Auf der Suche nach einer Definition für einen Informationssicherheit- oder IT-Security-Begriff? Stöbern Sie in unserem Vokabular an wichtigen Security Ausdrücken von «Advanced Mail Tests» bis «Zugangskontrolle».

Glossarsuche

Index

A

Advanced Mail Tests

Mit Advanced Mail Tests wird die E-Mail Infrastruktur auf die Wirksamkeit der eingesetzten Filter wie z.B. Antivirus, Antispam sowie nicht alltägliche File-Extensions überprüft.

Advanced Persistent Threat (APT)

Ein Advanced Persistent Threat (APT) ist ein Cyber-Angriff, der sich gegen Unternehmen oder politische Ziele richtet. Die Attacke wird normalerweise von einer Gruppe (wie einer Regierung) koordiniert,  welche über die Mittel verfügt und die Absicht hat, ihr Angriffsziel dauerhaft zu verfolgen. Der Aufwand ist oft sehr hoch, um die Attacke erfolgreich durchzuführen, unbemerkt zu bleiben und die kontinuierliche Kontrolle über den Angriff zu gewährleisten. Ein Beispiel für ein APT ist der Stuxnet-Wurm, welcher auf die Zentrifugen des iranischen Atomprogramms abzielte.

Adware

Adware bezeichnet Software, welche meist zusätzlich zur eigentlichen Funktion Werbung anzeigt. Dies wird häufig zur Finanzierung der Software genutzt.

Angriffsvektor

Ein Angriffsvektor ist der Hauptpfad mittels dem ein Angriff sein Ziel erreicht. Es existieren verschiedene Arten von Angriffsvektorklassifikationen. Oft werden folgende Kategorien aufgeführt: Buffer-Overflow-, Denial-of-Service-, Passwortattacken, physische Attacken, Viren, Würmer etc.

Anomalie

Eine Anomalie ist im OSSTMM (Open Source Security Testing Methodology Manual), einem de-facto Standard für Sicherheitsüberprüfungen, die am wenigsten schwerwiegende Sicherheitslücke in der entsprechenden Risikokategorisierung. Eine Anomalie ist eine Unbekannte im System, welche der Tester mit den ihm zur Verfügung stehenden Informationen im vorgegebenen Zeitrahmen nicht identifizieren konnte (Beispiel: Nicht erwartete Antwort eines Routers).

Application Security Audit

Ein Application Security Audit ist eine gründliche, technische, unprivilegierte und privilegierte Sicherheitsüberprüfung einer Applikation und der zugehörigen Komponenten mit hohem manuellen Test- und Verifikationsanteil. Da unprivilegierte und privilegierte Tests durchgeführt werden, kombiniert dieser Testtyp Angriffe aus der Outsider (z. B. Hacker) und der Insider-Perspektive.

Authentisierung

Die Authentisierung bezeichnet den Prozess, der die Korrektheit der Identität einer Person bestätigt (SANS Institute).

Autorisierung

Die Autorisierung ist die Genehmigung, Erlaubnis oder die Ermächtigung für jemanden oder etwas, etwas zu tun (SANS Institute).

B

Backdoor

Eine Backdoor (englisch "Hintertür") bezeichnet einen (oft vom Entwickler eingebauten) Teil einer Software, der es dem User ermöglicht, unter Umgehung der normalen Zugriffssicherung Zugang zum Computer oder einer sonst geschützten Funktion eines Programms zu bekommen. Ein Beispiel ist eine (meist durch einen Trojaner heimlich installierte) Software, die einen entsprechenden Fernzugriff auf das Computersystem ermöglicht.

Bedrohung

Eine Bedrohung ist ein mögliche Ursache für einen ungewollten Zwischenfall, der einem System oder einer Organisation Schaden zufügen kann (ISO/IEC 27000). Bedrohungen können von Menschen ausgelöst (beabsichtigt oder unbeabsichtigt) oder von Umweltfaktoren verursacht werden und umfassen Dinge wie Diebstahl (z.B. von Informationen), Abhören, Datenverlust, Erdbeben und Überschwemmungen.

Black Box (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Bei einem Black-Box-Test erhalten die Tester vorweg keinerlei Informationen über die zu prüfenden Systeme. Ziel ist es, aus der Perspektive eines Hackers, der von Null beginnt, Sicherheitslücken aufzuspüren und auszunutzen. Diese Sichtweise entspricht der Definition des BSI (M 5.150). Das OSSTMM setzt im Gegensatz dazu den Black-Box-Text einem "Double Blind" Test gleich.

Black Hat (Testtyp)

Während eines Black-Hat-Tests (auch verdeckter Security Test genannt) werden gemäss NIST SP 800-115 die IT-Mitarbeiter nicht über die Tests informiert (im Gegensatz zu White-Hat-Tests) sondern nur das höhere Management (oder andere relevante Parteien). Diese Art von Test wird eingesetzt, um die Reaktion der IT-Angestellten auf Security Vorfälle zu untersuchen.

Blind (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Das OSSTMM definiert Blind als den Audittyp, bei dem die Tester vorweg keinerlei Informationen über die zu prüfenden Systeme erhalten, währen die Administratoren über den anstehenden Audit informiert werden.

Brute-Force-Angriff

Ein sehr alter Angriff auf die User/Passwort-Authentisierung ist der Brute-Force-Angriff, bei welchem alle möglichen Kombinationen an Zeichenfolgen als Passwort ausprobiert werden. Dieses bedeutet jedoch einen sehr hohen Zeitaufwand und verursacht ein sehr auffälliges Systemverhalten, welches sehr leicht zu detektieren ist. Die fortgeschrittenere Variante des Brute-Force Angriffs ist die “Wörterbuchattacke” (Dictionary Attack). Hierbei werden nicht mehr alle Zeichenfolgen als Passwörter überprüft, sondern nur ein bestimmter Satz an Wörter aus einem Wörterbuch. Dadurch lässt sich der Zeitaufwand deutlich verringern, was der Grund für die Beliebtheit dieses Angriffs ist. Es besteht jedoch die Möglichkeit, dass bestimmte Passwörter nicht entdeckt werden können.

BSI-Grundschutz

Der deutsche IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI), auch BSI-Grundschutz genannt, ist eine Sammlung von Empfehlungen zur Informationssicherheit, welche mit ISO 2700x kompatibel sind. Folgende Standards sind verfügbar: BSI-Standard 200-1 (Managementsysteme für Informationssicherheit (ISMS)), BSI-Standard 200-2 (IT-Grundschutz-Vorgehensweise), BSI-Standard 200-3 (Risikomanagement), BSI-Standard 100-4 (Notfallmanagement).

Buffer Overflow (Pufferüberlauf)

Ein Buffer Overflow (Pufferüberlauf) wird durch Fehler im Programm ausgelöst. Dabei kann das Programm dazu gebracht werden, mehr Daten als vorgesehen in eine Datenstruktur (z.B. ein Puffer zur temporären Datenspeicherung) im Hauptspeicher (RAM) zu schreiben. Die überschüssigen Daten können so angrenzende Datenstrukturen überschreiben und ungewollte Änderungen im Speicherinhalt oder auch Programmablauf verursachen. Buffer Overflow Probleme treten normalerweise nur bei Programmen auf, die in Programmiersprachen mit direktem Speicherzugriff (z.B. C) geschrieben wurden. Ein verwandtes Problem ist Buffer Over-Read, bei dem mehr Daten als vorgesehen gelesen werden können und so interne Informationen des Programms sichtbar werden. Ein Beispiel dieser Variante ist der bekannte sogenannte Heartbleed Bug bei OpenSSL.

C

Code Injection

Bei einer Code-Injection-Schwachstelle geht es darum, einer Anwendung einen Programm-Code zu übergeben, welcher dann von der Anwendung integriert und ausgeführt wird. Je nach Ausprägung der Schwachstelle ist es einem Angreifer möglich, das Anwendungsverhalten zu manipulieren und gegebenenfalls Programmcode einschleusen, welcher zu einer vollständigen Übernahme des Systems führen kann. Code Injection ist eines der umfangreichsten und facettenreichsten Themen im Bereich Web Security und bietet sehr viel Möglichkeiten: SQL Injection, XML Injection, Webscript Injection, OS Command Injection, JSON Injection, XPATH Injection etc.

Concern

Ein Concern ist im OSSTMM (Open Source Security Testing Methodology Manual), einem de-facto Standard für Sicherheitsüberprüfungen, die dritt schwerwiegendste Sicherheitslücke (von insgesamt fünf) in der entsprechenden Risikokategorisierung. Ein Concern ist keine direkte Bedrohung, entspricht jedoch nicht "Best Practices" (zum Beispiel ein nicht benötigter, aber aktiver Netzwerkdienst).

Configuration Review (Überprüfung der Konfiguration)

Review der Konfiguration eines bestimmten Objektes mit dem Ziel, Verbesserungspotential im Bereich Hardening zu erkennen sowie Schwachstellen zu finden.

Cookie

Ein Cookie ist eine kleine, von einem Webserver auf einem lokalen Rechner abgelegte Textdatei, die Daten über das Surf-Verhalten des Nutzers enthält (z.B. Spracheinstellungen oder Artikel im Warenkorb). Cookies helfen dabei, die User Experience zu verbessern, aber sie können auch Nutzerverhalten aufzeichnen und Informationen an Webseiten von Dritten ohne das Einverständnis des Users weitergeben. Sitzungsrelevante Informationen werden auch häufig in Cookies gespeichert, was in Angriffen wie Session Hijacking von einem Angreifer ausgenutzt werden kann.

Crimeware

Schadsoftware (Malware) - meist von kriminellen Organisationen eingesetzt - mit dem Ziel finanziellen Gewinn zu erzielen.

CRLF Injection

CRLF Injection ist ein spezifischer Weg, um Schadcode in eine Applikation einzuschleusen. Das Hauptelement dieser Attacke ist es, "Carriage Return" (CR) und/oder "Line Feed" (LF) Zeichen in beliebigen Output zu injizieren. Diese Injektion ist möglich, wenn eine angegriffene Applikation die Benutzereingaben nicht richtig verarbeitet. Ein Beispiel einer solchen Attacke ist die "HTTP Response Splitting"-Attacke.

Cross-Site Request Forgery (CSRF)

Dies ist eine Angriffsart bei der eine verwundbare Webseite nur unzureichend überprüft ob, eine Anfrage legitim ist. Ein Angreifer kann heimlich im Namen eines Benutzers Befehle an die Webseite schicken, indem er den Benutzer dazu bringt, eine speziell vorbereite Webseite zu besuchen.

Cross-Site Scripting (XSS)

Cross-Site Scripting ist eine Art von Verwundbarkeit welche es einem Angreifer ermöglicht, Skripte in eine Webseite zu integrieren. Diese unterscheiden sich nicht von allenfalls bereits vorhandeneren Skripten und werden daher vom Browser auch gleichermassen ausgeführt. Es gibt drei Arten von XSS Verwundbarkeiten. Diese sind reflected, persistente und DOM-basierte XSS.

Cyber Security

Die Cyber Security (oder IT Security) befasst sich mit Massnahmen (organisatorische, technische, strategische usw.), welche Informationssysteme vor Schaden oder unerlaubtem Zugriff schützen. Die Cyber Security umschliesst sowohl die Sicherheit von Geräten (z.B. Computer oder Smartphones), wie auch von Applikationen und Netzwerken. Die Informationssicherheit ist ein Oberbegriff und beinhaltet die IT Security.

Cyber War

Cyber War, oft auch als Cyber Warfare oder Cyber-Krieg bezeichnet, beinhaltet alle Tätigkeiten, welche von einem Staat oder einer Organisation ausgeführt werden, um Systeme oder Informationsnetzwerke einer anderen Nation oder Organisation anzugreifen oder in diese einzudringen. Verbreitete Techniken, um dies zu erreichen, sind Denial-of-Service Angriffe oder ferngesteuerte Malware.

Cyber Warfare

Siehe Cyber War

D

Demilitarisierte Zone (DMZ)

Eine DMZ ist ein Computernetzwerk welches Dienste einer Firma für ein anderes Netzwerk (z.B. das Internet) zur Verfügung stellt. Die Computer in der DMZ haben häufig Zugriff auf firmeninterne Ressourcen, sind aber durch eine oder mehrere Firewalls von diesen getrennt. Dies dient dazu, Dienste für andere verfügbar zu machen, aber trotzdem möglichst guten Schutz für die eigenen firmeninternen Ressourcen zu bieten.

Denial-of-Service Attacke

Bei diesem Angriff wird versucht eine Webseite, einen Computer oder andere Netzwerk-Ressourcen nicht verfügbar zu machen. Dies erfolgt oft durch Überlastung der verfügbaren Kapazität des Ziels.

Dictionary Attacke

Digitale Forensik

Siehe IT-Forensik

Document Object Model (DOM)

DOM ist eine plattformunabhängige Schnittstelle für den Zugriff auf die Objekte eines Dokumentes, z.B. einer HTML-Seite. Die Objekte sind häufig in einer baumartigen Struktur gehalten.

DOM-Based Cross-Site Scripting (DOM-Based XSS)

Eine DOM-Based XSS Schwachstelle erlaubt das Einbinden von z.B. JavaScript-Code in eine Webseite. Sie tut dies jedoch nicht wie Reflected XSS und Persistent XSS mittels der Webanwendung auf dem Server, sondern macht sich hierfür Fehler in einem JavaScript der Anwendung zu Nutze. Die Schwachstelle wird deswegen DOM-Based genannt, weil clientseitiges JavaScript Zugriff auf das Document Object Model (DOM) einer Webseite hat, und somit auch Zugriff auf die aufgerufene URL.

Double Blind (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Gemäss dem OSSTMM erhalten die Tester bei einem Double-Blind-Test vorweg keinerlei Informationen über die zu prüfenden Systeme und die Administratoren werden nicht über den anstehenden Audit informiert. Der Double-Blind-Testtyp ist der realistischste Ansatz aber nicht der effizienteste.

E

E-Mail Spoofing

E-Mail Spoofing bezeichnet das Erstellen und Versenden von Emails mit gefälschtem Absender.

Enumeration

Vor einem Angriff ist es unabdingbar, so viele Informationen wie möglich über das Zielsystem in Erfahrung zu bringen. Dieser Vorgang ist auch als “Enumerations-Prozess” bekannt. Ziel der Enumeration ist ein konkreteres Bild über den Aufbau des zu untersuchenden Systems zu schaffen, um technische, architektonische sowie auch logische Eigenschaften optimal für den Angriff ausnutzen zu können.

Ethical Hacking

Als Ethical Hacking bezeichnet man einen gezielten Auftragshackerangriff gemäss präzise formuliertem Auftrag zwecks Aufdeckung technischer, organisatorischer und konzeptioneller Mängel. Ethical Hacking ist eine klassische «Proof of Concept»-Sicherheitsüberprüfung und hat zum Ziel designbasierte Sicherheitslücken wie beispielsweise suboptimale Trusts zwischen Systemen, Mängel im Zonenkonzept oder falsches Mitarbeiterverhalten aufzudecken. Im Gegensatz zu einem Penetration Test oder Application Security Audit wird die Suche nach Sicherheitslücken gestoppt, sobald eine Verwundbarkeit gefunden wurde, welche zur Zielerreichung ausgenutzt werden kann. Ethical Hacking umfasst deshalb keine flächendeckende, systematische Suche nach allen technischen Sicherheitslücken.

Exploit

Ein Exploit ist eine Befehlsfolge oder Codesequenz welche unter Ausnutzung einer Verwundbarkeit eines Programms oder anderer Software diese dazu bringt, von seiner normalen korrekten Ausführung abzuweichen. Dies kann einem Angreifer z.B. erlauben, die Kontrolle über die Software zu übernehmen oder auch diese zum Absturz zu bringen.

Exposure (Informationsabfluss)

Eine Exposure ist im OSSTMM (Open Source Security Testing Methodology Manual), einem de-facto Standard für Sicherheitsüberprüfungen, die viert schwerwiegendste Sicherheitslücke (von insgesamt fünf) in der entsprechenden Risikokategorisierung. Es geht dabei um die Preisgabe von Informationen, wenn zum Beispiel interne IP-Adressen ersichtlich sind. Dies kann einem Angreifer wichtige Hinweise über die interne Netzwerk-Architektur geben.

F

Firewall Rule Set Audit

Ein Firewall Rule Set Audit ist eine Analyse der aktiven und inaktiven Firewall-Regeln mit dem Ziel, Schwachstellen aufzudecken und Verbesserungspotential zu erkennen. Der Audit fokussiert unter anderem auf zu weite, überlappende, unsichere (z.B. solche, die Protokolle wie telnet oder FTP benutzen) oder veraltete Regeln. Zusätzlich können auch Firewall Ruleset Prozesse (z.B. für das Erstellen, Ändern und Löschen von Regeln) überprüft werden.

Forensic Readiness

Technische und organisatorische Vorarbeit um im Falle einer IT-Forensik Untersuchung von Sicherheitsvorfällen möglichst optimal vorbereitet zu sein. Typische Aspekte sind: Definition der IT-Sicherheitsorganisation (intern und extern), Art und Tiefe des Loggings, Tool Auswahl, Schulung des betroffenen Personals und Notfallübungen.

Fraud Detection

Fraud Detection beschäftigt sich mit der Aufdeckung von Betrugsfällen und beinhaltet die Identifizierung von Risiken mittels eines internen Kontrollsystems. Das Ziel ist betrügerische Handlungen zu identifizieren.

G

Grey Box (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Der Grey-Box Testtyp ist der häufigste Ansatz für einen IT Security Audit. Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme (z.B. die IP Adressen) und die Administratoren werden über den anstehenden Test informiert. Dieser Ansatz macht den Audit schneller, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird.

H

Hardening

System Hardening erhöht die System-Sicherheit durch die Reduktion der Angriffsfläche. Dies kann durch das Entfernen von unnötiger Software, unnötigen Diensten und Funktionalitäten sowie durch die Reduktion der Nutzerrechte auf ein Minimum erreicht werden.

HTML

HyperText Markup Language (HTML) ist eine Auszeichnungssprache zur Erstellung von Webseiten. Es ist eine Kerntechnologie des Internets. HTML-Dokumente enthalten Informationen für den Benutzer und auch Instruktionen für den Browser zur Darstellung dieser Informationen.

HTTP

Das “Hypertext Transfer Protocol” ist das zentrale Kommunikationsprotokoll des WWW. Es ist ein generisches, zustandsloses, Klartext-Protokoll, welches für viele verschiedene Aufgaben im heutigen WWW eingesetzt wird. HTTP arbeitet mit einem nachrichtenbasierten Modell bei dem der Client eine Anfrage (Request) an den Server sendet, welcher wiederum eine Anwortnachricht (Response) zurück schickt. Die detaillierte Spezifikationen des HTTP können der RFC2616 entnommen werden.

HTTPS

Das Hypertext Transfer Protocol Secure (HTTPS) verwendet TLS um eine Authentisierung der Parteien zu ermöglichen und die übertragenen Daten gegen Zugriff und Manipulation durch Dritte zu schützen.

I

ICS (SCADA / DCS) Security Audit

ICS-Umgebungen werden z.B. im Energiesektor (Stromerzeugung, Pipelines usw.), Entsorgungswesen, in der Fertigung, bei der Gebäudeautomation und auf Flughäfen eingesetzt. ICS steht für Industrial Control System, SCADA für Supervisory Control and Data Acquisition, DCS für Distributed Control System. Ein SCADA- / DCS-Audit ist eine gründliche, technische und/oder konzeptionelle, unprivilegierte und privilegierte Sicherheitsüberprüfung einer ICS-Umgebung und der zugehörigen Komponenten.

Incident Response

Incident Response bezeichnet die Reaktion einer Organisation auf einen vorangegangenen Vorfall (siehe auch Security Incident). Normalerweise umfasst dies die Behebung des Schadens und die Definition und Umsetzung von vorbeugenden Massnahmen, damit sich der Vorfall nicht so oder so ähnlich wiederholen kann.

Informationssicherheit

Die Informationssicherheit befasst sich mit der Erhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Information. Ausserdem können auch andere Eigenschaften wie Echtheit, Zurechenbarkeit, Nachweisbarkeit und Zuverlässigkeit abgedeckt werden (ISO/IEC 27000). Information kann dabei z.B. in elektronischer, gedruckter oder gesprochener Form vorliegen. Die IT-Sicherheit stellt eine Unterkategorie der Informationssicherheit dar.

Informationssicherheitsleitlinie

Die Informationsicherheitsleitlinie bildet die höchste Ebene aller Security Policies. Eine Leitlinie beschreibt gemäss ISO/IEC 27000 die vom Top Management verbindlich dargelegten Absichten und Ausrichtungen der Organisation. Die Informationssicherheitsleitlinie muss (gemäss ISO/IEC 27001) dem Zweck der Organisation angemessen sein, und entweder die Sicherheitsziele selbst oder einen Rahmen für die Festlegung dieser Ziele aufführen. Ausserdem muss sie eine Verpflichtung zur kontinuierlichen Verbesserung des ISMS (Information Security Management System) beinhalten. Gemäss den Best Practices von ISO/IEC 27002 sollte die  Informationssicherheitsleitlinie zudem Informationssicherheit definieren, Prinzipien für Tätigkeiten rund um die Informationssicherheit beschreiben und Aussagen treffen in Bezug auf die Zuweisung von Verantwortlichkeiten sowie in Bezug auf den Umgang mit Abweichungen und Ausnahmen.

Integrität

Die Eigenschaft von Informationswerten richtig (unverändert) und vollständig zu sein (ISO/IEC 27000). Die Überprüfung der Datenintegrität, z.B. mittels Prüfsummenverfahren, kann der absichtlichen oder unbeabsichtigten Datenverstümmelung entgegenwirken.

ISMS

Der Begriff "ISMS" ist eine Abkürzung für "Information Security Management System" und wird in ISO 27001 beschrieben. Ein ISMS - wie jedes andere ISO Management System - ist ein Rahmenwerk, das die benötigten Schritte beschreibt, um die definierten Ziele zu erreichen. Das Management System beschreibt diese Ziele und umfasst auch die Rollen und Verantwortlichkeiten, Prozesse und Verfahren sowie entsprechende Dokumentation.

ISO 27001

ISO 27001 ist ein Standard der International Organization for Standardization. Er beschreibt die Anforderungen an ein Information Security Management System (ISMS) und ist mit anderen ISO-Managementsystemen wie ISO 9001 (Qualitätsmanagement) vergleichbar. ISO 27001 ist der einzige Standard der ISO 2700X-Familie nach dem man sich zertifizieren lassen kann. Annex A dieses Standards führt Informationssicherheits-Massnahmen auf, die in ISO 27002 weiter ausgeführt werden. ISO 27001 und ISO 27002 betrachten die Informationssicherheit als Ganzes und decken neben der IT-Security auch noch weitere Aspekte wie z.B. die physische Sicherheit ab.

ISO 27002 Security Audit

Ein ISO 27002 Security Audit ist eine konzeptionelle Überprüfung, bei der mittels Auswertung von Fragebögen und/oder Interviews der Stand der zutreffenden Controls aus ISO 27002 (resp. Annex A von ISO 27001) ermittelt wird mit dem Ziel, eine 360 Grad Rundumsicht über die Informationssicherheit einer Organisation zu erhalten.

IT Security Roadmap

Eine IT Security Roadmap (oder Information Security Roadmap) definiert einen Fahrplan und zugehörige IT Security-Aktivitäten (oder Informationssicherheits-Aktivitäten), um kontinuierlich und nachhaltig die Sicherheit im Unternehmen zu erhöhen.

IT-Forensik

Die IT-Forensik oder digitale Forensik befasst sich mit der Untersuchung und Wiederherstellung von Daten auf digitalen Geräten, wie Computern, Mobiltelefonen, Memory Sticks, üblicherweise in Verbindung mit einer kriminellen Handlung mit dem Ziel, (gerichtsverwertbare) Beweise zu identifizieren und sicherzustellen.

J

JavaScript

JavaScript ist eine Programmiersprache, die häufig zur Erstellung von Skripten, die im Browser des Benutzers ausgeführt werden, Verwendung findet. Diese Skripte können die Inhalte von Seiten verändern und generieren, und zusätzliche Interaktionsmöglichkeiten bieten. Heutzutage wird JavaScript teilweise auch auf Servern eingesetzt.

K

Kick-Off-Meeting

Das Kick-Off-Meeting ist eine initiale Besprechung, welche den Start des IT Security Projektes markiert und als Grundlage für die erfolgreiche Durchführung des Audits dient. Im Kick-Off-Meeting werden der Projektumfang, der Zeitplan, die Projektorganisation, die Rahmenbedingungen und Methoden besprochen.

L

Least Privilege Prinzip

Das Least Privilege Prinzip schreibt vor, dass einem Benutzer, einer Softwarekomponente oder einer anderen Entität nur die absolut notwendigen Rechte eingeräumt werden sollen, damit diese die ihr zugeteilten Aufgaben erledigen kann.

M

Malware

Malware bezeichnet Software die vom Benutzer unerwünschte Aktionen ausführt. Malware ist auch ein Sammelbegriff für Viren, Würmer, Adware und Spyware.

Mobile App Penetration Test

Ein Mobile App Penetration Test (auch Mobile Application Security Audit oder Mobile Application Penetration Test genannt) ist eine intensive, unprivilegierte und privilegierte manuelle Suche nach Sicherheitslücken in Betriebssystem, Basisdiensten und Applikation auf dem Mobilgerät. Mobile Applikationen für Smartphones und Tablets auf verschiedensten Plattformen wie beispielsweise Android, iOS, Windows Phone oder BlackBerry OS werden dabei unter anderem auf die «OWASP Mobile Top 10» (Version 2014) Sicherheitsschwachstellen untersucht.

N

Nachweisbarkeit (Non-Repudiation)

Die Fähigkeit, das Auftreten eines  Ereignisses oder einer Aktion und dessen/deren Ursprung beweisen zu können (ISO/IEC 27000).

Network Design Review

Bei einem Network Design Review werden Netzwerkarchitektur und Netzwerkdesign aufgrund von Unterlagen des Kunden überprüft, mit dem Ziel, designbasierte Schwachstellen aufzudecken.

Network Tracing

Als Network Tracing bezeichnet man die Analyse des Netzwerkverkehrs zwischen zwei Objekten mit dem Ziel, protokollbasierte sowie allgemeine Schwachstellen aufzudecken und Verbesserungspotential zu erkennen.

O

OSI Reference Model

Das OSI-Referenzmodell (Open Systems Interconnection Model) definiert sieben Schichten, die die Kommunikation zwischen zwei Endpunkten in einem Telekommunikationsnetzwerk unterteilt: Layer 7: Application Layer (Anwendungsschicht), Layer 6: Presentation Layer (Darstellungsschicht), Layer 5: Session Layer (Kommunikationssteuerungsschicht), Layer 4: Transport Layer (Transportschicht), Layer 3: Network Layer (Vermittlungsschicht), Layer 2: Data Link Layer (Sicherungsschicht), Layer 1: Physical Layer (Bitübertragungsschicht). Wenn man über die Sicherheit einer Umgebung nachdenkt, sollten alle Schichten berücksichtigt werden. Physische Sicherheitsmassnahmen auf Layer 1 für Bedrohungen wie Geräteüberhitzung können so wichtig sein wie Bedrohungen auf anderen Ebenen.

OSINT

OSINT ist eine Abkürzung für „Open Source Intelligence“ und wird vor allem im Geheimdienst-Umfeld verwendet. Als OSINT wird der Vorgang bezeichnet, bei welchem über öffentlich zugängliche Informationsquellen Daten gesammelt, systematisch organisiert und ausgewertet werden. Als Informationsquellen dienen Zeitungen, Suchmaschinen, Social Media Plattformen und andere öffentliche Informationen. Das „Open Source“ in der Bezeichnung hat nichts mit der Open Source Software Bewegung gemein.

OSSTMM

Das OSSTMM (Open Source Security Testing Methodology Manual) ist ein de-facto Standard für Sicherheitsüberprüfungen. Es wurde vom Institute for Security and Open Methodologies (ISECOM) entwickelt und wird von Fachleuten kontinuierlich überprüft und angepasst. Der Standard ist frei verfügbar und beinhaltet unter anderem eine Security Testing Methode für alle Channels (Human, Physical, Wireless,Telecommunications, and Data Networks) und die Rules of Engagement, welche die ethischen Richtlinien für eine Security Test vorgeben. Sicherheitslücken werden gemäss ihrem Schweregrad in die fünf Kategorien in Vulnerability, Weakness, Concern, Exposure und Anomaly eingeteilt.

OWASP

Das «Open Web Application Security Project» (OWASP) ist eine offene Community, welche sich dafür einsetzt, vertrauenswürdige Webanwendungen zu entwickeln, anzuschaffen, zu pflegen und zu warten (siehe auch OWASP Top 10 und OWASP Mobile Top 10).

OWASP Mobile Top 10

Die «OWASP Mobile Top 10» (Version 2016) umfassen eine Auflistung der kritischsten Schwachstellen in Mobile Apps: Improper Platform Usage, Insecure Data Storage, Insecure Communication, Insecure Authentication, Insufficient Cryptography, Insecure Authorization, Poor Code Quality, Code Tampering, Reverse Engineering, Extraneous Functionality.

OWASP Top 10

Die «OWASP Top 10» (Ausgabe 2013) umfassen eine Auflistung der kritischsten Schwachstellen in Webanwendungen: Injection, Broken Authentication and Session Management, Cross-Site Scripting (XSS), Insecure Direct Object References, Security Misconfiguration, Sensitive Data Exposure, Missing Function Level Access Control, Cross-Site Request Forgery (CSRF), Using Known Vulnerable Components, Unvalidated Redirects and Forwards.

P

Partieller Code Review

Ein partieller Code Review ist eine Analyse von Programmiercode um designbasierte Schwachstellen zu erfassen, Sicherheitslücken aufzudecken und Verbesserungspotential zu erkennen.

Patching

Das Einspielen von Software Patches welche Fehler oder andere Probleme, wie z.B. Effizienzprobleme beheben.

Path Traversal

Das Lesen und Schreiben von Dateien ist des Öfteren Bestandteil von z.B. Webanwendungen. Ist die Implementation einer solchen Funktion fehlerhaft und besteht für einen Angreifer die Möglichkeit durch Übergabeparameter das vorbestimmte Verzeichnis zu verlassen, so spricht man von einer “Path Traversal Schwachstelle”. Bei Lesezugriff ermöglicht es einem Angreifer das Auslesen von kritischen Daten (Konfigurationsdateien, Passwortdateien, Dateien mit wichtigen Daten z.B. Datenbanken). Bei Schreibzugriff können zusätzliche Webseiten abgelegt oder bestehende manipuliert werden. Im Extremfall können sogar Systemdateien überschrieben werden.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) ist ein eigener Datensicherheits-Standard der Zahlungskartenbranche und ist für alle Unternehmen, die Zahlungen mit Kreditkarten wie Visa, MasterCard, American Express etc. abwickeln verpflichtend. Ein wichtiges Einsatzgebiet ist bei E-Commerce-Anbietern zu finden, die Zahlungen mit Kreditkarte akzeptieren (online oder aber auch telefonisch). Je nach Anzahl Transaktionen mit einer spezifischen Karte pro Jahr müssen bestimmte Sicherheitsanforderungen erfüllt werden.

Penetration Test

Ein Penetration Test ist eine gründliche, technische, unprivilegierte Sicherheitsüberprüfung mit hohem manuellen Test- und Verifikationsanteil. In manchen Fällen werden auch privilegierte Tests ausgeführt wenn Zugangsinformationen während des Projekts verfügbar werden.

Perfect Forward Secrecy (PFS)

Um eine sichere Verbindung herzustellen, einigen sich die zwei Parteien jeweils oft auf einen neuen Sitzungsschlüssel für jede Sitzung. Um diese Verhandlungsphase zu sichern können Langzeitschlüssel verwendet werden. PFS bezeichnet die Eigenschaft von key-agreement Protokollen, welche Sitzungsschlüssel generieren die auch bei einer Kompromittierung der Langzeitschlüssel noch sicher sind. Das Diffie–Hellman key exchange Verfahren wird dafür häufig eingesetzt.

Persistentes Cross-Site Scripting (Persistentes XSS)

Persistente Cross-Site Scripting Schwachstellen sind den Reflected Cross-Site Scripting Schwachstellen sehr ähnlich. Beide führen z.B. ein JavaScript eines Angreifers im Kontext einer Webanwendung aus und erlauben somit den Zugriff auf Informationen der Webanwendung, die normalerweise nur dem jeweiligen Benutzer zur Verfügung stehen. Der Unterschied zwischen einem persistenten XSS und einem reflektierten XSS (reflected XSS) besteht darin, dass ein Benutzer nicht auf einen präparierten Link eines Angreifers klicken muss, um Opfer eines Angriffs zu werden. Beim persistenten Cross-Site Scripting ist es einem Angreifer möglich, den JavaScript-Code dauerhaft auf einer Webseite zu platzieren. Besucht nun ein Benutzer die entsprechende Webseite, so wird das JavaScript in die Seite eingebunden und kommt somit zur Ausführung.

Phishing

Phishing bezeichnet den Versuch einen Benutzer durch Täuschung dazu zu bringen, geheime Informationen wie Passwörter oder Bankdaten zu übermitteln oder auch Geld zu überweisen. Häufig werden dazu Emails mit gefälschten Absenderinformationen (Email Spoofing) benutzt.

Privilegierter Test

Test mit Kenntnis von gültigen Zugangsinformationen wie User ID / Passwort etc.

Q

Qualitätssicherung / Review

Der Schlussbericht eines IT-Security-Projekts sollte auf Plausibilität, Korrektheit sowie Grammatik im Sinne des Vier-Augen-Prinzips überprüft werden, um ein hohes Qualitätsniveau zu gewährleisten.

R

Redirection Angriff

Eine Redirection Schwachstelle liegt dann vor, wenn eine Webanwendung Daten von einem Benutzer verwendet, um ihn auf eine in den Daten spezifizierten URL weiterzuleiten. Ein Angreifer hat dadurch die Möglichkeit einen Angriff hinter einem vertrauenswürdigen Domainnamen zu verstecken. Für einen direkten Angriff auf eine Webanwendung ist ein Redirection Angriff uninteressant. In den Händen eines Phishers kann sie wiederum “bares Geld” bedeuten.

Reflected Cross-Site Scripting (Reflected XSS)

Von einer Reflected XSS Schwachstelle (oder reflektierten XSS-Schwachstelle) spricht man dann, wenn ein Übergabeparameter in einem HTTP Request einer Webanwendung ungefiltert wieder in die Antwort HTML-Seite eingebunden wird. Sollte nun ein Angreifer z.B. HTML- oder JavaScript-Code in den Übergabeparameter einfügen, so wird dieser in die Antwortseite eingebunden und ausgeführt. Dies ist beispielsweise bei Fehlermeldungen sehr häufig der Fall, bei denen der “fehlerhafte” Parameter wieder angezeigt wird.

Reversal (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Das OSSTMM definiert Reversal als den Audittyp, bei dem die Tester vorweg Informationen über die zu prüfenden Systeme erhalten aber die Administratoren über den anstehenden Audit nicht informiert werden. Das OSSTMM verwendet auch den Begriff Red Team exercise für diesen Testtyp.

Reverse Engineering

Reverse Engineering ist die Analyse des sicherheitsrelevanten Verhaltens und der Funktionalitäten eines Geräts oder einer lauffähigen Applikation basierend auf dem Blackbox-Ansatz.

Risk Assessment Value (RAV)

Der RAV ist ein Messwert für die Angriffsfläche einer Umgebung wie es im OSSTMM (Open Source Security Testing Methodology Manual) definiert wird. Er ist ein Massstab für das Sicherheitsniveau zu einem bestimmten Zeitpunkt (eigentliche Sicherheit). Ein RAV von 100 (manchmal als 100% RAV bezeichnet) wiederspiegelt die perfekte Balance zwischen Schutz und Angriffspunkten. Alles darunter bedeutet, dass es zu wenige Schutzmassnahmen gibt und daher eine grössere Angriffsfläche besteht.

S

Schlussbericht

Der Schlussbericht einen IT-Security-Audits beinhaltet alle Ergebnisse des Projektes inkl. Management Summary, Kategorisierung der gefundenen Risiken sowie empfohlene Massnahmen.

Security Incident

Als Security Incident zählt jeder absichtlich herbeigeführte oder unbeabsichtigte Vorfall, der zu einer erhöhten Bedrohung der Informationssicherheit führt wie zum Beispiel der Ausfall eines Intrusion Detection Systems oder das Erkennen von Angriffsmustern wie Port Scans.

Security Scan

Ein Security Scan ist eine automatisierte, technische, unprivilegierte Sicherheitsüberprüfung mit manueller Verifikation der detektierten Sicherheitslücken.

Session Fixation

Session Fixation macht sich den Umstand zu Nutze, dass bei einer erfolgreichen Authentisierung kein Austausch des Session Tokens erfolgt. Ein Angreifer erstellt bei dieser Angriffsart ein gültiges Session Token und übergibt dieses mithilfe von einem Link an das Opfer. Sobald sich das Opfer nun mit dem Session Token anmeldet, kann der Angreifer die Session übernehmen. Dies ist eine Form des Session Hijacking.

Session Hijacking

Bei Session Hijacking übernimmt ein Angreifer die Sitzung seines Opfers. Dadurch kann dieser auf die Daten des Opfers zugreifen und Befehle in dessen Namen ausführen (siehe auch Session Fixation).

Sichere Softwareentwicklung

Die Sicherheit einer Software sollte schon während der Entwicklung zu den obersten Zielen gehören. Sicherheit im gesamten Entwicklungsprozess ist nötig, da Defekte sich in den verschiedensten Ebenen einer Anwendung befinden und nicht ausschliesslich dem Programmcode zuzuschreiben sind. Defekte sind zu finden in Architektur /Design, Anwendungslogik, Programmcode, Third-Party Libraries, Deployment und Konfiguration. Für die sichere Softwareentwicklung sollten Leitlinien erfasst werden, die wichtige Punkte wie z.B. Eingabe- und Ausgabe-Validierung beinhalten.

Spyware

Spyware ist Software, welche den Benutzer oder dessen Daten ausspioniert. Dies geschieht meist ohne dessen Wissen oder Einverständnis. Die gewonnenen Informationen werden an den Hersteller übermittelt oder zur gezielteren Werbeeinblendung verwendet.

SQL Injection

SQL Injection ist einer der Urväter der Code Injection. Hierbei geht es darum, SQL-Code in die Anwendung zu injizieren, um Datenbankanfragen zu manipulieren, um gegebenenfalls mehr Informationen aus der Datenbank zu erhalten oder gezielt Datensätze zu verändern. SQL Injection war vor ein paar Jahren die häufigste Webanwendungsschwachstelle überhaupt. Aufgrund des steigenden Sicherheitsbewusstseins ist das Vorkommen heute geringer geworden, obgleich viele Gegenmassnahmen heute ebenfalls umgangen werden können. Die Mächtigkeit der Auswirkungen hat sich jedoch nicht verringert.

SSL

Siehe TLS

T

Tandem (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Das OSSTMM definiert Tandem als den Audittyp, bei dem die Tester vorweg Informationen über die zu prüfenden Systeme erhalten und auch die Administratoren über den anstehenden Audit informiert werden. Das OSSTMM verwendet auch den Begriff Crystal Box für diesen Testtyp.

Test-Typen

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Oft wird zwischen den folgenden Testtypen unterschieden: White Box, Grey Box, Black Box, White Hat, Black Hat, Blind, Double Blind, Tandem und Reversal.

Testvektor

Je nach Szenario ergeben sich unterschiedliche Testvektoren für technische Security Audits: Von Extern (z.B. via Internet in die DMZ oder via 3G/WLAN Verbindung auf ein mobiles Gerät), innerhalb der DMZ, im LAN / WAN, via Schnittstellen. Wenn im LAN / WAN getestet werden soll, können die Tests vor Ort oder via Remote Zugriff erfolgen.

TLS

Transport Layer Security (TLS) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Dabei wird mit Hilfe kryptografischer Verfahren wird sichergestellt, dass die miteinander Kommunizierenden Instanzen auch die sind, für die sie sich ausgeben, und dass die auszutauschenden Informationen nicht von Dritten mitgelesen oder manipuliert werden können. TLS stellt für höhere Protokoll-Ebenen einen völlig transparenten Übertragungskanal zur Verfügung, sodass die Applikations-Logik nur minimale Anpassungen benötigt, um gesichert kommunizieren zu können. Einige Beispiele für bestehende Protokolle, die durch TLS gesichert kommunizieren, sind HTTPS, POPS und IMAPS. Frühe Versionen des TLS Protokolls trugen den Namen Secure Socket Layer (SSL), der immer noch häufig synonym verwendet wird.

Trojaner

Ein Trojaner ist bösartige Software die dem Benutzer einen Nutzen bietet während sie vom Benutzer unerwünschte Funktionen ausführt. Dies kann z.B. ein kleines Spiel sein welches im Hintergrund Dateien löscht.

U

Unprivilegierter Test

Test ohne Kenntnisse von gültigen Zugangsinformationen wie User ID / Passwort etc.

V

Verfügbarkeit

Die Eigenschaft von Informationswerten einer autorisierten Instanz auf Nachfrage zugänglich und nutzbar zu sein (ISO/IEC 27000). Die Verfügbarkeit von Information setzt z.B. Backup- und Incident Management-Prozesse (Umgang mit Informationssicherheitsvorfällen) voraus.

Vertraulichkeit

Die Eigenschaft, dass Information unberechtigten Personen, Instanzen oder Prozessen nicht verfügbar gemacht oder diesen offengelegt wird (ISO/IEC 27000). Eine Möglichkeit, die Vertraulichkeit von Informationen zu gewährleisten, beruht z.B. auf der Vergabe von Zugriffsberechtigungen oder der Verschlüsselung von Daten.

Virus

Ein Virus ist bösartige Software die sich selbständig auf einem System installiert und weiterverbreitet. Die Weiterverbreitung erfolgt klassischerweise durch Kopieren auf Speichermedien.

VoIP Audit

Ein VoIP Audit ist eine intensive, unprivilegierte und privilegierte manuelle Suche nach Sicherheitslücken in einer Voice over IP Infrastruktur auf Betriebssystem-, Protokoll- und Applikations-Ebene.

Vulnerability

Eine Vulnerability oder Schwachstelle bezeichnet die Schwäche eines Wertes oder einer Massnahme, die von einer oder mehreren Bedrohungen ausgenutzt werden kann (ISO 27000, siehe auch Bedrohung). Im OSSTMM (Open Source Security Testing Methodology Manual), einem de-facto Standard für Sicherheitsüberprüfungen, ist eine Vulnerability die schwerwiegendste Kategorie von Schwachstellen (von insgesamt fünf). Sie bezeichnet eine Lücke im Sicherheitsmechanismus, worüber privilegierter Zugang zu einer Infrastruktur erlangt werden kann (zum Beispiel die Anfälligkeit für eine Buffer-Overflow-, Denial-of-Service- oder XSS-Attacke).

W

War Driving

War driving bezeichnet das Herumfahren in einem Fahrzeug auf der Suche nach drahtlosen (Computer-) Netzwerken. Diese Information kann zu Kartographie-Zwecken benutzt werden aber auch um mangelhaft gesicherte Netzwerke aufzuspüren, in diese einzubrechen und zu missbrauchen.

Weakness

Eine Weakness ist im OSSTMM (Open Source Security Testing Methodology Manual), einem de-facto Standard für Sicherheitsüberprüfungen, die zweit schwerwiegendste Sicherheitslücke (von insgesamt fünf) in der entsprechenden Risikokategorisierung. Eine Weakness ist dabei eine Lücke in der Plattform, auf welcher der Sicherheitsmechanismus aufbaut (z.B. wenn das Passwort bei der Anmeldung unverschlüsselt über HTTP gesendet wird).

Web Application Security Audit

Mit einem Web Application Security Audit oder Web Application Penetration Test wird beispielsweise das Sicherheitsniveau von Internet Banking Systemen, Online Shops, SharePoint-Plattformen oder VoIP-Lösungen ermittelt. Dabei wird üblicherweise das Untersuchungsobjekt auf die Sicherheitsschwachstellen der «OWASP Top 10» überprüft mittels einer intensiven, unprivilegierten und privilegierten manuellen Suche nach Sicherheitslücken in Betriebssystem, Basisdiensten und Webanwendung.

White Box (Testtyp)

IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Ziel des White-Box-Tests ist die Simulation einer Attacke mit Insiderwissen. Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Diese Sichtweise entspricht der Definition des BSI (M 5.150). Das OSSTMM setzt im Gegensatz dazu den White-Box-Text einem "Double Gray Box" Test gleich (siehe auch Grey Box).

White Hat (Testtyp)

Während eines White-Hat-Tests (oder offenen Security Tests) werden gemäss NIST SP 800-115 die Administratoren der entsprechenden Systeme über die Tests informiert (im Gegensatz zu Black-Hat-Tests).

Windows Client Audit

Der Windows Client Audit umfasst üblicherweise eine privilegierte Sicherheitsüberprüfung des Client Systems auf Netzwerk-, Betriebssystem- und Applikationsebene.

WLAN Audit

Ein WLAN Audit ist eine intensive, unprivilegierte und privilegierte manuelle Suche nach Sicherheitslücken in einem WLAN Netzwerk.

World Wide Web (WWW)

Das World Wide Web ist ein Informationssystem aus verknüpften Dokumenten, die Webseiten genannt werden. Auf das System kann über das Internet mittels eines Browsers zugegriffen werden. Das System enthält unterschiedliche Inhalte wie Text, Bilder, Musik und Videos. Das Web wurde 1989 von Tim Berners-Lee erfunden.

Wurm

Ein Wurm ist bösartige Software, welche sich selbständig dupliziert und auf andere Computer verbreitet (diese infiziert). Dies geschieht häufig unter Benutzung von Computer-Netzwerken.

X

XML

XML steht für Extensible Markup Language und ist eine Auszeichnungssprache zur Darstellung von Daten welche sowohl von Menschen als auch von Maschinen gelesen werden können. Ziel war u.a. ein universelles, einfaches Format zu definieren, welches insbesondere auch zum Datenaustausch über das Internet verwendet werden kann.

Z

Zero Day

Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, für die es noch keinen Patch gibt. Der Ausdruck "Zero Day" bezieht sich auf die Zeit, die die Entwickler seit Bekanntwerden der Schwachstelle hatten, um die Sicherheitslücke zu schliessen.

Zugangskontrolle

Die Zugangskontrolle befasst sich mit Mitteln, die nötig sind, um sicherzustellen, dass der Zugriff auf Werte autorisiert und eingeschränkt wird auf der Basis von Business- und Sicherheitsanforderungen (ISO/IEC 27000). In ISO/IEC 27002 fallen darunter Themen wie die Benutzerverwaltung (Zugang zu Informationssystemen), Passwortrichtlinien, Clean Desk und Clear Screen Policies.