Bundesamt für Sicherheit in der Informationstechnik

Glossar der Cyber-Sicherheit

Backdoor

Eine Backdoor ist ein üblicherweise durch Viren, Würmer oder Trojanische Pferde installiertes Programm, das Dritten einen unbefugten Zugang ("Hintertür") zum Computer verschafft, jedoch versteckt und unter Umgehung der üblichen Sicherheitseinrichtungen. Backdoors werden oft für Denial-of-Service-Angriffe benutzt.

Basis-Anforderung im IT-Grundschutz

Basis-Sicherheitscheck im IT-Grundschutz

Der Begriff bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Maßnahmen in einer Organisation bereits umgesetzt sind und welche grundlegenden Sicherheitsmaßnahmen noch fehlen.

Baustein der IT-Grundschutz-Kataloge

Der Begriff dient zur Strukturierung von Empfehlungen der IT-Grundschutz-Kataloge. Bausteine sind die Einheiten innerhalb einer Schicht (z. B. IT-Systeme, Netze). Sie beschreiben teils technische Komponenten (wie Verkabelung), teils organisatorische Verfahren (wie Notfallvorsorge-Konzept) und besondere Einsatzformen (wie Häuslicher Arbeitsplatz). In jedem Baustein werden die betrachtete IT-Komponente und die Gefährdungslage beschrieben sowie organisatorische und technische Sicherheitsmaßnahmen empfohlen.

Bausteine

Das IT-Grundschutz-Kompendium enthält für unterschiedliche Vorgehensweisen, Komponenten und IT-Systeme Erläuterungen zur Gefährdungslage, Sicherheitsanforderungen und weiterführende Informationen, die jeweils in einem Baustein zusammengefasst sind. Das Kompendium ist aufgrund der Baustein-Struktur modular aufgebaut und legt einen Fokus auf die Darstellung der wesentlichen Sicherheitsanforderungen in den Bausteinen. Die grundlegende Struktur des IT-Grundschutz-Kompendiums sieht eine Unterteilung in prozess- und systemorientierte Bausteine vor, zudem sind sie nach Themen in ein Schichtenmodell einsortiert.

Bedrohung (englisch "threat")

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann. Der Schaden bezieht sich dabei auf einen konkreten Wert wie Vermögen, Wissen, Gegenstände oder Gesundheit. Übertragen in die Welt der Informationstechnik ist eine Bedrohung ein Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen beeinträchtigen kann, wodurch dem Besitzer bzw. Benutzer der Informationen ein Schaden entstehen kann. Beispiele für Bedrohungen sind höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen oder vorsätzliche Handlungen. Trifft eine Bedrohung auf eine Schwachstelle (insbesondere technische oder organisatorische Mängel), so entsteht eine Gefährdung.

Benutzerkennung (häufig auch Benutzerkonto)

Die Benutzerkennung ist der Name, mit dem sich der Benutzer einem IT-System gegenüber identifiziert. Dies kann der tatsächliche Name sein, ein Pseudonym, eine Abkürzung oder eine Kombination aus Buchstaben und/oder Ziffern.

Betreiber Kritischer Infrastrukturen

Ein Betreiber Kritischer Infrastrukturen ist ein Unternehmen, das eine Kritische Infrastruktur gemäß Rechtsverordnung nach § 10 (1) BSIG (BSI-KritisV) betreibt. Er ist gemäß BSI-KritisV "eine natürliche oder juristische Person, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon ausübt."

BIA (Business Impact Analyse)

Eine Business Impact Analyse (Folgeschädenabschätzung) ist eine Analyse zur Ermittlung von potentiellen direkten und indirekten Folgeschäden für eine Institution, die durch das Auftreten eines Notfalls oder einer Krise und Ausfall eines oder mehrerer Geschäftsprozesse verursacht werden. Es ist ein Verfahren, um kritische Ressourcen und Wiederanlaufanforderungen sowie die Auswirkungen von ungeplanten Geschäftsunterbrechungen zu identifizieren.

Biometrie

Unter Biometrie ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale zu verstehen. Diese kann genutzt werden, um Benutzer auf Grundlage besonderer Merkmale eindeutig zu authentisieren. Ein oder mehrere der folgenden biometrischen Merkmale können beispielsweise für eine Authentisierung verwendet werden:

  • Iris
  • Fingerabdruck
  • Gesichtsproportionen
  • Stimme und Sprachverhalten
  • Handschrift
  • Tippverhalten am Rechner

Bitcoin

Bitcoins (BTC) sind eine digitale Währung, sie wird auch Kryptowährung genannt. Durch Zahlungen zwischen pseudonymen Adressen wird eine Identifizierung der Handelspartner deutlich erschwert.

Blackbox-Test

Bei Blackbox-Tests wird das Verhalten von Außentätern simuliert, wobei vorausgesetzt wird, dass der Angreifer keine oder nur oberflächliche Informationen über sein Angriffsziel hat.

Blacklisting

Regel bei der Vergabe von Zugriffsrechten: "Was nicht verboten ist, ist erlaubt".

Blinding

Blinding ist ein Verfahren, das meist zum Schutz gegen Seitenkanal-Angriffe in der Kryptographie verwendet wird. Blinding kann dabei helfen, den geheimen Schlüssel (oder Teile davon) während einer Verschlüsselungsoperation so zu verschleiern, dass keine Informationen über ihn abfließen können. Meist wird eine zufällige Zahl auf den geheimen Wert addiert, der die Krypto-Operation nicht beeinflusst, aber den echten Schlüssel schützt.

Blockchiffre

Schlüsselabhängige, effizient berechenbare, umkehrbare Abbildung, die Klartexte einer festen gegebenen Bitlänge n auf Chirate der gleichen Länge abbildet. Ohne Kenntnis des Schlüssels sollte es nicht praktisch möglich sein, die Ausgabe der Blockchiffre von der Ausgabe einer zufällig gewählten bijektiven Abbildung zu unterscheiden.

Bluesnarfing

Missbräuchliche Verwendung von Bluetooth. Fremde können dadurch unbefugt auf Daten zugreifen, die auf Handys gespeichert sind. Dazu zählen Adressbücher, Bilder, Kalender und Identitätcodes.

Bluetooth

Bluetooth ist ein Industriestandard gemäß IEEE 802.15.1 für die drahtlose (Funk-)Vernetzung von Geräten über kurze Distanz.

Bot / Bot-Netz

Als Botnetz wird ein Verbund von Rechnern (Systemen) bezeichnet, die von einem fernsteuerbaren Schadprogramm (Bot) befallen sind. Die betroffenen Systeme werden vom Botnetz-Betreiber mittels eines Command-and-Control-Servers (C&C-Server) kontrolliert und gesteuert.

Branchenarbeitskreis (UP KRITIS)

Branchenarbeitskreise sind Gremien des UP KRITIS. In jeder KRITIS-Branche (bei Bedarf können Branchenarbeitskreise auch mehrere Branchen umfassen) wird ein geeigneter Branchenarbeitskreis (BAK) zu IT-/Cyber-Sicherheit eingerichtet. Dieser dient innerhalb der Branche insbesondere der Vernetzung, dem vertrauensvollen Informationsaustausch und der Entwicklung gemeinsamer Positionen und Dokumente (z.B. Rahmenwerke für die Branche). Branchenarbeitskreise bieten unter Anderem eine geeignete Plattform für die Erarbeitung von branchenspezifischen Sicherheitsstandards.
Siehe auch: Organisation im UP-KRITIS

Branchenspezifischer Sicherheitsstandard (B3S)

Ein B3S ist ein Sicherheitsstandard gemäß § 8a (2) BSIG, dessen Eignung durch das BSI festgestellt wurde.

Bring Your Own Device (BYOD)

Bei BYOD (Bring Your Own Device) handelt es sich um Strategien von Institutionen, ihre Mitarbeiter zur dienstlichen Nutzung ihrer privaten Geräte zu ermutigen oder sogar finanzielle Anreize hierfür zu schaffen. Die Besonderheit an BYOD ist, dass die Endgeräte zwar unter Umständen durch die Institution subventioniert werden aber Eigentum der Mitarbeiter sind.

Brute Force Angriff

Wählen Nutzer ein schwaches Passwort und ist der Benutzername (z. B. die E-Mail-Adresse) bekannt, kann sich ein Angreifer unter Umständen auch durch wiederholtes Ausprobieren von Passwörtern (Brute-Force-Angriff) Zugang zu einem Benutzerkonto verschaffen. Mittels Brute-Force-Techniken kann der Angreifer auch versuchen, kryptografisch geschützte Daten, z. B. eine verschlüsselte Passwort-Datei, zu entschlüsseln.

BSI-Kritisverordnung

Die "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV)" ist die Rechtsverordnung gemäß § 10 (1) BSIG, in der definiert wird, "welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes (BSIG) gelten". Hierin wird anhand qualitativer Kriterien die Zugehörigkeit von Anlagen zu den Anlagekategorien der Kritischen Infrastrukturen definiert und anhand von Schwellenwerten an für die Betreiber Kritischer Infrastrukturen messbaren Werten definiert, ab welchem Versorgungsgrad der Betreiber quantitiativ als kritisch anzusehen ist.

Buffer Overflow (Puffer-Überlauf)

Werden einem Modul über eine Schnittstelle mehr Daten als erwartet übergeben, so kann es zu einem sogenannten "Buffer Overflow" kommen. Wenn das Modul nicht die Länge der übermittelten Daten prüft, werden die Daten über den vorgesehenen Bereich hinaus geschrieben und somit die Speicherstruktur (Heap oder Stack) zerstört. Durch geeignete Codierung der Daten kann zudem der Stack gezielt manipuliert werden, sodass die Ausführung schadhaften Codes möglich ist.

Bundesnetzagentur (BNetzA)

Durch das in Kraft treten des zweiten Gesetzes zur Neuregelung des Energiewirtschaftsrechts [EnWGAendG] am 13. Juli 2005 wurde der Aufgabenbereich der Regulierungsbehörde für Telekommunikation und Post (RegTP) erweitert und eine Umbenennung der Behörde in "Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen", mit der amtlichen Kurzbezeichnung "Bundesnetzagentur" (BNetzA), vorgenommen.

Business Continuity Management

Business Continuity Management (BCM) bezeichnet alle organisatorischen, technischen und personellen Maßnahmen, die zur Fortführung des Kerngeschäfts einer Behörde oder eines Unternehmens nach Eintritt eines Notfalls bzw. eines Sicherheitsvorfalls dienen. Weiterhin unterstützt BCM die sukzessive Fortführung der Geschäftsprozesse bei länger anhaltenden Ausfällen oder Störungen.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK