Die Welt der IT-Sicherheit ist voller Fachbegriffe, die für Außenstehende schnell für Verwirrung sorgen können. Hinter den meisten Begriffen stecken jedoch auch für Nicht-Informatiker verständliche Konzepte und Technologien. In dieser Sammlung von Grundbegriffen der IT-Sicherheit haben wir die wichtigsten Begriffe der IT-Sicherheit zusammengetragen und in allgemein verständlichen Worten kurz erklärt.
Softwareversion und Updates
Die Entwicklung von Software ist ein Prozess, der prinzipiell kein Ende kennt. Regelmäßige Updates liefern einerseits neue Funktion, schließen andererseits aber Sicherheitslücken, die durch Fehler in der Programmierung entstanden sind. Welche Software installiert ist, erkennt man an der Versionsnummer (z.B. 1.2.3). Für die IT-Sicherheit ist es von zentraler Bedeutung, Software auf dem aktuellen Stand zu halten und Sicherheitspatches einzuspielen. Stellt der Hersteller den Support von Software ein und liefert keine Updates mehr aus, ist von der Verwendung der Software abzuraten.
Common Vulnerabilities and Exposures (CVE)
Um einen Überblick über entdeckte Schwachstellen in Software zu ermöglichen, dient der Industriestandard Common Vulnerabilities and Exposures (CVE). Die einheitliche Namenskonvention ermöglicht klare Identifizierung der Sicherheitslücken und einen Austausch zwischen verschiedenen Systemen und Institutionen. Gesammelt und verwaltet wird die Liste aller CVEs von der MITRE Corporation. Eine Auflistung aller CVEs mit dazugehörigem CVSS-Score findet sich online beim National Institute of Standards and Technology (NIST), einer Bundesbehörde der USA.
Angriffsvektoren
Als Angriffsvektor wird eine Technik oder eine Kombination von Methoden bezeichnet, mit der sich ein Angreifer Zugang zu IT-Systemen verschafft oder sie außer Gefecht setzt.
Exploit
Als Exploit wird das Ausnutzen einer Sicherheitslücke im Code einer Software oder der Hardware bezeichnet, um sich Zugang zu einem IT-System zu verschaffen. Zero-Day-Exploits sind Sicherheitslücken, die entdeckt und ausgenutzt werden, bevor der Hersteller mit einem Patch reagieren kann.
Social Engeneering
Als Social Engeneering werden Versuche von Angreifen bezeichnet bei ihren Opfern ein bestimmtes Verhalten auszulösen, damit diese Daten preisgeben und Zugriffe ermöglichen. Dabei setzen Hacker auf menschliche Schwächen wie Neugier, Angst oder Naivität.
Phishing
Phishing (eine Wortschöpfung aus „Password“ und „Fishing“) bezeichnet Social Engeneering-Methoden, die darauf abzielen, dass das Opfer unwissentlich geheime Zugangsdaten preisgibt. Es lässt sich zum Beispiel durch manipulierte E-Mails und Webseiten umsetzen.
Mehr zum Thema Phishing Angriffe
Bruteforce
Bruteforce bezeichnet allgemein das Lösen von Rechenproblemen durch „reine Gewalt“. Konkret heißt das durch massenhaftes Ausprobieren. Bruteforce-Attacken zielen darauf, zufällige oder aus Dictionaries stammende Kombinationen von Benutzernamen und Passwörtern auszuprobieren. Entsprechende Programme können so innerhalb von einer Minute unzählige Versuche starten.
Man-in-the-Middle
Eine Man-in-the-Middle-Attacke verfolgt das Ziel, sich unbemerkt in Kommunikation von zwei oder mehr Kommunikationsteilnehmern zwischenzuschalten, um Daten abzufangen oder zu manipulieren. Dazu leitet der Angreifer die Verbindungsanfrage des Senders auf sich um und baut dann eine Verbindung zum eigentlichen Empfänger auf. Cyber-Kriminelle können sich so zum Beispiel zwischen den Besucher einer Webseite und den Server schalten und Zahlungsdaten mitlesen oder umleiten.
Mehr zu Man-in-the-Middle Attacken
SQL Injection
Bei einer SQL Injection versucht ein Angreifer eigene Datenbankbefehle in eine SQL-Datenbank einzuschleusen, um Daten auszuspähen oder die Kontrolle über das System zu erlangen. Dazu werden Eingabefelder der Webseite genutzt. Durch proaktive Maßnahmen lässt sich eine SQL Injection verhindern.
Weitere Informationen zur SQL-Injection
Cross-Site-Scripting
Bei Cross Site Scripting (XSS) wird HTML/JavaScript/CSS unvalidiert in eine Webseite eingebettet. So lassen sich Nutzersessions abfischen und zum Beispiel Zahlungsdaten mitschneiden.
DDos-Attacke
Ein Distributed Denial of Service (DDoS) verfolgt das Ziel, IT-Systeme durch Überlastung außer Gefecht zu setzen. Dazu kommen meist Botnetze zum Einsatz, die massenhaft einen Server oder eine andere Netzkomponente ansteuern. Die Botnetze bestehen häufig aus wiederum mit einem Trojaner infizierte Computer, deren Besitzer keine Kenntnis darüber besitzen, Teil eines Botnetzes zu sein.
Schadsoftware, Malware, Viren, Würmer, Trojaner
Schadsoftware oder Malware ist der Oberbegriff für alle Programme, die das Ziel verfolgen, schädliche Funktionen auszuführen. Beispiele hierfür sind Viren, Würmer und Trojaner. Als Computer-Virus wird Schadsoftware (meist in Form einer .exe) bezeichnet, die sich selbst verbreitet und unterschiedliche Schadfunktionen in sich tragen kann. Ein Wurm ist eine Unterkategorie eines Virus, der die Fähigkeit besitzt, sich über vorhandene Übertragungsfunktionen auszubreiten. Trojaner sind keine Viren. Sie zielen darauf ab, eine Hintertür auf dem System zu öffnen, um es dadurch fernsteuern zu können. Sie bilden etwa die Grundlage von Bot-Netzen.
Ransomware
Ransomware ist eine bestimmte Kategorie von Schadsoftware, die das Ziel verfolgt, IT-Systeme lahmzulegen und Zugriffe zu verunmöglichen. Dazu verschlüsseln sie die Festplatten ganzer IT-Infrastrukturen. Die Cyberkriminellen versprechen gegen die Zahlung eines Lösegeldes, den Zugriff wieder freizugeben.
Antivirensoftware (AV), Virenscanner
Antivirensoftware erkennt bekannte Schadsoftware, blockiert sie und kann sie gegebenenfalls beseitigen oder isolieren. Virenscanner sind reaktive Verfahren, die ausschließlich bekannte Malware erkennen können. Dazu lädt die Software in regelmäßigen Abständen aus Malware-Datenbanken die Signaturen der sich neu im Umlauf befindenden Schadsoftware herunter.
Firewall und UTM
Eine Firewall ist zwischen Server oder Client und Internet geschaltet. Sie entscheidet, ob der Versuch eines Verbindungsaufbaus von außen zulässig ist. Dabei fungiert die Firewall wie eine Ampel, die entweder grün oder rot gibt. Sie schaut dabei aber nicht in die Autos rein. Das heißt: Sie prüft nicht den Inhalt der Datenpakete.
Sogenannte NextGen-Firewalls oder Unified Threat Management (UTM)-Systeme erweitern die Funktionsweise der Firewall. Sie bieten beispielsweise Contentfilter, Spam-Schutz, VPN oder auch eine Deep Packet Inspection.
Deep Packet Inspection
Deep Packet Inspection (DPI) ist ein Verfahren, um Datenpakete zu überwachen und zu prüfen. Neben dem Headerteil des Datenpakets wird auch der Inhalt einer Prüfung unterzogen. So können Netzwerkattacken und unrechtmäßige Datenströme aufgedeckt werden.
Eine Deep Packet Inspection lässt sich an mehreren Stellen in der IT-Infrastruktur platzieren. Entweder zentral als Teil einer erweiterten Firewall (bspw. UTM-System) oder aber dezentral an Switches, Servern und Clients.
VPN und Proxy
Der Einsatz von Virtual Private Networks (VPN) und Proxy-Servern dient der Verschleierung der Identität im Internet. Anstatt eine Zieladresse direkt aufzurufen, wird eine Instanz zwischengeschaltet, die zunächst kontaktiert wird und dann die Zieladresse aufruft.
Neben der Verschleierung der eigenen IP-Adresse kann VPN auch zum Einsatz kommen, um den Zugriff auf bestimmte Dienste einzuschränken. Lässt sich beispielsweise die Administrator-Oberfläche einer Webseite nur von einer IP-Adresse aus aufrufen, wird der Zugang für Hacker stark erschwert.
IT-Monitoring
Unter IT-Monitoring werden alle Aktivitäten zusammengefasst, die durch die Überwachung der Systeme einen reibungslosen Betrieb der IT gewährleisten. Auftretende Probleme sollen schnell erkannt werden, um entsprechende Maßnahmen einzuleiten. Im Idealfall erkennt der IT-Verantwortliche Probleme dadurch bereits bevor der Nutzer Kenntnis von ihnen nimmt.
SIEM
Security Information and Event Management (SIEM) ist der Oberbegriff für Technologien, die es durch eine Echtzeitanalyse sämtlicher für die IT-Sicherheit relevanter Daten ermöglichen, einen ganzheitlichen Blick auf den Sicherheitszustand der IT-Systeme zu erlangen. Die Daten können darüber hinaus hilfreich sein, einen erfolgreichen Angriff zu rekonstruieren. Dazu sammeln die SIEM-Systeme selbst Daten und/oder aggregieren Daten von anderen Systemen.
Risikomanagement
Als Risikomanagement werden alle organisatorischen wie technischen Aktivitäten bezeichnet, um Risiken abzuschätzen, zu steuern und zu kontrollieren. In der IT-Sicherheit spielt ein geeignetes Risikomanagement eine wichtige Rolle, um die richtigen Maßnahmen zur Steigerung des Sicherheitsniveaus erreichen zu können.
Inventarisierung und Visualisierung
Unter Inventarisierung wird im IT-Management die Sammlung eingesetzter Systeme verstanden. Dabei kann es sich ebenso um Software wie Hardware handeln. Inventarisierung spielt für die IT-Sicherheit eine große Rolle, da eine vorhandene Übersicht Grundlage für eine Gefahreneinschätzung darstellt. Mit einer Visualisierung der IT-Infrastruktur wird der reinen Sammlung der Daten ein grafisches Element hinzugefügt, sodass Abhängigkeiten und Zusammenhänge sichtbar werden.
Penetrationstest, Pentest
Ein Penetrationstest (kurz: Pentest) ist ein umfassender Sicherheitstest von IT-Systemen. Dabei nimmt der Tester die Position eines Hackers ein und untersucht die Systeme nach möglichen Einstiegspunkten. Ziel eines Pentestes ist eine Sammlung von Sicherheitslücken, die es zu beheben gilt, um das System zu härten. Neben in Auftrag gegebenen manuellen Pentests lassen sich Penetrationstest auch automatisiert durchführen.
Authentifizierung
Durch Authentifizierungsverfahren können Systeme und Benutzer gegenüber anderen Systemen ihre Identität nachweisen. Dies wird in der Regel durch ein gemeinsames Geheimnis gelöst, etwa die Kombination von Passwort und Kennwort. Authentifizierungsverfahren stellen sicher, dass nur berechtigte Personen oder Systeme auf die entsprechenden Daten und Funktionen zugreifen können.
Verschlüsselung, Encryption
Durch den Einsatz von Verschlüsselungsverfahren lassen sich Daten so verändern, dass sie für Unbefugte nicht mehr lesbar sind. Verschlüsselt werden können sowohl Daten, die auf einem Datenspeicher liegen als auch die Kommunikation zwischen zwei Systemen. Um die Verbindung zwischen Webseitenbesucher und Server abzusichern kommt beispielsweise SSL/TLS zum Einsatz.
Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSVGO) ist eine Verordnung der Europäischen Union und regelt den Umgang und die Verarbeitung mit personenbezogenen Daten. Sie legt fest, dass Verantwortliche neben organisatorischen Maßnahmen auch technische Maßnahmen ergreifen müssen, um den Schutz der Daten zu gewährleisten. Dazu gehört „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“ dieser Maßnahmen (DSVGO Art. 32). Ein rechtlich konformer Datenschutz ist daher ohne IT-Sicherheit nicht umzusetzen.
» IT-Schutzziele einfach erklärt: Vertraulichkeit, Integrität, Verfügbarkeit