Bundesamt für Sicherheit in der Informationstechnik

Glossar der Cyber-Sicherheit

Identitätsdiebstahl

Ein Benutzer identifiziert sich im Internet meistens über eine Kombination aus Identifikations- und Authentisierungsdaten, wie z. B. Benutzername und Passwort oder Bank- oder Kreditkarteninformationen. Verschafft sich ein unberechtigter Dritter Zugang zu solchen Daten, so wird von einem Identitätsdiebstahl gesprochen.

Indicators of Compromise (IoCs)

Indicators of Compromise sind technische Informationen, die zur Detektion einer Infektion mit Schadsoftware oder einer anderweitigen Kompromittierung verwendet werden können. Häufig handelt es sich dabei um netzwerkbasierte Signaturen wie Domainnamen von Kontrollservern, oder um hostbasierte Signaturen, die auf den Endgeräten gesucht werden (wie Hashsummen von Schadprogrammen, Einträge in der Windows-Registry, o.ä.).

Industrial Control System (ICS)

ICS ist ein Oberbegriff für Automatisierungslösungen zur Steuerung technischer Prozesse.

Information Leakage Prevention

Eine Lösung, um den Abfluss vertraulicher Informationen besser steuern zu können, sind Tools, die den Datenfluss im Netz und/oder auf Endgeräten kontrollieren. Sie sollen erkennen oder sogar einschreiten, wenn vertrauliche Informationen über unsichere Wege übertragen werden oder in falsche Hände geraten. Als Bezeichnungen für solche Tools werden die Begriffe "Data Loss Prevention" (DLP), "Information Leakage Prevention" (ILP) oder auch "Extrusion Prevention" verwendet, die Ziele und Mechanismen sind jedoch vergleichbar.

Informationsinfrastruktur

Die Gesamtheit der IT-Anteile einer Infrastruktur.

Informationssicherheit

Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.

Informationssicherheitsbeauftragter (ISB)

Ein Informationssicherheitsbeauftragter (kurz IS-Beauftragter oder ISB) ist für die operative Erfüllung der Aufgabe "Informationssicherheit" zuständig. Andere Bezeichnungen sind CISO (Chief Information Security Officer) oder Informationssicherheitsmanager (ISM). Die Rolle des ISB sollte von einer Person mit eigener Fachkompetenz zur Informationssicherheit in einer Stabsstelle eines Unternehmens oder einer Behörde wahrgenommen werden.

Informationssicherheitsmanagement (IS-Management)

Die Planungs-, Lenkungs- und Kontrollaufgabe, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen, wird als Informationssicherheitsmanagement bezeichnet. Dabei handelt es sich um einen kontinuierlichen Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.

Informationstechnik (IT)

Informationstechnik (IT) umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.

Informationstechnisches System

Ein informationstechnisches System (IT-System) ist eine technische Anlage, die der Informationsverarbeitung dient und eine abgeschlossene Funktionseinheit bildet. Typische IT-Systeme sind Server, Clients, Einzelplatzcomputer, Mobiltelefone, Router, Switches und Sicherheitsgateways.

Informationsverbund

Unter einem Informationsverbund ist die Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Objekten zu verstehen, die der Aufgabenerfüllung in einem bestimmten Anwendungsbereich der Informationsverarbeitung dienen. Ein Informationsverbund kann dabei als Ausprägung die gesamte Institution oder auch einzelne Bereiche, die durch organisatorische Strukturen (z. B. Abteilungen) oder gemeinsame Geschäftsprozesse bzw. Anwendungen (z. B. Personalinformationssystem) gegliedert sind, umfassen.

Infrastruktur

Beim IT-Grundschutz werden unter Infrastruktur die für die Informationsverarbeitung und die IT genutzten Gebäude, Räume, Energieversorgung, Klimatisierung und die Verkabelung verstanden. Die IT-Systeme und Netzkoppelelemente gehören nicht dazu.

Infrastruktur-Sicherheit

Neben den klassischen IT-nahen Maßnahmen der IT-Sicherheit (Datensicherung, Zugriffsregelungen, Verschlüsselung u.v.a.m.) spielen die Sicherheit der Energieversorgung, der Schutz vor Brand, eine ausreichende Kühlung, der Schutz vor Zugang/Zugriff von Unbefugten und zahlreiche weitere Aspekte aus dem baulich/technischen aus den Bereichen eine wichtiger Rolle für die Verfügbarkeit der IT. All diese Aspekte sind unter dem Begriff "Infrastruktur-Sicherheit" zusammengefasst.

Injection-Angriffe

Viele Applikationen sind für Injection-Angriffe anfällig, wenn Benutzereingaben nicht ausreichend gefiltert werden. Eine SQL-Injection-Schwachstelle gibt einem Angreifer die Möglichkeit, Datenbankabfragen über eine Applikation so zu manipulieren, dass der für den Angreifer interessante Teil einer Datenbank zurückgegeben wird, anstatt des Teils, der ursprünglich für die Anwendung vorgesehen ist. Unter Umständen können durch SQL-Injection auch Änderungen an den Datenbank-Inhalten vorgenommen oder sogar Programmcode ausgeführt werden.

Innentäter

Cyber-Angriffe durch Innentäter haben größere Aussicht auf Erfolg als Angriffe von außen, da der Angreifer bereits Zugang zu internen Ressourcen einer Organisation hat und so Schutzmaßnahmen und Schwachstellen über einen langen Zeitraum analysieren kann. Zusätzliche Vorteile genießen Innentäter durch das ihnen entgegengebrachte Vertrauen einer Organisation. Externe Dienstleister, die durch ihre Tätigkeit Einfluss oder direkten Zugang zur Organisation haben, werden hier ebenfalls zu den Innentätern gezählt.

Institution

Mit dem Begriff Institutionen werden in diesem Dokument Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet.

Integrität

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

International Organization for Standardization (ISO)

Die ISO ist eine internationale Vereinigung der Standardisierungsgremien von 151 Ländern. Sie verabschiedet internationale Standards in allen technischen Bereichen. Deutschland ist durch das Deutsche Institut für Normung (DIN) und die USA durch ANSI in der ISO vertreten.

International Telecommunication Union (ITU)

Die ITU ist eine weltweite Organisation, die sich mit technischen Aspekten der Telekommunikation beschäftigt. In ihrem Telecommunication Standardization Bureau (ITU-T) – früher Comité Consultatif International Téléphonique et Télégraphique (CCITT) – werden technische Normen erarbeitet und als Empfehlung veröffentlicht. Von herausragender Bedeutung für die elektronische Signatur ist die Empfehlung X.509, in der u. a. ein weit verbreitetes Format für Zertifikate spezifiziert ist.

Internet Engineering Task Force (IETF)

Die Internet Engineering Task Force (IETF) ist eine große, offene, internationale Gemeinschaft, die sich um den reibungslosen Betrieb und die Weiterentwicklung der Internet-Architektur bemüht. Die in der IETF entwickelten Standards und Empfehlungen werden als Request for Comments (RFC) mit einer bestimmten laufenden Nummer auf der Internetseite der IETF veröffentlicht.

Internet of Things (IoT)

IoT steht für Internet of Thing. Dies sind im Gegensatz zu "klassischen" IT-Systemen "intelligente" Gegenstände, die zusätzliche "smarte" Funktionen enthalten. IoT-Geräte werden in der Regel an Datennetze angeschlossen, in vielen Fällen drahtlos, und können sogar oft auf das Internet zugreifen und darüber erreicht werden.

Internet Protocol Security (IPSec)

IPsec ist eine von der IETF entwickelte Sicherheitsarchitektur zur Gewährleistung von Authentizität, Integrität und Vertraulichkeit in IP-Netzen. Beispielsweise basiert die Sichere Inter-Netzwerk-Architektur (SINA) auf IPSec.

Intranet

Ein Intranet ist ein internes Netz, das sich unter vollständiger Kontrolle des Netzbetreibers (also der jeweiligen Behörde oder des Unternehmens) befindet. Meist werden Zugriffe aus anderen Netzen (wie dem Internet) durch eine Firewall abgesichert.

Intrusion Detection (IDS) und Intrusion Prevention Systeme (IPS)

Mit Hilfe von Intrusion-Detection und Intrusion-Prevention Systemen lassen sich Angriffsversuche in einer frühen Phase erkennen, sodass der Administrator rechtzeitig alarmiert (z. B. durch ein IDS) oder bereits eine automatisierte Reaktion auf den Angriff eingeleitet wird (z. B. durch ein IPS).

IS-Management-Team

In größeren Institutionen ist es sinnvoll, ein IS-Management-Team (häufig auch IT-Sicherheitsmanagement-Team) aufzubauen, das den IT-Sicherheitsbeauftragten unterstützt, beispielsweise indem es übergreifende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.

IT-Grundschutz

IT-Grundschutz bezeichnet eine Methodik zum Aufbau eines Sicherheitsmanagementsystems sowie zur Absicherung von Informationsverbünden über Standard-Sicherheitsmaßnahmen. Außerdem wird mit IT-Grundschutz der Zustand bezeichnet, in dem die vom BSI empfohlenen Standard-Sicherheitsmaßnahmen umgesetzt sind, die als Gesamtheit von infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen, Institutionen mit normalem Schutzbedarf hinreichend absichern.

IT-Grundschutz-Check (GSC)

Der Begriff bezeichnet gemäß IT-Grundschutz die Überprüfung, ob die nach IT-Grundschutz empfohlenen Anforderungen in einer Institution bereits erfüllt sind und welche grundlegenden Sicherheitsanforderungen noch fehlen (früher: Basis-Sicherheitscheck).

IT-Grundschutzanalyse

Zu einer IT-Grundschutzanalyse gehören die Modellierung mit der Ermittlung der notwendigen Sicherheitsanforderungen und der IT-Grundschutz-Check, in dem ein Soll-Ist-Vergleich den aktuellen Umsetzungsgrad von Sicherheitsanforderungen in einem Unternehmen oder einer Behörde beschreibt.

IT-Sicherheit

IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.

IT-Sicherheitsbeauftragter

Person mit eigener Fachkompetenz zur IT-Sicherheit, die für Aspekte rund um die IT-Sicherheit zuständig ist, in enger Abstimmung mit dem IT-Betrieb. Die Rolle des Verantwortlichen für Informationssicherheit wird je nach Art und Ausrichtung der Institution anders genannt. Im IT-Grundschutz wird die Bezeichnung Informationssicherheitsbeauftrager (ISB) verwendet.

IT-Sicherheitsgesetz

Durch das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz - IT-SiG)" werden insesondere Regelungen zum Schutz der IT-Sicherheit Kritischer Infrastrukturen getroffen. Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze ändert und ergänzt. Für das BSI bedeuten die Änderungen eine Ausstattung mit neuen Aufgaben und Befugnissen, um etwaigen Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen. Artikelgesetz bedeutet, dass durch das Gesetz die Änderung anderer Gesetze bestimmt wird, die eigentlichen Regelungen jedoch in den geänderten Gesetzen bestimmt werden.

IT-System

IT-Systeme sind technische Anlagen, die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Einzelplatz-Computer, Mobiltelefone, Router, Switches und Sicherheitsgateways.