Glossar: Begriffe von A-Z
A
Active Directory (AD)
Verzeichnisdienst von Microsoft
Advanced Encryption Standard (AES)
symmetrisches Verschlüsselungsverfahren
Application Programming Interface (API)
eine Rechnerschnittstelle zu einer Softwarekomponente oder einem System
Access Point Name (APN)
Name eines Gateways zwischen einem GSM-, GPRS-, 3G- oder 4G-Mobilfunknetz und einem anderen Rechnernetzwerk, z.B. dem öffentlichen Internet.
Authentisierung
Authentisierung ist der Nachweis der Identität eines Systems, eines Benutzers oder einer anderen Gegenstelle.
Authentifizierung
Die Authentifizierung stellt eine Prüfung der behaupteten Authentisierung dar. Bei der Authentifizierung werden die Angaben eines Peers auf ihre Echtheit überprüft. Zeitlich betrachtet findet eine „Authentifizierung“ also nach einer „Authentisierung“ statt.
B
Basic Input/Output System (BIOS)
ROM-Chip, der sich auf Hauptplatinen befindet und den Zugriff auf ein Computersystem und dessen grundlegende Einrichtung ermöglicht
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das in Bonn ansässige Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Bundesoberbehörde, die dem Bundesministerium des Innern angegliedert ist.
Das BSI ist für den Schutz der Netze des Bundes sowie die Erkennung und Abwehr von Angriffen auf die Regierungsnetze zuständig. Zu seinen Aufgabengebieten gehören Sicherheit von Computeranwendungen, Schutz kritischer Infrastrukturen, Sicherheit des Internets, Kryptographie, Abhörsicherheit, Akkreditierung von Sicherheitsprüflaboren und die Zulassung von Sicherheitsprodukten.
Bring Your Own Device (BYOD)
Bring Your Own Device (BYOD) bedeutet, dass Mitarbeiter:innen eines Unternehmens oder einer Organisation ihre privaten Endgeräte für die Arbeit verwenden können. Natürlich unter Einhaltung bestimmter Richtlinien und Vorgaben.
C
Certificate Authority (CA)
Eine Zertifizierungsstelle, die digitale Zertifikate ausstellt, um den Besitz eines öffentlichen Schlüssels durch den benannten Zertifikatsinhaber zu bestätigen
CRL Distribution Point (CDP)
Ein gemeinsam genutzter Speicherort im Netzwerk, der zum Speichern der CRL und der Zertifikate verwendet wird
Certificate Management over CMS (CMC)
Von der IETF veröffentlichter Internet-Standard, der Transportmechanismen für Cryptographic Message Syntax (CMS) definiert
Central Processing Unit (CPU)
Die elektronische Schaltung eines Computers, die Befehle ausführt, aus denen ein Computerprogramm besteht
Certificate Revocation List (CRL)
Liste der digitalen Zertifikate, die von der ausstellenden Zertifizierungsstelle (CA) vor Aublauf ihrer Gültigkeit widerrufen wurden und denen nicht mehr vertraut werden sollte
Common Criteria (CC)
Kurz für Common Criteria for Information Technology Security Evaluation, ein internationaler Standard zur Bewertung und Zertifizierung von Computersicherheit.
In Deutschland erfolgt die Zertifizierung nach CC durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und/oder akkreditierte Prüfstellen.
D
Dynamic Host Configuration Protocol (DHCP)
Kommunikationsprotokoll zur Zuweisung der Netzwerkkonfiguration an Clients durch einen Server
Domain Name System (DNS)
Naming-Datenbank, in der Internet Domain-Namen lokalisiert und in Internet-Protokoll-Adressen (IP-Adressen) übersetzt werden
E
Elliptic Curve Cryptography (ECC)
Das ECC-Verfahren ist ein asymmetrisches kryptographisches Verfahren, das Schlüssel durch mathematische Operationen mit Punkte-Paaren auf elliptischen Kurven berechnet. Bei diesem Verfahren sind Berechnung des Schlüssels und Krypto-Operationen mit dem Schlüssel schneller und kürzer als beim RSA-Verfahren. ECC wird vor allem in X.509-Zertifikaten und in Verschlüsselungsverfahren verwendet.
ENISA
Agentur der Europäischen Union für Cybersicherheit (engl. European Network and Information Security Agency).
Die in Athen, Griechenland, ansässige Agentur wurde 2004 von der EU gegründet. Zu ihren Aufgaben gehört die Unterstützung, Beratung und Zusammenarbeit mit den nationalen Behörden im Rahmen der Cybersicherheit in der Europäischen Union.
Enrollment over Secure Transport (EST)
Ein kryptografisches X.509-Zertifikatmanagementprotokoll, das auf PKI-Clients abzielt, die Client-Zertifikate und zugehörige CA-Zertifikate erwerben müssen (SCEP-Nachfolger nach RFC7030)
EU restricted
Schutz von Verschlusssachen der Europäischen Union (EU-Verschlusssachen (EU-VS)) ... RESTREINT UE/EU RESTRICTED: Die unbefugte Weitergabe dieser Informationen könnte für die Interessen der EU oder eines oder mehrerer Mitgliedstaaten nachteilig sein.
F
Fat Client
Ein Fat Client ist ein vollständig ausgestatteter, leistungsfähiger Desktop Computer, der lokale Software und eigene Ressourcen wie Rechenleistung, Speicher und Netzwerkanbindung besitzt.
Im Gegensatz dazu steht der Thin Client, ein einfach gebauter Computer ohne eigenen Massenspeicher, der die Rechenleistung eines per Netzwerk verbundenen Servers nutzt.
H
HMAC-based one-time password/algorithm (HOTP)
Verfahren zur Erzeugung von Einmalkennwörtern basierend auf dem Keyed-Hash Message Authentication Code (HMAC)
Hardware Security Module (HSM)
Internes oder externes Peripheriegerät für die effiziente und sichere Ausführung kryptographischer Operationen oder Applikationen
I
Internet of Things (IoT)
Sammelbegriff für Technologien einer globalen Infrastruktur der Informationsgesellschaften, die es ermöglicht, physische und virtuelle Objekte miteinander zu vernetzen und sie durch Informations- und Kommunikationstechniken zusammenarbeiten zu lassen.
Internet Protocol (IP)
Kommunikationsprotokoll der Netzwerkschicht in der Internet-Protokollsuite zur Weiterleitung von Datenpaketen vom Quellhost zum Zielhost anhand der IP-Adressen in den IP-Paket-Headern. IP ist die Implementierung der Internet-Schicht des TCP/IP-Modells.
Internet Protocol Security (IPsec)
Eine sichere Netzwerkprotokoll-Suite, die Datenpakete authentifiziert und verschlüsselt, um eine sichere verschlüsselte Kommunikation zwischen zwei Computern über ein Internet-Protokoll-Netzwerk zu ermöglichen. Es wird in virtuellen privaten Netzwerken (VPNs) verwendet.
IT-Grundschutz
Der IT-Grundschutz des BSI bildet das fachliche Fundament für Methoden, Prozesse und Verfahren in der Informationssicherheit. Der IT-Grundschutz richtet sich an öffentliche Einrichtungen und Unternehmen in der freien Wirtschaft und verfolgt unter anderem das Ziel, Geschäftsprozesse, Anwendungen und IT-Systeme sicher zu gestalten.
Das BSI veröffentlicht jährlich eine aktualisierte Version seines IT-Grundschutz-Kompendiums.
ITSEC
Kurz für Information Technology Security Evaluation Criteria, ein europäischer Standard zur Bewertung der und Zertifizierung der Funktionalität von Software in Bezug auf Daten- und Computersicherheit.
In Deutschland erfolgt die Zertifizierung nach ITSEC durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und/oder akkreditierte Prüfstellen.
K
Key Management
Das Schlüsselmanagement verwaltet die für kryptographische Verfahren benötigten Schlüssel. Es kann sich um symmetrische oder asymmetrische Schlüssel handeln. Zu den Aufgaben des Key-Managements zählen die Generierung, die Aufbewahrung, der Austausch und der Schutz von Schlüsseln.
KRITIS
KRITIS ist die Abkürzung für kritische Infrastrukturen. Unter diese Klassifizierung von Infrastrukturen fallen Einrichtungen oder Organisationen, die für das Gemeinwesen von hoher Bedeutung sind und deren Ausfall schwerwiegende Folgen für die Gesellschaft und die staatliche Ordnung haben.
L
Local Area Network (LAN)
Ein Netzwerk, das Computer in einem begrenzten Bereich wie einem Wohnhaus, einer Schule oder einem Bürogebäude miteinander verbindet.
M
Master Boot Record (MBR)
Befindet sich im ersten Sektor eines in Partitionen aufteilbaren Speichermediums und enthält ein Startprogramm für BIOS-basierte Computer (IBM-PC-kompatible Computer) sowie eine Partitionstabelle
Multi-Faktor Authentisierung (MFA)
Multi-Faktor-Authentifizierung (MFA) ist eine Authentisierungsmethode, bei der ein Client zwei oder mehr Nachweise (Faktoren) für einen Authentisierungsmechanismus erbringen muss, um Zugang zu einer Ressource wie einer Anwendung, einer Website oder einem VPN zu erhalten.
MFA ist eine Schlüsselkomponente eines starken Identitäts- und Zugriffsmanagements (IAM) und umfasst zwei oder mehr der folgenden Authentisierungsfaktoren:
- etwas, das nur der Benutzer weiß (Wissen)
- etwas, das nur der Benutzer hat (Besitz)
- etwas, das nur der Benutzer ist (Inhärenz)
N
NATO restricted
NATO RESTRICTED (NR), wird in Deutschland behandelt wie VS-NUR FÜR DEN DIENSTGEBRAUCH.
Network Address Translation (NAT)
Der Prozess, bei dem ein Netzwerkgerät (z.B. eine Firewall) einem Rechner/einer Gruppe von Rechnern innerhalb eines privaten Netzwerks eine öffentliche Adresse zuweist. Die Hauptanwendung von NAT besteht darin, die Anzahl der öffentlichen IP-Adressen zu begrenzen, die eine Organisation oder Firma aus wirtschaftlichen und aus Sicherheitsgründen verwendet.
Network Time Protocol (NTP)
Standard zur Synchronisierung von Uhren in Computersystemen über paketbasierte Kommunikationsnetze.
O
Online Certificate Status Protocol (OCSP)
Ein Netzwerkprotokoll, mit dem Clients den Sperrstatus von X.509-Zertifikaten abfragen. Mithilfe eines OCSP-Responders kann in Echtzeit geprüft werden, ob Zertifikate (oder Zertifikatketten), die der Prüfung von Signaturen, Identifizierung von Clients bzw. Servern oder der Verschlüsselung dienen, vor Ende ihres regulären Gültigkeitszeitraums gesperrt wurden oder abgelaufen sind. Aus diesem Grund hat OCSP die CRL zur Überprüfung des Zertifikatstatus weitgehend ersetzt.
Object identifier (OID)
Ein weltweit eindeutiger Bezeichner, der benutzt wird um ein Informationsobjekt zu benennen.
One-Time Password (OTP)
Ein Passwort zur einmaligen Verwendung. Es kann kein zweites Mal verwendet werden. Jede Authentifizierung oder Autorisierung erfordert dementsprechend ein neues Einmalkennwort.
P
PC over IP (PCoIP)
PCoIP ist ein UDP-basiertes, host-gerendertes Multi-Codec-Protokoll, das von Teradici entwickelt und von VMware lizenziert wurde, um Desktops in VMwares VDI-Produkt VMware View auszuliefern. Auf dem Server gerenderte Bilder werden als Pixel erfasst, komprimiert, kodiert und dann zur Entschlüsselung und Dekomprimierung an den Client gesendet. Das Protokoll passt seine Kodierung außerdem dynamisch an die verfügbare Bandbreite an.
Privacy Enhanced Mail (PEM)
Ein Dateiformat zum Speichern und Versenden von kryptographischen Schlüsseln, Zertifikaten und anderen Daten
Public Key Infrastructure (PKI)
Eine Kombination aus Rollen, Richtlinien, Hardware, Software und Verfahren, die zum Erstellen, Verwalten, Verteilen, Verwenden, Speichern und Widerrufen von digitalen Zertifikaten sowie zur Verwaltung der Verschlüsselung mit öffentlichen Schlüsseln erforderlich sind. Der Zweck einer PKI ist es, die sichere elektronische Übertragung von Informationen für E-Commerce, Internet-Banking und vertrauliche E-Mails zu erleichtern. Sie ist für Aktivitäten erforderlich, bei denen einfache Passwörter eine unzureichende Authentifizierungsmethode darstellen und strengere Beweise erforderlich sind, um die Identität der an der Kommunikation beteiligten Parteien zu bestätigen und die übertragenen Informationen zu validieren.
R
Remote Authentication Dial-in User Service (RADIUS)
Remote Authentication Dial-In User Service (RADIUS) ist ein Netzwerkprotokoll, das eine zentralisierte Authentisierung, Autorisierung und Accounting-Verwaltung (AAA) ermöglicht. RADIUS läuft auf der Anwendungsschicht und kann entweder TCP oder UDP verwenden. Ein RADIUS-Server ist ein zentraler Authentisierungsserver, an den sich Services für die Authentisierung von Clients wenden.
RADIUS ist häufig das Backend der Wahl bei der zentralen Authentisierung von Verbindungen per VPN, WLAN (nach IEEE 802.1X) oder DSL.
Remote Desktop Protocol (RDP)
Das Remote-Desktop-Protokoll (RDP) ist ein von Microsoft entwickeltes proprietäres Netzwerkprotokoll für den Fernzugriff auf Computer. Es erlaubt die Übertragung von Bildschirminhalten eines remote Rechnersystems sowie die Bereitstellung von Funktionen für Peripheriegeräte (Tastatur, Maus, Headset, Drucker) und für den Datenaustausch (Clipboard). Der Benutzer verwendet zu diesem Zweck eine RDP-Client-Software, die von Microsoft als Remote Desktop Connection bezeichnet wird, während auf dem anderen Computer eine RDP-Server-Software wie RDS laufen muss.
Remote Desktop Services (RDS)
Eine Funktion von Microsoft Windows Server, bekannt als Terminal Services in Windows Server 2008 und früher. RDS ist Microsofts Implementierung einer Thin-Client-Architektur, bei der die Windows-Software und der gesamte Desktop des Computers, auf dem RDS läuft, für jeden Remote-Client-Rechner zugänglich gemacht werden, der das RDP unterstützt. Ein Verbindungsbroker erlaubt die Verwaltung virtueller Maschinen und die Lastverteilung der Benutzer-Sessions durch Weiterleitung der Verbindung an die jeweilige virtuelle Maschine.
Remote Desktop Session Host (RDSH)
Eine Rolle innerhalb von RDS. RDSH-Server stellen Anwendungen oder Desktops bereit, auf die Benutzer zugreifen können. RDSH-Server lassen sich zu einer Gruppe zusammenfassen, um remote Apps oder sitzungsbasierte Desktops bereitzustellen.
Rivest Shamir Adleman (RSA)
Asymmetrisches kryptographisches Verfahren, das ein Schlüsselpaar mithilfe einer modularen Potenzierung großer Primzahlen berechnet. Es ist benannt nach den Mathematikern Ronald L. Rivest, Adi Shamir und Leonard Adleman. Das RSA-Verfahren wird vor allem in X.509-Zertifikaten und in hybriden Verschlüsselungsverfahren für den sicheren Austausch symmetrischer Schlüssel verwendet.
S
Secure Shell (SSH)
Kryptographisches Netzwerkprotokoll für den sicheren Betrieb von Netzwerkdiensten über ungesicherte Netzwerke
Secure Sockets Layer (SSL)
Secure Sockets Layer (SSL) und sein Nachfolger Transport Layer Security (TLS) sind Verschlüsselungsprotokolle für die sichere Datenübertragung im Internet. Das SSL-Protokoll wurde ursprünglich von der Netscape Communications Corporation für ihren Browser entwickelt. Die IETF-Standardisierungsorganisation entwickelte es weiter und benannte es in Transport Layer Security (TLS) um. SSL/TLS wird daher manchmal entweder als SSL oder als TLS bezeichnet.
SSL/TLS arbeitet in einem Client-Server-Modus und erlaubt die Realisierung folgender Sicherheitsanforderungen:
- Server-Authentifizierung
- Vertraulichkeit der ausgetauschten Daten
- Integrität der ausgetauschten Daten
- optional, Client-Authentifizierung
T
Technische Richtlinien (TR)
Technische Richtlinien sind vom BSI herausgegebene technische Empfehlungen und Bewertungen zur Einhaltung von Sicherheitsstandards beim Aufbau und der Absicherung von IT-Systemen. Sie ergänzen die technischen Prüfvorschriften des BSI und liefern Kriterien und Methoden für Konformitätsprüfungen sowohl der Interoperabilität von IT-Sicherheitskomponenten als auch der umgesetzten IT-Sicherheitsanforderungen.
Thin Client
Ein Thin Client ist ein einfach gebauter Computer, i.d.R. ohne eigenen Massenspeicher wie eine lokale Festplatte, der für die Arbeit in einer entfernten, serverbasierten Computerumgebung optimiert wurde und die Anwendungen sowie die Rechenleistung des per Netzwerk verbundenen Servers nutzt. Thin Clients werden meistens in Verbindung mit einem Terminalserver verwendet.
Im Gegensatz dazu steht der Fat Client, ein herkömmlicher Personal Computer, der über eine beträchtliche lokale Rechenleistung verfügt.
Transmission Control Protocol (TCP)
TCP ist ein verbindungsorientiertes Transportprotokoll, das definiert, wie Daten zwischen Netzwerkkomponenten ausgetauscht werden. Verbindungsorientiert heißt, dass vor der Übertragung von Nutzdaten eine Verbindung zwischen Sender und Empfänger hergestellt werden muss.
TCP setzt auf das Internet-Protokoll auf, weshalb auch häufig von TCP/IP gesprochen wird. Hierbei senden zunächst Anwendungsprogramme Daten an das Transportschichtprotokoll. TCP teilt die Daten in kleinere Pakete und leitet die Pakete dann an die nächste Protokollschicht, die sog. Netzwerkschicht mit dem Internet Protocol, weiter. Dort werden die Pakete in der Reihenfolge wieder zusammengesetzt.
TCP enthält Mechanismen zur Lösung vieler Probleme, die bei der paketbasierten Datenübermittlung auftreten, z.B. für verlorene Pakete, Pakete in falscher Reihenfolge, doppelte Pakete oder beschädigte Pakete. TCP garantiert so die Integrität der über das Netz gesendeten Daten, unabhängig von der Datenmenge.
Time-based One-Time Password Algorithm (TOTP)
Verfahren zur Erzeugung von zeitlich limitierten Einmalkennwörtern basierend auf dem Keyed-Hash Message Authentication Code (HMAC) zur Authentisierung
U
User Datagram Protocol (UDP)
UDP ist ein verbindungsloses Transportprotokoll, das definiert, wie Daten zwischen Netzwerkkomponenten ausgetauscht werden. Verbindungslos heißt, dass keine Verbindung (Leitung oder logischer Kanal) zur Datenübertragung zwischen Sender und Empfänger geschaltet werden muss.
UDP setzt auf das Internet-Protokoll auf. Wie bei TCP senden Anwendungsprogramme Daten an das Transportschichtprotokoll, die von UDP in kleinere Pakete geteilt und an das Internet-Protokoll weitergeleitet werden. Im Gegensatz TCP enthält UDP keine Mechanismen für für verlorene Pakete oder ähnliches. UDP kann Datenpakete nicht in der richtigen Reihenfolge zusammensetzen, deshalb wird es hauptsächlich für DNS-Anfragen, VPN-Verbindungen oder Audio- und Videostreaming verwendet, da es durch seine vereinfachte Arbeitsweise schneller und ein Datenverlust unproblematisch ist.
Unified Extensible Firmware Interface (UEFI)
Spezifikation für eine Softwareschnittstelle zwischen Firmware und Betriebssystem (OS) eines Computers. Auf einigen Hauptplatinen ersetzt UEFI das BIOS die ursprünglich in allen IBM PC-kompatiblen Personalcomputern vorhanden war, wobei die meisten UEFI-Firmware-Implementierungen Unterstützung für alte BIOS-Dienste bieten (Legacy Boot).
UEFI bietet viele Vorteile gegenüber BIOS: Standardnetzwerkfunktionen, eine hochauflösende grafische Benutzeroberfläche, integrierte Verwaltung mehrerer Betriebssysteminstallationen, einen Secure-Boot-Mechanismus und die Möglichkeit, große Festplattenpartitionen mit mehr als 2 TB zu verwenden.
Universal Mobile Telecommunications System (UMTS)
Mobilfunkstandard der dritten Generation (3G)
Uniform Resource Identifier (URI)
Eine Zeichenkette, die eine bestimmte Ressource eindeutig identifiziert ( Webseiten, sonstige Dateien, Aufruf von Webservices, E-Mail-Empfängern etc.).
Uniform Resource Locator (URL)
Eine URL, gemeinhin als Webadresse bezeichnet, ist eine einheitliche Zeichenfolge, die eine Ressource im World Wide Web anhand ihres Ortes in Computernetzwerken identifiziert und das Internetprotokoll für den Abruf der Ressource angibt (z. B. http oder https).
Universal Serial Bus (USB)
Ein Industriestandard für ein bit-serielles Datenübertragungssystem zur Verbindung, Kommunikation und Stromversorgung (Schnittstellen) zwischen Computern, Peripheriegeräten und anderen Geräten.
V
Virtual Desktop Infrastructure (VDI)
Eine virtuelle Desktop-Infrastruktur (VDI) ist eine Rechenzentrum-Infrastruktur, die virtuelle Maschinen zur Bereitstellung und Verwaltung von virtuellen Desktops auf einem zentralen Server hostet. Bei den Clients kann es sich um PC, Tablets oder Thin Clients handeln.
Virtual Private Network (VPN)
Ein virtuelles privates Netzwerk (VPN) erweitert ein privates Netzwerk über ein öffentliches Netzwerk und ermöglicht es den Nutzern, Daten über gemeinsam genutzte oder öffentliche Netzwerke zu senden und zu empfangen, als ob ihre Computergeräte direkt mit dem privaten Netzwerk verbunden wären. Ein VPN wird durch den Aufbau einer virtuellen Punkt-zu-Punkt-Verbindung mit Hilfe von Tunneling-Protokollen und/oder Software wie IPsec oder OpenVPN über bestehende Netze eingerichtet. Tunnelendpunkte müssen authentifiziert sein, bevor sichere VPN-Tunnel aufgebaut werden können. Bei Netzwerk-zu-Netzwerk-Tunneln werden häufig Passwörter und/oder digitale Zertifikate verwendet. Die verschlüsselte Verbindung erlaubt die sichere Übertragung sensibler Daten, verhindert das Mithören des Datenverkehrs von Unbefugten und ermöglicht dem Benutzer remote zu arbeiten.
VS-Anforderungsprofil (VS-AP)
Ein VS-Anforderungsprofil ist ein vom BSI herausgegebener Anforderungskatalog, der zulassungsrelevante Vorgaben für den sicheren Aufbau und Betrieb eines IT-Sicherheitsproduktes spezifiziert, das für die Verarbeitung, Übertragung oder Speicherung von Verschlusssachen gem. SÜG eingesetzt werden soll.
VS-NfD
VS-NfD steht für „Verschlusssachen – nur für den Dienstgebrauch“ und ist die unterste von insgesamt vier Geheimhaltungsstufen für Behörden. Informationen, die mit VS-NfD gekennzeichnet sind, dürfen nur von berechtigten Personen eingesehen werden.
W
Wireless Local Area Network (WLAN)
Ein drahtloses Computernetzwerk, das zwei oder mehr Geräte drahtlos verbindet, um ein lokales Netzwerk (LAN) innerhalb eines begrenzten Bereichs zu bilden.
Z
Zwei-Faktor-Authentisierung (2FA)
2FA ist eine Authentisierungsmethode, bei der ein Client zwei Nachweise (Faktoren) für einen Authentisierungsmechanismus erbringen muss, um Zugriff auf eine Ressource wie eine Anwendung, eine Website oder ein VPN zu erhalten.
2FA fügt eine zusätzliche Sicherheitsebene hinzu und enthält zwei der folgenden Authentisierungsfaktoren:
- etwas, das nur der Benutzer weiß (Wissen)
- etwas, das nur der Benutzer hat (Besitz)
- etwas, das nur der Benutzer ist (Inhärenz)