Dieses Glossar erklärt und beschreibt Begriffe, Abkürzungen und Akronyme aus dem Bereich der IT-Sicherheit, wobei der Schwerpunkt auf den Hochschulbereich gelegt wurde. Das Glossar erhebt keinen Anspruch auf Vollständigkeit.

A | B | C | D | E | F | G | H | I | J | K | L | M | N| O | P | Q | R | S | T | U | V | W | X | Y | Z

Absturz

umgangssprachliche Bezeichnung für den durch einen Hard- oder Software-Fehler verursachten ungewollten Abbruch des Betriebssystems oder eines Programms.

Abuse-Handling

Bearbeitung von Fällen des Missbrauchs der IT-Infrastruktur der betroffenen Hochschule

Angriff (engl. attack)

Versuchte oder gelungene vorsätzliche Gefährdung oder Verletzung der Grundwerte der IT-Sicherheit durch Ausnutzung einer Schwachstelle eines IT-Systems. Der Erfolg eines Angriffs ist abhängig von seiner Stärke und Art, sowie der Wirksamkeit bestehender Schutzmaßnahmen beim angegriffenen IT-System.

Anti-Virus-Software/ Anti-Viren-Programm/ Viren-Scanner

Programm zur Erkennung und Beseitigung von Computerviren, unter Nutzung bekannter Virenmuster oder heuristischer Verfahren. Hauptkomponenten sind in der Regel ein On-Access-Virenscanner der sämtliche Dateien prüfen, auf die im laufenden Betrieb zugegriffen wird und einen On-Demand-Virenscanner, der zu geplanten Zeitpunkten spezifizierte Bereiche oder das gesamte IT-System oder Netzwerk nach Viren durchsucht.

asymmetrisches (Verschlüsselungs-) Verfahren

→ Public-Key-Verfahren

Authentifizierung (engl. authentication)

Vorgang der Verifizierung der Echtheit einer Angabe, insbesondere der Identität einer Person oder eines IT-Systems anhand eines bestimmten Merkmals. Voraussetzung für eine erfolgreiche Authentifizierung können die Kenntnis spezifischer Daten (z.B. Passwort), der Besitz eines Authentisierungsmittels (z.B. Chipkarte) oder das Vorhandensein einer individuellen Eigenschaft (z.B. biometrisches Merkmal) sein. Die Authentifizierung bildet eine Voraussetzung für das Funktionieren einer Vielzahl von Sicherheitsmechanismen.

Authentizität (engl. authenticity)

kennzeichnet einen Zustand, in dem Daten jederzeit ihrem Ursprung zugeordnet werden können und die Identität von Personen und IT-Systemen nachvollzogen werden kann.

Autorisierung

Erteilung der Berechtigung zur Durchführung bestimmter Aktionen für eine Person, IT-Komponente oder Anwendung nach erfolgter positiver Prüfung

Backup

→ Datensicherung

Bedrohungen (engl. threats)

Mögliche Aktivitäten oder Ereignisse, die die IT-Sicherheit eines Systems gefährden, so dass ein Schaden entstehen kann.

Benutzer

→ Nutzer

Betreiber

Natürliche oder juristische Personen, die die IT-Infrastruktur für Nutzungen bedarfsgerecht bereitstellen und alle administrativen Aufgaben im laufenden Betrieb wahrnehmen.

Binary Phishing

Form des Phishings bei denen in Programmen enthaltene Links (zum Beispiel zur Registrierung etc.) manipuliert werden und so ahnungslose Nutzer auf andere Seiten geleitet werden, wenn sie eine entsprechend modifizierte Programmversion installieren und einsetzen.

Bot

abgeleitet von robot (engl. = Roboter), Bezeichnung für ein Computerprogramm welches weitgehend selbstständig bestimmte oft zu wiederholende Aufgaben ausführt. Bots stellen ein Sicherheitsproblem dar, wenn sie in Form von Trojanern fremde Rechner infizieren, um diese mittels Fernsteuerung vom Nutzer möglichst unbemerkt bestimmte Befehle auszuführen zu lassen.

Botnet(z)

fernsteuerbarer Zusammenschluss einer großen Anzahl von mit Bots infizierten Rechnern, die häufig für die Spam-Verbereitung und DDoS-Attacken missbraucht werden.

BS 7799-2:2002 (kurz BS 7799-2)

Der 1996 in Kraft getretene British Standard 7799 ist eine international anerkannte Norm für die Bewertung der IT-Sicherheit in einer Organisation und bildete die Grundlage für den internationalen Standard ISO 17799. Der Standard wurde 1999 um einen Teil 2 (BS 7799-2) erweitert, der Managementsysteme der Informationssicherheit spezifiziert. Dieser Teil 2 wurde 2002 an internationale Management-Standards und die OECD-Richtlinien angepasst.

BSI (Bundesamt für Sicherheit in der Informationstechnik)

1991 gegründete Bundesbehörde im Geschäftsbereich des Bundesministeriums des Innern und Sitz in Bonn , die als unabhängige und neutrale Stelle für Fragen der IT-Sicherheit in der Informationsgesellschaft zuständig ist. (www.bsi.de)

buffer overflow

Der Puffer-/ Stapel-/ Speicher-Überlauf stellt eine der häufigsten Sicherheitslücken aktueller Software dar, die sich von Angreifern ausnutzen lässt. Durch das Schreiben von zu großen Datenmengen in einen unterdimensionierten Speicherbereich werden ungewollt Daten im angrenzenden Speicherbereich überschrieben. Die Folge ist meist eine Speicherschutzverletzung, es ist aber auch ein Fehlverhalten des Programms oder die Ausführung beliebigen Programmcodes eines Angreifers oder Virus möglich. Vorrangiges Ziel eines Angreifers ist in der Regel die Erlangung eines privilegierten Zugangs zum System.

CAIF (Common Announcement Interchange Format)

Vom RUS-CERT entwickelte und zum anerkannten Standard avancierte Struktur von Sicherheitsmeldungen, die sich überwiegend auf bekannte Angriffe oder offene Sicherheitslücken beziehen.

CERT (Computer Emergency Response Team)

Computer-Notfall-Team welches einen Kreis von Anwendern oder Organisationen bei der Verhinderung und der Behandlung von Vorfällen Im Bereich Rechner- und Netzwerksicherheit unterstützt. Schwerpunkte sind die Analyse von Sicherheitslücken und die Vorfallsbearbeitung, sowie die Herausgabe von Warnungen und die Beantwortung von Anfragen. CERTs sind weltweit verteilt aufgestellt.

Chiffrierung

→ Verschlüsselung

Clickjacking

Angriffsmethode bei der Betätigungen von Schaltflächen per Klick durch das transparente (also nicht sichtbare) Überlagern mit einer weiteren Weboberfläche "entführt" werden. Dieser Angriffsart kann durch das Deaktivieren von interaktiven Elementen von Webseiten entgegengewirkt werden.

Computer-Virus (oft nur Virus)

Nichtselbstständige Programmroutine, mit der Fähigkeit sich selber zu reproduzieren und so andere IT-Systeme oder Netzwerke zu infizieren, die in der Regel das Ziel verfolgt den Betriebsablauf eines IT-Systems zu beeinträchtigen.

Cracker

Personen, die versuchen oder denen es gelingt sich unautorisierten Zugang zu IT-Systemen zu verschaffen, bestehende Schutzmaßnahmen von urheberrechtlich geschützten Werken zu umgehen oder fremde Daten zu beschädigen. Sie verfolgen destruktive Ziele, wie die unberechtigte Erlangung persönlicher Vorteile oder die Schädigung des betroffenen IT-Systems oder einer Institution. Anstelle des Begriffs Cracker wird häufig fälschlicherweise der Begriff Hacker verwendet.

Datenschutz

Gesamtheit der Standards der gesetzlichen und betrieblichen Regelungen zum Schutz des Einzelnen vor einer Beeinträchtigung in seinem Persönlichkeitsrecht durch den Umgang mit seinen personenbezogenen Daten.

(behördlicher) Datenschutzbeauftragter

Eine gemäß gesetzlicher Grundlage von der Hochschulleitung bestellte Person, die für den gesetzeskonformen Umgang mit personenbezogenen Daten, für die Beratung in allen Belangen des Datenschutzes und jederzeitige auch unangemeldete Kontrollen der Einhaltung des Bundesdatenschutzgesetzes (BDSG) sowie weiterer Rechtsvorschriften für den Datenschutz in der Hochschule verantwortlich ist.

Datensicherung (engl. backup)

Erstellung und sichere Aufbewahrung von Sicherungskopien vorhandener Datenbestände, um diese vor Datenverlust zu schützen und die ständige Verfügbarkeit sicherzustellen.

DV (Datenverarbeitung)/ IV (Informationsverarbeitung)

Gesamtheit der Prozesse zur Erhebung, Erfassung, Aufbereitung, Nutzung, Speicherung, Übermittlung, programmgesteuerten Verarbeitung, internen Darstellung, Ausgabe und Wiedergewinnung von Daten die typischerweise von IT-Systemen durchgeführt werden.

Denial-of-Service (DoS) Distributed-Denial-of-Service (DDoS)

Angriff mit dem Ziel die Verfügbarkeit eines IT-Systems und/oder bestimmter Dienste erheblich einzuschränken. (Denial-of-Service = außer Betrieb setzen) Ziel ist es das angegriffene IT-System durch ein Überhaufen mit IP-Paketen oder permanente Anfragen (flooding genannt) so stark auszulasten, bis es abstürzt oder es so zu überlasten, dass es seine eigentlichen Funktionalitäten nicht mehr in geforderter Art und Weise erbringen kann. Um eine Effizienzsteigerung zu erzielen, werden beim so genannten "Distributed Denial of Service" (DDoS)-Angriff eine Vielzahl von IT-Systemen koordiniert zum Einsatz gebracht.

Deutsches Forschungsnetz (DFN)

von der Wissenschaft selbst verwaltetes Hochleistungsnetz für Wissenschaft und Forschung in Deutschland, welches Hochschulen und Forschungseinrichtungen miteinander verbindet.

DFN-Verein

→ Verein zur Förderung eines Deutschen Forschungsnetzes

Dialer

Programm zur Einwahl über Telefonmehrwertdienste ins Internet als Zugang zu besonderen Inhalten, deren Nutzung meist mit hohen Gebühren verbunden ist. Die Folge der in der Regel unbewussten oder ungewollten Aktivierung ist eine finanzielle Schädigung der betroffenen Person.

Digitale Signatur

Unterschrift bei elektronischen Dokumenten, die durch den Einsatz kryptografischer Verfahren erstellt wird und dem Nachweis der Urheberschaft und der Unverfälschtheit der Dokumente nach deren Erstellung dient.

Drive-by-Download

Download der automatisch und meist verdeckt beim Aufruf einer Webseite gestartet wird und häufig Spyware oder Trojanische Pferde beinhaltet.

Drive-by-Pharming

Automatisches und vom Nutzer unbemerktes Ändern der DNS-Einstellungen eines Routers zur Umleitung sämtlicher DNS-Anfragen auf den DNS-Server des Angreifers um die Kontrolle über die Internet-Verbindungen des Opfers zu erlangen, allein durch das Öffnen von Webseiten oder E-Mails mit eingebettetem bösartigem HTML- oder Javascript-Code.

Dumpster Diving

Beim so genannten „Mülltonnentauchen“ durchsuchen Angreifer den Abfall eines Unternehmens oder einer Behörde nach achtlos weggeworfenen Datenträgern, Notizzetteln, Unterlagen etc., die sensible Informationen, wie Passwörter enthalten, um sich so Zugang zum Netzwerk oder einzelnen IT-Systemen zu verschaffen.

Firewall

Schutzsystem am Übergang zwischen zwei (Teil-)Netzen, das den Datenfluss zwischen diesen (Teil-)Netzen (häufig zwischen einem LAN und dem Internet) kontrolliert gemäß festgelegten Regeln gestattet, einschränkt oder verwehrt. Ziel ist es Gefahren von Angriffen aus dem als unsicher anzusehenden Internet gegen das eigene zu schützende LAN zu minimieren oder die Weitergabe von sicherheitsrelevanten Informationen aus dem eigenen LAN zu verhindern.

Grundwerte der IT-Sicherheit

Kennzeichnung der Hauptziele der IT-Sicherheit an der Hochschule. Durch das BSI werden als Grundwerte der IT-Sicherheit Vertraulichkeit, Verfügbarkeit und Integrität benannt. Diese können im eigenen Bereich um weitere grundlegende Ziele ergänzt werden.

Hacker

Intelligente Personen mit hohem Fachwissen im IT-Bereich und umfassenden Programmierkenntnissen. Auch sie versuchen in IT-Systeme einzudringen. Im Gegensatz zu Crackern ist das Ziel nicht die bewusste Schädigung, sondern zum Beispiel Neugier, der Reiz Schutzsysteme zu überwinden, das Aufdecken von Sicherheitslücken oder die Erlangung von ihrer Meinung nach zu Unrecht geheim gehaltenen Informationen. Hacker fühlen sich der so genannten Hackerethik, die die Motive und Grenzen ihrer Aktionen fixiert, verpflichtet. (Vgl.: Chaos Computer Club) Der Begriff Hacker wird fälschlicherweise oft anstelle von Cracker verwendet.

Hoax

Ein Hoax ist eine Falschmeldung über die angebliche Existenz eines Virus, die Nutzer von IT-Systemen verunsichern soll, um sie dazu zu bewegen die "Warnmeldung" als Kettenbrief an andere weiterzuleiten. Hoaxes können im Gegensatz zu Computerviren keinen direkten Schaden verursachen. Durch die unkontrollierte massenhafte Weiterleitung können allerdings erhebliche Ressourcen blockiert werden oder durch provozierte Fehlhandlungen der Nutzer unerwünschte Folgen eintreten. Auch E-Mails mit anderen unwahren Behauptungen, die als Kettenbriefe weitergeleitet werden sollen, werden unter dem Begriff Hoax subsumiert.

Intrusion Detection System (IDS)

Hard- und Softwarebasierte System zur aktiven Überwachung von IT-Systemen und/oder Netzen, das durch einen Vergleich mit gespeicherten Angriffsmustern Angriffe von intern und extern erkennen soll. Wird häufig zusätzlich zu einer Firewall eingesetzt, um die Sicherheit eines Netzwerkes zu erhöhen.

Incident Response (IR)

Verfahrenweise nach dem Eintreten eines Sicherheitsvorfalls (reaktiv) mit dem Ziel Kompromittierungen und die dafür genutzten Angriffswege zu ermitteln und wirksame Gegenmaßnahmen rasch einzuleiten, um den entstandenen Schaden zu minimieren und eine Ausweitung zu verhindern.

Integrität (engl. integrity)

kennzeichnet einen manipulationsfreien Zustand von Daten und/oder IT-Systemen.

IT (Informationstechnik)

Gesamtheit der technischen Mittel zur Erhebung, Erfassung, Aufbereitung, Nutzung, Speicherung, Übermittlung, programmgesteuerten Verarbeitung, internen Darstellung, Ausgabe und Wiedergewinnung von Daten.

IT- Grundschutzhandbuch(IT-GSHB, GSHB)

Vom BSI herausgegebenes umfangreiches Dokument, dass als De-facto-Standard für die Implementierung und Überprüfung der IT-Sicherheit in einem Unternehmen oder einer Behörde in Deutschland angesehen wird und auch international anerkannt ist. Es beschreibt detailliert Standard-Sicherheitsmaßnahmen für IT-Systeme, gibt Hinweise zur Lösung von Sicherheitsproblemen und der Anhebung der Sicherheitsniveaus, sowie Hilfestellung bei der Erstellung von IT-Sicherheitskonzepten. Es wird halbjährlich fortgeschrieben. Vgl.: BSI : IT-Grundschutzhandbuch

IT-Infrastruktur

Baulich-technische Gegebenheiten von Gebäuden, Räumen und Schutzschränken, die für den IT-Einsatz verwendet werden.(Quelle: BSI - IT-Grundschutz-Schulung )

IT-Prozess

Folge von zueinander in Beziehung stehenden Aktivitäten die IT gestützt, parallel oder aufeinander folgend abgearbeitet werden um ein Ziel zu erreichen.

IT-Sicherheit/ Sicherheit in der Informationstechnik

Zustand oder Ziel eines IT-Systems oder der Gesamtheit der IT-Infrastruktur der Hochschule , bei dem die implementierten IT-Sicherheitsmaßnahmen gewährleisten, dass die Grundwerte der IT-Sicherheit entsprechend der Vorgaben der Hochschulleitung und bestehender rechtlicher Auflagen gewahrt werden und die potentiellen Bedrohungen nur so wirksam werden können, dass die verbleibenden Risiken tragbar sind.

IT-Sicherheitsbeauftragter – zentral/ dezentral - (ITSiBe)

Mitarbeiter der Hochschule, mit eigener Fachkompetenz zur IT-Sicherheit, der im Auftrag der Hochschulleitung für alle IT-Sicherheitsfragen zuständig ist, aktiv im IT-Sicherheitsprozess und dem SMT mitwirkt, Konzepte im Bereich der IT-Sicherheit koordinierend erstellt und deren Umsetzung plant und überprüft. Neben dem zentralen IT-Sicherheitsbeauftragten werden für die Fachbereiche und Einrichtungen der Hochschule dezentrale IT-Sicherheitsbeauftragte eingesetzt. Die IT-Sicherheitsbeauftragten sind für die Umsetzung aller mit dem SMT abgestimmten Sicherheitsbelange bei den IT-Systeme und -Anwendungen sowie den Mitarbeitern in ihren Verantwortungsbereichen verantwortlich.

IT-Sicherheitskonzept (engl. standards)

zentrales Dokument im IT-Sicherheitsprozess der Hochschule, in dem die Aussagen und Forderungen der IT-Sicherheitsordnung durch die verantwortlichen Gremien und Personen konkretisiert werden. Nach einer Analyse des Ist-Zustands werden die erforderlichen IT-Sicherheitsmaßnahmen im Detail geplant. Ein Vorschlag für die schrittweise Vorgehensweise bei der Erstellung eines IT-Sicherheitskonzepts findet sich im GSHB des BSI: www.bsi.bund.de/gshb/deutsch/m/m02195.html Das IT-Sicherheitskonzept ist kontinuierlich zu aktualisieren.

IT-Sicherheitsmanagement-Team (SMT)

→ SMT

IT-Sicherheitsmaßnahme (engl. guideline)

Technische, organisatorische, personelle und rechtliche Handlung, die durchgeführt wird um die Grundwerte der IT-Sicherheit zu sichern und die Erreichung des angestrebten IT-Sicherheitsniveaus zu gewährleisten.

IT-Sicherheitsordnung/ IT-Sicherheitsleitlinie (engl. security policy)

Im Sinne offizieller Vorgaben von der Hochschule in Kraft gesetzte grundsätzliche Regelung zur IT-Sicherheit an der Hochschule, in der das angestrebte Sicherheitsniveau definiert wird, die IT-Sicherheitsziele und allgemeine Schutzmaßnahmen festlegt werden, sowie die Struktur der IT-Sicherheitsorganisation mit Verantwortlichkeiten und Kommunikationsstrukturen bestimmt wird.

IT-Sicherheitsniveau

Zielwert für das angestrebte Maß an IT-Sicherheit an einer Hochschule

IT-Sicherheitspolitik

Gesamtheit der Einflussnahme und Gestaltung sowie der Durchsetzung von Forderungen und Zielen im Bereich IT-Sicherheit an der Hochschule.

IT-Sicherheitsprozess

Geplantes und organisiertes Vorgehen zur Durchsetzung und Aufrechterhaltung des angestrebten IT-Sicherheitsniveaus. Der IT-Sicherheitsprozess wird durch das SMT initiiert und gesteuert.

IT-System

Funktionelle Einheit aus Hard- und Software, die Daten erhebt, erfasst, aufbereitet, nutzt, speichert, übermittelt, programmgesteuert verarbeitet, intern darstellt, ausgibt und wiedergewinnt.

IT-Verbund

Als IT-Verbund wird im IT-Grundschutzhandbuch die Gesamtheit der infrastrukturellen, organisatorischen und technischen Komponenten bezeichnet, die der Aufgabenerfüllung in einem definierten Anwendungsbereich der Informationsverarbeitung dienen und den Untersuchungsgegenstand für die für die nachfolgenden Schritte zum Erreichen des IT-Grundschutzes bilden.

IT-Verfahren

Es besteht aus Arbeitsabläufen und -prozessen, die sich auf IT stützen und eine arbeitsorganisatorisch abgeschlossene Einheit bilden.

kompromittieren

Verletzen der Vertraulichkeit bei einem IT-Systems in Folge eines Angriffs bzw. unbeabsichtigte oder unautorisierte Offenlegung eines geheimen Schlüssels oder verschlüsselter Daten.

Konsistenz (engl. consistency)

kennzeichnet einen Zustand, in dem sichere Subsysteme ein sicheres Gesamtsystem ergeben.

KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)

Das seit 1998 rechtskräftige Gesetz verpflichtet Aktiengesellschaften zur Durchführung eines angemessenen Risikomanagements, was die Pflicht der Geschäftsführung beinhaltet alle relevanten Schwachstellen, die bedrohlich für ein Unternehmen werden könnten, transparent zu machen. Nach herrschender Meinung gilt das Gesetz auch für große GmbHs.

Malware

Kunstwort aus den Begriffen „malicious“ (engl. = bösartig) und „Software“ unter dem Gesamtheit schädigender Software, wie Computerviren, Würmer, Trojanische Pferde, Dialer und Spyware subsumiert werden.

(IT-Sicherheits-)Meldungen (engl. (security) announcements)

Strukturierte Informationen zu entdeckten Schwachstellen mit Problembeschreibungen und Lösungsmöglichkeiten.

Nutzer (engl. user)

Natürliche Person, die als Angehöriger oder Gast der Hochschule berechtigt IT verwendet.

Nutzungsordnung

Die Nutzungsordnung bestimmt die für die Benutzung der Informationstechnik verbindlichen Verhaltensregeln und definiert Rechte und Pflichten der Benutzer und Betreiber.

Passwort (engl. password)

Geheime Zeichenfolge die unerlaubten Zugriff auf Daten, Dienste und IT-Systeme verhindern soll. Die Güte des Passwortes ist abhängig vom Grad der Geheimhaltung, der Länge und dem gewählten Zeichenvorrat.

Patch

Datei, die dazu dient identifizierte Fehler in einem installierten Programm zu beheben. Häufig werden mit Patches Sicherheitslücken in bereits veröffentlichter Software geschlossen.

PGP (Pretty Good Privacy, dt. recht gute Geheimhaltung/ Privatsphäre)

Programm zur Verschlüsselung von E-Mails und Daten (Sicherung der Vertraulichkeit), dass mit dem Public-Key-Verfahren arbeitet. Zusätzlich können Dokumente mit einer digitalen Signatur versehen werden (Wahrung der Authentizität und Integrität).

Phishing

Wortschöpfung aus den Wörtern "password" und "fishing" die sinngemäß "nach Passwörtern fischen" bedeutet. Mit gefälschten E-Mails und Webseiten werden Nutzer getäuscht und zur Preisgabe von vertraulichen und sensiblen Daten veranlasst, die dann missbraucht werden können.

Phoneypot

Virtuelle Umgebung in der Phisher mittels spezieller Token gelockt werden sollen, um dann einen digitalen Fingerabdruck zu späteren besseren Identifizierung erstellen zu können.

PUP

In den McAfee Malware-Schutz-Produkten verwendete Abkürzung für Potentiell unerwünschtes Programm. Zu den potentiell unerwünschten Programmen werden Spyware, Adware und Dailer gezählt, die häufig auch in Verbindung mit einer durch den Benutzer bewusst heruntergeladenen und installierten Software, von diesem meist ungewollt oder unbemerkt auf sein IT-System gelangen (wollen).

Private-Key-Verfahren

→ Symmetrisches (Verschlüsselungs-) Verfahren

Public Key Infrastructure (PKI)

Kryptosystem, bestehend aus einer technischen und organisatorischen Infrastruktur, für die Erstellung, Verteilung und Verwaltung von digitalen Zertifikaten.

Public-Key-Verfahren/ asymmetrisches (Verschlüsselungs-) Verfahren

Krytografisches Verfahren bei dem für die Verschlüsselung ein anderer Schlüssel als zur Entschlüsselung verwendet wird. Zum Einsatz kommt ein Schlüsselpaar, was jeweils aus einem geheimen (private key) und einem öffentlichen Schlüssel (public key), der allgemein bekannt bzw. zugänglich ist, besteht. Der geheime Schlüssel darf sich praktisch nicht aus dem öffentlichen Schlüssel ableiten lassen.

Rahmenrichtlinie der IT-Sicherheit (engl. standards)

zentrales Dokument im IT-Sicherheitsprozess der Hochschule, in dem die Aussagen und Forderungen der IT-Sicherheitsordnung durch die verantwortlichen Gremien und Personen konkretisiert werden. Sie enthält die Vorgaben, die die Umsetzung der IT-Sicherheitsziele der Hochschule sicherstellen sollen. Mit ihrem übergeordneten Charakter betrifft sie alle IT-Verfahren der Hochschule.

Risiko

Maß für die Gefährdung und das Ausmaß der möglichen Schädigung eines IT-Systems durch das Zusammentreffen einer Bedrohung und einer vorhandenen Schwachstelle.

Risikoanalyse (engl. risk assessment analysis)

Untersuchung der Eintrittswahrscheinlichkeit eines schädigenden Ereignisses und der daraus resultierenden potentiellen Schadensausmaßes.

Routing

Wegwahlfunktion bei der Übertragung von Datenpaketen zwischen verschiedenen Netzwerken bzw. Teilnetzen.

Schutzbedarf

Maß für die Bedeutung bzw. den Wert, den die zu schützenden Daten oder IT-Systeme für die Hochschule besitzen. Aus wirtschaftlicher Perspektive sollte der Aufwand für Schutzmaßnahmen mit dem Wert der Daten und IT-Systeme korrespondieren. Als Schutzbedarfskategorien werden üblicherweise niedrig bis mittel, hoch und sehr hoch verwendet.

Schwachstelle/ Verwundbarkeit/ Sicherheitslücke (engl. vulnerability)

Sicherheitsrelevante Eigenschaft eines IT-Systems oder eines seiner Bestandteile, die das Wirksamwerden einer Bedrohung ermöglicht.

shared network

Netzwerkinfrastruktur in der sich alle Nutzer eine feststehende verfügbare Bandbreite teilen.

Sluring (Service Luring)

Form des Phishings, bei der die Betroffenen auf präparierten Websites, die eine Dienstleistung versprechen, zur Preisgabe von persönlichen Daten gebracht werden sollen.

SMT (IT-Sicherheitsmanagement-Team)

Aus mehreren Personen gebildetes Strukturelement der IT-Sicherheitsorganisation an der Hochschule. Das SMT ist für die Konzepterstellung, Fortschreibung, Umsetzung und Überwachung des IT-Sicherheitsprozesses verantwortlich.

Social Engineering

Methode eines Angreifers, Personen zur Preisgabe sensibler Informationen zu bewegen, indem er zum Beispiel vorgibt ein Angehöriger der Hochschule (vielfach in einer höheren Position) oder ein Mitarbeiter des Rechenzentrums zu sein.

Spam/ Junk-Mail

Bezeichnung für unverlangte und unerwünschte Werbe- oder Massenmails, sowie inhaltslose oder massenhaft verbreitete Postings in Internetforen.

Spear-Phishing

Form des Phishings bei dem gezielt personalisierte E-Mails an Angestellte von Unternehmen versendet werden, um an sensible Daten zu gelangen. Die Absender geben sich hierbei häufig als Kollegen oder Vorgesetzte aus, um unter einem Vorwand an Zugangsdaten und ähnliche Informationen zu gelangen.

Spyware

unerwünschte Programme bzw. Programmbestandteile, die vom Nutzer häufig unbemerkt installiert werden und dessen Verhalten ohne sein Wissen ausspionieren und die gewonnenen Informationen an Dritte (häufig Werbefirmen und Softwarehersteller) weiterleiten. Für Unternehmen und Behörden entstehen Gefährdungen hauptsächlich durch die so mögliche Weitergabe vertraulicher Informationen.

switched network

Netzwerkinfrastruktur in der jeder Nutzer über eine dezidierte Bandbreite verfügt und sich die reale Gesamtbandbreite aus der Summe der gleichzeitigen Verbindungen ergibt. Die Verbindungen werden auf der Basis der MAC Adressen geschaltet (geswitched).

Symmetrisches (Verschlüsselungs-) Verfahren

Krytografisches Verfahren bei dem für Verschlüsselung und Entschlüsselung derselbe Schlüssel verwendet wird. Die Sicherheit des Verfahrens bestimmt sich aus der Wahl des Schlüssels und seiner Geheimhaltung.

Trojanisches Pferd/ Trojaner

Schadprogramm, das in der Regel als verborgene Funktion in einem Anwendungsprogramm häufig vom Nutzer unbewusst in das IT-System eingebracht wird. Das Trojanische Pferd wird mit dem Start der eigentlichen Anwendung aktiviert und führt meist schädigende Aktionen aus, wie das Ausspionieren persönlicher Daten und die Öffnung einer Backdoor im System.

Verbindlichkeit (engl. liability)

charakterisiert einen Zustand, in dem die Durchführung einer Handlung mittels eines IT-Systems durch die agierende Instanz im Nachhinein nicht abgestritten werden kann.

Verein zur Förderung eines Deutschen Forschungsnetzes (DFN-Verein/ häufig auch nur kurz DFN)

Betreiber des DFN. Stellt seine Weiterentwicklung und Betrieb sicher.

Verfügbarkeit (engl. availability)

kennzeichnet einen Zustand, in dem Daten, Dienste und Funktionen eines IT-Systems und seiner Komponenten von den berechtigten Personen zum geforderten Zeitpunkt, in der vorgesehenen Zeit und in zugesicherter Form und Qualität nutzbar sind.

Vermeidung von Missbrauch

Durchsetzung des Rechtes der Betreiber und/ oder Nutzer die eigenen IT Systeme nur für den vorgesehenen Zweck zu gebrauchen.

Verschlüsselung/ Chiffrierung (encryption)

Bezeichnung für den Vorgang, bei dem aus einem Klartext durch Einsatz eines Verschlüsselungsalgorithmus und unter Zuhilfenahme eines Schlüssels ein Geheimtext (Chiffretext) generiert wird. Der umgekehrte Vorgang wird Entschlüsselung genannt.

Vertraulichkeit (confidentiality)

kennzeichnet einen Zustand, in dem eine Informationsgewinnung aus sensiblen Daten nur berechtigten Personen und in der zulässigen Weise möglich ist.

Virus

→ Computer-Virus

Visual Spoofing

Im Zusammenhang mit Phishing verwendete Technik, bei der dem potentiellen Opfer die imitierte Oberfläche seines Standard-Web-Browsers mit allen Sicherheitsfeatures untergeschoben wird, so dass dieser sich in seiner gesicherten, vertrauten Umgebung wähnt und vertrauliche Informationen preisgibt. Schutz vor dieser Angriffsform bietet eine Personalisierung der Oberfläche des genutzten Web-Browsers.

Vulnerability Response (VR)

Verfahrensweise, mit der nach dem Bekannt werden von Schwachstellen von IT-Systemen, präventiv einer möglichen Kompromittierung entgegen gewirkt werden soll.

Whitelist

Filterliste, die als restriktive Postivliste (Erlaubnisliste) die vollständige Aufzählung aller zulässigen Bedingungen enthält und nach dem Prinzip arbeitet, dass alles was nicht explizit erlaubt ist, verboten ist. Whitelists können u.a. bei Firewalls und Spam-Filtern eingesetzt werden.

Wurm

Vollständiges, lauffähiges Programm, das sich selbstständig (ohne Nutzeraktion) vervielfältigen kann und sich in IT-Systemen und vor allem in Netzen ausbreitet. Würmer enthalten häufig Schadfunktionen.