall- und Wiederherstellungspläne.
IRP (Incident Response Plan)
Ein IRP legt strukturierte Verfahren und Verantwortlichkeiten für den Umgang mit Sicherheitsvorfällen fest. Das Ziel besteht darin, Vorfälle effizient zu bewältigen, Schäden zu minimieren und die Sicherheit kontinuierlich zu verbessern.
Phasen (nach NIST Incident Response Lifecycle)
- Preparation (Vorbereitung)
- Detection and analysis (Erkennung & Analyse)
- Containment (Eindämmung)
- Eradication (Beseitigung) and Recovery (Wiederherstellung)
- Lessons Learned (Nachbereitung, Optimierung)
RPO (Recovery Point Objective)
Das RPO gibt an, wie viel Datenverlust ein Unternehmen toleriert. Es bestimmt Backup-Häufigkeit. Ein niedriges RPO schützt kritische Daten.
RTO (Recovery Time Objective)
RTO gibt die maximale Ausfallzeit an, die ein Unternehmen toleriert. Es steuert Backup- und Failover-Strategien. Ein niedriges RTO minimiert Unterbrechungen.
MTTR (Mean Time to Repair)
MTTR misst die durchschnittliche Zeit, die erforderlich ist, um ein System nach einem Ausfall oder Defekt wieder funktionsfähig zu machen. Eine niedrige MTTR verbessert die Verfügbarkeit und reduziert Kosten. Sie wird in Service-Level-Agreements (SLAs) oft definiert und überwacht.
MTTF (Mean Time to Failure)
Die MTTF gibt die erwartete durchschnittliche Betriebsdauer eines nicht reparierbaren Systems oder Bauteils bis zum ersten Ausfall an.
MTBF (Mean Time Between Failures)
MTBF bezeichnet die durchschnittliche Zeitspanne zwischen zwei aufeinanderfolgenden Ausfällen eines reparierbaren Systems. Eine hohe MTBF weist auf hohe Zuverlässigkeit hin. MTBF wird oft für Ersatzteil- und Wartungsplanung genutzt.
ARO (Annualized Rate of Occurrence)
Die ARO gibt an, wie häufig ein Risiko oder ein sicherheitsrelevantes Ereignis pro Jahr voraussichtlich eintritt. Die ARO ist ein zentraler Faktor in der quantitativen Risikoanalyse und wird zusammen mit der SLE zur Berechnung der ALE verwendet.
SLE (Single Loss Expectancy)
Die Single Loss Expectancy (SLE) bezeichnet den erwarteten finanziellen Verlust durch ein einzelnes Risikoereignis. Sie ergibt sich aus dem Wert des betroffenen Assets (AV), multipliziert mit dem Exposure Factor (EF). Die SLE bildet zusammen mit der ARO die Grundlage für die Berechnung der ALE.
- SLE = AV × EF
- (z. B. Server = 10.000 €) X Prozentualer Schadensanteil pro Ereignis (z. B. 40 %) = 4000 €
ALE (Annualized Loss Expectancy)
Die annualisierte Verlustwahrscheinlichkeit (ALE) gibt den erwarteten jährlichen Schaden durch ein Risikoereignis an. Er wird durch Multiplikation von SLE und ARO berechnet (ALE = SLE x ARO). ALE dient der Priorisierung von Sicherheitsmaßnahmen und unterstützt Kosten-Nutzen-Analysen im Risikomanagement.
Schwachstellenmanagement
CVSS (Common Vulnerability Scoring System)
Das CVSS ist ein internationaler Standard zur Bewertung der Schwere von IT-Schwachstellen. Es vergibt einen Score von 0 bis 10 auf Basis von Faktoren wie Ausnutzbarkeit, Auswirkungen und Kontext. CVSS dient der einheitlichen Darstellung von Risiken und hilft dabei, Maßnahmen im Schwachstellenmanagement zu priorisieren. (Der letzte Satz war in ähnlicher Form in der Prüfung.)
CVE (Common Vulnerabilities and Exposures)
CVE ist ein international anerkannter Standard zur eindeutigen Identifizierung von IT-Sicherheitslücken. Jeder bekannten Sicherheitslücke wird eine CVE-ID mit Kurzbeschreibung und Referenzen zugewiesen. CVEs erleichtern das Schwachstellenmanagement, Patch-Management und die Risikobewertung. Die offiziellen Quellen sind: CVE: Common Vulnerabilities and Exposures und NVD – Vulnerabilities
SCAP (Security Content Automation Protocol)
Das SCAP ist ein von NIST entwickelter Standard zur automatisierten Bewertung und Verwaltung von IT-Sicherheit (Schwachstellen). Es kombiniert verschiedene Standards wie CVE, CVSS, CPE (Common Configuration Enumeration) und OVAL (Open Vulnerability and Assessment Language), um Schwachstellen-, Patch-Management und Compliance-Prüfungen zu standardisieren und zu automatisieren.
E-Mail- und Kommunikationssicherheit
BEC (Business Email Compromise)
Bei BEC fälschen Angreifer mithilfe von Social Engineering E-Mails im Namen von Führungskräften oder Geschäftspartnern, um z. B. Überweisungen zu erzwingen. Bei BEC stehen finanzielle Vorteile im Vordergrund.
SPF (Sender Policy Framework)
SPF ist ein DNS-basiertes Authentifizierungsverfahren (ein DNS-TXT-Eintrag), das überprüft, ob ein Mailserver dazu berechtigt ist, E-Mails im Namen einer bestimmten Domain zu versenden. Es verhindert E-Mail-Spoofing und reduziert das Risiko von Phishing. Normalerweise wird SPF zusammen mit DKIM und DMARC eingesetzt.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
DMARC ist ein E-Mail-Authentifizierungsverfahren (DMARC-Record im DNS), das SPF und DKIM ergänzt. Es definiert Richtlinien, wie empfangende Mailserver mit nicht bestandenen Prüfungen umgehen sollen (none, quarantine, reject) und ermöglicht Reporting.
DKIM (DomainKeys Identified Mail)
DKIM ist ein Verfahren zur E-Mail-Authentifizierung. Dabei werden ausgehende Nachrichten mit einer digitalen Signatur versehen. Der öffentliche Schlüssel liegt in den DNS-Einträgen der Absenderdomäne, sodass empfangende Server die Echtheit und Integrität der E-Mail prüfen können. DKIM ergänzt die Verfahren SPF und DMARC, um die Sicherheit von E-Mails zu erhöhen.
Compliance und Richtlinien
PCI DSS (Payment Card Industry Data Security Standard)
Der PCI DSS ist ein internationaler Sicherheitsstandard, der Anforderungen zum Schutz von Kreditkartendaten definiert. Er gilt für alle Organisationen, die Karteninhaberdaten speichern, verarbeiten oder übertragen. Die Einhaltung dieses Standards wird regelmäßig durch Audits überprüft. Verstöße können zu hohen Bußgeldern und dem Verlust der Berechtigung zur Kartenakzeptanz führen.
CDE (Cardholder Data Environment)
Als CDE werden Kreditkartendaten wie PAN, Karteninhabername, Ablaufdatum und Service-Code bezeichnet, die nach dem PCI DSS geschützt werden müssen. Die CDE umfasst alle Systeme und Prozesse, die diese Daten speichern, verarbeiten oder übertragen.
PII (Personally Identifiable Information)
PII bezeichnet alle Daten, mit denen eine Person direkt oder indirekt identifiziert werden kann. Dazu zählen z. B. Name, Ausweisnummer, biometrische oder Finanzdaten.
DLP (Data Loss Prevention)
DLP steht für Technologien (Tools) und Prozesse, die die unbefugte Weitergabe sensibler Daten verhindern. DLP-Lösungen klassifizieren und überwachen Datenbewegungen in Netzwerken, auf Endgeräten und in der Cloud.
PHI (Protected Health Information)
PHI sind gesundheitsbezogene personenbezogene Daten, die eine Person identifizieren können. und sich auf deren Gesundheitszustand, Behandlung oder Bezahlung von Gesundheitsleistungen beziehen. Diese beziehen sich auf den Gesundheitszustand, die Behandlung oder die Bezahlung von Gesundheitsleistungen.
AUP (Acceptable Use Policy)
Eine AUP ist eine unternehmensweite Richtlinie, die den erlaubten und verbotenen Umgang mit IT-Ressourcen wie E-Mail, Internetzugang und Unternehmensdaten definiert. Es handelt sich dabei um eine organisatorische Sicherheitsmaßnahme. Schulungen und Sensibilisierungsmaßnahmen fördern die Einhaltung der Richtlinie. (Das Thema ist prüfungsrelevant)
SOW (Statement of Work)
Ein SOW ist ein vertragliches Dokument, in dem der Projektumfang, die Ziele, die Zeitpläne, die Aufgaben, die Verantwortlichkeiten und die Abnahmekriterien definiert sind. Es stellt sicher, dass sowohl Auftraggeber als auch Lieferant klare Erwartungen haben. Ein SOW enthält in der Regel auch Sicherheits- und Compliance-Anforderungen.
MSA (Master Service Agreement)
Ein MSA ist ein langfristiger Rahmenvertrag, der allgemeine Bedingungen wie Haftung, Vertraulichkeit, Zahlungsmodalitäten und Rechte an geistigem Eigentum festlegt. Er bildet die Grundlage für wiederholte Dienstleistungen und wird durch spezifische Statements of Work (SOWs) ergänzt.
BPA (Business Partnership Agreement)
Ein BPA ist ein vertragliches Dokument, das die Zusammenarbeit zwischen Geschäftspartnern formalisiert. Es legt Ziele, Verantwortlichkeiten, finanzielle Regelungen und Vertraulichkeitsanforderungen fest.
MOU (Memorandum of Understanding)
Ein MOU ist eine unverbindliche Vereinbarung, die die Absichten und Erwartungen einer Zusammenarbeit festhält. Es dient als Vorstufe zu verbindlichen Verträgen.
MOA (Memorandum of Agreement)
Ein MOA ist eine im Gegensatz zu einem MOU meist rechtlich bindende Vereinbarung, die die konkreten Bedingungen einer Kooperation festlegt. Sie klärt Rollen, Verantwortlichkeiten und Ressourcen.
NDA (Non-Disclosure Agreement)
Ein NDA ist eine Vertraulichkeitsvereinbarung, die die Parteien dazu verpflichtet, vertrauliche Informationen wie Geschäftsgeheimnisse, technische Daten oder Kundendaten nicht unbefugt weiterzugeben oder zu nutzen. NDAs werden häufig mit Mitarbeitern, Lieferanten und Geschäftspartnern abgeschlossen, um Datenlecks zu verhindern.
DPO (Data Protection Officer)
Der DPO ist ein Datenschutzbeauftragter, der gemäß der Datenschutz-Grundverordnung (DSGVO) für bestimmte Organisationen vorgeschrieben ist.
Sonstiges
SCADA (Supervisory Control and Data Acquisition)
Als SCADA werden Systeme zur zentralen Überwachung und Steuerung industrieller Prozesse bezeichnet. Sie sind in kritischen Infrastrukturen, wie beispielsweise der Energie- oder Wasserversorgung, weit verbreitet. Aufgrund veralteter Technologien und zunehmender Vernetzung sind SCADA-Systeme anfällig für Cyberangriffe. Daher sind Segmentierung, Zugriffskontrollen und spezielle OT-Sicherheitsmaßnahmen erforderlich. (Das Thema ist prüfungsrelevant)
CCTV (Closed-Circuit Television)
CCTV bezeichnet Videoüberwachungssysteme, die zur Prävention, Detektion und Beweissicherung von Sicherheitsvorfällen eingesetzt werden. Moderne CCTV-Systeme sind häufig IP-basiert und können mit Zugangskontrollen oder Analysesystemen integriert werden.
RTOS (Real-Time Operating System)
Ein RTOS ist ein Betriebssystem für zeitkritische Anwendungen in eingebetteten Systemen. Es garantiert bestimmte Reaktionszeiten. Es wird in Bereichen wie Automotive, Medizintechnik und Industrie eingesetzt. Die Sicherheit eines RTOS konzentriert sich insbesondere auf Firmware-Integrität, sichere Updates und Schutz vor Manipulation, da Ausfälle gravierende Folgen haben können.
CIRT (Computer Incident Response Team)
Ein CIRT ist ein spezialisiertes Team zur Behandlung von Sicherheitsvorfällen. Es erkennt, analysiert und behebt Bedrohungen auf Basis des Incident Response Plans (IRP). Im Gegensatz zum CERT agiert das CIRT innerhalb einer Organisation.
CERT (Computer Emergency Response Team)
Ein CERT ist ebenfalls eine spezialisierte Einheit, die Sicherheitsvorfälle koordiniert, Bedrohungsinformationen sammelt. Zu den weiteren Aufgaben von CERT gehört die Koordination und der Austausch von Bedrohungsinformationen auf nationaler, branchenspezifischer oder organisationsweiter Ebene.
SOC (Security Operations Center)
Ein SOC ist eine zentrale Einrichtung zur kontinuierlichen Überwachung, Erkennung und Reaktion auf IT-Sicherheitsvorfälle. Mithilfe von Tools wie SIEM und Threat Intelligence analysiert das SOC sicherheitsrelevante Ereignisse in Echtzeit und koordiniert Gegenmaßnahmen.
OSINT (Open-Source Intelligence)
OSINT bezeichnet die Sammlung, Analyse und Nutzung frei verfügbarer Informationen aus Quellen wie sozialen Medien, Webseiten oder öffentlichen Datenbanken. Diese Methode wird sowohl von Sicherheitsbehörden und Unternehmen für Bedrohungsanalysen als auch von Angreifern zur Planung von Angriffen eingesetzt.
APT (Advanced Persistent Threat)
Ein (APT) ist ein gezielter, langfristiger Cyberangriff, der meist von staatlich unterstützten Gruppen oder hochorganisierten Angreifern durchgeführt wird. APTs nutzen raffinierte Techniken, um unbemerkt in Netzwerke einzudringen, sich dort dauerhaft zu etablieren und Daten zu exfiltrieren oder die Infrastruktur zu zerstören.
CIA (Confidentiality, Integrity, Availability)
Die CIA-Triade beschreibt die drei Grundprinzipien der Informationssicherheit:
- Vertraulichkeit schützt Daten vor unbefugtem Zugriff.
- Integrität stellt die Korrektheit und Unveränderlichkeit von Daten sicher.
- Verfügbarkeit gewährleistet den rechtzeitigen und zuverlässigen Zugriff auf Systeme und Informationen.
FIM (File Integrity Monitoring)
Bei FIM handelt es sich um ein Sicherheitsverfahren, das Dateien und Konfigurationen auf unbefugte Änderungen überwacht. In der Regel erfolgt dies durch einen Hash-Vergleich mit einer bekannten Baseline. FIM erkennt Manipulationen durch Malware oder Angriffe und alarmiert bei Abweichungen.
XSS (Cross-Site-Scripting)
Cross-Site Scripting (XSS) ist eine häufige Web-Schwachstelle, bei der Angreifer Schadcode (z. B. JavaScript) in Webseiten einschleusen. Dadurch können sie Session Hijacking betreiben, Datendiebstahl begehen oder Inhalte manipulieren.
SDLC (Software Development Life Cycle)
Der SDLC ist ein strukturierter Entwicklungsprozess mit Phasen wie Planung, Design, Implementierung, Test, Deployment und Betrieb & Wartung. In einem sicheren SDLC sind Sicherheitsmaßnahmen in jede Phase integriert. Dadurch werden Schwachstellen frühzeitig vermieden und Risiken im Betrieb reduziert.
IRM (Information Right Management)
Mit IRM lässt sich der Datenschutz über das Unternehmensnetz hinaus erweitern. Dazu werden Dateien und E-Mails mit Zugriffsrechten und Verschlüsselung versehen. Damit lässt sich steuern, wer Informationen lesen, bearbeiten oder weitergeben darf.
DRM (Digital Right Management)
DRM bezeichnet Technologien zur Kontrolle der Nutzung digitaler Inhalte wie Musik, Filme, E-Books oder Software, um Urheberrechte und Lizenzen zu schützen.