Cybersecurity Glossar

Account Takeover (ATO) bezeichnet das unbefugte Übernehmen von Nutzerkonten durch Angreifer. Angriffsvektoren: Credential Stuffing (geleakte Passwörter), Brute Force, Phishing/MFA-Bypass, Session-Hijacking, Password-Reset-Schwachstellen und SIM-Swapping. ATO ist der Ausgangspunkt für Betrug, Datenleckagen und Privilege Escalation. Erkennung: Impossible Travel, Device-Fingerprinting-Anomalien, Velocity-Checks.

Adversarial Machine Learning bezeichnet Angriffstechniken, die Machine-Learning-Modelle gezielt manipulieren oder täuschen. Dazu zählen Adversarial Examples (minimale Input-Änderungen die Modelle falsch klassifizieren), Data Poisoning (vergiftete Trainingsdaten), Model Inversion (Extraktion von Trainingsdaten), Prompt Injection (bei LLMs) und Model Stealing. MITRE ATLAS dokumentiert die Angriffstechniken.

Air Gap bezeichnet die physische Trennung eines Computersystems oder Netzwerks vom Internet und anderen unsicheren Netzwerken. Air-gapped Systeme sind ohne physische Medien (USB, optische Datenträger) oder spezielle Hardware nicht erreichbar. Einsatz: Kernanlagen, Militärsysteme, SCADA-Systeme, Zertifizierungsstellen. Bekannte Angriffe: Stuxnet (USB), VAMPIRE, USBee (elektromagnetische Seitenkanäle), Fansmitter (Lüftergeräusche).

Der Weg oder Mechanismus, über den ein Angreifer Zugang zu einem System erlangt oder eine Schwachstelle ausnutzt - z.B. E-Mail, Netzwerk, physischer Zugang oder kompromittierte Software.

Anonymisierung entfernt Personenbezug endgültig - Pseudonymisierung ersetzt ihn durch ein Pseudonym und ist rückführbar. Beide Verfahren sind zentrale DSGVO-Techniken zur Datenschutz-by-Design Umsetzung.

Schutz von APIs (Application Programming Interfaces) gegen Missbrauch, unbefugten Zugriff, Injection-Angriffe und Datenlecks. APIs sind moderne Angriffsfläche: OWASP API Security Top 10 listet die häufigsten Schwachstellen von Broken Object Level Authorization bis Rate Limiting.

Application Security (AppSec) umfasst alle Maßnahmen, Prozesse und Technologien, um Software-Anwendungen vor Angriffen zu schützen - von der Entwicklung über den Test bis zum Betrieb. Ziel ist es, Schwachstellen in Code, Architektur, Konfiguration und Abhängigkeiten zu finden und zu beseitigen, bevor Angreifer sie ausnutzen.

Eine Advanced Persistent Threat (APT) ist ein hochentwickelter, langfristiger Cyberangriff - meist von staatlichen oder staatlich geförderten Akteuren - der auf ein spezifisches Ziel ausgerichtet ist und über Monate oder Jahre unentdeckt bleibt.

Ein Attack Path (Angriffspfad) ist die Sequenz von Schwachstellen, Fehlkonfigurationen und Berechtigungen die ein Angreifer ausnutzt um von einem Ausgangspunkt (Initial Access) zu einem Ziel (z.B. Domain Admin, Datenbank) zu gelangen. Attack Path Analysis mit Tools wie BloodHound, Microsoft Security Exposure Management und XM Cyber identifiziert und priorisiert diese Pfade für Remediation.

Attack Path Management (APM) identifiziert kontinuierlich alle realisierbaren Angriffspfade im Unternehmensnetz vom Einstiegspunkt bis zu kritischen Assets - und priorisiert Gegenmaßnahmen nach tatsächlichem Ausnutzungsrisiko, nicht nach CVSS-Score.

Attack Surface Management (ASM) ist der kontinuierliche Prozess zur Entdeckung, Inventarisierung, Klassifizierung und Risikobewertung aller Assets und Schwachstellen die ein Angreifer für einen Angriff nutzen könnte. Externe ASM (EASM) fokussiert auf Internet-sichtbare Assets; interne ASM auf laterale Bewegungsrisiken. ASM ist Grundlage für CTEM (Continuous Threat Exposure Management).

Vertragliches Instrument nach Art. 28 DSGVO, das zwischen Verantwortlichem (Auftraggeber) und Auftragsverarbeiter (Dienstleister) abgeschlossen werden muss, wenn Dritte personenbezogene Daten im Auftrag verarbeiten. Ohne AVV ist die Datenverarbeitung durch den Dienstleister rechtswidrig.

Der Prozess der Identitätsverifikation: Wer behauptet, jemand zu sein, muss es beweisen - durch etwas, das er weiß (Passwort), besitzt (Token) oder ist (Biometrie).

Systematische Sicherung von Daten auf einem vom Primärsystem getrennten Medium - der letzte Schutzwall gegen Ransomware, Hardwareausfall, menschliche Fehler und Katastrophen. Die 3-2-1-Regel ist der anerkannte Mindeststandard.

Breach and Attack Simulation (BAS) ist eine Technologie die kontinuierlich und automatisiert Cyberangriffe simuliert um Sicherheitslücken in Echtzeit zu finden - ohne manuelle Penetrationstester. BAS-Plattformen testen Detection (findet das SIEM den Angriff?), Prevention (blockt die Firewall?) und Response (reagiert das SOC korrekt?) auf Basis von MITRE ATT&CK Techniken.

Biometrische Authentifizierung nutzt einzigartige körperliche Merkmale (Fingerabdruck, Gesicht, Iris, Stimme) oder Verhaltensmuster (Tipprhythmus, Gangart) zur Identifikation. Sie ist phishing-resistent, bequem - hat aber spezifische Risiken: gestohlene Biometrie kann nie geändert werden, Liveness-Detection-Angriffe und DSGVO-Besonderheiten (Art. 9) erfordern sorgfältige Implementierung.

Das Blue Team ist die Verteidigungsseite in der Cybersicherheit: Es schützt Systeme, erkennt Angriffe, reagiert auf Incidents und verbessert kontinuierlich die Sicherheitslage. Im Gegensatz zum Red Team (Angreifer) oder Purple Team (beide kombiniert) ist das Blue Team der permanente Betrieb der Verteidigung - SOC, IR-Teams, Threat Hunter und Security Engineers.

Sicherheitsaspekte drahtloser Bluetooth-Verbindungen. Bluetooth-Angriffe wie BlueBorne, BIAS und BLUFFS ermöglichen Datenextraktion und Gerätekontrolle ohne Benutzerinteraktion. In Unternehmensumgebungen sind Headsets, Eingabegeräte und IoT-Geräte häufige Angriffsvektoren.

Netzwerk aus vielen kompromittierten Computern und IoT-Geräten, die von einem Angreifer (Botmaster) ferngesteuert werden - meist für DDoS-Angriffe, Spam oder Krypto-Mining.

Methode um Passwörter oder Verschlüsselungskeys durch systematisches Ausprobieren aller Kombinationen zu knacken. Online-Brute-Force testet Login-Formulare, Offline-Brute-Force knackt gestohlene Hashes. Mitigation: MFA, Account-Lockout, Rate-Limiting, lange Passwörter.

Deutsches Rahmenwerk des BSI für Informationssicherheit mit über 200 Bausteinen und drei Absicherungsstufen. Preskriptiver Ansatz mit konkreten Umsetzungshinweisen - Pflicht-Referenz für KRITIS-Betreiber und Bundesbehörden.

Ein Buffer Overflow (Pufferüberlauf) tritt auf wenn ein Programm mehr Daten in einen Puffer schreibt als dieser aufnehmen kann, wodurch benachbarte Speicherbereiche überschrieben werden. Buffer Overflows ermöglichen Stack-based Overflows (Rücksprungadresse überschreiben → beliebiger Code), Heap-based Overflows, und Format-String-Angriffe. Schutzmechanismen: ASLR, Stack Canaries, NX-Bit/DEP, PIE, Fortify Source. Buffer Overflows sind eine der ältesten Schwachstellenklassen und Grundlage vieler Exploits.

Bug-Bounty-Programme belohnen externe Sicherheitsforscher für verantwortungsvolle Schwachstellenmeldungen. Plattformen: HackerOne (Apple: bis $1M, Microsoft, Lufthansa), Bugcrowd, Intigriti (europäisch, DSGVO-konform). Scope-Definition (In-Scope/Out-of-Scope), Severity-Bewertung nach CVSS, Triage-Prozess und Safe-Harbor-Klausel (rechtlicher Schutz für Forscher). VDP (Vulnerability Disclosure Policy) als kostenloser Einstieg. BSIG §8b schreibt VDP für KRITIS vor.

Managementdisziplin zur Sicherstellung kritischer Geschäftsprozesse bei Störungen. Dieser Eintrag beschreibt die Grundkonzepte RTO, RPO, BCP und DRP. Für die praxisnahe Umsetzung bei Cyberangriffen - inklusive 3-2-1-1-0-Backup-Regel, Ransomware-Szenarien und Tabletop Exercises - siehe den ausführlicheren Eintrag Business Continuity Management (Cyberangriffe).

Business Continuity Management (BCM) stellt sicher, dass kritische Geschäftsprozesse bei einem Cyberangriff, Ransomware oder IT-Ausfall weiterlaufen oder schnell wiederhergestellt werden. Kernkonzepte: BIA (Business Impact Analysis), RTO (Recovery Time Objective), RPO (Recovery Point Objective), BCP (Business Continuity Plan), DRP (Disaster Recovery Plan), Offline-Backup-Strategie (3-2-1-1-0-Regel), Tabletop Exercises. ISO 22301 und BSI IT-Grundschutz Standard 200-4.

Business Email Compromise (BEC) ist eine der kostspieligsten Cyberbedrohungen: Angreifer kompromittieren oder faelschen Geschaeftsmails um Überweisungen, Datenweitergaben oder Zugangsdaten zu erschleichen - oft ohne Malware, rein durch Social Engineering.

Systematische Analyse der Auswirkungen von Ausfällen kritischer Geschäftsprozesse auf das Unternehmen. Die BIA bestimmt Recovery Time Objective (RTO) und Recovery Point Objective (RPO) für jeden Prozess - Grundlage für Business Continuity Pläne und Backup-Strategien.

Business Logic Flaws sind Schwachstellen in der Anwendungslogik selbst und nicht in der Implementierung. Scanner und WAFs erkennen sie nicht da sie im Kontext des jeweiligen Geschaeftsprozesses gueltige Anfragen sind. Typische Beispiele: negative Bestellmengen, Preismanipulation per Parameter, Race Conditions beim Einlösen von Gutscheinen, Workflow-Bypass durch direkten Schritt-Aufruf. Nur manuelle Fachkenntnis erkennt solche Fehler zuverlässigig.

Unternehmensrichtlinie die Mitarbeitern erlaubt, eigene Smartphones, Tablets und Laptops für Arbeitszwecke zu nutzen. BYOD reduziert Hardware-Kosten, erhöht aber das Sicherheitsrisiko erheblich - private Geräte sind schwerer zu kontrollieren als unternehmenseigene.

Ein Command & Control (C2) Framework ist ein Tool, das Red Teams und Penetrationstester nutzen, um nach einem initialen Zugriff auf Zielssystemen die Kommunikation mit kompromittierten Hosts zu verwalten. Angreifer nutzen dieselben Techniken. Bekannte Frameworks: Cobalt Strike, Metasploit, Sliver, Havoc. Das Verständnis von C2 ist zentral für Verteidigung und Detection Engineering.

Canary Tokens sind unsichtbare digitale Fallen (Tripwires) die sofort Alarm schlagen wenn ein Angreifer sie berührt. Typen: URL-Token (eingebettet in Dokumente), DNS-Token, AWS-Key-Token, Excel-Token. Erkennung von: Insider Threats, Dokumenten-Exfiltration, Credential-Diebstahl, Netzwerk-Recon. Kostenlos via canarytokens.org (Thinkst Canary). Einsatz in Honeydocs, Active Directory, Kubernetes Secrets.

Ein Cloud Access Security Broker (CASB) ist eine Sicherheitslösung die zwischen Unternehmensnutzer und Cloud-Dienste positioniert ist und Sicherheitsrichtlinien durchsetzt. CASBs bieten vier Kernfähigkeiten: Visibility (welche Cloud-Dienste werden genutzt?), Compliance (werden Richtlinien eingehalten?), Datensicherheit (DLP für Cloud-Daten) und Bedrohungsschutz (Anomalie-Erkennung). Shadow IT Discovery ist die häufigste Einstiegsanwendung.

Certificate Pinning ist eine Sicherheitstechnik bei der eine Applikation nur bestimmte TLS-Zertifikate oder Public Keys akzeptiert statt dem allgemeinen CA-Vertrauenssystem. Verhindert Man-in-the-Middle-Angriffe selbst wenn Angreifer ein CA-signiertes Zertifikat besitzen. Hauptsächlich in mobilen Apps eingesetzt. Bypass-Methoden: Frida-Hooking, SSL Kill Switch, benutzerdefiniertes Root-Zertifikat. Risiko: Certificate Pinning kann legitimen Traffic-Analyse-Tools blockieren.

Certificate Transparency (RFC 6962) ist ein offenes Framework das alle ausgestellten TLS-Zertifikate in öffentlich prüfbaren, append-only Logs erfasst. Entwickelt von Google um betrügerische oder falsch ausgestellte Zertifikate zu erkennen. Alle modernen Browser verlangen CT-Einträge (SCTs) in Zertifikaten. Für Pentesters ist CT ein wertvolles OSINT-Werkzeug zur Subdomain-Discovery (crt.sh, censys.io). Unternehmen können CT-Monitoring nutzen um unautorisierten Zertifikats-Ausstellungen für eigene Domains zu erkennen.

Der CISA KEV (Known Exploited Vulnerabilities) Catalog ist eine von der US-Behörde CISA gepflegte Liste aktiv ausgenutzter Schwachstellen. Alle US-Bundesbehörden müssen KEV-Schwachstellen innerhalb definierter Fristen patchen. Für Unternehmen: Priorisierungshilfe über CVSS hinaus - wenn eine Schwachstelle in KEV steht, wird sie aktiv ausgenutzt. API-Zugriff und Integration in Patch-Management, SIEM und Schwachstellenscanner.

Führungsverantwortlicher für die gesamte Informationssicherheit einer Organisation. Der CISO verantwortet Sicherheitsstrategie, Risikomanagement, Compliance und Incident Response - und ist direkte Schnittstelle zwischen technischer IT-Sicherheit und Unternehmensführung.

Clickjacking (auch UI Redressing) ist ein Angriff bei dem eine transparente oder unsichtbare Webseite über eine legitime Seite gelegt wird. Der Nutzer klickt glaubend auf etwas Harmloses, tatsächlich aber auf versteckte Buttons der echten Seite - und löst unbeabsichtigt Aktionen aus: Likes, Überweisungen, Berechtigungserteilung.

Cloud Governance ist der Rahmen aus Richtlinien, Prozessen und Technologien der sicherstellt, dass Cloud-Ressourcen sicher, compliant, kosteneffizient und im Einklang mit Unternehmenszielen betrieben werden. Kernelemente: Landing Zone Architektur, Policy-as-Code (Azure Policy, AWS SCPs), Kostenmanagement, Tagging-Strategien und Cloud Security Posture Management (CSPM).

Cloud IAM verwaltet Identitäten und Zugriffsrechte in Cloud-Umgebungen (AWS, Azure, GCP). Überprivilegierte IAM-Rollen sind die häufigste Ursache für Cloud-Datenpannen. Best Practices: Least Privilege, kurzlebige Credentials, Managed Identities statt Access Keys, regelmäßige Access Reviews und Automated Policy Analysis mit Cloud-nativen Tools.

Cloud Security adressiert das geteilte Verantwortungsmodell (Shared Responsibility): Cloud-Anbieter sichert Infrastruktur, Kunde sichert Daten, Konfiguration, Identitäten und Anwendungen. Häufigste Schwachstellen: Fehlkonfigurationen (S3-Buckets public, permissive SGs), excessive IAM-Permissions, fehlende Verschlüsselung, keine MFA für Root. CSPM-Tools (Defender for Cloud, AWS Security Hub, Wiz) erkennen Abweichungen. CSMA, CWPP, CIEM als Sicherheitskategorien.

Code Signing bezeichnet die kryptografische Signierung von Software, Skripten und ausführbaren Dateien mit einem privaten Schlüssel, um Herkunft und Integrität nachzuweisen. Signierte Software beweist wer den Code erstellt hat (Authentizität) und dass er nach der Signierung nicht verändert wurde (Integrität). Einsatz: Windows Authenticode, macOS Gatekeeper, Android APK-Signierung, Kernel-Module, UEFI Secure Boot.

Command Injection tritt auf wenn Benutzereingaben ungefiltert an Betriebssystem-Kommandos weitergegeben werden. Angreifer können eigene OS-Befehle einschleusen und auf dem Server ausführen. Typische Vektoren: Shell-Funktionen in PHP, Python subprocess mit shell=True, Node.js Shell-Aufrufe. Auswirkung: vollständige Systemkompromittierung. Schutz: nie Shell-Aufrufe mit Benutzereingaben, Parameterized Commands, least-privilege für Prozesse.

IT-Sicherheits-Compliance bezeichnet die Einhaltung von gesetzlichen Vorschriften, regulatorischen Anforderungen und vertraglichen Verpflichtungen im Bereich Informationssicherheit. Relevante Rahmenwerke für deutsche Unternehmen: DSGVO, NIS2, ISO 27001, BSI IT-Grundschutz, KRITIS-Verordnung, branchenspezifische Regulierung (BAIT, VAIT, KAIT).

Container Escape bezeichnet Techniken mit denen ein Angreifer aus einem Container in den Host oder andere Container ausbrechen kann. Häufige Vektoren: privilegierte Container (--privileged), fehlerhaft gemountete Host-Verzeichnisse, unsichere cgroup/namespace-Konfiguration, Docker-Socket-Mount, Kernel-Exploits und Runc-CVEs. Schutz: unprivilegierte Container, read-only Filesystems, Seccomp/AppArmor-Profile, keine privilegierten Ports unter 1024.

Sicherheitsmaßnahmen für containerisierte Anwendungen (Docker, Kubernetes). Container teilen den Host-Kernel - ein kompromittierter Container kann andere Container oder den Host gefährden. Container Security umfasst Image-Härtung, Laufzeit-Schutz, Netzwerksegmentierung und Supply Chain Sicherheit.

CORS-Fehlkonfigurationen entstehen wenn Webserver Access-Control-Allow-Origin Wildcards oder nicht validierte Origins zurückgeben. Angreifer können im Browser des Opfers seitenübergreifende Requests mit Cookies stellen und sensitive API-Antworten lesen. Kritisch bei Access-Control-Allow-Credentials: true. Schutz: strikte Origin-Whitelist serverseitig validieren, keine Wildcards mit Credentials kombinieren.

Credential Stuffing ist ein automatisierter Angriff, bei dem Angreifer gestohlene Benutzername-Passwort-Kombinationen aus Datenlecks auf anderen Diensten ausprobieren - ausgenutzt wird die Gewohnheit, dasselbe Passwort mehrfach zu verwenden.

Cryptographic Agility bezeichnet die Fähigkeit eines Systems, kryptografische Algorithmen und Parameter ohne fundamentale Architekturänderungen auszutauschen. Kryptografische Agilität ist entscheidend für die Migration zu Post-Quantum-Kryptografie (PQC) und ermöglicht schnelle Reaktion auf Algorithmus-Schwächen (z.B. SHA-1-Deprecation, MD5-Ablösung) ohne vollständige System-Neuentwicklung.

Missbrauch fremder Rechenleistung für Kryptowährungs-Mining ohne Wissen des Eigentümers. Oft durch Browser-Skripte oder Malware - erkennbar an unerwartetem CPU-Anstieg. Verursacht hohe Energiekosten und Systemabnutzung.

Content Security Policy (CSP) ist ein HTTP-Header der dem Browser vorschreibt welche Quellen für Skripte, Stylesheets, Bilder und andere Ressourcen erlaubt sind. CSP verhindert XSS-Angriffe indem Inline-Skripte und unbekannte externe Quellen blockiert werden. Häufige Fehlkonfigurationen: unsafe-inline, unsafe-eval, Wildcard-Hosts, fehlende default-src Direktive. Empfohlen: Nonce-basiertes CSP oder Strict-Dynamic.

Automatisierte Erkennung und Behebung von Fehlkonfigurationen in Cloud-Umgebungen (AWS, Azure, GCP). CSPM überwacht kontinuierlich gegen Best-Practice-Frameworks wie CIS Benchmarks und deckt offene S3-Buckets, überprivilegierte IAM-Rollen und unverschlüsselte Datenbanken auf.

Cross-Site Request Forgery (CSRF) ist ein Angriff bei dem ein Angreifer den Browser eines angemeldeten Nutzers dazu bringt, unbeabsichtigte HTTP-Anfragen an eine Webanwendung zu senden - im Namen des Nutzers, ohne sein Wissen. Zählt zu den OWASP Top 10 und ist besonders gefährlich bei state-changing Aktionen.

Continuous Threat Exposure Management (CTEM) ist ein von Gartner 2022 definiertes Programm zur kontinuierlichen, priorisierten Reduktion der Angriffsfläche. CTEM umfasst 5 Phasen: Scoping, Discovery, Prioritization, Validation und Mobilization. Es kombiniert Vulnerability Management, Threat Intelligence, Attack Surface Management und Breach & Attack Simulation zu einem integrierten Ansatz.

Common Vulnerabilities and Exposures - ein öffentliches Verzeichnis bekannter Sicherheitslücken in Software und Hardware, identifiziert durch eine eindeutige CVE-ID.

Common Vulnerability Scoring System - standardisiertes Framework zur numerischen Bewertung von Sicherheitslücken (0-10). CVSS 4.0 (seit 2023) ergänzt den Base Score um Threat Score (aktive Exploits?) und Environmental Score (Kritikalität im eigenen Umfeld).

7-Phasen-Modell das einen Cyberangriff von der Aufklärung bis zur Zielerreichung beschreibt. Ermöglicht Verteidigern, Angriffe frühzeitig zu erkennen und zu unterbrechen - je früher, desto geringer der Schaden.

Cyber Resilience bezeichnet die Fähigkeit einer Organisation, Cyberangriffe und IT-Störungen nicht nur zu verhindern, sondern auch zu absorbieren, sich schnell zu erholen und während und nach einem Vorfall weiter zu funktionieren. Resilience geht über Prävention hinaus: 'Assume Breach' - plane für den Fall dass ein Angriff erfolgreich ist.

Threat Hunting ist die proaktive, hypothesengetriebene Suche nach Bedrohungen die automatische Detection-Systeme noch nicht erkannt haben. Methodik: Hypothesis-driven (MITRE ATT&CK), Intel-driven, Situational-Awareness-driven. Tools: Velociraptor (Endpoint-Artefakt-Sammlung), KAPE (Forensik-Triage), Sigma-Rules, EDR-Queries. Metriken: MTTD, Hunter-Effizienz, True Positive Rate.

Cyber-Versicherungen decken finanzielle Schäden durch Cyberangriffe ab: Betriebsunterbrechung, Datenwiederherstellung, Lösegeldzahlungen (Ransomware), Haftpflicht gegenüber Dritten (DSGVO-Bußgelder nur teilweise!), IT-Forensik, Krisenmanagement und Benachrichtigungskosten. Voraussetzung: Nachweis eines Mindestsicherheitsstandards (MFA, Backup-Konzept, Patch-Management). Policen unterscheiden First-Party- und Third-Party-Deckung. DSGVO-Bußgelder sind in Deutschland nicht versicherbar.

Synonym für Darknet: verschlüsselter, anonymer Teil des Internets (Tor/.onion) mit Fokus auf illegale Marktplätze, gestohlene Credentials und Ransomware-as-a-Service. Im deutschen Sprachraum ist 'Darknet' der gängigere Begriff.

Teil des Internets, der nur über spezialisierte Software (Tor, I2P) erreichbar ist und Anonymität bietet. Im Darknet werden gestohlene Daten, Malware, Zugangsdaten und Cybercrime-as-a-Service-Dienste gehandelt. Für Unternehmen relevant: Monitoring ob eigene Daten im Darknet kursieren.

Sicherheitstest-Methode, die laufende Webanwendungen von außen angreift - ohne Zugriff auf den Quellcode. DAST simuliert echte Angreifer und findet Schwachstellen wie SQL-Injection, XSS und fehlkonfigurierte Server, die bei statischer Code-Analyse unsichtbar bleiben.

Data Loss Prevention (DLP) verhindert den unautorisierten Abfluss sensibler Daten aus der Organisation. DLP-Systeme überwachen Daten in drei Zuständen: Data at Rest (Speicher), Data in Motion (Netzwerk) und Data in Use (Endpoints). Erkennungsmethoden: Regex-Pattern (Kreditkartennummern, IBAN, Sozialversicherungsnummern), Fingerprinting (Dokumenten-Signaturen), ML-basierte Klassifizierung. Wichtige Lösungen: Microsoft Purview DLP, Symantec DLP, Forcepoint. DSGVO-Pflicht für Datenschutz personenbezogener Daten.

Data Masking bezeichnet die Verschleierung oder Ersetzung sensibler Daten mit realistischen Testdaten um Datenschutz in Nicht-Produktions-Umgebungen (Entwicklung, Test, Staging) sicherzustellen. Methoden: statisches Masking (Kopie mit Ersatzdaten), dynamisches Masking (On-the-Fly für Datenbankabfragen), Format-Preserving Encryption (FPE), Tokenisierung. Unterschied zu Anonymisierung: Masking ist oft reversibel.

Datenklassifizierung ordnet Informationen nach ihrem Schutzbedarf: öffentlich, intern, vertraulich, streng vertraulich (oder geheimhaltungsbeduerftig). Klassifizierungssysteme sind Grundlage für DLP, Zugriffsrechte, Verschlüsselung und Löschfristen. Microsoft Purview Information Protection verwendet Labels und automatische Klassifizierung (trainierbare Klassifikatoren, Pattern-Matching). BSI-Grundschutz: Schutzbedarf 'normal', 'hoch', 'sehr hoch'. ISO 27001: Annex A-8.2.

Datenschutzklassifizierung (Schutzbedarfsfeststellung) ordnet Daten nach ihrer Sensitivität in Schutzklassen ein (z.B. öffentlich, intern, vertraulich, streng vertraulich). Sie bildet die Grundlage für angemessene technische und organisatorische Schutzmaßnahmen (TOMs), DLP-Regeln und Zugriffskontrollen. ISO 27001 (A.5.12), BSI IT-Grundschutz und DSGVO Art. 32 fordern eine strukturierte Klassifizierung.

Angriff, bei dem ein Ziel-System durch massenhaften Traffic aus vielen verteilten Quellen überlastet und für legitime Nutzer nicht mehr erreichbar gemacht wird.

Technische und organisatorische Maßnahmen gegen Distributed Denial of Service-Angriffe. Von CDN-basierter Traffic-Filterung bis Anycast-Routing: Wie Unternehmen Verfügbarkeit unter DDoS-Beschuss sicherstellen.

Strategischer Oberbegriff für alle täuschungsbasierten Sicherheitskontrollen: Honeypots (Einzelsysteme), Honeynets (ganze Fake-Netzwerke) und Honeytokens (Fake-Credentials, Fake-Dateien). Unterschied zum Honeypot-Eintrag: Deception Technology beschreibt das Gesamtkonzept und Enterprise-Plattformen; für Implementierungsdetails siehe honeypot-deception.

Deepfakes sind KI-generierte gefälschte Audio-, Video- oder Bildinhalte die reale Personen imitieren. Als Angriffsmittel: Voice Cloning für CEO-Fraud (Vishing 2.0), Video-Deepfakes für Videokonferenz-Betrug, synthetische Fotos für Social Engineering. Erkennungsmethoden: Deepfake-Detektoren, biometrische Liveness-Detection, Watermarking-Standards (C2PA). Prävention: Code-Wörter, Verifikationsprozesse, Multi-Faktor-Bestätigung.

Defense in Depth (DiD) ist ein Sicherheitsarchitekturprinzip das mehrere unabhängige Schutzschichten übereinander schichtet, sodass das Versagen einer Schicht nicht zum vollständigen Systemkompromiss führt. Das Konzept stammt aus der Militärstrategie und wurde von der NSA für IT-Sicherheit adaptiert. Jede Schicht kompensiert Schwächen der anderen.

DevSecOps integriert Sicherheit in den DevOps-Zyklus von der ersten Code-Zeile bis zum Deployment. Kernprinzip: Shift Left Security. Wichtige Toolchain: SAST (Semgrep, SonarQube), DAST (OWASP ZAP), SCA (Snyk, Trivy), Secrets-Detection (GitLeaks, TruffleHog), IaC-Scanning (Checkov, tfsec) und Security Gates in CI/CD-Pipelines. NIS2 und ISO 27001 fordern explizit Sicherheit im SDLC.

Eine DevSecOps-Pipeline integriert automatisierte Sicherheitstests in jede Phase des CI/CD-Prozesses: SAST beim Commit, SCA für Abhängigkeiten, Container-Scanning beim Build, DAST gegen Staging-Umgebungen und IaC-Scanning vor dem Deployment. Security-Gates sorgen dafür, dass kritische Findings die Pipeline stoppen.

Digital Forensics and Incident Response (DFIR) kombiniert digitale Forensik (Beweise sichern und analysieren) mit Incident Response (Vorfälle eindämmen und beheben). DFIR-Teams sichern nach Cyberangriffen Beweise gerichtsfest, rekonstruieren den Angriffspfad (Attack Timeline), identifizieren den initialen Angriffsvektor und unterstützen bei der Strafverfolgung. Kerndisziplinen: Memory Forensics, Disk Forensics, Network Forensics, Malware Analysis.

Wissenschaftliche Untersuchung digitaler Systeme nach einem Sicherheitsvorfall - sichert Beweise gerichtsfest, rekonstruiert Angriffspfade und Täteraktivitäten und liefert die Grundlage für Strafverfolgung und technische Schadensanalyse.

DKIM ist ein E-Mail-Authentifizierungsverfahren, das mithilfe kryptographischer Signaturen die Integrität und Herkunft von E-Mails verifiziert.

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das auf SPF und DKIM aufbaut und Domaininhabern Kontrolle über den Umgang mit nicht-authentifizierten E-Mails gibt.

DNS Cache Poisoning (DNS-Spoofing) bezeichnet Angriffe bei denen gefälschte DNS-Antworten in den Cache eines Resolvers eingeschleust werden. Nutzer werden dadurch auf bösartige Server umgeleitet ohne dass die eigentliche Domain kompromittiert ist. Bekanntester Angriff: Kaminsky-Angriff 2008. Schutz: DNSSEC, Query-Source-Port-Randomisierung (RFC 5452), DNS-over-HTTPS/TLS, 0x20-Bit-Trick.

DNS Rebinding ist ein Angriff der die Same-Origin-Policy (SOP) des Browsers umgeht indem der DNS-Eintrag einer Angreifer-Domain kurzzeitig auf interne IP-Adressen umgeleitet wird. Browser denken sie kommunizieren mit der externen Angreifer-Domain, greifen aber auf interne Dienste zu (Router, Kameras, IoT, localhost). Angriffe ermöglichen das Lesen interner Ressourcen, CSRF gegen interne Dienste und Cloud-Metadata-Zugriff. Schutz: DNS-Rebinding-Filter in Routern, Private-IP-Blockierung in Browsern, Authentifizierung auf internen Diensten.

Schutz des Domain Name System gegen Manipulation, Abhören und Missbrauch. DNS ist die kritischste Netzwerkinfrastruktur - fast alle Angriffe nutzen DNS. DNS-Sicherheitsmaßnahmen umfassen DNSSEC, DNS over HTTPS (DoH), DNS over TLS (DoT) und Blocking von malicious Domains.

EU-Verordnung (2022/2554) für die digitale operationale Resilienz im Finanzsektor. Seit 17. Januar 2025 verbindlich für 20 Kategorien von Finanzunternehmen. Regelt IKT-Risikomanagement, Vorfallsmeldung und Resilienztesting.

EU-Datenschutzgesetz (seit Mai 2018) das alle Unternehmen die personenbezogene Daten von EU-Bürgern verarbeiten zur Einhaltung verpflichtet. Bußgelder bis 4% des weltweiten Jahresumsatzes oder 20 Mio. € - je nachdem was höher ist.

DSGVO Kapitel V regelt die Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU/EWR. Rechtsgrundlagen sind: Angemessenheitsbeschlüsse (z.B. EU-US DPF seit 2023), Standardvertragsklauseln (SCCs), Binding Corporate Rules und Ausnahmen nach Art. 49. US-Cloud-Dienste (AWS, Azure, Google, Salesforce) sind seit dem EU-US Data Privacy Framework wieder legal nutzbar.

Ein Secure Email Gateway (SEG) ist eine Sicherheitslösung die eingehende und ausgehende E-Mails auf Malware, Phishing, Spam und Policy-Verletzungen prüft. SEGs analysieren E-Mail-Header, Body und Attachments, nutzen Sandboxen für verdächtige Dateien und setzen Anti-Spoofing-Mechanismen (SPF, DKIM, DMARC) durch. Marktführer sind Proofpoint, Mimecast, Microsoft Defender for Office 365 und Cisco Secure Email.

EDR (Endpoint Detection and Response) geht über traditionelles Antivirus hinaus: statt nur Signaturen zu vergleichen, analysiert EDR das Verhalten von Prozessen in Echtzeit. Erkennt dateilose Malware, Lateral Movement, Memory Injection und LOLBin-Missbrauch. Wichtige Produkte: Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne, Palo Alto Cortex XDR. XDR (Extended Detection and Response) erweitert EDR um Netzwerk, Cloud und Identität in eine einheitliche Plattform.

EPSS (Exploit Prediction Scoring System) ist ein datengetriebenes Modell von FIRST (Forum of Incident Response and Security Teams) das die Wahrscheinlichkeit berechnet, dass eine CVE innerhalb der nächsten 30 Tage aktiv in der freien Wildbahn ausgenutzt wird. EPSS ergänzt CVSS (das nur Schwere bewertet) um eine Ausnutzungswahrscheinlichkeit und ermöglicht risikoorientierte Priorisierung.

Autorisiertes Testen von IT-Systemen durch Sicherheitsexperten mit denselben Methoden wie echte Angreifer - mit dem Ziel, Schwachstellen zu finden und zu beheben, bevor kriminelle Hacker sie ausnutzen können.

Ein Exploit ist Code, eine Technik oder eine Sequenz von Aktionen, die eine spezifische Sicherheitslücke in Software, Hardware oder einem System ausnutzt, um unautorisierten Zugang oder Kontrolle zu erlangen.

Fileless Malware ist Schadsoftware die vollständig im Arbeitsspeicher (RAM) ausgeführt wird ohne Dateien auf Festplatte zu schreiben. Nutzt legitime System-Tools: PowerShell, WMI, MSHTA, Regsvr32, LOLBins. Erkennungsmethoden: Memory Forensics (Volatility), ETW-Tracing, Behavioral Detection in EDR. Beispiele: Cobalt Strike Beacon (reflective DLL), PowerSploit, Meterpreter.

Netzwerksicherheitssystem, das eingehenden und ausgehenden Traffic anhand definierter Regeln auf Layer 3-4 filtert (IP, Port, Protokoll). Schützt Netzwerksegmente - im Unterschied zur WAF, die auf Layer 7 speziell Web-Anwendungen absichert.

Sicherheit der eingebetteten Software in Hardware-Geräten (BIOS/UEFI, Router, IoT, Industriesteuerungen). Firmware-Schwachstellen sind besonders kritisch: sie persistieren nach OS-Neuinstallation, sind schwer erkennbar und betreffen oft viele baugleiche Geräte gleichzeitig.

Fuzzing (Fuzz Testing) ist eine automatisierte Testmethode bei der ein Programm mit massenhaft zufaelligen oder systematisch mutierten Eingaben bombardiert wird um Crashes, Assertions oder unerwartetes Verhalten auszulösen das auf Sicherheitsschwachstellen hinweist. Coverage-guided Fuzzer wie AFL++ und LibFuzzer maximieren Codeabdeckung. Wichtigste Einsatzgebiete: Netzwerkprotokolle, Dateiparser, Browser-Engines, Kryptobibliotheken.

GraphQL-APIs haben spezifische Sicherheitsrisiken: Introspection gibt die gesamte API-Struktur preis, tiefe verschachtelte Queries verursachen Denial-of-Service (Query Depth Attack), Batching ermöglicht Rate-Limit-Bypass, und fehlende Autorisierung auf Field-Ebene führt zu Datenleckagen. Schutz: Introspection in Produktion deaktivieren, Query-Depth-Limits setzen, Field-Level-Authorization implementieren, Query-Complexity-Limiting.

Kryptographischer Mechanismus zur Integritätsprüfung und Authentifizierung von Nachrichten: kombiniert eine Nachricht mit einem geheimen Schlüssel in einer Hash-Funktion, sodass nur Parteien mit dem Schlüssel den Code verifizieren können.

Einzelnes Köder-System, das Angreifer anlockt und ihr Verhalten dokumentiert. Jede Verbindung ist automatisch verdächtig - kein False Positive möglich. Honeypots sind die Basis: Deception Technology und honeypot-deception erweitern dieses Konzept auf Canary Tokens, Fake-Credentials und ganze Honeynet-Infrastrukturen.

Praxisguide zur Implementierung von Köder-Infrastruktur: Honeypots (Cowrie, T-Pot) für Netzwerkerkennung, Canary Tokens für Dateien und AD-Credentials, kommerzielle Plattformen (Attivo, Illusive). Ergänzt den Grundeintrag Honeypot und den konzeptuellen Eintrag Deception Technology mit konkreten Deployment-Anleitungen.

HTTP Strict Transport Security (HSTS) ist ein HTTP-Response-Header der Browser anweist eine Domain ausschliesslich über HTTPS zu erreichen. Nach dem ersten HTTPS-Kontakt werden alle weiteren HTTP-Verbindungen clientseitig zu HTTPS umgeleitet bevor sie den Server erreichen. Dies verhindert SSL-Stripping-Angriffe und verhindert dass Nutzer versehentlich unverschlüsselte Verbindungen aufbauen. Wichtige Parameter: max-age, includeSubDomains, preload.

HTTP Parameter Pollution tritt auf wenn mehrere gleichnamige Parameter in einer HTTP-Anfrage gesendet werden und Backend-Systeme diese unterschiedlich interpretieren. Angreifer können dadurch Validierungs-Logik umgehen, WAF-Regeln aushebeln und unerwartetes Verhalten auslöser. Betroffen: Parameterparsing in PHP (letzter Wert), ASP.NET (erster Wert), Node.js (Array) - die Inkonsistenz zwischen Komponenten wird ausgenutzt.

HTTP Request Smuggling (CWE-444) ist ein Angriff der Desynchronisierungen zwischen Front-End (Reverse-Proxy, CDN) und Back-End-Server ausnutzt. Unterschiedliche Interpretationen von Content-Length und Transfer-Encoding: chunked erlauben es Angreifern, HTTP-Requests zu 'schmuggeln'. Varianten: CL.TE (Front-End nutzt Content-Length, Back-End Transfer-Encoding), TE.CL (umgekehrt), TE.TE (beide TE, unterschiedliche Behandlung). Resultat: andere User-Requests kapern, Authentifizierung bypassen, Cache-Poisoning.

HTTP Security Headers sind Response-Header die der Webserver mit jeder Antwort sendet und dem Browser mitteilen wie er sich sicher verhalten soll - welche Ressourcen er laden darf, ob Seiten in Frames eingebettet werden können, ob Cookies nur über HTTPS gesendet werden. Sie sind einfach zu implementieren und schützen gegen eine Reihe von Angriffen.

Identity and Access Management (IAM) umfasst Technologien und Prozesse zur Verwaltung digitaler Identitäten und zur Steuerung, wer auf welche Ressourcen zugreifen darf.

Interactive Application Security Testing (IAST) kombiniert SAST und DAST: Agenten werden direkt in laufende Anwendungen injiziert und analysieren Code-Ausführung und Datenflüsse in Echtzeit während Tests ablaufen. IAST findet mehr als SAST alleine, mit weniger False Positives als DAST - und ohne separate Test-Phase.

Das unbefugte Stehlen und Missbrauchen persönlicher Daten einer anderen Person - um in deren Namen Verträge abzuschließen, Käufe zu tätigen, Straftaten zu begehen oder andere Personen zu schädigen.

Identity Federation ermöglicht die vertrauensvolle Nutzung von Identitäten über Organisationsgrenzen hinweg - ohne separate Accounts. SAML 2.0, OpenID Connect und WS-Federation sind die Protokolle. Typische Anwendungsfälle: 'Login with Azure AD', B2B-Partner-Zugang, Cloud-SSO. Sicherheitsrisiken entstehen durch fehlerhafte Trust-Konfiguration, unsichere Token-Validierung und überprivilegierte Attribute.

Identity Governance and Administration (IGA) verwaltet digitale Identitäten, Zugriffsrechte und deren Lebenszyklen: Joiner/Mover/Leaver-Prozesse, Role-Based Access Control (RBAC), Access Reviews (regelmäßige Revalidierung von Berechtigungen), Segregation of Duties (SoD) - Vier-Augen-Prinzip auf Systemebene, Recertification-Kampagnen, Audit-Trail für Compliance. Produkte: SailPoint IdentityNow, Saviynt, One Identity, Microsoft Entra ID Governance.

Insecure Direct Object Reference (IDOR) ist eine Zugriffssteuerungsschwachstelle bei der eine Anwendung direkte Referenzen auf interne Objekte (Benutzer-IDs, Datei-Pfade, Datenbankschlüssel) ohne Autorisierungsprüfung verwendet. Angreifer manipulieren diese Referenzen um auf fremde Daten zuzugreifen. IDOR ist Teil von OWASP A01:2021 (Broken Access Control) und gehört zu den häufigsten kritischen Schwachstellen in Web-Applikationen und APIs.

Intrusion Detection Systems (IDS) erkennen verdächtige Netzwerkaktivitäten und Angriffe, während Intrusion Prevention Systems (IPS) zusätzlich aktiv eingreifen und Angriffe blockieren. Moderne Next-Gen IPS kombinieren Signaturen, Verhaltensanalyse und Threat Intelligence zu einer mehrschichtigen Netzwerkverteidigung.

IaC Security bezeichnet die Sicherheitspraktiken für Infrastructure as Code - Terraform, Pulumi, AWS CloudFormation, Bicep und Ansible. Sicherheitsfehler in IaC-Templates führen direkt zu unsicherer Cloud-Infrastruktur: öffentliche S3-Buckets, überprivilegierte IAM-Rollen, fehlende Verschlüsselung, exponierte Ports. IaC-Scanning-Tools wie Checkov, tfsec und Trivy erkennen Fehlkonfigurationen vor dem Deployment.

Insecure Deserialization (OWASP A08:2021) tritt auf wenn eine Anwendung serialisierte Objekte aus nicht vertrauenswürdigen Quellen verarbeitet ohne ausreichende Validierung. Angreifer manipulieren serialisierte Daten um beim Deserialisieren beliebige Methoden aufzurufen (Gadget-Chains). Betroffen sind Java (readObject), PHP (unserialize), Python (native Serialisierungsformate), .NET (BinaryFormatter) und Ruby (Marshal.load). Resultat: Remote Code Execution, Privilege Escalation oder Denial of Service.

Sicherheitsrisiko von Personen mit legitimem Systemzugang - Mitarbeiter, Auftragnehmer oder Partner. Im Unterschied zu Social Engineering, das externe Täuschung nutzt, geht die Bedrohung beim Insider Threat vom Zugang selbst aus: böswillig (Sabotage, Datendiebstahl) oder fahrlässig (Phishing-Opfer, Fehlkonfiguration).

Ein Intrusion Prevention System (IPS) analysiert Netzwerkverkehr in Echtzeit und blockiert aktiv erkannte Angriffe, im Gegensatz zum IDS (Intrusion Detection System) das nur erkennt und warnt. IPS-Modi: Inline (Paket-Filterung im Netzwerkpfad), passiv (Out-of-Band) mit TCP-Reset. Erkennungsmethoden: signaturbasiert (Snort-Rules), anomalie-basiert (Baseline-Vergleich), verhaltensbasiert (UEBA). Integration in NGFW-Plattformen (Palo Alto, Fortinet).

Indicators of Compromise (IOCs) sind forensische Artefakte oder Beobachtungen in einem System oder Netzwerk, die auf eine vergangene oder aktive Kompromittierung hinweisen - z. B. bekannte Malware-Hashes, verdächtige IP-Adressen oder ungewöhnliche Registry-Einträge.

Protokoll-Suite zur sicheren Kommunikation über IP-Netzwerke: verschlüsselt und authentifiziert IP-Pakete auf Netzwerkebene (Layer 3) - die Grundlage für VPNs in Unternehmensnetzwerken.

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Steuerung sensibler Unternehmensinformationen, der Prozesse, Menschen und IT-Systeme umfasst und auf dem PDCA-Zyklus basiert.

Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). ISO 27001 definiert Anforderungen an Aufbau, Betrieb und Verbesserung eines ISMS. Eine ISO 27001-Zertifizierung belegt nachgewiesene Informationssicherheit - Voraussetzung für viele Geschäftsbeziehungen und NIS2-Compliance.

ISO/IEC 27005 ist der internationale Standard für Informationssicherheits-Risikomanagement. Er definiert den Prozess zur Risikoidentifikation, -bewertung, -behandlung und -kommunikation als Teil eines ISMS nach ISO 27001. ISO 27005 ist eine methodische Anleitung, kein zertifizierbarer Standard, und beschreibt wie Risiken strukturiert bewertet und behandelt werden.

JSON Web Tokens sind kompakte, signierte Token zum sicheren Übertragen von Benutzeridentität und Claims zwischen Systemen. JWTs werden als Basis für moderne API-Authentifizierung und Single Sign-On genutzt - sind aber bei falscher Implementierung eine häufige Sicherheitslücke.

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll das auf symmetrischen Schlüsseln und Tickets basiert. Im Windows Active Directory Domain-Umfeld ist Kerberos das primäre Authentifizierungsprotokoll (ersetzt NTLM). Kerberos-spezifische Angriffe wie Kerberoasting (Service Ticket Offline-Cracking), AS-REP Roasting, Pass-the-Ticket, Golden Ticket und Silver Ticket sind zentrale Angriffstechniken gegen Active Directory-Umgebungen.

Kerberos-basierte Angriffe nutzen Schwachstellen im Windows-Authentifizierungsprotokoll aus: Golden Ticket (KRBTGT-Hash → unbegrenzte Domain-Zugänge), Silver Ticket (Service-Hash → Dienst-Zugang ohne DC-Kontakt), Kerberoasting (SPN-Hashes offline knacken), AS-REP Roasting (Accounts ohne Pre-Auth), Overpass-the-Hash (NTLM-Hash → Kerberos-Ticket). Erkennung via Microsoft Defender for Identity (MDI) und Zerologon-Monitoring.

KI-Sicherheit (AI Security) umfasst Maßnahmen zum Schutz von KI/ML-Systemen vor Angriffen sowie die sichere Nutzung von KI in sicherheitskritischen Kontexten. Besondere Bedeutung haben Large Language Models (LLMs): der OWASP LLM Top 10 (2025) katalogisiert die wichtigsten Risiken wie Prompt Injection, Training Data Poisoning, LLM Supply Chain und Excessive Agency. EU AI Act und NIST AI RMF setzen regulatorischen Rahmen.

Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen verursachen würde. In Deutschland durch BSI-KritisV in 10 Sektoren reguliert.

Kryptographie schützt Vertraulichkeit, Integrität und Authentizität: Symmetrische Verschlüsselung (AES-256-GCM) für Performance, Asymmetrische (RSA-4096, ECC P-384) für Schlüsseltausch und Signaturen, Hybridverfahren kombinieren beide. TLS 1.3 (Pflicht, 1.0/1.1 deprecated), PKI und Zertifikatsketten, Quantum-Bedrohung durch Shors Algorithmus → Post-Quantum-Kryptographie (CRYSTALS-Kyber, CRYSTALS-Dilithium). BSI empfiehlt: AES-256, RSA-3072+, SHA-256+.

Lateral Movement beschreibt die Ausbreitung eines Angreifers nach dem Initial Access: Pass-the-Hash, Pass-the-Ticket, Kerberoasting, Overpass-the-Hash, Golden/Silver Ticket, DCSync. MITRE ATT&CK: TA0008. Tools: BloodHound (Pfadanalyse), Impacket, CrackMapExec, Cobalt Strike. Gegenmasnahmen: Netzwerksegmentierung, Credential Guard, Protected Users Group, LAPS, Tier-Modell, privilegiertes Zugriffs-Management (PAM).

Sicherheitsprinzip, das fordert, dass Benutzer, Anwendungen und Dienste nur die minimalen Berechtigungen erhalten, die sie für ihre legitimen Aufgaben benötigen. Least Privilege reduziert die Angriffsfläche dramatisch: ein kompromittiertes Konto mit minimalen Rechten kann nur begrenzten Schaden anrichten.

File-Inclusion-Schwachstellen entstehen wenn Webanwendungen Dateinamen aus Benutzereingaben in Datei-Lade-Funktionen verwenden ohne ausreichende Validierung. LFI (Local File Inclusion) liest lokale Serverdateien wie /etc/passwd oder Logfiles. RFI (Remote File Inclusion) bindet externe URLs ein und ermöglicht so Remote Code Execution. Hauptvektoren in PHP-Anwendungen. Schutz: Input-Validierung, allow_url_include=Off, basename() Normalisierung.

Living off the Land (LotL) bezeichnet Angriffstechniken bei denen Angreifer ausschließlich legitime, bereits im System vorhandene Tools und Werkzeuge nutzen (LOLBins = Living off the Land Binaries) statt eigener Malware. Durch Nutzung von PowerShell, WMI, certutil, regsvr32, mshta und anderen Windows-Bordmitteln vermeiden Angreifer Antivirus-Erkennung und erschweren forensische Attribution. MITRE ATT&CK T1218 (System Binary Proxy Execution).

Oberbegriff für jede Art von Software, die mit der Absicht entwickelt wurde, Schaden anzurichten, Daten zu stehlen oder Systeme zu kompromittieren - von Viren über Trojaner bis Ransomware.

Angriff, bei dem sich ein Angreifer unbemerkt zwischen zwei kommunizierende Parteien schaltet, den Datenverkehr abfängt und potenziell manipuliert - ohne dass Sender oder Empfänger es merken.

Zentrale Verwaltung und Absicherung mobiler Unternehmensgeräte (Smartphones, Tablets, Laptops). MDM ermöglicht Remote-Wipe, App-Verteilung, Verschlüsselungsdurchsetzung und Compliance-Überwachung - Grundvoraussetzung für sichere BYOD- und Corporate-Mobility-Strategien.

Ausgelagerter Sicherheitsdienst, bei dem ein externer Anbieter rund um die Uhr Bedrohungen erkennt, analysiert und darauf reagiert. MDR kombiniert XDR-Technologie mit menschlicher Expertise - für Unternehmen ohne eigenes SOC-Team die effizienteste Lösung für 24/7-Sicherheitsüberwachung.

Memory-Safety-Schwachstellen entstehen in Sprachen ohne automatisches Speichermanagement (C/C++) durch fehlerhafte manuelle Speicherverwaltung. Hauptklassen: Buffer Overflow (Stack/Heap), Use-After-Free, Double-Free, Integer Overflow, Format String. Diese Klasse verantwortet historisch ~70% aller schwerwiegenden CVEs in grossen Softwareprojekten (Microsoft, Google). Schutz: Memory-Safe-Languages (Rust, Go), AddressSanitizer, Stack Canaries, ASLR, DEP/NX.

Sicherheitsverfahren das zwei oder mehr unabhängige Faktoren aus verschiedenen Kategorien (Wissen, Besitz, Biometrie) erfordert. MFA ist der Oberbegriff - die Zwei-Faktor-Authentifizierung (2FA) ist ein Spezialfall mit genau zwei Faktoren. Microsoft schätzt: MFA verhindert 99,9 % aller Konto-Kompromittierungen.

Mikrosegmentierung teilt Netzwerke auf Workload-Ebene in isolierte Segmente auf - granularer als klassische VLAN-Segmentierung. Jede Anwendung, VM oder Container erhält eigene Firewall-Regeln. Ransomware und laterale Bewegung werden dadurch erheblich erschwert, weil kompromittierte Systeme keine direkten Verbindungen zu anderen Workloads aufbauen können.

Umfassendes, öffentlich zugängliches Wissenssystem, das reale Angreifertaktiken, -techniken und -verfahren (TTPs) dokumentiert. ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) wird von Sicherheitsteams weltweit als gemeinsame Sprache für Bedrohungsanalyse, Detection-Engineering und Purple Teaming genutzt.

MITRE D3FEND ist das Gegenstueck zu ATT&CK aus Verteidiger-Perspektive: ein strukturiertes Wissensmodell für defensive Cybersecurity-Techniken wie Härtung, Erkennung, Isolierung und Täuschung - mit direktem Mapping zu ATT&CK-Angriffstechniken.

Mobile Malware bezeichnet Schadsoftware die auf Smartphones und Tablets abzielt - Banking-Trojaner, Spyware, Stalkerware, SMS-Stealer und Ransomware. Mobile Malware ist auf iOS und Android technisch anders als Desktop-Malware, aber mindestens genauso gefährlich: Bankdaten, Zwei-Faktor-Codes und persönliche Kommunikation sind auf dem Smartphone.

Ein Managed Security Service Provider (MSSP) übernimmt Cybersicherheitsaufgaben als externer Dienstleister: 24/7 SOC-Betrieb, SIEM-Management, Vulnerability Management, Threat Hunting und Incident Response. MSSPs ermöglichen KMU und mittelständischen Unternehmen Sicherheitsniveau auf Enterprise-Level ohne eigenes SOC-Team. Abgrenzung zu MDR (Managed Detection & Response) ist die aktive Reaktionsfähigkeit.

Sicherheitslösung die den gesamten Netzwerkverkehr (Ost-West und Nord-Süd) per ML und Verhaltensanalyse überwacht. NDR erkennt was EDR und Firewall blind lässt: Lateral Movement, C2 über HTTPS, IoT-Angriffe ohne Agent. In XDR-Plattformen wird NDR als Netzwerk-Telemetrie integriert.

Sicherheitslösung, die steuert welche Geräte sich mit dem Unternehmensnetzwerk verbinden dürfen. NAC überprüft Identität und Sicherheitsstatus (Patch-Level, Antivirus, Zertifikat) vor der Netzwerkzulassung - und isoliert nicht-konforme Geräte automatisch.

Network Monitoring überwacht den Netzwerkverkehr auf Anomalien, Ausfälle und Angriffe. Network Detection and Response (NDR) ist die sicherheitsfokussierte Weiterentwicklung: durch Verhaltensanalyse, Machine Learning und Threat Intelligence erkennt NDR auch Zero-Day-Angriffe, laterale Bewegung und Datenexfiltration im internen Netz.

Aufteilung eines Netzwerks in isolierte Segmente (VLANs, Subnets, Zonen) um die Ausbreitung von Angreifern nach einem initialen Einbruch zu begrenzen. Kernprinzip der Defence-in-Depth-Strategie und Voraussetzung für Zero Trust.

Gesamtheit aller technischen und organisatorischen Maßnahmen zum Schutz von Netzwerken und der darüber transportierten Daten - umfasst Firewall, IDS/IPS, Netzwerksegmentierung, Verschlüsselung und Zugriffskontrollen.

EU-Richtlinie (2022/2555) zur Stärkung der Cybersicherheit. Betrifft in Deutschland ca. 30.000 Unternehmen aus 18 Sektoren ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz. Bußgelder bis 10 Mio. EUR.

NTLM (NT LAN Manager) ist ein Windows-Authentifizierungsprotokoll das auf Challenge-Response-Mechanismus mit NT-Hash basiert. Obwohl von Kerberos als primärem AD-Protokoll abgelöst, wird NTLM noch für lokale Anmeldungen, Fallback-Authentifizierung und SMB-Verbindungen genutzt. Kritische NTLM-Angriffe: Pass-the-Hash (PtH) - Authentifizierung nur mit Hash ohne Klartextpasswort; NTLM Relay - Angreifer leitet Authentifizierungsflow um; Responder - NTLM-Hash-Capture im lokalen Netzwerk.

OAuth 2.0 ist ein Autorisierungsframework das Anwendungen limitierten Zugriff auf Ressourcen im Namen eines Nutzers erlaubt. OpenID Connect (OIDC) baut auf OAuth 2.0 auf und fügt Authentifizierung hinzu - die Basis für modernes Single Sign-On und Social Login.

Open Redirect ist eine Webanwendungsschwachstelle bei der ein Angreifer die Redirect-Funktionalität einer legitimen Website missbraucht um Nutzer auf eine externe Angreifer-Website umzuleiten. Obwohl technisch keine direkte Code-Execution, wird Open Redirect als Phishing-Katalysator (legitime URL täuscht über Ziel), OAuth/OIDC Token-Diebstahl (redirect_uri Manipulation) und SSRF-Hilfsmittel eingesetzt. In OWASP API Security ist Open Redirect relevant für A3:2023 (Broken Object Property Level Authorization).

Geheimdienstmethodik zur Informationsgewinnung aus öffentlich zugänglichen Quellen: Social Media, Unternehmensregister, DNS, Shodan, Jobausschreibungen. Wird von Angreifern zur Aufklärung und von Verteidigern zur Angriffsflächen-Analyse genutzt.

Schutz von Operational Technology - Steuerungssysteme, SPS, SCADA und industrielle Protokolle in Produktion, Energie, Wasser und Transport. OT-Sicherheit unterscheidet sich grundlegend von klassischer IT-Security: Verfügbarkeit hat Vorrang vor Vertraulichkeit.

Die OWASP Top 10 sind eine regelmäßig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, herausgegeben von der Open Web Application Security Project Foundation.

Pass-the-Hash ist eine Angriffstechnik bei der NTLM-Passwort-Hashes direkt zur Authentifizierung verwendet werden ohne das Klartextpasswort zu kennen. Ermöglicht Lateral Movement in Windows-Netzwerken. Tools: Mimikatz (sekurlsa::pth), Impacket (psexec.py, wmiexec.py), CrackMapExec. Schutz: Windows Defender Credential Guard, Protected Users Group, SMB-Signing, LAPS, Tier-Modell.

Unternehmens-Passwort-Manager verwalten Zugangsdaten zentral: verschlüsselt (AES-256), mit Freigabe-Workflows, Audit-Log, Active-Directory-Integration und SCIM-Provisionierung. Wichtige Produkte: 1Password Business, Bitwarden for Teams, Keeper Enterprise, Dashlane Business, Delinea Secret Server (auch für Admins/PAM). Vorteile: keine Post-it-Passwörter, starke einzigartige Passwörter für jede Seite, sichere Team-Freigaben ohne Passwort-Weitergabe per E-Mail.

Systematischer Prozess zum Identifizieren, Testen, Genehmigen und Einspielen von Software-Updates (Patches) zur Behebung von Sicherheitslücken in IT-Systemen.

Path Traversal (CWE-22, OWASP A01:2021) ermöglicht Angreifern durch ../ Sequenzen auf Dateien außerhalb des erlaubten Verzeichnisses zuzugreifen. Ziel: Lesen sensitiver Dateien (/etc/passwd, web.config, .env, SSH-Keys), in schlimmsten Fällen Schreiben/Ausführen von Dateien. Varianten: URL-kodierte Traversal (%2e%2e%2f), doppelt kodiert (%252e%252e%252f), Null-Byte-Injection (.php%00), Windows-Pfade mit Backslash-Notation. Schutz: absolute Pfad-Validierung mit realpath(), Allowlist-basierte Dateiauswahl.

Ein Penetrationstest (Pentest) ist ein autorisierter, kontrollierter Angriff auf IT-Systeme, bei dem Sicherheitsexperten die Methoden echter Angreifer simulieren, um Schwachstellen zu identifizieren und zu bewerten.

Strukturiertes Dokument, das Methoden, Befunde und Handlungsempfehlungen eines Penetrationstests dokumentiert. Ein professioneller Pentest-Bericht enthält Executive Summary, technische Befunde mit CVSS-Scores, Proof-of-Concept, Risikobewertung und priorisierte Maßnahmen.

Phishing ist ein Social-Engineering-Angriff, bei dem Angreifer durch gefälschte E-Mails, Websites oder Nachrichten Nutzer zur Preisgabe von Zugangsdaten, Zahlungsinformationen oder zur Ausführung von Malware verleiten.

Phishing-Simulationen senden kontrollierte, gefälschte Phishing-E-Mails an Mitarbeiter um deren Erkennungsrate zu messen und zu trainieren. Metriken: Click-Rate (Ziel: <5%), Reporting-Rate (Ziel: >60%), Credential-Submission-Rate. Plattformen: KnowBe4, Proofpoint Security Awareness, Hoxhunt, Lucy Security, SoSafe. DSGVO-Besonderheit: Betriebsrat muss einbezogen werden, Ergebnisse dürfen nicht zur Disziplinierung einzelner Mitarbeiter genutzt werden.

Rahmenwerk aus Richtlinien, Prozessen und Technologien zur Verwaltung digitaler Zertifikate und kryptographischer Schlüsselpaare - ermöglicht verschlüsselte Kommunikation, digitale Signaturen und Identitätsnachweis in Netzwerken.

Port Scanning ist eine Reconnaissance-Technik die herausfindet, welche Netzwerkports auf einem System offen sind und welche Dienste dahinter laufen. Es ist der erste Schritt bei Penetrationstests und Angreifer-Reconnaissance - und gleichzeitig ein wichtiges Werkzeug für Systemadministratoren zur Inventarisierung.

Angriffstechnik bei der ein Angreifer eine erfundene Identität oder Situation (Pretext) erschafft, um das Opfer zur Preisgabe von Informationen oder zur Durchführung von Aktionen zu manipulieren - die verfeinerte Grundlage jedes Social Engineering-Angriffs.

Privilege Escalation (Rechteeskalation) bezeichnet die Technik, mit der ein Angreifer nach initialem Zugang höhere Berechtigungen erlangt - von einem normalen Benutzerkonto zum lokalen Administrator oder Domänenadministrator.

Sicherheitslösung zur Kontrolle, Überwachung und Auditierung privilegierter Accounts (Admins, Service Accounts, Root). Verhindert Missbrauch von IT-Superuser-Rechten - sowohl durch externe Angreifer als auch durch Insider.

Privileged Access Workstation (PAW) ist ein dedizierter, gehärteter Rechner ausschließlich für administrative Tätigkeiten - kein E-Mail, kein Browsen, kein Office. PAW-Konzept nach Microsoft Tiered-Administration-Model: Tier-0 (Domain Controller), Tier-1 (Server), Tier-2 (Workstations). Technisch: separates VLAN, eigenes AD-Tier, Credential Guard, AppLocker Whitelist, USB-Sperre, dediziertes VPN. Verhindert Admin-Credentials-Diebstahl durch Phishing oder Malware auf normalen Arbeitsrechnern.

Prototype Pollution ist eine JavaScript-spezifische Schwachstelle bei der Angreifer die Prototyp-Kette von Objekten manipulieren. Da alle JavaScript-Objekte von Object.prototype erben, können kontrollierte Eingaben in __proto__- oder constructor.prototype-Schlüsseln globale Objekteigenschaften überschreiben. Resultat: Denial of Service, Property-Injection für Privilege Escalation, in Node.js häufig Remote Code Execution. Betroffen: lodash, jQuery (historisch), alle deepmerge/cloneDeep-Implementierungen ohne Schutz.

Kollaborativer Sicherheitsansatz, bei dem Angreifer (Red Team) und Verteidiger (Blue Team) gemeinsam arbeiten, um Detection und Response zu verbessern. Purple Teaming überbrückt die Lücke zwischen Angriffssimulation und operativer Sicherheitsverbesserung - mit sofortiger Rückkopplung.

Race Conditions (CWE-362) entstehen wenn die Sicherheit eines Systems davon abhängt dass zwei oder mehr Operationen in einer bestimmten Reihenfolge ausgeführt werden, aber parallele Ausführung diese Reihenfolge verletzt. TOCTOU (Time-Of-Check Time-Of-Use) ist die häufigste Form: Prüfung und Nutzung einer Ressource sind zeitlich getrennt. Sicherheitsrelevante Auswirkungen: Doppel-Ausgaben in Finanzanwendungen (Double-Spending), Privilege-Escalation über temporäre Dateien, Discount-Missbrauch, Account-Übernahme. Schutz: atomare Datenbankoperationen, Mutexe, optimistic locking.

Ransomware ist Schadsoftware, die Dateien oder Systeme des Opfers verschlüsselt und für die Wiederherstellung ein Lösegeld fordert. Sie ist eine der häufigsten und kostspieligsten Cyberbedrohungen für Unternehmen.

Kriminelles Geschäftsmodell bei dem Ransomware-Entwickler ihre Malware als Dienst an 'Affiliates' vermieten, die Angriffe durchführen und den Lösegelderlös teilen. RaaS hat Ransomware-Angriffe massiv skalierbar gemacht - kein Programmierwissen nötig.

Remote Code Execution (RCE) ist die kritischste Schwachstellenklasse und ermöglicht einem Angreifer beliebigen Code auf dem Zielsystem auszuführen - ohne physischen Zugang. RCE resultiert aus Schwachstellen wie Buffer Overflows, Deserialisierungsfehler, Command Injection, Server-Side Template Injection (SSTI), SQL-Injection mit Datei-Schreibrechten, oder Path Traversal in Kombination mit Datei-Upload. CVSS-Score: typisch 9.0-10.0 (Critical). RCE ist Ausgangspunkt für Ransomware, Lateral Movement und APT-Angriffe.

Red Team: Angreifer-Team simuliert realistische Cyberangriffe. Blue Team: Verteidiger-Team erkennt und reagiert. Purple Team: Kooperation beider für maximalen Lerneffekt.

Red Team simuliert realistische Angriffe über längere Zeit (Wochen/Monate) gegen die echte Verteidigung des Unternehmens - ohne Wissen des Blue Teams (SOC/Incident Response). Blue Team: Verteidigung, Detection und Response. Purple Team: Red und Blue kooperieren für maximalen Lerneffekt. Unterschied zu Penetrationstest: Red Team testet Prozesse und Menschen, nicht nur Technik. TIBER-EU als standardisiertes Red-Team-Framework für Finanzsektor.

Systematischer Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. ISO 27001 und NIS2 fordern einen risikobasierten Ansatz: Risiken werden nach Eintrittswahrscheinlichkeit und Auswirkung bewertet und durch Maßnahmen auf ein akzeptables Niveau reduziert.

XML-basiertes Protokoll für Single Sign-On (SSO) zwischen Identity Provider (IdP) und Service Provider (SP). SAML ermöglicht, dass Benutzer sich einmal beim IdP anmelden und ohne erneute Passwort-Eingabe auf mehrere Dienste zugreifen können.

Isolierungsverfahren das verdächtige Programme oder Code in einer abgekapselten Umgebung ausführt, ohne echte Systeme zu gefährden. Kernkonzept der modernen Malware-Analyse und Browser-Sicherheit.

Secure Access Service Edge (SASE) ist ein Netzwerk-Sicherheitsframework das Wide Area Networking (WAN) und Netzwerksicherheitsfunktionen (CASB, SWG, ZTNA, FWaaS, SD-WAN) in einem einheitlichen Cloud-nativen Service vereint. SASE löst das Problem der veralteten hub-and-spoke Netzwerkarchitektur für eine dezentrale Belegschaft mit Cloud-Anwendungen.

Drei komplementäre Methoden zur Sicherheitsprüfung von Software: SAST analysiert Quellcode statisch, DAST testet laufende Anwendungen dynamisch, SCA prüft Third-Party-Abhängigkeiten auf bekannte CVEs. Zusammen bilden sie die Grundlage moderner CI/CD-Security-Pipelines.

Ein SBOM (Software Bill of Materials) ist ein maschinenlesbares Inventar aller Softwarekomponenten, Bibliotheken und Abhängigkeiten in einer Anwendung - inklusive Open-Source-Pakete, Versionen und Lizenzen. SBOMs ermöglichen schnelle Identifikation betroffener Systeme bei neuen CVEs (Log4Shell-Beispiel) und sind durch US Executive Order 14028 und EU Cyber Resilience Act regulatorisch gefordert.

Schlüsselmanagement (Key Management) umfasst den vollständigen Lebenszyklus kryptografischer Schlüssel: Generierung, Verteilung, Speicherung, Rotation, Widerruf und Löschung. Schwache Schlüssel, unsichere Speicherung oder fehlende Rotation machen selbst starke Verschlüsselung wertlos. Hardware Security Modules (HSMs), Key Management Services (KMS) und Secrets Manager sind die technischen Lösungen.

Automatisierte Tools zur Identifikation bekannter Sicherheitslücken in IT-Systemen. Schwachstellenscanner vergleichen Systemkonfigurationen und Softwareversionen gegen CVE-Datenbanken und geben priorisierte Befundlisten aus. Bekannte Tools: Nessus, OpenVAS, Qualys, Rapid7 InsightVM.

Secrets Management bezeichnet das sichere Speichern, Verwalten, Rotieren und Auditieren von sensitiven Zugangsdaten (Passwörter, API-Keys, Zertifikate, Datenbank-Credentials) in Softwaresystemen. Schlechtes Secrets Management ist eine der häufigsten Ursachen für Datenlecks - besonders in Cloud-Umgebungen.

Secure Boot ist ein UEFI-Firmware-Standard der sicherstellt dass nur kryptografisch signierte Bootloader und Betriebssystem-Kernel geladen werden dürfen. Schützt gegen Bootkits und rootkits die vor dem Betriebssystem starten. Aktiviert via UEFI-Einstellungen, konfigurierbar mit eigenen Keys (Custom Secure Boot). Unterstützt von Windows 10/11, Linux (shim, GRUB), macOS (Apple T2/M1). Ergänzt durch Measured Boot und TPM 2.0.

Entwicklungsphilosophie, bei der Sicherheit von Anfang an in Architektur und Code eingebettet wird - nicht als nachträglicher Patch. Secure-by-Design-Prinzipien umfassen minimale Angriffsfläche, sichere Defaults, Defense-in-Depth und fail-safe Defaults.

Security Awareness Training bildet Mitarbeiter zur menschlichen Firewall aus: Phishing-Erkennung, Social Engineering, Passwort-Hygiene, Mobile Security, DSGVO-Pflichten. Effektive Programme nutzen Phishing-Simulationen (Klickrate Ziel: <5%), Micro-Learning (3-5 Min.), Gamification und spear-phishing-basierte Nachulung. KPIs: Klickrate, Reportingrate, Credential-Eingaberate. Regulatorisch gefordert: NIS2, ISO 27001 A.7.2.2, BSI IT-Grundschutz ORP.3.

Security Champions sind Entwickler oder Ingenieure, die eine Botschafter-Rolle für Sicherheit in ihren Teams übernehmen. Sie agieren als Brücke zwischen dem Sicherheitsteam und den Entwicklungsteams, fördern sichere Coding-Practices, identifizieren früh Sicherheitsrisiken und helfen bei der Skalierung von Application Security in der gesamten Organisation.

Systematische Aufzeichnung sicherheitsrelevanter Ereignisse in IT-Systemen. Grundlage für Angriffserkennung, Forensik und Compliance-Nachweis. Ohne Logging ist Incident Response blind - Angreifer können unerkannt agieren.

Ein Security Operations Center (SOC) ist die zentrale Einheit für Echtzeit-Überwachung, Erkennung und Reaktion auf Cybersicherheitsvorfälle. SOCs vereinen Menschen, Prozesse und Technologie - SIEM, EDR, SOAR - um Bedrohungen 24/7 zu erkennen und zu bekaempfen.

Security Posture beschreibt den Gesamtzustand der Cybersicherheit einer Organisation - die Summe aus Policies, Controls, Reifegrad, Schwachstellen und Bedrohungsexposition. Eine gute Security Posture ist messbar (Secure Score, Compliance-Rate, MTTD/MTTR) und wird kontinuierlich durch CSPM, Vulnerability Management und Security Audits bewertet.

Security Ratings sind kontinuierliche, automatisierte Bewertungen der Cybersicherheit einer Organisation auf einer Skala (typisch 0-900 oder A-F), basierend auf öffentlich sichtbaren Indikatoren: offene Ports, SSL-Konfiguration, DNS-Records, Dark-Web-Einträge, kompromittierte Systeme. Anbieter wie BitSight, SecurityScorecard und Riskrecon werden für Vendor-Risikobewertungen, Cyber-Versicherungen und Executive-Reporting genutzt.

Server-Side Template Injection tritt auf wenn Benutzereingaben direkt in Template-Engines eingefuegt werden ohne vorherige Escaping. Angreifer können Template-Syntax nutzen um serverseitigen Code auszuführen und so zu Remote Code Execution eskalieren. Betroffen: Jinja2 (Python), Twig (PHP), Freemarker (Java), Handlebars (Node.js). Erkennbar durch {{7*7}} = 49 in der Ausgabe. Schutz: Template-Rendering nur mit vertrauenswuerdigen Vorlagen.

Serverless Security bezeichnet die Absicherung von Function-as-a-Service (FaaS) Umgebungen wie AWS Lambda, Azure Functions und Google Cloud Functions. Angriffsvektoren: Event-Injection, überprivilegierte Rollen, unsichere Abhängigkeiten, Function-Level-Broken-Access-Control, Cold-Start-Timing-Angriffe und zu lange Timeouts. Schutz: OWASP Serverless Top 10, minimale IAM-Rechte, Layer-Validierung, Dependency-Scanning.

Session Fixation ist ein Angriff bei dem ein Angreifer eine gültige Session-ID an ein Opfer übergibt und wartet bis das Opfer sich mit dieser vorgegebenen Session authentifiziert. Im Gegensatz zu Session-Hijacking (Stehlen einer bestehenden Session) fixiert der Angreifer die Session-ID vor der Anmeldung. Nach der Authentifizierung nutzt der Angreifer die bekannte Session-ID für autorisierten Zugriff. Schutz: neue Session-ID nach Login generieren, SameSite-Cookies, HttpOnly-Flag.

Shadow APIs sind undokumentierte, vergessene oder unkontrollierte API-Endpunkte die ohne Wissen des Sicherheitsteams im Produktionsbetrieb laufen. Entstehen durch Legacy-Systeme, schnelle Entwicklungszyklen oder Schatten-IT. Sicherheitsrisiko: keine Authentifizierung, fehlende Rate-Limits, ungepatchte Schwachstellen. Entdeckung via API-Discovery-Tools, Traffic-Analyse und API-Gateways.

Shadow IT bezeichnet alle IT-Systeme, Software, Dienste und Geräte die Mitarbeiter ohne Wissen oder Genehmigung der IT-Abteilung nutzen. Klassische Beispiele: privater Dropbox-Account für Kundendaten, WhatsApp-Gruppe für Projektkoordination, ChatGPT für firmeninterne Dokumente. Shadow IT entsteht aus Frustration über IT-Bürokratie - und schafft unkontrollierbare Risiken für Sicherheit, Compliance und Datenschutz.

Side-Channel-Angriffe extrahieren geheime Daten nicht durch Schwachstellen im Algorithmus, sondern durch Beobachtung physischer Eigenschaften: Timing (Spectre, Meltdown - CVE-2017-5753/5754), Stromverbrauch (Differential Power Analysis), elektromagnetische Abstrahlung, Akustik (RSA-Key aus Lüftergeräusch). Spectre/Meltdown: speculative execution in x86-CPUs ermöglicht Kernel-Speicher-Lesen aus User-Space.

Technologieplattform für Log-Aggregation, Korrelation und Echtzeit-Alarmierung. SIEM erkennt Sicherheitsvorfälle und meldet sie - die Reaktion automatisiert SOAR, den menschlichen Betrieb organisiert das SOC. Das SIEM ist das 'Auge', SOAR der 'Arm' und SOC das 'Gehirn'.

Phishing-Angriffe über SMS oder Messenger-Dienste. Smishing-Nachrichten enthalten gefälschte Links zu Phishing-Seiten oder fordern direkt zur Preisgabe sensibler Daten auf - oft unter dem Vorwand von Paketbenachrichtigungen, Bankalerts oder Behördenmitteilungen.

Plattform die Security-Workflows automatisiert, verschiedene Sicherheitstools integriert und Incident-Response-Prozesse orchestriert. SOAR reduziert Mean Time to Respond (MTTR) von Stunden auf Minuten durch automatisierte Playbooks.

Organisatorische Einheit die 24/7 IT-Sicherheit überwacht, Vorfälle erkennt und reagiert. Das SOC ist das Team - es nutzt SIEM als technische Erkennungsplattform und SOAR für Automatisierung. Für den ausführlichen Aufbau eines SOC: Security Operations Center Artikel im Wiki.

Manipulation von Menschen statt Systemen durch psychologische Prinzipien wie Autorität, Dringlichkeit und Reziprozität. Werkzeuge: Phishing (E-Mail), Vishing (Telefon), Smishing (SMS), Pretexting, Baiting. Im Gegensatz zum Insider Threat kommt der Angreifer von außen und nutzt Täuschung, um Zugang zu erlangen. 91% aller Cyberangriffe starten mit Social Engineering.

Unerwünschte Massen-E-Mails oder Nachrichten, die zu Werbezwecken, für Phishing, Malware-Verteilung oder Betrug versendet werden - eines der ältesten und volumenstärksten Phänomene im Internet.

Gezielter Phishing-Angriff auf eine spezifische Person oder Organisation mit personalisierten Inhalten. Im Gegensatz zu massenweisem Phishing recherchieren Angreifer ihr Ziel vorab (OSINT) und gestalten täuschend echte Nachrichten. Spear Phishing ist für >91% aller APT-Angriffe der initiale Angriffsvektor.

Gezielter Phishing-Angriff auf eine spezifische Person oder Organisation - maßgeschneidert mit persönlichen Details, Kollegennamen und aktuellem Kontext. Deutlich effektiver als generisches Phishing und schwieriger zu erkennen.

SPF ist ein DNS-basiertes E-Mail-Authentifizierungsprotokoll, das festlegt, welche Mailserver im Namen einer Domain E-Mails versenden dürfen.

SQL Injection ist ein Angriff, bei dem ein Angreifer schädlichen SQL-Code in Eingabefelder oder Parameter einer Webanwendung einschleust, um unautorisierten Zugang zur Datenbank zu erhalten oder Daten zu manipulieren.

Single Sign-On (SSO) ermöglicht Benutzern sich einmalig zu authentifizieren und danach ohne erneute Anmeldung auf mehrere Anwendungen und Services zuzugreifen. SSO basiert auf Protokollen wie SAML 2.0, OIDC/OAuth 2.0 und Kerberos. Aus Security-Sicht ist SSO zweischneidig: reduziert Passwort-Schwachstellen, aber ein kompromittierter SSO-Provider gibt Zugang zu allen verbundenen Services. Identity Provider (IdP): Azure AD/Entra ID, Okta, Ping Identity, Google Workspace.

Server-Side Request Forgery (SSRF) ist eine Schwachstelle bei der ein Angreifer den Server zwingt HTTP-Anfragen an interne oder externe Ressourcen zu senden die er direkt nicht erreichen kann. Über SSRF können Cloud-Metadaten-APIs (AWS IMDSv1: 169.254.169.254), interne Microservices, Datenbanken und Admin-Interfaces angegriffen werden. SSRF ist auf Platz 10 der OWASP Top 10 2021 (A10:2021) und ein häufiger Angriffsvektor in Cloud-Umgebungen.

Steganographie bezeichnet die Kunst Nachrichten oder Daten in scheinbar harmlosen Trägerdateien (Bildern, Audio, Video, Dokumenten) zu verstecken ohne dass die Existenz der versteckten Botschaft auffällt. Im Gegensatz zur Kryptographie (die Inhalt verschlüsselt) verbirgt Steganographie die Existenz der Kommunikation. Angreifer nutzen sie für Malware-Command-and-Control, Datenexfiltration und Watermarking.

Subdomain Takeover tritt auf wenn ein DNS-Eintrag für eine Subdomain noch auf einen externen Dienst zeigt der nicht mehr aktiv ist. Angreifer können den Dienst-Account übernehmen und eigene Inhalte unter der legitimen Subdomain hosten. Typische Vektoren: GitHub Pages, Heroku, Azure, Netlify, AWS S3 Buckets nach Abmeldung nicht entfernte DNS-Einträge. Auswirkungen: Phishing unter legitimer Domain, Cookie-Diebstahl, Content-Spoofing, XSS gegen Hauptdomain. Schutz: regelmäßiges DNS-Audit, sofortiger CNAME-Cleanup.

Supply Chain Angriffe kompromittieren Software oder Hardware bevor sie beim Ziel ankommen: SolarWinds (18.000 Opfer, SUNBURST-Backdoor), XZ Utils Backdoor (CVE-2024-3094), npm-Typosquatting, Dependency Confusion, Malicious NPM-Packages, CI/CD-Pipeline-Kompromittierung. Schutz: SBOM (CycloneDX/SPDX), SLSA Framework, Sigstore/Cosign für Package-Signing, private Registry, Dependency Pinning.

Angriff auf die Software-Lieferkette: Statt das Zielunternehmen direkt anzugreifen, kompromittieren Angreifer einen Lieferanten, Dienstleister oder eine gemeinsam genutzte Software-Library. Ein infiziertes Update infiziert dann Tausende Kunden gleichzeitig.

Simulierte Krisenübung, bei der ein Sicherheitsteam einen hypothetischen Angriff oder Vorfall in einer Besprechungsrunde durchspielt - ohne echte Systeme zu beeinflussen. Tabletop Exercises decken Lücken in Incident-Response-Plänen auf, bevor ein realer Vorfall eintritt.

Threat Actors sind die Akteure hinter Cyberangriffen - klassifiziert nach Motivation, Ressourcen und Fähigkeiten: Nation-State-Gruppen (APT28, Lazarus), organisierte Kriminalität (Ransomware-as-a-Service), Hacktivisten, Insider-Threats und opportunistische Script-Kiddies. Die Kenntnis des relevanten Threat Actors bestimmt welche Schutzmaßnahmen sinnvoll sind.

Threat Hunting ist die proaktive, hypothesengetriebene Suche nach versteckten Bedrohungen in der eigenen Infrastruktur - bevor Alarme ausgelöst werden. Im Gegensatz zu reaktiven Erkennungsmethoden geht Threat Hunting davon aus, dass Angreifer bereits im Netzwerk sind und sucht aktiv nach Indikatoren ihrer Anwesenheit.

Threat Intelligence (TI) ist die systematische Sammlung, Analyse und Nutzung von Informationen über Cyberbedrohungen: Indicators of Compromise (IOCs), Tactics, Techniques and Procedures (TTPs), Bedrohungsakteure und ihre Motive. Unterschieden wird zwischen Strategic (C-Level), Operational (SOC-Triage) und Tactical Intelligence (technische IOCs). Wichtige Quellen: MISP, OpenCTI, VirusTotal, CISA, BSI, kommerzielle Feeds (Recorded Future, Mandiant, CrowdStrike Falcon Intel).

Strukturierter Prozess zur systematischen Identifikation von Sicherheitsbedrohungen in der Softwareentwicklung oder IT-Architektur. STRIDE, PASTA und DREAD sind die bekanntesten Methoden. Ziel: Sicherheitslücken finden bevor Code geschrieben wird.

Timing Attacks nutzen Unterschiede in der Ausführungszeit von kryptographischen Operationen oder Vergleichsfunktionen um geheime Informationen abzuleiten. Klassische Angriffe: Passwort-Timing (fruehzeitiger Abbruch bei erstem Unterschied), RSA-Timing (Modularpotenzierung), Cache-Timing (Spectre/Meltdown). Schutz: Constant-Time-Vergleiche (hmac.compare_digest), Blinding, Branch-freie Implementierungen.

Branchenspezifischer Sicherheitsstandard der Automobilindustrie, verwaltet von der ENX Association. Basiert auf dem VDA ISA Fragenkatalog und wird von OEMs wie VW, BMW und Mercedes als Lieferantenanforderung verlangt.

Kryptographisches Protokoll zur sicheren Datenübertragung im Internet - verschlüsselt die Verbindung zwischen Client und Server, authentifiziert den Server per Zertifikat und schützt vor Abhören und Manipulation. Nachfolger von SSL.

Technisch-organisatorische Maßnahmen (TOMs) sind nach DSGVO Art. 32 vorgeschriebene Sicherheitsmaßnahmen, die Unternehmen ergreifen müssen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.

Dedizierter Sicherheitschip auf dem Mainboard, der kryptographische Schlüssel sicher speichert, die Systemintegrität beim Boot prüft und als Hardware-Vertrauensanker für BitLocker, Windows Hello und weitere Sicherheitsfunktionen dient.

Beschreibungsrahmen für das Verhalten von Angreifern: Taktiken (Was ist das Ziel?), Techniken (Wie wird es erreicht?) und Prozeduren (Konkrete Schritte). TTPs sind stabiler als IoCs - Angreifer wechseln IPs, aber selten ihre Vorgehensweise.

Sicherheitsanalyse-Technologie die Verhaltensbaselines für Nutzer und Systeme erstellt und statistisch auffällige Abweichungen erkennt. UEBA findet Insider-Threats und kompromittierte Accounts auch dann wenn keine bekannten IoCs vorliegen.

Telefonbasierter Social-Engineering-Angriff, bei dem Angreifer als IT-Support, Bank oder Behörde auftreten um Zugangsdaten, persönliche Informationen oder Überweisungen zu erschleichen. KI-gestützte Stimmklonierung macht Vishing 2024 besonders gefährlich - sogar Stimmen bekannter Personen werden nachgeahmt.

Verschlüsselter Tunnel über ein öffentliches Netzwerk (Internet) der zwei Endpunkte sicher verbindet - schützt Remote-Mitarbeitende, verbindet Unternehmensstandorte und verbirgt Netzwerkverkehr vor Dritten.

Ein Fehler, Designmangel oder Fehlkonfiguration in Software, Hardware oder einem IT-System, der von Angreifern ausgenutzt werden kann, um unbefugten Zugriff zu erlangen oder Schaden anzurichten.

Ein Vulnerability Assessment ist die systematische Identifizierung und Priorisierung von Sicherheitsschwachstellen in IT-Systemen mittels Scanner, Konfigurationsprüfungen und manuellem Review - ohne aktive Ausnutzung (im Gegensatz zum Penetrationstest). Ergebnis ist ein priorisierter Risikobericht mit CVSS-Scores und Remediationsempfehlungen.

Spezialisierte Firewall für HTTP/HTTPS-Traffic, die Web-Anwendungen vor Angriffen wie SQL Injection, XSS und OWASP Top 10 schützt. Analysiert Anfragen auf Anwendungsebene (Layer 7) - deutlich tiefer als klassische Netzwerkfirewalls.

Angriffsmethode bei der Kriminelle Webseiten kompromittieren, die das Zielpublikum regelmäßig besucht. Statt direkten Angriff auf das Ziel zu versuchen, wird der 'Trinkplatz' (Watering Hole) vergiftet - analog zum Raubtier das an der Wasserstelle wartet.

Web Cache Poisoning ist ein Angriff bei dem ein Angreifer unkeyed HTTP-Header oder Parameter nutzt um schädliche Inhalte in einen Web-Cache einzuschleusen. Diese gecachten Inhalte werden dann an andere Nutzer ausgeliefert ohne dass der Origin-Server kontaktiert wird. Angriffsvektoren: manipulierte HTTP-Header (X-Forwarded-Host, X-Forwarded-Scheme), fatcookies, Query-String-Parameter. Resultat: XSS, Open Redirect, Denial of Service gegen viele Nutzer gleichzeitig.

WebSockets ermöglicht bidirektionale Echtzeit-Kommunikation zwischen Browser und Server. Sicherheitsrisiken entstehen durch fehlende Origin-Validierung (Cross-Site WebSocket Hijacking), fehlende Authentifizierung nach Handshake, unverschlüsselte ws:// statt wss://-Verbindungen und fehlende Input-Validierung in WebSocket-Messages. Schutz: Origin-Header validieren, wss:// erzwingen, Token-Authentifizierung beim Handshake.

Hochspezialisierter Spear-Phishing-Angriff auf Top-Führungskräfte (CEO, CFO, CISO). Angreifer investieren Wochen in Recherche über Ziele um perfekt gefälschte E-Mails zu erstellen - oft im Kontext von M&A, Finanztransaktionen oder vertraulichen Projekten.

Integrierte Sicherheitsplattform die Telemetriedaten aus Endpoint (EDR), Netzwerk (NDR), E-Mail und Cloud korreliert und siloübergreifend analysiert. XDR ist der übergeordnete Rahmen - NDR liefert die Netzwerk-Telemetrie, EDR die Endpoint-Telemetrie, SIEM die Log-Aggregation.

Cross-Site Scripting ist ein Angriff, bei dem ein Angreifer schädlichen JavaScript-Code in Webseiten einschleust, der dann im Browser anderer Nutzer ausgeführt wird und Session-Hijacking, Phishing oder Malware-Verteilung ermöglicht.

XML External Entity (XXE) Injection ist eine Schwachstelle in XML-Parsern die es erlaubt externe Entitäten in XML-Dokumente einzubetten. Angreifer nutzen XXE um lokale Dateien zu lesen (/etc/passwd, AWS Credentials), SSRF-Angriffe durchzuführen, oder in seltenen Fällen Remote Code Execution zu erreichen. XXE ist in OWASP Top 10 2017 als A04 gelistet und tritt besonders bei unsicheren XML-Parser-Konfigurationen auf (libxml2, Java SAXParser, .NET XmlDocument).

Zero Trust ersetzt das veraltete Perimetermodell ('trusted inside, untrusted outside') durch kontinuierliche Verifikation: Identität (wer?), Gerät (Gesundheitsstatus?), Kontext (Ort, Zeit, Verhalten). Kernprinzipien: Verify Explicitly, Least Privilege Access, Assume Breach. NIST SP 800-207, Microsoft Zero Trust, Google BeyondCorp. Technische Bausteine: Identity Provider (Azure AD/Okta), MDM/EDR für Device Trust, Microsegmentierung, CASB, SASE.

Ein Zero-Day (oder 0-Day) ist eine Sicherheitslücke, für die zum Zeitpunkt der Entdeckung oder Ausnutzung noch kein Patch des Herstellers existiert - Verteidiger haben null Tage Zeit zu reagieren.

Kryptographisches Verfahren mit dem eine Partei beweisen kann, dass sie ein Geheimnis kennt - ohne das Geheimnis selbst preiszugeben. Basis für datenschutzfreundliche Authentifizierung und Blockchain-Anwendungen.

Netzwerkzugangsmethode die klassisches VPN ersetzt. Statt vollem Netzwerkzugang erhalten Nutzer und Geräte nur Zugang zu spezifischen Anwendungen - nach kontinuierlicher Verifikation von Identität, Gerät, Kontext und Berechtigung.

Sicherheitsverfahren das zwei unabhängige Nachweise der Identität verlangt - typischerweise Passwort plus Einmalcode (TOTP) oder Hardware-Schlüssel. Verhindert Kontoübernahmen selbst bei gestohlenen Passwörtern.