Das große SECURAM-IT-Sicherheits-Glossar
A
Access Control
Access Control beschreibt Mechanismen, die definieren, wer oder was auf Ressourcen zugreifen darf.
Active Directory
Active Directory ist ein Verzeichnisdienst von Microsoft zur zentralen Verwaltung von Benutzern, Computern und Ressourcen.
Advanced Mail Tests
Mit Advanced Mail Tests wird die E-Mail-Infrastruktur auf die Wirksamkeit der eingesetzten Filter wie z. B. Antivirus, Antispam sowie nicht alltägliche Dateiendungen überprüft.
Advanced Persistent Threat (APT)
Ein Advanced Persistent Threat (APT) ist ein Cyber-Angriff, der sich gegen Unternehmen oder politische Ziele richtet. Die Attacke wird normalerweise von einer Gruppe (wie einer Regierung) koordiniert, welche über die Mittel verfügt und die Absicht hat, ihr Angriffsziel dauerhaft zu verfolgen.
Adware
Adware bezeichnet Software, welche meist zusätzlich zur eigentlichen Funktion Werbung anzeigt. Dies wird häufig zur Finanzierung der Software genutzt.
Aktive Reaktion (IDS)
Als aktive Reaktion wird das automatische Einleiten von Gegenmaßnahmen durch das IDS bezeichnet, wie z. B. die Unterbrechung von Kommunikationsverbindungen oder die temporäre Rekonfiguration einer Firewall.
Alert Fatigue
Alert Fatigue bezeichnet das Phänomen der Überlastung von Cyberanalysten durch die hohe Anzahl der von Sicherheitstools ausgegebenen Alarme.
Angriffsvektor
Ein Angriffsvektor ist der Hauptpfad, mittels dem ein Angriff sein Ziel erreicht. Beispiele: Buffer Overflow, Denial-of-Service, Passwortattacken, physische Attacken, Viren, Würmer.
Anomalie
Eine Anomalie ist im OSSTMM die am wenigsten schwerwiegende Sicherheitslücke. Sie beschreibt eine Unbekannte im System, die im Testzeitraum nicht identifiziert werden konnte.
Application Gateway
Ein Application Gateway ist ein Proxy-Server, der den Datenverkehr auf Anwendungsschicht filtert und schützt.
Application Security Audit
Ein Application Security Audit ist eine gründliche, technische, unprivilegierte und privilegierte Sicherheitsüberprüfung einer Applikation und der zugehörigen Komponenten mit hohem manuellen Test- und Verifikationsanteil.
Application Whitelisting
Application Whitelisting erlaubt nur festgelegte, vertrauenswürdige Anwendungen auf Systemen auszuführen.
Asymmetric Encryption
Asymmetrische Verschlüsselung verwendet ein Schlüsselpaar aus öffentlichem und privatem Schlüssel.
Attack Surface
Der Angriffspunktbereich (Attack Surface) bezeichnet alle möglichen Schwachstellen eines Systems.
Authentication Protocol
Ein Authentifizierungsprotokoll legt fest, wie Benutzer ihre Identität gegenüber Systemen nachweisen.
Authentisierung
Die Authentisierung bezeichnet den Prozess, der die Korrektheit der Identität einer Person bestätigt.
Authorization Server
Ein Authorization Server verwaltet Zugriffstokens und Berechtigungen in OAuth- und OpenID-Connect-Architekturen.
Autorisierung
Die Autorisierung ist die Genehmigung, Erlaubnis oder Ermächtigung für jemanden oder etwas, etwas zu tun.
B
Backdoor
Verborgener Zugang zu einem System, oft durch Malware oder Entwicklercode geschaffen.
Backup and Recovery
Backup and Recovery beschreibt Strategien zur Datensicherung und Wiederherstellung nach Ausfällen.
Bastion Host
Ein Bastion Host ist ein gehärteter Server, der Zugang zu internen Systemen ermöglicht.
Bedrohung
Eine Bedrohung ist eine potenzielle Ursache für einen ungewollten Vorfall, der Schaden verursachen kann.
Black Box
Ein Testverfahren, bei dem dem Prüfer keine Informationen über die innere Funktionsweise des Systems vorliegen.
Black Hat
Ein Angreifer oder Tester mit böswilliger Absicht oder ohne Wissen des betroffenen Unternehmens.
Blind
Ein Testtyp, bei dem der Prüfer keine Informationen über das Zielsystem hat, der Betreiber jedoch informiert ist.
Botnet
Ein Botnet ist ein Netzwerk aus kompromittierten Rechnern, das ferngesteuert Angriffsszenarien ermöglicht.
Breach and Attack Simulation
Breach and Attack Simulation (BAS) automatisiert Pentest-Szenarien, um Sicherheitslücken zu identifizieren.
Brute-Force-Angriff
Ein Angriff, bei dem Passwörter oder Schlüssel systematisch ausprobiert werden, bis der richtige gefunden ist.
BSI-Grundschutz
Sammlung von Standards und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik zur IT-Sicherheit.
Buffer Overflow
Ein Speicherüberlauf, der durch unsichere Programmierung ausgenutzt werden kann, um Code einzuschleusen oder Programme zum Absturz zu bringen.
Business Continuity
Business Continuity stellt sicher, dass kritische Geschäftsprozesse nach Störungen fortgeführt werden können.
C
Certificate Authority
Eine Certificate Authority (CA) stellt digitale Zertifikate aus, um Identitäten im Netz zu validieren.
Cloud Access Security Broker
Ein Cloud Access Security Broker (CASB) kontrolliert Daten- und Sicherheitsrichtlinien in Cloud-Diensten.
Code Injection
Angriffsart, bei der schädlicher Code in eine Anwendung eingeschleust und ausgeführt wird.
Concern
Im OSSTMM eine mittlere Kategorie für Sicherheitslücken, die nicht direkt ausgenutzt werden, aber von Best Practices abweichen.
Configuration Review
Überprüfung der System- oder Netzwerkkonfiguration auf Schwachstellen oder Verbesserungspotenzial.
Container Security
Container Security schützt Container-Umgebungen vor Angriffsvektoren und Schwachstellen.
Content Delivery Network
Ein Content Delivery Network (CDN) verteilt Webinhalte global, um Ladezeiten zu reduzieren und DDoS‑Angriffe zu dämpfen.
Cookie
Kleine Textdateien, die von Websites im Browser des Nutzers gespeichert werden und u. a. Sitzung oder Einstellungen verwalten.
Crimeware
Malware, die gezielt zur Durchführung krimineller Aktivitäten wie Datendiebstahl oder Betrug entwickelt wurde.
CRLF Injection
Ein Angriff, bei dem Zeilenumbrüche in Eingaben injiziert werden, um z. B. Header-Manipulationen vorzunehmen.
Cross-Site Request Forgery (CSRF)
Ein Angriff, bei dem ein Benutzer ungewollt eine Aktion auf einer Webanwendung ausführt, bei der er authentifiziert ist.
Cross-Site Scripting (XSS)
Angriff, bei dem schädliche Skripte in Websites eingebunden werden, um Informationen zu stehlen oder Nutzeraktionen zu manipulieren.
Cryptanalysis
Cryptanalysis bezeichnet Techniken, um verschlüsselte Nachrichten ohne Schlüssel zu entschlüsseln.
Cryptographic Hash Function
Eine kryptografische Hash-Funktion erzeugt aus beliebigen Daten einen eindeutigen, festen Hashwert.
Cyber War
Staatlich unterstützte Cyberangriffe auf andere Länder, z. B. zur Lahmlegung von Infrastruktur oder Spionage.
Cybersecurity
Oberbegriff für Schutzmaßnahmen zur Abwehr von Angriffen auf IT-Systeme, Netzwerke und Daten.
D
Data Exfiltration
Data Exfiltration bezeichnet das unbefugte Abfließen von sensiblen Daten aus einem System.
Data Loss Prevention
Data Loss Prevention (DLP) verhindert das absichtliche oder versehentliche Abfließen sensibler Daten.
Data Masking
Data Masking ersetzt sensible Daten durch fiktive oder pseudonymisierte Werte.
Data Warehousing
Data Warehousing fasst Daten aus verschiedenen Quellen in einem zentralen Repository zusammen.
Denial-of-Service Attacke
Ein Angriff, der ein System mit Anfragen überflutet, um dessen Ressourcen zu erschöpfen und es unerreichbar zu machen.
Denial-of-Service Mitigation
Denial-of-Service Mitigation umfasst Maßnahmen, um DoS/DDoS-Angriffe abzuschwächen oder zu blocken.
Dictionary Attacke
Eine Methode zum Knacken von Passwörtern durch Ausprobieren gängiger Wörter aus einem Wörterbuch.
Digital Signature
Eine Digitale Signatur stellt Authentizität und Integrität elektronischer Dokumente sicher.
Digitale Forensik
Untersuchung digitaler Geräte zur Beweissicherung, typischerweise im Kontext von Cyberkriminalität.
Disaster Recovery Plan
Ein Disaster Recovery Plan legt Verfahren fest, um nach Katastrophen Systeme und Daten wiederherzustellen.
Distributed Ledger Technology
Distributed Ledger Technology (DLT) ist die Grundlage für Blockchain und verteilte Datenbanken ohne zentralen Eigentümer.
DMZ
Ein demilitarisiertes Netzwerksegment, das als Pufferzone zwischen internem Netzwerk und externen Netzwerken dient.
DOM
Document Object Model–eine Programmierschnittstelle zur Darstellung von HTML- und XML-Dokumenten als Objektstruktur.
DOM-Based XSS
Eine Form von Cross-Site Scripting, bei der die Schwachstelle im Client-seitigen JavaScript liegt und durch das DOM ausgelöst wird.
Domain Generation Algorithm
Domain Generation Algorithm (DGA) erstellt automatisch domänennamen, die von Malware für C&C‑Kommunikation genutzt werden.
Double Blind
Ein Testtyp, bei dem weder Tester noch Systembetreiber wissen, wann und wie der Sicherheitstest stattfindet.
E
E-Mail Spoofing
Fälschung des Absenders in einer E-Mail, um den Empfänger über die Herkunft der Nachricht zu täuschen.
Endpoint Detection and Response
Endpoint Detection and Response (EDR) überwacht und reagiert auf Bedrohungen direkt an Endgeräten.
Endpoint Protection Platform
Endpoint Protection Platform (EPP) ist eine Suite aus Antivirus, Antimalware, Firewall und weiteren Schutzfunktionen für Endgeräte.
Enumeration
Systematische Sammlung von Informationen über ein Zielsystem zur Vorbereitung eines Angriffs.
Ethical Hacking
Legales Hacken im Auftrag eines Unternehmens, um Sicherheitslücken zu identifizieren und zu schließen.
Exploit
Ein Stück Software oder Code, das eine Schwachstelle in einem System gezielt ausnutzt.
F
Federated Identity
Federated Identity ermöglicht Single Sign-On (SSO) über unabhängige Identitätsdomänen hinweg.
File Integrity Monitoring
File Integrity Monitoring (FIM) überwacht Änderungen an kritischen Dateien und Verzeichnissen.
Firewall Rule Set Audit
Analyse aktiver und inaktiver Firewall-Regeln zur Identifikation von Schwachstellen und Verbesserungspotential.
Forensic Readiness
Technische und organisatorische Vorbereitung auf digitale Forensik zur optimalen Untersuchung von Sicherheitsvorfällen.
Fraud Detection
Aufdeckung von Betrugsfällen durch Identifikation von Risiken mittels interner Kontrollsysteme.
G
Governance Risk and Compliance
Governance Risk and Compliance (GRC) integriert Richtlinien, Risikomanagement und Compliance-Prozesse in Unternehmen.
Grey Box
Ein Testtyp, bei dem der Prüfer einige Informationen über das Zielsystem hat und der Betreiber ebenfalls informiert ist.
Grundschutz
Bezieht sich auf standardisierte Sicherheitsmaßnahmen zur Basisabsicherung von IT-Systemen, insbesondere nach BSI-Vorgaben.
H
Hardening
Maßnahmen zur Erhöhung der Systemsicherheit durch Entfernen unnötiger Dienste, Software und Rechte.
Hardware Security Module
Ein Hardware Security Module (HSM) ist eine dedizierte Appliance für sichere Schlüsselspeicherung und -operationen.
Honeypot
Ein Honeypot ist ein absichtlich verwundbares System, das Angreifer anlockt und deren Methoden aufzeichnet.
HTTP
Hypertext Transfer Protocol–das Protokoll zur Übertragung von Webseiteninhalten.
HTTPS
HTTP Secure–eine Erweiterung von HTTP, die TLS zur sicheren Datenübertragung verwendet.
Hybridsensor (IDS)
Hostbasierter Sensor, der neben dem System auch den serverspezifischen Netzverkehr überwacht.
I
ICMP
ICMP steht für "Internet Control Message Protocol". Es ist ein Netzwerkprotokoll, das dazu dient, Informationen über den Zustand von Netzwerken zu übermitteln.
ICS Security Audit
Ein Audit zur Sicherheitsüberprüfung von Industrial Control Systems, häufig in Industrie und Infrastruktur verwendet.
Identity Federation
Identity Federation verknüpft Identitäten verschiedener Domain zu einer einheitlichen Benutzererfahrung.
IDS
Ein IDS (Intrusion Detection System) ist ein Sicherheitssystem, das Netzwerk- oder Systemaktivitäten überwacht und auf verdächtige oder unerlaubte Vorgänge hinweist.
Incident Management
Incident Management umfasst Prozesse zur Identifikation, Analyse und Behebung von Sicherheitsvorfällen.
Incident Response
Bezeichnet das strukturierte Reagieren auf IT-Sicherheitsvorfälle mit dem Ziel, Schaden zu begrenzen und Wiederherstellung zu ermöglichen.
Incident Response Plan
Ein Incident Response Plan beschreibt Strategien und Schritte, um auf Sicherheitsvorfälle zu reagieren.
Information Rights Management
Information Rights Management (IRM) schützt Dokumente und E-Mails vor unbefugtem Zugriff und Verbreitung.
Informationssicherheit
Schutz von Informationen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.
Internet Engineering Task Force (IETF)
Die IETF (Internet Engineering Task Force) ist eine internationale Organisation, die offene Standards für das Internet entwickelt – darunter viele zentrale Protokolle wie TCP/IP, HTTP oder DNS.
ISMS
Information Security Management System–ein Rahmenwerk zur systematischen Verwaltung von Informationssicherheit in Unternehmen.
ISO 27001
International anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS).
IT
Information Technology (IT) umfasst sämtliche Technologien, Systeme und Prozesse zur Verarbeitung, Speicherung und Übertragung von Daten in Organisationen. Dazu gehören Hardware (Server, Workstations, Netzwerkinfrastruktur), Software (Betriebssysteme, Datenbanken, Anwendungen) sowie dazugehörige Dienstleistungen (Administration, Wartung, Support). IT ist die Basis für Geschäftsprozesse, Kommunikation und strategische Entscheidungen in Unternehmen. In modernen IT-Abteilungen spielen Themen wie Cloud-Computing, Virtualisierung und […]
J
JavaScript
JavaScript ist eine Skriptsprache, die häufig in Webanwendungen eingesetzt wird, um Inhalte dynamisch zu verändern und Interaktivität zu ermöglichen. Sie wird clientseitig im Browser ausgeführt.
K
Key Management Service
Ein Key Management Service (KMS) zentralisiert Erzeugung, Verwaltung und Rotation kryptografischer Schlüssel.
Kick-Off-Meeting
Ein Kick-Off-Meeting markiert den offiziellen Start eines Projekts, bei dem Ziele, Zeitplan, Rollen und Erwartungen zwischen allen Beteiligten abgestimmt werden.
Kubernetes Security
Kubernetes Security umfasst Maßnahmen, um Container-Orchestrierung in Kubernetes-Clustern abzusichern.
L
Least Privilege
Das Least Privilege-Prinzip gewährt Benutzern und Prozessen nur die minimal notwendigen Berechtigungen.
Least Privilege Prinzip
Das Least Privilege Prinzip schreibt vor, dass einem Benutzer, einer Softwarekomponente oder einer anderen Entität nur die absolut notwendigen Rechte eingeräumt werden sollen, damit diese die ihr zugeteilten Aufgaben erledigen kann.
Log Management
Log Management sammelt, speichert und analysiert Protokolle aus IT-Systemen sicher und skalierbar.
M
Malware
Malware bezeichnet Software die vom Benutzer unerwünschte Aktionen ausführt. Malware ist auch ein Sammelbegriff für Viren, Würmer, Adware und Spyware.
Microsegmentation
Microsegmentation unterteilt ein Netzwerk in feingranulare Segmente, um Laterale Bewegung zu verhindern.
Mobile App Penetration Test
Ein Mobile App Penetration Test ist eine intensive, unprivilegierte und privilegierte manuelle Suche nach Sicherheitslücken in Betriebssystem, Basisdiensten und Applikation auf dem Mobilgerät.
Multi-Factor Authentication
Multi-Factor Authentication (MFA) kombiniert zwei oder mehr Authentifizierungsfaktoren für mehr Sicherheit.
N
Nachweisbarkeit
Die Fähigkeit, das Auftreten eines Ereignisses oder einer Aktion und dessen/deren Ursprung beweisen zu können (ISO/IEC 27000).
Network Access Control
Network Access Control (NAC) stellt sicher, dass nur dedizierte, sichere Geräte ins Netzwerk gelassen werden.
Network Design Review
Bei einem Network Design Review werden Netzwerkarchitektur und Netzwerkdesign überprüft, mit dem Ziel, designbasierte Schwachstellen aufzudecken.
Network Segmentation
Network Segmentation teilt Netzwerke in separate Zonen, um Sicherheitsrichtlinien granular durchzusetzen.
Network Tracing
Analyse des Netzwerkverkehrs zwischen zwei Objekten zur Erkennung von protokollbasierten sowie allgemeinen Schwachstellen und zur Erkennung von Verbesserungspotential.
O
OSI Model
Das OSI-Referenzmodell (Open Systems Interconnection Model) beschreibt sieben Schichten für die Kommunikation in Netzwerken: Anwendung, Darstellung, Sitzung, Transport, Vermittlung, Sicherung, Bitübertragung.
OSINT
Open Source Intelligence bezeichnet die Sammlung und Auswertung öffentlich zugänglicher Informationen aus Quellen wie Webseiten, Foren oder sozialen Netzwerken.
OSSTMM
Das Open Source Security Testing Methodology Manual ist ein De-Facto-Standard zur Durchführung von Security Audits mit strukturierten Testtypen und Bewertungsmethoden.
OWASP
Das Open Web Application Security Project ist eine offene Community, die sich der Verbesserung der Sicherheit von Software verschrieben hat, u. a. durch Projekte wie die OWASP Top 10.
OWASP Mobile Top 10
Eine Liste der zehn häufigsten Schwachstellen mobiler Anwendungen, herausgegeben von OWASP.
OWASP Top 10
Eine Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, zusammengestellt von OWASP.
P
Partieller Code Review
Ein partieller Code Review ist eine Analyse von Programmiercode, um designbasierte Schwachstellen zu erfassen, Sicherheitslücken aufzudecken und Verbesserungspotential zu erkennen.
Patch Management
Patch Management bezieht sich auf den Prozess, Software-Updates und Sicherheitspatches zeitnah auszurollen.
Patching
Das Einspielen von Software-Patches, welche Fehler oder andere Probleme beheben.
Path Traversal
Ein Angriff, bei dem durch fehlerhafte Pfadvalidierung auf Dateien außerhalb des vorgesehenen Verzeichnisses zugegriffen werden kann.
PCI DSS
Payment Card Industry Data Security Standard–ein Standard zur Sicherung von Kreditkartendaten, der für alle Organisationen gilt, die solche Daten verarbeiten.
Penetration Test
Ein gezielter, technischer Sicherheitstest, bei dem durch kontrollierte Angriffe Schwachstellen aufgedeckt werden.
Persistentes XSS
Ein Cross-Site-Scripting-Angriff, bei dem schädlicher Code dauerhaft auf einem Server gespeichert wird und bei jedem Besuch einer Seite ausgeführt wird.
Phishing
Ein Versuch, Benutzer über gefälschte Webseiten oder E-Mails zur Preisgabe sensibler Informationen zu verleiten.
Privileged Access Management
Privileged Access Management (PAM) steuert und überwacht Zugriffe von Benutzerkonten mit erweiterten Rechten.
Privilegierter Test
Ein Sicherheitstest mit Kenntnis gültiger Zugangsdaten und interner Informationen des Zielsystems.
Public Key Infrastructure
Public Key Infrastructure (PKI) stellt ein Framework zur Erstellung, Verteilung und Verwaltung digitaler Zertifikate dar.
Q
Qualitätssicherung / Review
Der Schlussbericht eines IT-Security-Projekts sollte auf Plausibilität, Korrektheit sowie Grammatik im Sinne des Vier-Augen-Prinzips überprüft werden, um ein hohes Qualitätsniveau zu gewährleisten.
R
Ransomware
Ransomware (engl. ransom = Lösegeld), auch Erpressungstrojaner, Verschlüsselungstrojaner oder Kryptotrojaner genannt, ist eine Bezeichnung für Schadsoftware, die Angreifer nutzen, um Daten ihrer Angriffsziele zu verschlüsseln und/oder den Zugang zu deren Systemen zu sperren. Anschließend fordern die Angreifer ihre Opfer zur Zahlung eines Lösegelds auf, nach dessen Eingang die Daten/Systeme vermeintlich wieder entschlüsselt bzw. freigegeben werden.
RAV
Abkürzung für „Risk Assessment Value“, ein Maß zur Bewertung des Risikoniveaus eines Systems basierend auf entdeckten Schwachstellen.
Redirection Angriff
Ein Angriff, bei dem Nutzer durch manipulierte URLs auf betrügerische Seiten umgeleitet werden, um z. B. persönliche Daten abzugreifen.
Reflected XSS
Eine Cross-Site-Scripting-Schwachstelle, bei der Schadcode über die URL an den Server gesendet und sofort an den Benutzer zurückgegeben wird.
Remote Desktop Protocol
Remote Desktop Protocol (RDP) ist Microsofts proprietäres Protokoll für Fernzugriffe auf Windows-Systeme.
Reversal
Ein Testtyp, bei dem der Prüfer Informationen über das Zielsystem hat, das Unternehmen aber nicht über den Test informiert ist.
Reverse Engineering
Analyse eines Produkts zur Gewinnung von Informationen über dessen Design und Funktionsweise, oft zum Aufdecken von Schwachstellen oder Kopieren der Technologie.
Role-Based Access Control
Role-Based Access Control (RBAC) ordnet Berechtigungen anhand vordefinierter Rollen zu.
S
Schlussbericht
Der Schlussbericht eines IT-Security-Audits beinhaltet alle Ergebnisse des Projekts inkl. Management Summary, Kategorisierung der gefundenen Risiken sowie empfohlene Maßnahmen.
Secure Boot
Secure Boot kontrolliert während des Systemstarts, dass nur signierte Bootloader geladen werden.
Secure File Transfer Protocol
Secure File Transfer Protocol (SFTP) ist eine sichere Methode zum Übertragen von Dateien über SSH.
Security Incident
Ein Sicherheitsvorfall, der eine Bedrohung für die Informationssicherheit darstellt, z. B. ein Angriff, ein Eindringen oder ein Ausfall eines Sicherheitssystems.
Security Scan
Ein automatisierter technischer Scan eines Systems oder Netzwerks zur Identifikation potenzieller Schwachstellen.
Session Fixation
Ein Angriff, bei dem ein gültiges Session-ID dem Opfer zugewiesen wird, damit der Angreifer diese Sitzung übernehmen kann.
Session Hijacking
Ein Angriff, bei dem der Angreifer die Kontrolle über eine gültige Sitzung eines Benutzers übernimmt, um dessen Berechtigungen zu missbrauchen.
Sichere Softwareentwicklung
Methoden und Praktiken, die in der Softwareentwicklung eingesetzt werden, um Sicherheitslücken frühzeitig zu vermeiden oder zu beseitigen.
SIEM (Security Information and Event Management)
SIEM-Plattformen korrelieren Sicherheitsereignisse aus verschiedenen Quellen in Echtzeit.
Single Sign-On
Single Sign-On (SSO) erlaubt Benutzern, sich einmalig anzumelden und auf mehrere Systeme zuzugreifen.
Software-Defined Perimeter
Ein Software-Defined Perimeter (SDP) isoliert Ressourcen durch Identität basierte Zugangskontrolle.
Spyware
Software, die ohne Wissen des Nutzers Daten über dessen Aktivitäten sammelt und an Dritte übermittelt.
SQL Injection
Ein Angriff, bei dem schädlicher SQL-Code in Formulareingaben oder URLs eingefügt wird, um unbefugten Zugriff auf eine Datenbank zu erhalten.
T
Tandem
Ein Testtyp gemäß OSSTMM, bei dem sowohl der Prüfer als auch die Systemadministratoren über die Sicherheitsüberprüfung informiert sind.
Test-Typen
Verschiedene Methoden der Sicherheitsprüfung wie White Box, Black Box, Grey Box, Blind, Double Blind, Tandem, Reversal, White Hat, Black Hat.
Testvektor
Ein Testvektor beschreibt die konkrete Angriffsperspektive während eines Audits, z. B. über das Internet, aus dem LAN oder über eine mobile Verbindung.
Threat Intelligence
Threat Intelligence liefert strukturierte Informationen über aktuelle Bedrohungen und Angreifer.
TLS
Transport Layer Security ist ein kryptografisches Protokoll zur sicheren Datenübertragung im Internet, der Nachfolger von SSL.
Transport Layer Security
Transport Layer Security (TLS) verschlüsselt Datenkommunikation zwischen Client und Server.
Trojaner
Malware, die sich als legitime Software tarnt, aber im Hintergrund schädliche Aktionen ausführt, z. B. Daten löschen oder Passwörter stehlen.
Two-Factor Authentication
Two-Factor Authentication (2FA) kombiniert zwei verschiedene Faktoren für Benutzer‑Authentisierung.
U
Unified Threat Management
Unified Threat Management (UTM) integriert mehrere Sicherheitsfunktionen in einer einzigen Appliance.
Unprivilegierter Test
Ein Test ohne Kenntnis gültiger Zugangsdaten wie Benutzername oder Passwort. Ziel ist es, Schwachstellen aus der Perspektive eines externen Angreifers zu identifizieren.
User and Entity Behavior Analytics
User and Entity Behavior Analytics (UEBA) analysiert Benutzer‑ und Systemverhalten, um Anomalien zu erkennen.
V
Verfügbarkeit
Die Eigenschaft, dass Informationen autorisierten Personen bei Bedarf zugänglich und nutzbar sind (gemäß ISO/IEC 27000).
Vertraulichkeit
Die Eigenschaft, dass Informationen nur befugten Personen zugänglich gemacht werden (gemäß ISO/IEC 27000).
Virtual Private Network
Ein Virtual Private Network (VPN) stellt eine sichere, verschlüsselte Verbindung über öffentliche Netze her.
Virtualization Security
Virtualization Security schützt virtuelle Maschinen und Hypervisoren vor Angriffen und Missbrauch.
Virus
Eine Form von Malware, die sich selbst verbreitet, häufig durch Anhänge oder Speichermedien, und schädliche Aktionen ausführt.
Voice over IP Security
Voice over IP Security (VoIP) sichert Sprachkommunikation über IP-Netze vor Abhören und Missbrauch.
VoIP Audit
Eine Sicherheitsüberprüfung von Voice-over-IP-Infrastrukturen mit Fokus auf Protokolle, Betriebssysteme und Applikationen.
Vulnerability
Eine Schwachstelle, die durch Bedrohungen ausgenutzt werden kann. Im OSSTMM die schwerwiegendste Kategorie in der Sicherheitsbewertung.
Vulnerability Assessment
Vulnerability Assessment bewertet Systeme und Netzwerke auf bekannte Schwachstellen.
W
War Driving
Das gezielte Suchen nach WLANs durch Abfahren von Straßen, um ungesicherte oder schwach gesicherte Netzwerke zu entdecken.
Weakness
Im OSSTMM eine Schwachstelle der zweithöchsten Risikoklasse – etwa, wenn Passwörter unverschlüsselt übertragen werden.
Web App Security Audit
Ein umfassender Sicherheitstest von Webanwendungen zur Identifikation technischer Schwachstellen, meist basierend auf OWASP Top 10.
Web Application Firewall
Eine Web Application Firewall (WAF) schützt Webanwendungen durch Filterung schädlicher HTTP(S)-Anfragen.
White Box
Ein Testtyp, bei dem die Prüfer detaillierte Informationen über das Zielsystem erhalten. Dient der Simulation eines Angriffs mit Insiderwissen.
White Hat
Ein ethischer Hacker oder Tester, der mit Zustimmung des Betroffenen agiert, um Sicherheitslücken aufzudecken.
Windows Client Audit
Ein Audit zur Sicherheitsprüfung von Windows-basierten Clients auf Betriebssystem-, Netzwerk- und Anwendungsebene.
WLAN Audit
Eine umfassende Sicherheitsprüfung eines WLANs, um Angriffsflächen und Konfigurationsfehler aufzudecken.
World Wide Web (WWW)
Ein Netzwerk aus Webseiten und Inhalten, das über das Internet zugänglich ist und via Browser genutzt wird.
Wurm
Ein selbstverbreitendes Schadprogramm, das sich über Netzwerke ausbreitet, oft ohne Benutzerinteraktion.
X
XML
XML (Extensible Markup Language) ist eine Auszeichnungssprache zur Darstellung strukturierter Daten in einem plattformunabhängigen, menschen- und maschinenlesbaren Format. Sie wird häufig für den Datenaustausch verwendet.
Z
Zero Day
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, für die es zum Zeitpunkt der Entdeckung noch keinen Patch gibt. Der Ausdruck „Zero Day“ bezieht sich auf die Zeit, die Entwicklern bleibt, um auf die entdeckte Schwachstelle zu reagieren – nämlich null Tage.
Zero Trust Architecture
Zero Trust Architecture (ZTA) basiert auf dem Grundsatz: 'Vertraue niemandem, überprüfe alles'.
Zugangskontrolle
Die Zugangskontrolle umfasst Mechanismen und Verfahren, die sicherstellen, dass nur autorisierte Benutzer oder Prozesse Zugriff auf bestimmte Informationen oder Ressourcen erhalten. Dies kann durch Passwortschutz, biometrische Verfahren, Rollenvergabe oder Zugriffsbeschränkungen geschehen.