Die Welt der IT-Sicherheit ist voller Fachbegriffe, die für Außenstehende schnell für Verwirrung sorgen können. Hinter den meisten Begriffen stecken jedoch auch für Nicht-Informatiker verständliche Konzepte und Technologien. In dieser Sammlung von Grundbegriffen der IT-Sicherheit haben wir die wichtigsten Begriffe der IT-Sicherheit zusammengetragen und in allgemein verständlichen Worten kurz erklärt.<\/p>\n\n\n\n
Die Entwicklung von Software ist ein Prozess, der prinzipiell kein Ende kennt. Regelmäßige Updates liefern einerseits neue Funktion, schließen andererseits aber Sicherheitslücken, die durch Fehler in der Programmierung entstanden sind. Welche Software installiert ist, erkennt man an der Versionsnummer (z.B. 1.2.3). Für die IT-Sicherheit ist es von zentraler Bedeutung, Software auf dem aktuellen Stand zu halten und Sicherheitspatches einzuspielen. Stellt der Hersteller den Support von Software ein und liefert keine Updates mehr aus, ist von der Verwendung der Software abzuraten.<\/p>\n\n\n\n
Um einen Überblick über entdeckte Schwachstellen in Software zu ermöglichen, dient der Industriestandard Common Vulnerabilities and Exposures (CVE). Die einheitliche Namenskonvention ermöglicht klare Identifizierung der Sicherheitslücken und einen Austausch zwischen verschiedenen Systemen und Institutionen. Gesammelt und verwaltet wird die Liste aller CVEs von der MITRE Corporation. Eine Auflistung aller CVEs mit dazugehörigem CVSS-Score findet sich online beim National Institute of Standards and Technology (NIST)<\/a>, einer Bundesbehörde der USA.<\/p>\n\n\n\n Als Angriffsvektor wird eine Technik oder eine Kombination von Methoden bezeichnet, mit der sich ein Angreifer Zugang zu IT-Systemen verschafft oder sie außer Gefecht setzt.<\/p>\n\n\n\n Als Exploit wird das Ausnutzen einer Sicherheitslücke im Code einer Software oder der Hardware bezeichnet, um sich Zugang zu einem IT-System zu verschaffen. Zero-Day-Exploits sind Sicherheitslücken, die entdeckt und ausgenutzt werden, bevor der Hersteller mit einem Patch reagieren kann.<\/p>\n\n\n\n Als Social Engeneering werden Versuche von Angreifen bezeichnet bei ihren Opfern ein bestimmtes Verhalten auszulösen, damit diese Daten preisgeben und Zugriffe ermöglichen. Dabei setzen Hacker auf menschliche Schwächen wie Neugier, Angst oder Naivität.<\/p>\n\n\n\n Phishing (eine Wortschöpfung aus „Password“ und „Fishing“) bezeichnet Social Engeneering-Methoden, die darauf abzielen, dass das Opfer unwissentlich geheime Zugangsdaten preisgibt. Es lässt sich zum Beispiel durch manipulierte E-Mails und Webseiten umsetzen.<\/p>\n\n\n\n Mehr zum Thema Phishing Angriffe <\/strong><\/a><\/p>\n\n\n\n Bruteforce bezeichnet allgemein das Lösen von Rechenproblemen durch „reine Gewalt“. Konkret heißt das durch massenhaftes Ausprobieren. Bruteforce-Attacken zielen darauf, zufällige oder aus Dictionaries stammende Kombinationen von Benutzernamen und Passwörtern auszuprobieren. Entsprechende Programme können so innerhalb von einer Minute unzählige Versuche starten.<\/p>\n\n\n\n Eine Man-in-the-Middle-Attacke verfolgt das Ziel, sich unbemerkt in Kommunikation von zwei oder mehr Kommunikationsteilnehmern zwischenzuschalten, um Daten abzufangen oder zu manipulieren. Dazu leitet der Angreifer die Verbindungsanfrage des Senders auf sich um und baut dann eine Verbindung zum eigentlichen Empfänger auf. Cyber-Kriminelle können sich so zum Beispiel zwischen den Besucher einer Webseite und den Server schalten und Zahlungsdaten mitlesen oder umleiten.<\/p>\n\n\n\n Mehr zu Man-in-the-Middle Attacken <\/strong><\/a><\/p>\n\n\n\n Bei einer SQL Injection versucht ein Angreifer eigene Datenbankbefehle in eine SQL-Datenbank einzuschleusen, um Daten auszuspähen oder die Kontrolle über das System zu erlangen. Dazu werden Eingabefelder der Webseite genutzt. Durch proaktive Maßnahmen lässt sich eine SQL Injection verhindern.<\/p>\n\n\n\n Weitere Informationen zur SQL-Injection<\/strong><\/a><\/p>\n\n\n\n Bei Cross Site Scripting (XSS) wird HTML\/JavaScript\/CSS unvalidiert in eine Webseite eingebettet. So lassen sich Nutzersessions abfischen und zum Beispiel Zahlungsdaten mitschneiden.<\/p>\n\n\n\n Mehr zu Cross-Site-Scripting<\/strong><\/a><\/p>\n\n\n\n Ein Distributed Denial of Service (DDoS) verfolgt das Ziel, IT-Systeme durch Überlastung außer Gefecht zu setzen. Dazu kommen meist Botnetze zum Einsatz, die massenhaft einen Server oder eine andere Netzkomponente ansteuern. Die Botnetze bestehen häufig aus wiederum mit einem Trojaner infizierte Computer, deren Besitzer keine Kenntnis darüber besitzen, Teil eines Botnetzes zu sein.<\/p>\n\n\n\n Schadsoftware oder Malware ist der Oberbegriff für alle Programme, die das Ziel verfolgen, schädliche Funktionen auszuführen. Beispiele hierfür sind Viren, Würmer und Trojaner. Als Computer-Virus wird Schadsoftware (meist in Form einer .exe) bezeichnet, die sich selbst verbreitet und unterschiedliche Schadfunktionen in sich tragen kann. Ein Wurm ist eine Unterkategorie eines Virus, der die Fähigkeit besitzt, sich über vorhandene Übertragungsfunktionen auszubreiten. Trojaner sind keine Viren. Sie zielen darauf ab, eine Hintertür auf dem System zu öffnen, um es dadurch fernsteuern zu können. Sie bilden etwa die Grundlage von Bot-Netzen.<\/p>\n\n\n\n Ransomware ist eine bestimmte Kategorie von Schadsoftware, die das Ziel verfolgt, IT-Systeme lahmzulegen und Zugriffe zu verunmöglichen. Dazu verschlüsseln sie die Festplatten ganzer IT-Infrastrukturen. Die Cyberkriminellen versprechen gegen die Zahlung eines Lösegeldes, den Zugriff wieder freizugeben.<\/p>\n\n\n\n Antivirensoftware erkennt bekannte Schadsoftware, blockiert sie und kann sie gegebenenfalls beseitigen oder isolieren. Virenscanner sind reaktive Verfahren, die ausschließlich bekannte Malware erkennen können. Dazu lädt die Software in regelmäßigen Abständen aus Malware-Datenbanken die Signaturen der sich neu im Umlauf befindenden Schadsoftware herunter.<\/p>\n\n\n\n Eine Firewall ist zwischen Server oder Client und Internet geschaltet. Sie entscheidet, ob der Versuch eines Verbindungsaufbaus von außen zulässig ist. Dabei fungiert die Firewall wie eine Ampel, die entweder grün oder rot gibt. Sie schaut dabei aber nicht in die Autos rein. Das heißt: Sie prüft nicht den Inhalt der Datenpakete.<\/p>\n\n\n\n Sogenannte NextGen-Firewalls oder Unified Threat Management (UTM)-Systeme erweitern die Funktionsweise der Firewall. Sie bieten beispielsweise Contentfilter, Spam-Schutz, VPN oder auch eine Deep Packet Inspection.<\/p>\n\n\n\n Deep Packet Inspection (DPI) ist ein Verfahren, um Datenpakete zu überwachen und zu prüfen. Neben dem Headerteil des Datenpakets wird auch der Inhalt einer Prüfung unterzogen. So können Netzwerkattacken und unrechtmäßige Datenströme aufgedeckt werden.<\/p>\n\n\n\n Eine Deep Packet Inspection lässt sich an mehreren Stellen in der IT-Infrastruktur platzieren. Entweder zentral als Teil einer erweiterten Firewall (bspw. UTM-System) oder aber dezentral an Switches, Servern und Clients.<\/p>\n\n\n\n Der Einsatz von Virtual Private Networks (VPN) und Proxy-Servern dient der Verschleierung der Identität im Internet. Anstatt eine Zieladresse direkt aufzurufen, wird eine Instanz zwischengeschaltet, die zunächst kontaktiert wird und dann die Zieladresse aufruft.<\/p>\n\n\n\n Neben der Verschleierung der eigenen IP-Adresse kann VPN auch zum Einsatz kommen, um den Zugriff auf bestimmte Dienste einzuschränken. Lässt sich beispielsweise die Administrator-Oberfläche einer Webseite nur von einer IP-Adresse aus aufrufen, wird der Zugang für Hacker stark erschwert.<\/p>\n\n\n\n Unter IT-Monitoring<\/a> werden alle Aktivitäten zusammengefasst, die durch die Überwachung der Systeme einen reibungslosen Betrieb der IT gewährleisten. Auftretende Probleme sollen schnell erkannt werden, um entsprechende Maßnahmen einzuleiten. Im Idealfall erkennt der IT-Verantwortliche Probleme dadurch bereits bevor der Nutzer Kenntnis von ihnen nimmt.<\/p>\n\n\n\n Security Information and Event Management (SIEM)<\/a> ist der Oberbegriff für Technologien, die es durch eine Echtzeitanalyse sämtlicher für die IT-Sicherheit relevanter Daten ermöglichen, einen ganzheitlichen Blick auf den Sicherheitszustand der IT-Systeme zu erlangen. Die Daten können darüber hinaus hilfreich sein, einen erfolgreichen Angriff zu rekonstruieren. Dazu sammeln die SIEM-Systeme selbst Daten und\/oder aggregieren Daten von anderen Systemen.<\/p>\n\n\n\n Als Risikomanagement werden alle organisatorischen wie technischen Aktivitäten bezeichnet, um Risiken abzuschätzen, zu steuern und zu kontrollieren. In der IT-Sicherheit spielt ein geeignetes Risikomanagement <\/a>eine wichtige Rolle, um die richtigen Maßnahmen zur Steigerung des Sicherheitsniveaus erreichen zu können.<\/p>\n\n\n\n Unter Inventarisierung<\/a> wird im IT-Management die Sammlung eingesetzter Systeme verstanden. Dabei kann es sich ebenso um Software wie Hardware handeln. Inventarisierung spielt für die IT-Sicherheit eine große Rolle, da eine vorhandene Übersicht Grundlage für eine Gefahreneinschätzung darstellt. Mit einer Visualisierung der IT-Infrastruktur wird der reinen Sammlung der Daten ein grafisches Element hinzugefügt, sodass Abhängigkeiten und Zusammenhänge sichtbar werden.<\/p>\n\n\n\nAngriffsvektoren<\/h2>\n\n\n\n
Exploit<\/h3>\n\n\n\n
Social Engeneering<\/h3>\n\n\n\n
Phishing<\/h3>\n\n\n\n
Bruteforce<\/h3>\n\n\n\n
Man-in-the-Middle<\/h3>\n\n\n\n
SQL Injection<\/h3>\n\n\n\n
Cross-Site-Scripting<\/h3>\n\n\n\n
DDos-Attacke<\/h3>\n\n\n\n
Schadsoftware, Malware, Viren, Würmer, Trojaner<\/h2>\n\n\n\n
Ransomware<\/h2>\n\n\n\n
Antivirensoftware (AV), Virenscanner<\/h2>\n\n\n\n
Firewall und UTM<\/h2>\n\n\n\n
Deep Packet Inspection<\/h2>\n\n\n\n
VPN und Proxy<\/h2>\n\n\n\n
IT-Monitoring<\/h2>\n\n\n\n
SIEM<\/h2>\n\n\n\n
Risikomanagement<\/h2>\n\n\n\n
Inventarisierung und Visualisierung<\/h2>\n\n\n\n
Penetrationstest, Pentest<\/h2>\n\n\n\n