Glossar

Hier finden sich kurze Begriffserklärungen und weiterführende Links. Wofür ein Glossar, wenn es Wikipedia gibt?

2 | A | B | C | D | E | F | G | H | I | M | N | O | P | R | S | T | U | V | W | X | Z

2

2FA

siehe Zwei-Faktor-Authentifizierung

A

Abstreitbarkeit

Abstreitbarkeit ist ein weiteres Schutzziel neben den drei klassischen Schutzzielen des CIA-Modells. Es ist erfüllt, wenn dem Sender einer Nachricht nicht nachgewiesen werden kann, dass er diese Nachricht gesendet hat und er dies folglich abstreiten kann. Das Gegenteil ist Nicht-Abtreitbarkeit. Weiterlesen …

Advanced Persistent Threat

APTs ist eine Sammelbezeichnung für fortgeschrittene Bedrohungen, die unter Umständen über einen langen Zeitraum andauern. Es handelt sich dabei um komplexe und zielgerichtete Angriffe auf Unternehmen. Weiterlesen …

AES

AES (Advanced Encryption Standard) ist der derzeit sichere Vertreter symmetrischer Kryptografie. Weiterlesen …

Anonymität

Anonymität ist ein weiteres Schutzziel neben den drei klassischen Schutzzielen des CIA-Modells. Ist Anonymität erfüllt, kann ein Dritter zwar erkennen, dass eine Ressource genutzt wird, aber nicht von wem. Weiterlesen …

APT

siehe Advanced Persistent Threat

asymmetrische Kryptografie

Bei asymmetrischer Kryptografie hat jeder Teilnehmer zwei Schlüssel – einen öffentlichen und einen privaten –, wobei er den privaten Schlüssel geheimhalten muss und den öffentlichen Schlüssel publiziert. Ein bekannter Vertreter eines solchen Systems ist RSA. Wichtig ist, dass die öffentlichen Schlüssel der Kommunikationspartner verifiziert werden, da sonst Man-in-the-Middle-Angriffe möglich sind. Weiterlesen …

Authentifikation

Dies bezeichnet die „Identitätsprüfung eines Benutzers als Zugangs- und Rechtekontrolle für ein System“ und wird auf secitem.at als Oberbegriff von Authentifizierung und Authentisierung verwendet. Weiterlesen …

Authentifizierung

Authentifizierung bezeichnet den Vorgang, wenn eine Partei (gegenüber der man seine Identität nachweist, der „Verifier“) diese Identität überprüft bzw. authentifiziert. Weiterlesen …

Authentisierung

Authentisierung bezeichnet den Vorgang, wenn jemand (der „Prover“) seine Identität gegenüber einer anderen Partei (dem „Verifier“) nachweist. Er authentisiert sich, liefert folglich irgendeinen Nachweis. Weiterlesen …

Authentizität

Authentizität (teils auch Vertrauenswürdigkeit) ist ein weiteres Schutzziel neben den drei klassischen Schutzzielen des CIA-Modells und eines der Schutzziele im Referenzmodell RMIAS. Authentizität ist erfüllt, wenn der Empfänger einer Nachricht eindeutig feststellen kann, dass diese Nachricht wirklich von einem bestimmten und bekannten Absender kommt. Ein Angriff auf dieses Schutzziel ist der Replay-Angriff. Weiterlesen …

Autorisierung

Hier wird überprüft, ob jemand eine bestimmte Aktion durchführen darf. Es geht demnach nicht darum, ob Person X wirklich Person X ist, sondern ob Person X Aktion A durchführen darf. Weiterlesen …

Awareness

Der Begriff Awareness im Zusammenhang mit Information Security Awareness ist nicht eindeutig definiert. Grundsätzlich kann man aber sagen, dass es darum geht, bei einer Person oder Gruppe Bewusstsein für Gefahren für die Informationssicherheit zu schaffen. Weiterlesen …

Axolotl-Protokoll

siehe Signal-Protokoll

B

Bitcoin

Bitcoin ist die bekannteste zahlreicher digitaler Währungen und aufgrund der Nachvollziehbarkeit aller Transaktionen und Verknüpfbarkeit der Bitcoinadressen mit anderen Teilidentitäten nicht anonym. Weiterlesen …

Botnetz

Bots sind Computer, die von einem Angreifer durch eine Malwareinfektion oder durch Exploits übernommen wurden und nun von diesem kontrolliert werden. Diese einzelnen Bots lassen sich zu einem Netzwerk zusammenschließen, um so beispielsweise DDoS-Angriffe durchzuführen oder Phishing-E-Mails zu versenden. Weiterlesen …

Brute-Force-Angriff

Bei einem Brute-Force-Angriff im Zusammenhang mit Kryptografie versucht ein Angreifer einfach alle möglichen Kombinationen eines Schlüssels zu berechnen oder eine Operation durchzuführen, um auf diese Weise beispielsweise ein Passwort zu rekonstruieren oder den genutzten geheimen Schlüssel zu berechnen. Brute-Force-Angriffe sind dabei vor allem von der Leistungsfähigkeit der eingesetzten Hardware abhängig und werden heutzutage durch leistungsfähige Grafikkarten günstiger und einfacher durchführbar. Daneben entscheiden die eingesetze Hashfunktion und das Vorhandensein von Salt, wie schnell der Angreifer das gewünschte Ergebnis erhält. Weiterlesen …

C

CIA-Modell

Mit dem CIA-Modell (auch oft CIA Triad) sind die drei klassischen Schutzziele der Informationssicherheit gemeint: Vertraulichkeit, Integrität und Verfügbarkeit. Die Abkürzung „CIA“ setzt sich aus den jeweiligen ersten Buchstaben der englischen Bezeichnungen zusammen. Allerdings konzentriert sich dieses Modell vollständig auf Informationen, weshalb es weitere Schutzziele und Modelle (wie RMIAS) gibt. Weiterlesen …

D

Datenschutz

Datenschutz bezeichnet den Schutz personenbezogener Daten vor dem Missbrauch durch Dritte. Weiterlesen …

Im Referenzmodell RMIAS ist Datenschutz eines der Schutzziele und bedeutet, dass ein System geltenden Datenschutzgesetzen gerecht werden sollte und Einzelpersonen – soweit realisierbar – die Möglichkeit gegeben werden sollte, Einfluss auf ihre personenbezogenen Daten zu nehmen. Weiterlesen …

Datensicherheit

siehe Informationssicherheit

DDoS-Angriff

Ein DDoS-Angriff (Distributed Denial of Service) greift direkt das Schutzziele Verfügbarkeit an. Das Ziel dieses Angriffs ist folglich, eine Ressource durch Überlastung nicht mehr verfügbar zu machen. Häufig (aber nicht ausschließlich) werden dazu Botnetze eingesetzt. Weiterlesen …

Diceware

Das Diceware-Verfahren ist eine Möglichkeit, starke Passphrasen (mehrere Wörter statt einzelne Zeichen) mithilfe eines oder mehrerer Würfel zu generieren. Die gewürfelten Ziffern werden gruppiert und auf Basis einer Liste in Wörter umgewandelt, die dann eine Passphrase bilden. Weiterlesen …

Downgrade-Angriff

Bei einem Downgrade-Angriff bietet ein Protokoll unterschiedliche Sicherheitslevel an. Im Standardbetrieb kann es sein, dass immer das sicherste Level genutzt wird. Ein Angreifer versucht nun, das unsicherste Level zu erzwingen, also einen Downgrade durchzuführen. Ein sehr bekanntes Beispiel im Zusammenhang mit TLS ist Poodle. Weiterlesen …

E

Ende-zu-Ende-VerschlĂĽsselung

Eine Ende-zu-Ende-Verschlüsselung gewährleistet, dass sämtliche Kommunikation zwischen zwei Endpunkten durchgängig verschlüsselt ist. Beispielsweise können diese Endpunkte zwei Smartphones sein. Weiterlesen …

Entropie

Die Stärke eines Passworts wird üblicherweise in Entropie (Bits) angegeben. Ein Bit kann dabei zwei mögliche Ausgänge speichern. Beispielsweise bedeutet eine Passwortstärke von 100 Bit Entropie, dass es 2100 mögliche Kombinationen für dieses Passwort gibt. Jedes weitere Bit Entropie verdoppelt die möglichen Kombinationen. Weiterlesen …

Exploit

Ein Exploit ist notwendig, um eine Sicherheitslücke auszunutzen (ausnutzen → to exploit). Sehr bekannte und verbreitete Exploits erhalten in der Regel Eigennamen. Wenn es einen Exploit gibt und die ausgenutzte Sicherheitslücke noch nicht entfernt wurde, spricht man von einem Zero-Day-Exploit. Weiterlesen …

F

F-Droid

F-Droid ist ein alternativer App-Store für Android-Geräte und eignet sich deswegen für Privatanwender, die Google von ihren Android-Geräten verbannen wollen. Allerdings muss ständig im Auge behalten werden, dass Apps unter Umständen kritische Sicherheitslücken enthalten und entweder spät oder gar nicht aktualisiert werden. Seit Kurzem werden solche Apps (aber noch nicht überall) mit KnownVuln markiert. Weiterlesen …

Fennec F-Droid

Hierbei handelt es sich um eine FOSS-only-Version von „Firefox for Android“. Das bedeutet, dass viele proprietäre Bestandteile entfernt worden sind. Der Name stammt vom Codenamen des „Firefox for Android“ → „Fennec“. Im Gegensatz zum IceCatMobile sind hier aber nicht alle proprietären Bestandteile restlos entfernt. Den „Fennec F-Droid“ findet man seit Kurzem wieder bei F-Droid (zuvor nur im F-Droid-Archive).

Firefox

Der Firefox von Mozilla ist ein freier Open-Source-Webbrowser. Neue Versionen erscheinen auf Basis eines festen Releasekalenders. Weiterlesen …

Firefox ESR

Der Firefox ESR (Extended Release Support) richtet sich besonders an Organisationen, da hier langsamer neue Features eingeführt werden. Stattdessen werden lediglich Sicherheitsupdates ausgerollt. Neue Versionen erscheinen auf Basis eines festen Releasekalenders. Weiterlesen …

Firefox for Android

Der Firefox for Android ist Mozillas Firefox für Android-Geräte. Neue Versionen erscheinen auf Basis eines festen Releasekalenders. Weiterlesen …

Föderation

Dies bedeutet, dass es Nutzern des Netzwerks A möglich ist, mit Nutzern des Netzwerks B zu kommunizieren, ohne selbst Mitglied im Netzwerk B zu sein. Dies kann auch protokollübergreifend möglich sein. Ein Beispiel für ein Protokoll, welches Föderation unterstützt, ist XMPP. Weiterlesen …

G

GCM

Google Cloud Messaging ermöglicht App-Entwicklern, Benachrichtigungen oder andere Informationen von eigenen Servern an Android-Geräte zu senden. Weiterlesen …

GnuPG

GnuPG (GNU Privacy Guard) stellt einige kryptografische Funktionen bereit, darunter Ver- und Entschlüsseln von E-Mails sowie Signieren mit asymmetrischer Kryptografie. Allerdings ist auch symmetrische Kryptografie enthalten. Während GnuPG eher im Privatbereich genutzt wird, findet man bei Unternehmen S/MIME. Weiterlesen …

H

Hashfunktion

Bei einer Hashfunktion wird eine Eingabemenge auf eine kleinere Zielmenge abgebildet. Dabei hat die Zielmenge in der Regel eine feste Länge und die Hashfunktion ist nicht injektiv. Hashfunktionen werden unter anderem genutzt, um Passwörter sicherer abzuspeichern. Weiterlesen …

HMAC

Dies bedeutet „Keyed-Hash Message Authentication Code“. Hier werden MAC und Hashfunktion vereinigt, um die Schutzziele Integrität und Authentizität bei einer Nachricht zu erfüllen. Weiterlesen …

Homografischer Angriff

Bei einem homografischen Angriff werden sogenannte Homoglyphen (ähnlich oder gleich aussehende Schriftzeichen) genutzt, um gegenüber dem Opfer falsche Identitäten vorzutäuschen. Diese Angriffe wurden wiederholt im Zusammenhang mit Domainnamen durchgeführt. Weiterlesen …

HOTP

siehe OATH-HOTP

I

IceCat

GNU IceCat (früher „IceWeasel“) ist die GNU-Version des Firefox-ESR-Browsers, enthält also nur FOSS, sowie weitere Features, die den Webbrowser privatsphärefreundlicher machen sollen. Weiterlesen …

IceCatMobile

Dies ist eine „Lightversion“ von GNU IceCat und enthält nur FOSS-Binaries und einige modifizierte Addons wie SpyBlock. IceCatMobile hat den „Fennec F-Droid“ aus dem F-Droid-Repo abgelöst. Mittlerweile sind beide Forks aber wieder bei F-Droid gelistet. Weiterlesen …

Identität

Eine digitale Identität „ist jede mögliche Form von technisch abgebildeten Daten, die zu einer Person gehören“. Sie setzt sich aus Teilidentitäten zusammen. Weiterlesen …

Informationssicherheit

Informationssicherheit dreht sich um den Schutz von Informationen im Hinblick auf Schutzziele. Synonym ist der Begriff „Datensicherheit“ zu sehen. Im Gegensatz zur IT-Sicherheit wird hier der menschliche Faktor miteinbezogen und nicht nur technische Aspekte betrachtet. Relevant ist immer die Information selbst, nicht die Form, in der sie beispielsweise gespeichert ist. Weiterlesen …

Integrität

Integrität (engl. Integrity) ist eines der drei klassischen Schutzziele der Informationssicherheit im CIA-Modell. Hierbei geht es vor allem darum, dass man feststellen kann, ob eine Ressource modifiziert worden ist oder nicht. Weiterlesen …

IT-Sicherheit

IT-Sicherheit beschränkt sich im Gegensatz zur Informationssicherheit nur auf zu schützende Technologie im Hinblick auf Schutzziele. Weiterlesen …

M

MAC

Mithilfe eines „Message Authentication Code“ wird das Schutzziel Integrität bei einer Nachricht erfüllt. Weiterlesen …

Malware

Malware – malicious (bösartige) software – ist ein Oberbegriff für Software mit unerwünschten und teils schädlichen Funktionen. Darunter fallen Trojaner, Spyware, Viren, Würmer, Adware, Ransomware und viele andere Arten, die aber heutzutage meistens nicht eindeutig zugeordnet werden können. Weiterlesen …

Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff schaltet sich der Angreifer zwischen zwei Parteien und ist dann „der Mann in der Mitte“. Gegenmaßnahmen sind Verschlüsselung des Datenverkehrs (Vertraulichkeit) sowie Sicherstellen der Schutzziele Authentizität und Integrität. Wichtig ist aber auch – insbesondere bei asymmetrischer Kryptografie wie GnuPG –, dass man die öffentlichen Schlüssel der Kommunikationspartner verifiziert. Ansonsten kann ein Angreifer diese den Kommunikationspartnern unterschieben. Weiterlesen …

Metadaten

Metadaten enthalten Informationen über andere Daten, sind aber nicht selbst diese Daten. Ein Beispiel dafür ist eine Datei: Unabhängig vom Inhalt werden noch Zugriffsrechte, Datum der Erstellung und letzten Änderung, Dateiformat usw. gespeichert – dies sind Metadaten. Weiterlesen …

N

Nachvollziehbarkeit

Nachvollziehbarkeit ist eines der Schutzziele im Referenzmodell RMIAS. Es bedeutet, dass ein System in der Lage ist, permanent und unumgehbar alle Aktionen von Menschen und Maschinen in einem System zu überwachen. Auf diese Weise lassen sich alle Aktionen nachvollziehen. Weiterlesen …

Nicht-Abstreitbarkeit

Nicht-Abstreitbarkeit ist ein weiteres Schutzziel neben den drei klassischen Schutzzielen des CIA-Modells und eines der Schutzziele im Referenzmodell RMIAS. Nicht-Abstreitbarkeit ist erfüllt, wenn es nicht möglich ist, dass ein Sender einer Nachricht abstreiten kann, diese wirklich selbst gesendet zu haben. Das Gegenteil ist Abtreitbarkeit. Weiterlesen …

O

OATH-HOTP

Ausgeschrieben bedeutet dies „OATH HMAC-based one-time password algorithm“. Mithilfe von HMAC, eines geheimen Schlüssels und eines Zählerwerts wird ein Einmalkennwort erzeugt. Weiterlesen …

OATH-TOTP

Ausgeschrieben bedeutet dies „OATH time-based one-time password algorithm“. Zusätzlich zu OATH-HOTP wird hier ein Zeitwert in die Berechnung des Einmalkennworts einbezogen. Weiterlesen …

Olm

Olm ist eine Implementierung der Double Ratchet von Open Whisper Systems. Weiterlesen …

OMEMO

OMEMO (XEP-0384) ist ein Protokoll, welches Ende-zu-Ende-Verschlüsselung für XMPP bietet. Es basiert dabei auf Olm. Weiterlesen …

Orfox

Orfox (Vorgänger „Orweb“) ist das mobile Gegenstück des Tor-Browsers und basiert auf „Firefox ESR“ sowie Elementen aus dem Tor-Browser. Es wurden weitere Härtungen und Modifikationen vorgenommen, die zur Privatsphärefreundlichkeit beitragen und die Nutzung von Tor erzwingen. Weiterlesen …

OTP

OTP (one-time password) ist ein Einmalkennwort. Weiterlesen …

P

Passphrase

Eine Passphrase besteht im Gegensatz zu Passwörtern aus einer – im besten Fall – zufälligen Anordnung von Wörtern, die aus einer Menge mit Wörtern zufällig und gleichwahrscheinlich gewählt wurden. Es dient zur Authentisierung. Weiterlesen …

Passwort

Ein (starkes) Passwort ist eine – im besten Fall – zufällige Anordnung von Elementen, die aus einer Menge gleichwahrscheinlich gewählt werden. Es dient zur Authentisierung. Weiterlesen …

Perfect Forward Secrecy

Perfect Forward Secrecy greift auf eine Kombination von Langzeit- und Kurzzeitschlüsseln zurück und verhindert so, dass ein Angreifer nachträglich frühere Kommunikation entschlüsseln kann, wenn er den Langzeitschlüssel in seinen Besitz gebracht hat, da er hiermit früher verwendete Kurzzeitschlüssel nicht mehr rekonstruieren kann. Weiterlesen …

Personenbezogene Daten

Personenbezogene Daten sind:

  • „Angaben ĂĽber Betroffene […], deren Identität bestimmt oder bestimmbar ist“ § 4, Z 1, DSG 2000, Ă–sterreich
  • „Einzelangaben ĂĽber persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natĂĽrlichen Person“ § 3, Abs. 1, BDSG, Deutschland
  • „’personenbezogene Daten’ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natĂĽrliche Person […] beziehen; als identifizierbar wird eine natĂĽrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natĂĽrlichen Person sind, identifiziert werden kann“ § 4, Abs. 1, DSGVO, Europäische Union

Phishing

Phishing ist eine Social-Engineering-Methode, bei der ein Angreifer mithilfe von gefälschten E-Mails, Kurznachrichten, Webseiten usw. versucht, an personenbezogene Daten seiner Opfer zu gelangen, um auf Basis dieser Informationen Identitätsdiebstahl, Betrug oder andere kriminelle Aktivitäten durchzuführen. Im Gegensatz zum Spear-Phishing werden hier viele Opfer mit identischen Nachrichten kontaktiert. Weiterlesen …

Prover

siehe Authentisierung

R

Ransomware

Ransomware ist eine Malware-Variante, bei der Angreifer ihre Opfer auf unterschiedliche Weise erpressen, um so Geld zu erhalten. Eine häufige Form ist das Verschlüsseln von wichtigen Daten des Opfers mittels asymmetrischer Kryptografie mit der Drohung, den zur Entschlüsselung notwendigen privaten Schlüssel nach einer gewissen Zeit zu löschen. Weiterlesen …

Replay-Angriff

Der Replay-Angriff ist ein Angriff auf das Schutzziel Authentizität. Ein Angreifer ist hierbei in der Lage, Daten aufzuzeichnen und später zu senden. Der Empfänger kann nicht erkennen, dass er genau diese Daten bereits erhalten hat und akzeptiert diese fälschlicherweise. Eine Gegenmaßnahme ist das Einbeziehen eines Zeitstempels in Daten, durch die doppelt gesendete Daten erkennbar werden. Weiterlesen …

RMIAS

RMIAS (A Reference Model of Information Assurance & Security) ist ein 2013 vorgestelltes Referenzmodell bestehend aus den vier Dimensionen Sicherheits-Lebenszyklus von Informationssystemen, Klassifizierung von Informationen, Schutzziele und Schutzmaßnahmen. Dieses Modell soll die Einschränkungen bisheriger Modelle unter anderem aus dem Bereich Informationssicherheit überwinden und neuen Trends gerecht werden. Neben den drei Schutzzielen des CIA-Modells beinhaltet dieses Modell noch Authentizität/Vertrauenswürdigkeit, Datenschutz, Nachvollziehbarkeit, Nicht-Abtreitbarkeit sowie Zurechenbarkeit. Diese Schutzziele werden im Zusammenhang mit Komponenten eines Informationssystems betrachtet. Diese Komponenten sind Informationen, Menschen, Prozesse, Hardware, Software und Netzwerke. Weiterlesen …

RSA

RSA (benannt nach Rivest, Shamir und Adleman) ist ein bekannter und verbreiteter Vertreter asymmetrischer Kryptografie. Weiterlesen …

S

Salt

Salt wird bei der Speicherung eines Passworts verwendet, um für zusätzliche Sicherheit zu sorgen. Dazu wird ein zufallsgenerierte Zeichenfolge (Salt) mit dem Klartext-Passwort verknüpft und dann mit einer Hashfunktion in einen Hashwert umgewandelt. Auf diese Weise hätten zum Beispiel Person A und Person B (beide nutzen ein identisches Passwort) dank unterschiedlichem Salt einen unterschiedlichen Hashwert. Salt erschwert (wenn richtig genutzt) wesentlich Wörterbuch- und Brute-Force-Angriffe. Weiterlesen …

Schutzziel

Die drei klassischen Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Diese werden meistens mit der Abkürzung „CIA“ aufgeführt. Daneben gibt es je nach Autor noch weitere. Ein neueres Modell ist zum Beispiel RMIAS. Weiterlesen …

Schwachstelle

siehe SicherheitslĂĽcke

Seitenkanalangriff

Hierbei wird ein kryptografisches Verfahren nicht direkt angegriffen, sondern Hardware beim Ausführen kryptografischer Operationen beobachtet und auf diese Weise versucht, den verwendeten Schlüssel zu berechnen. Weiterlesen …

SHA-x

SHA (secure hash algorithm) ist eine Familie von kryptografischen Hashfunktionen. Aktuell sollte man SHA-2 oder SHA-3 verwenden und SHA-1 nicht mehr einsetzen. Weiterlesen …

SicherheitslĂĽcke

Eine Sicherheitslücke ist in der Regel ein Programmierfehler in Software, die ein Angreifer mit einem Exploit ausnutzen kann. Es muss aber nicht für jede Sicherheitslücke einen Exploit geben oder es kann auch Exploits für bestimmte Betriebssysteme geben, während dieselbe Sicherheitslücke auf anderen Systemen nicht ausnutzbar ist. Wenn es für eine Sicherheitslücke einen Exploit aber keinen Patch gibt, so bezeichnet man diesen als Zero-Day-Exploit. Weiterlesen …

Signal-Protokoll

Das Signal-Protokoll (früher Axolotl-Protokoll) ist ein modernes Protokoll zur Ende-zu-Ende-verschlüsselten Kommunikation. Das Protokoll wird unter anderem vom gleichnamigen Messenger Signal sowie WhatsApp verwendet. Weiterlesen …

Skimming

Beim Skimming versucht ein Angreifer vor allem durch Hardware an Bank- und Kreditkartendaten seiner Opfer zu gelangen. In der Regel führt er dazu eine Manipulation an Zahlungsterminals oder Bankomaten durch. Weiterlesen …

S/MIME

Secure / Multipurpose Internet Mail Extensions ist ein zertifikatsbasierter Standard zur Verschlüsselung und Signierung von E-Mails, der eher im Unternehmensbereich verwendet wird. Im Privatbereich findet man vor allem GnuPG. Weiterlesen …

Social Engineering

Social Engineering ist ein Oberbegriff für eine Reihe von Angriffen, bei denen menschliche Eigenschaften und keine Technologien ausgenutzt werden. Social Engineering ist völlig ohne Technik möglich und begegnet uns fast alltäglich. Eine bekannte Methode ist das Phishing. Weiterlesen …

Spear-Phishing

Spear-Phishing ist eine spezielle Form des Phishings. Ein Angreifer personalisiert hierbei seinen Angriff und richtet diesen speziell auf sein Opfer aus, um gegenüber diesem authentischer zu wirken und die Erfolgschancen des Angriffs zu erhöhen. Diese Personalisierung ist vor allem durch veröffentlichte Informationen in sozialen Netzwerken teilweise leicht durchführbar. Weiterlesen …

SSL

siehe TLS

symmetrische Kryptografie

Bei symmetrischer Kryptografie gibt es in einer Kommunikationsbeziehung nur einen gemeinsamen privaten Schlüssel. Ein bekannter Vertreter davon ist AES. Weiterlesen …

T

Tails

Tails („The Amnesic Incognito Live System“) ist eine sicherheitsfokussierte Debian-basierte Linuxdistribution, die u. a. den Tor-Browser enthält. Der Release von neuen Versionen orientiert sich am Firefox-Release-Kalender. Weiterlesen …

Teilidentität

Teilidentitäten sind einzelne Bestandteile einer digitalen Identität. Beispielsweise sind dies Name, Geburtsdatum, Alter, Telefonnummer. Unterschiedliche Dienste können dabei unterschiedliche Teilidentitäten eines Nutzers speichern. Weiterlesen …

TLS

Transport Layer Security (früher SSL – Secure Socket Layer) ist ein hybrides Protokoll zur sicheren Datenübertragung im Internet. Derzeit wird die Version TLS v1.3 entwickelt. Als Serverbetreiber sollte man nur noch TLS v1.2 zur Verfügung stellen. Weiterlesen …

Tor-Browser

Der Tor-Browser (früher „Tor Browser Bundle“) basiert auf einem modifizierten „Firefox ESR“, enthält einige Addons wie bspw. NoScript und HTTPS Everywhere und den Tor-Proxy. Dieser Fork wird normalerweise unmittelbar nach einer Aktualisierung des Firefox ESR aktualisiert. Weiterlesen …

TOTP

siehe OATH-TOTP

U

U2F

Bei U2F (Universal 2nd Factor) handelt es sich um ein alternatives Verfahren zu HOTP/TOTP. Weiterlesen …

Unbeobachtbarkeit

Unbeobachtbarkeit ist ein weiteres Schutzziel neben den drei klassischen Schutzzielen des CIA-Modells. Es ist eine Erweiterung von Anonymität, da ein Dritter hier weder sehen kann, von wem eine Ressource genutzt wird, noch, dass die Ressource überhaupt genutzt wird. Weiterlesen …

V

VerfĂĽgbarkeit

Verfügbarkeit (engl. Availability) ist eines der drei klassischen Schutzziele der Informationssicherheit im CIA-Modell. Hierbei geht es vor allem darum, dass eine Ressource zum erwarteten Zeitpunkt verfügbar ist. Weiterlesen …

Verifier

siehe Authentifizierung

Vertraulichkeit

Vertraulichkeit (engl. Confidentiality) ist eines der drei klassischen Schutzziele der Informationssicherheit im CIA-Modell. Hierbei geht es vor allem darum, dass eine Ressource (bspw. eine Nachricht) nur von Befugten gelesen und geändert werden darf. Weiterlesen …

W

Wörterbuchangriff

Bei einem Wörterbuchangriff nutzt ein Angreifer eine oder mehrere Wortlisten, die für den Menschen sinnvolle Zeichenkombinationen enthält. Neben der eingesetzten Hardware ist vor allem die Hashfunktion, das Vorhandensein von Salt und die Qualität der Wortlisten entscheidend, ob dieser Angriff schnell zum Erraten des Passworts führt. Weiterlesen …

X

XMPP

XMPP (Extensible Messaging and Presence Protocol, früher Jabber) ist ein offenes und erweiterbares Kommunikationsprotokoll, welches vor allem von Instant Messengern genutzt wird. Weiterlesen …

Z

Zero-Day-Exploit

Wenn eine Sicherheitslücke vorliegt, für dies es zwar einen Exploit aber keinen Patch gibt, spricht man von einem Zero-Day-Exploit. Diese Exploits stellen die größte Gefahr dar, weil die damit ausgenutzten Sicherheitslücken lange Zeit unentdeckt bleiben können. Weiterlesen …

Zero-Day-Malware

Zero-Day-Malware bezeichnet Malware, die bisher unbekannt war und für die es keine Signatur in Antimalware-Software gibt. Weiterlesen …

Zurechenbarkeit

Zurechenbarkeit ist eines der Schutzziele im Referenzmodell RMIAS. Es bedeutet, dass ein System in der Lage ist, Nutzer für ihre Handlungen verantwortlich zu machen (bspw. Missbrauch von Informationen). Es ist folglich eindeutig möglich, einem Nutzer getätigte Handlungen nachzuweisen. Weiterlesen …

Zwei-Faktor-Authentifizierung

Bei einer Zwei-Faktor-Authentifizierung nutzt man zur Authentisierung zwei getrennte und unterschiedliche Faktoren. Zum Beispiel können das ein Passwort (Faktor Wissen) und eine Chipkarte (Faktor Besitz) sein. Weiterlesen …