0190-Dialer
Programm zur Einwahl über einen Telefon-Mehrwert-Dienst (0190-Nummern) in das Internet als Zugang zu besonderen Inhalten, die bezahlt werden müssen. Die meist hohen Gebühren dieser Dienste werden automatisch über die Telefonrechnung eingezogen. Über sie werden z.B. pornographische Inhalte, aber durchaus auch seriöse Daten bereit gestellt.Immer häufiger werden derartige Dialer ohne Wissen der Nutzer auf Windows-PCs installiert, sodass beim normalen Browsen im Internet diese teuere Telefon-Verbindung statt der ursprünglich eingerichteten verwendet wird (Tipp: Oft am veränderten "Klang" beim Aufbau der Telefonverbindung erkennbar).
Diese Gefahr ist nur bei Modem- oder ISDN-Verbindungen gegeben. Bei einer DSL-Verbindung besteht keine Gefahr in dieser Richtung.
Account (Konto)
Zugangsberechtigung zu einem Computer, einer Mailbox oder einem Online-Dienst. Besteht mindestens aus einem Benutzernamen und einem Passwort, meist sind damit noch weitere Informationen verknüpft (Profil).Address-Spoofing
Siehe ARP-Spoofing, DNS-Spoofing, IP-Spoofing, RIP-Spoofing und URL-Rewriting/WWW-Spoofing.ActiveX
Weitverbreitete Skriptsprache für HTML-Seiten, die ausschließlich unter dem Betriebssystem "Windows" zur Verfügung steht. Stellt eine Programmierschnittstelle dar, die HTML-Seiten erlaubt, auf lokale oder aus dem Internet geladene "Controls" zuzugreifen. Diese Controls sind kleine ausführbare Programme bzw. Programmteile, die einzelne Funktionen ausführen. Siehe Aktiver Inhalt.Address Resolution Protocol (ARP)
Broadcast-basierendes Protokoll, das in lokalen Netzen zu einer (logischen) IP-Adresse die (physikalische) MAC-Adresse des Rechners (der Netzwerkkarte) mit dieser IP-Adresse sucht. Die Adressierung von Rechnern in einem lokalen Netz basiert auf diesen MAC-Adressen. Diese Zuordnungen werden von den einzelnen Rechner über einen gewissen Zeitraum (z.B. 30 Sekunden) im sogenannten ARP-Cache gespeichert, um bei erneuter Adressierung des gleichen Rechners schneller zu sein.Administrator
Verwalter eines Computers oder Netzwerks (heißt unter UNIX/Linux root) mit folgenden Aufgaben:- Installieren/Konfigurieren/Updaten von Betriebssystemen
- Einrichten von Benutzern + Gruppen (Betreuung)
- Einrichten/Anpassen/Überwachen der Zugriffsrechte
- Einrichten neuer Hardware + Treiber
- Einrichten/Konfigurieren/Updaten von (Anwendungs-)Programmen
- Datensicherung
- Fehlerbehebung
- System-Überwachung (Plattenplatz, Zugänge, Netzwerk, Protokolle)
- Automatisierung von wiederholten Tätigkeiten (Skripte)
- System-Dokumentation (Logbuch)
Advanced Encryption Standard (AES)
Offizielle Standardverschlüsselung der amerikanischen Normungsbehörde NIST, die im Rahmen einer öffentlichen Ausschreibung aus 15 verschiedenen Algorithmen ausgewählt wurde. Nachfolger des inzwischen unsicheren DES. Der Algorithmus hieß ursprünglich "Rijndael" und arbeitet mit einer Schlüssellänge von 128/192/256 Bit.Advanced Research Projects Agency
Advanced Research Projects Agency Network (ARPAnet)
Militärischer Ursprung (Vorläufer) des heutigen Internet. Damit sollte ein ausfallsicheres Kommunikations-System geschaffen werde, das auch bei einem atomaren Angriff mit weitreichenden Zerstörungen noch funktionieren sollte. Wurde in den siebziger Jahren in den USA mit finanzieller Unterstützung des US-Militärs entwickelt, ist heute nicht mehr in Betrieb.Aktiver Inhalt
Inhalte auf WWW-Seiten, die in Skriptsprachen wie Java, Javascript oder ActiveX programmiert sind. Skriptsprachen führen Programmcode direkt auf dem Client-Rechner aus. Die Grundeinstellung vieler Browser erlaubt leider meist die Ausführung aktiver Inhalte in WWW-Seiten.Böswillige Betreiber einer WWW-Seite können diese damit so programmieren, dass Daten auf Ihrem Rechner gelesen oder sogar beschädigt werden. Besonders problematisch sind solche Angriffe, wenn der böswillige Angreifer eine WWW-Seite betreibt, die der einer bekannten Institution oder eines bekannten Unternehmens gleicht (und sich z.B. nur durch einen URL-Schreibfehler von der Originalseite unterscheidet, siehe URL-Rewriting/WWW-Spoofing, oder durch DNS-Spoofing von vornherein auf die eigene Seite umleitet, auch wenn der Anwender die URL der Originalseite exakt eingetippt hat).
Schutz vor solchen Angriffen bietet nur das vollständige Abschalten von Skriptsprachen — entweder direkt im eigenen Browser oder durch einen zentralen Filter z.B. auf dem Firewall. Nur wenige Filter sind allerdings in der Lage, Skriptsprachen vollständig auszufiltern, da hierzu eine vollständige syntaktische Analyse des HTML-Quelltextes erforderlich ist.
Eine weitere Möglichkeit ist, den Browser in einer Sandbox auf einem Rechner in einem gesonderten Netz zu benutzen, auf dem sich keine sensiblen Daten befinden. Unter Linux und UNIX-artigen Betriebssystemen ist dies relativ einfach einzurichten: Der Browser wird zwar auf dem eigenen Arbeitsplatzrechner angezeigt, läuft aber in Wirklichkeit auf einem Rechner in einem gesonderten Netzwerk.
Alias
Zweiter oder weiterer Name für den Zugang zu einem Computer oder das Empfangen/Versenden von Mails. Meist kürzer oder besser verständlich als der Original-Name, der häufig länger ist oder eine schwer zu merkenden Buchstaben/Zahlenkombination darstellt.Angriff von innen
Wird ein Netzwerk von innen (also meist unter Mitwirkung eines Mitarbeiters) angegriffen, so ist der Angriff sehr viel häufiger erfolgreich als bei einem Angriff von außen. Ein Schutz gegen derartige Angriffe ist schwierig. Gute Vorbeugemaßnahmen sind, auch das interne Netz durch Firewalls in mehrere Zonen mit unterschiedlichen Zugangsberechtigungen zu zerlegen sowie Netze/Daten immer nur denjenigen Mitarbeitern zugänglich zu machen, die diese auch wirklich benötigen.Um unbeabsichtigte Angriffe von innen zum Beispiel durch Fehlverhalten aus Unkenntnis zu vermeiden, ist eine gute Schulung der Benutzer sowie das Aufstellen klarer Regeln für den Umgang mit Daten zu empfehlen. Sollte dennoch etwas passieren, ist Datensicherung das wichtigste Hilfsmittel.
Angriffssimulator
Programmpakete, die eine Vielzahl bekannter Angriffe reproduzierbar simulieren. Beispiele: CypberCop, ISS, MetaSploit, Nessus, NetSaint, openVAS, Satan, SARA, SAINT (mehrere davon sind freie Software). Sie testen das Netzwerk von außen, indem sie bekannte Angriffszenarien durchspielen. Man sollte sich aber nicht zu sehr auf solche Tools verlassen, da ein Angriffssimulator nur das testen kann, was ihm einprogrammiert wurde.Sollte es Schwachstellen geben, die in keinem der Angriffszenarien des Simulators berücksichtigt werden, erfolgt keine Warnung. Daher ist es sinnvoll, neben dem Einsatz eines Angriffssimulators zusätzlich die Konfigurationen von innen zu prüfen. Auch hier können Programme (wie COPS) unterstützen.
Anonymous FTP
Spezielles Angebot eines FTP-Servers, der einen Zugang namensanonymous
oder ftp
ohne Passwort zur Verfügung stellt. Meist wird
man gebeten, als Passwort die eigene E-Mail-Adresse einzutragen, damit der
Betreiber des FTP-Servers eine länderspezifische Statistik über die Downloads
erstellen kann.
Anwendungs-Programm (Applikation)
Programm, das einem bestimmten Zweck, einer Anwendung dient und von normalen Anwendern regelmäßig verwendet wird. Ein Anwendungs-Programm (oder eine Applikation) ist beispielsweise eine Textverarbeitung, eine Tabellenkalkulation, ein Bildbearbeitungsprogramm oder ein WWW-Browser.Üblicherweise sollten Anwendungs-Programme auf einer niedrigen Zugriffsrechte-Ebene arbeiten, damit mit ihnen nicht Systemdaten oder Daten anderer Benutzer gelesen und/oder verändern werden können.
Application Layer ("Anwendungs-Schicht")
7. Schicht des OSI-Modells: In ihr sind die eigentlichen Anwendungen angesiedelt, die zum Großteil sehr spezifische Protokolle sprechen (z.B. FTP, TELNET, SMTP, …).Apache
Mit Abstand am häufigsten eingesetzter Web-Server, läuft sowohl auf UNIX/Linux- als auch auf Windows-Systemen. Basiert auf einem der ersten Webserver, dem NCSA httpd. Der Name "Apache" leitet sich aus den vielen "Patches" für den NCSA-Server her ("a patchy server").Application-Level-Gateway (ALG)
Firewall, der auf Anwendungsebene arbeitet und keinen direkten Transfer der Anwendungs-Protokolle zwischen "innen" und "außen" zulässt. Für Anwendungs-Protokolle, die über ein ALG geschleust werden, werden sogenannte Proxies benötigt. Der Proxy kann die Anwendungsdaten "mitlesen", "verstehen" sowie "sprechen" und sie so z.B. nach Viren, URLs scannen. Reicht oft eine standardisierte und bereinigte Form der gelesenen Protokoll-Daten zur anderen Seite weiter ("Weeding").Für jede Anwendungs-Protokoll ist ein eigener, speziell programmierter Proxy notwendig.
ALGs sind vom Sicherheitsstandpunkt aus Paketfiltern deutlich überlegen, benötigen jedoch performantere Hardware. Protokolle, für die das ALG keine Proxies zur Verfügung stellt, können nur mit demselben Sicherheitsstatus wie bei einem Circuit-Level-Gateway behandelt werden.
ARP-Spoofing (Address Resolution Protokoll Spoofing)
Beim ARP-Spoofing wird das gezielte Senden von gefälschten ARP-Paketen dazu benutzt, um sich als Man-in-The-Middle (Proxy) in den Datenverkehr zwischen zwei Rechnern B und C in einem lokalen Netzwerk einzuschleusen.Der Angreifer A sendet dem Rechner B eine ARP-Nachricht, sodass dieser Pakete für Rechner C an den Angreifer A sendet. Das selbe macht er mit Rechner C, sodass dieser Pakete statt direkt an B nun ungewollt zum Angreifer A sendet. A muss dann nur noch die jeweils von B und C erhaltenen Pakete an den eigentlichen Empfänger weiterleiten, damit eine für ihn abhörbare Verbindung zustande kommt.
Asymmetric Digitale Subscriber Line (ADSL)
Variante der DSL, bei der aus technischen oder Marketing-Gründen in Upload-Richtung eine geringere Datenrate verfügbar ist als in Download-Richtung (z.B. 16 MBit/s down versus 500 KBit/s up).Asymmetrische Verschlüsselung (Public-Key-Verfahren)
Arbeitet mit zwei unterschiedlichen Schlüsseln für die Ver- und die Entschlüsselung. Einer der Schlüssel wird dabei veröffentlicht (Public Key), der andere bleibt geheim (Private Key). Die Kenntnis eines der beiden Schlüssel lässt keine Rückschlüsse auf den jeweils anderen Schlüssel zu. Nachrichten, die mit einem der beiden zusammengehörenden Schlüssel verschlüsselt wurden, können mit dem jeweils anderen Schlüssel wieder entschlüsselt werden.Attachment (Anhang)
Anhang zu einer E-Mail, der meist nach dem sogenannten MIME-Standard gestaltet ist. Wird z.B. für die Übertragung von Word-Dateien, Bildern, Videos, Musikdateien und HTML-Seiten in E-Mails verwendet.Das automatische Ausführen von Attachments im Mailprogramm beim Anklicken mit der Maus kann zur Aktivierung von in den Anhängen versteckten Angriffen führen. Wird häufig zur Verbreitung von Makroviren oder Scriptviren genutzt.
Attachments sollte man daher nur öffnen, wenn man vom Absender eine E-Mail mit Attachment erwartet (Achtung: auch der Absender eine E-Mail kann gefälscht sein!). Im Zweifelsfall empfiehlt es sich, das Attachment auf einem Testrechner zu öffnen. Besonders problematisch ist, wenn Mailprogramme so eingestellt sind, dass Attachments automatisch ohne jede Rückfrage geöffnet werden. Derartige Konfigurationen sind unbedingt zu vermeiden, da sie Angriffen wie z.B. Nymda, ILOVEYOU und Melissa die Arbeit erleichtern!
Authentifizierung
Nachweis der Zugangsberechtigung durch die Abfrage von Benutzererkennung und Passwort bei Verbindung zu einem Server mit Zugangsbeschränkungen.Kryptologisch sichere Beglaubigung des Urhebers einer Nachricht; der Absender soll sich nicht als jemand anderer ausgeben können (z.B. gilt durch die Eingabe der PIN eine Kontoabhebung als authentifiziert, da normalerweise nur der Kontobesitzer die PIN kennt).
Authentisierung
Nachweis, dass ein Nutzer einen Rechner oder Daten benutzen darf. Erfolgt z.B. durch Passwörter, Magnetkarte oder Fingerabdruck. Authentisierung darf nicht mit Identifizierung verwechselt werden: bei der Identifizierung wird festgestellt, dass eine bestimmte Person mit einer bestimmte Identität überein stimmt. Authentisierung stellt dagegen nur fest, dass ein Benutzer Kenntnisse (z.B. bei Verwendung eines Passwortes) oder Dinge (z.B. SmartCards) hat, die ihn zur Benutzung eines Systems berechtigen. Folgende 3 Verfahren kommen hierbei zur Anwendung:Wissenbasierte Verfahren
Schutz mittels eines "Geheimnisses" (z.B. Passwort), das alle Zugriffsberechtigten vom Zugriffsverwalter erhalten.Besitzbasierte Verfahren
Schutz mittels eines "Objekts" (z.B. Magnetkarte, Chipkarte, Schlüssel), dessen Inhalt dem Besitzer nicht unbedingt offengelegt wird. In der Regel mit einem Passwort kombiniert, damit Verlust nicht zu Kompromittierung führt.Biometrische Verfahren
Schutz durch "Identifikation" der Benutzer anhand typischer und einmaliger Merkmale (z.B. Fingerabdruck, Sprache oder Retinamuster). Leider haben sich diese vielversprechenden Verfahren (kaum Verlust möglich) bisher nicht als so sicher erwiesen wie gedacht, da sie sehr leicht durch Täuschung manipuliert werden können. Daher werden diese Verfahren in der Praxis mit anderen Verfahren kombiniert.
Authentizität
Tatsache, dass Daten tatsächlich aus der Quelle oder von der Person stammen, von der sie zu stammen vorgeben. Authentizität gehört zu den grundlegenden Sicherheitszielen. Siehe auch Vertraulichkeit und Integrität.Authorisierung
Rechte welche durch die Anmeldung vergeben werden.Backbone ("Rückgrat")
Hauptstrang eines Netzwerks, über den die meisten nicht-lokal ausgetauschten Daten fließen. Die Backbones im Internet sind die wichtigsten Verbindungen der großen Provider.Backdoor ("Trapdoor", Hintertür)
Ein (meist vom Autor) eingebauter Teil einer Software, der es ihren Benutzern ermöglicht, unter Umgehung der normalen Zugriffsrechte Zugang zum einem Rechner oder einer sonst geschützten Funktion eines Programms zu erlangen (z.B. Universalpasswort für BIOS oder WLAN-Router). Auch z.B. von einem Trojaner heimlich installierte Software, die einen Fernzugriff auf den Rechner ermöglicht.Backup ("Sicherung")
Regelmäßige Sicherung der Daten eines Computers oder eines ganzen Netzwerks in der Regel auf externe Datenträger (Bänder, DAT, CDROM, DVD, WORM), um im Falle ihrer Zerstörung den Betrieb wieder aufnehmen zu können. Man unterscheidet:- Vollständig: Sicherung der gesamten Daten
- Inkrementell: Sicherung nur der geänderten Daten gegenüber der letzten Sicherung
- Differenziell: Sicherung nur der geänderten Daten gegenüber der letzten vollständigen Sicherung
Beginners All purpose Symbolic Instruction Code (BASIC)
Eine relativ einfach zu erlernende Programmiersprache, die vor allem unter Microsoft Windows zur Programmierung von Anwendungen oder als aktives Element innerhalb von Anwendungen eingesetzt wird ("Visual Basic", VBA = "Visual Basic for Applications").Betriebssystem (Operating System, OS, BS)
Betriebssysteme sind die wichtigsten Programme (unter UNIX/Linux der Kern oder Kernel), ohne die auf einem Computer nichts läuft. Werden beim Start (Booten) eines Computers zuerst geladen und von den Anwendungen als Grundlage benutzt. Bekannte Betriebssysteme sind MS-DOS, MS-Windows, Apple macOS, Linux, OS/360, OpenBSD, FreeBSD, NetBSD, BSD/OS, VMS.Binary Digit (Bit)
Zusammengesetzt aus den Begriffen "Binary" (Binär) und "Digit" (Ziffer). Computer können im Grunde nur die Zustände "aus" und "ein" voneinander unterscheiden. Die Unterscheidung zwischen genau zwei verschiedenen Möglichkeiten wie "aus" und "ein" bzw. "0" und "1" ist die kleinste Informationseinheit in der elektronischen Datenverarbeitung.Blacklist
Enthält eine Liste von E-Mail- oder WWW-Adressen, die von einer Firewall zurückgewiesen werden. Siehe auch Greylisting.Blockchiffrierung
Ein symmetrischer Verschlüsselungs-Algorithmus, der nicht Einzelzeichen, sondern Textblöcke fester Größe (meist 64 Bit = 8 Byte) verschlüsselt (siehe Stromchiffrierung). Beispiele dafür sind Blowfish, IDEA, DES, 3DES und AESBlowfish
1993 von Bruce Schneier entwickelte symmetrische Blockchiffrierung, die eine Blocklänge von 64 Bit verwendet. Die Schlüssellänge kann bis zu 448 Bit betragen. Ist eine schnelle, frei verfügbare (nicht patentierte) Alternative zu DES und IDEA. Twofish ist von Blowfish abgeleitet und wurde ebenfalls von Bruce Schneier entwickelt.Booten
Starten eines Computers und Laden seines Betriebssystems.Boot-Sektor
Bereich einer Festplatte, Diskette, CD-ROM oder USB-Sticks, der beim Start eines Rechners als erster gelesen wird. Enthält die notwendigen Informationen (Partitions-Tabelle und Boot-Lader), damit ein Computer sein Betriebssystem starten kann.Boot-Viren
Viren, die den Boot-Sektor von Festplatten und Disketten befallen, daher bereits beim Starten (Booten) des Betriebssystems ausgeführt werden und anschließend im Arbeitsspeicher verbleiben. Meist dadurch übertragen, dass von einer bereits infizierten Diskette (oder CD-ROM bzw. USB-Stick) gebootet wird.Bot-Netz (Botnet)
Unter einem Botnet oder Bot-Netz (kurz für Roboter-Netzwerk) versteht man ein fernsteuerbares Netzwerk von PCs, die (z.B. mit einer DSL-Leitung) ständig am Internet hängen. Derartige Netzwerke können 100 bis 100.000 Rechner und mehr umfassen, die Summe ihrer Bandbreiten übersteigt leicht die Bandbreite üblicher Internetzugänge, siehe Vint Cerf - Ein Viertel der Internet-PCs ist Mitglied eines Bot-Netzes.Die Kontrolle über die PCs wird durch Würmer, Trojanische Pferde oder Root-Kits erreicht, mit denen der Computer infiziert ist, ohne dass die betroffenen PC-Nutzer etwas davon mitbekommen. Meist genügt der Besuch einer infizierten Internet-Seite, deren Link per Mail an den Anwender versendet wurde.
Die Bots warten auf Aufträge von einer Zentrale und führen dann gleichzeitig mit ihrer geballten Kraft SPAM-Versand, Denial-of-Service-Attacken und ähnliche illegale Aktionen durch und bedrohen damit Anbieter von Internetdiensten.
Die Leistung derartiger Botnetze wird verkauft und der Zugriff und die Steuerung möglichst weitgehend verschleiert, sodass keine Zurückverfolgung zum Auslöser der Angriffe möglich ist.
Bekannte Vertreter von Botnetzprogrammen sind Agobot, Phatbot und R(x)Bot.
Brechen eines Verfahrens
Finden einer Methode, um mit einem gegebenen Chiffrierverfahren verschlüsselte Nachrichten zu entziffern, ohne den geheimen Schlüssel zu kennen. Solange die effektivste Angriffsmethode für ein Verfahren im Durchprobieren aller Schlüssel liegt (Brute Force), gilt es als nicht gebrochen.Bridge ("Brücke")
Verbindung zwischen 2 Netzsegmenten (analog einem Hub, der aber mehr als 2 Netzwerksegmente verbindet) und die Signale dabei nur verstärkt und sofort weiterleitet. Für die Rechner in diesen Netzwerksegmenten nicht sichtbar.Bridging Paketfilter
Ein Paketfilter der auf OSI-Layer 2 arbeitet und daher von den Rechnern nicht gesehen wird.Broadcast ("Radiomeldung", "Herausposaunen")
Nachricht in einem lokalen Netz an alle angeschlossenen Rechner. Müssen von Switches in alle angrenzenden Netzwerke weitergeleitet werden. Typischer Vorgang in einem MS-Windows Netzwerk (NetBIOS). Zuviele Broadcasts belasten das Netzwerk stark.Browser
Dienen zur Darstellung der in einer logischen Beschreibungs- oder Auszeichnungssprache wie HTML, SGML oder XML verfassten Dokumentbeschreibungen auf dem Bildschirm. Sollten betriebssystemunabhängig sein, bekannte Beispiele sind Internet Explorer (IE), Edge, Netscape Navigator, Mozilla Firefox, Opera, Google Chrome, Vivaldi, Konqueror, Safari.Brute Force Angriff
Angriff auf einen verschlüsselten Text, bei dem seine Entschlüsselung durch Durchprobieren aller möglichen Schlüssel versucht wird. Benötigt umso mehr Rechenleistung, je länger die verwendeten Schlüssel sind.Bei symmetrischen Verfahren gelten heute Schlüssel mit einer Länge von 128 Bit und mehr als sicher. DES-verschlüsselte Texte (56 Bit Schlüssellänge) konnten bereits mehrfach durch Brute Force Angriffe auf PCs oder mit Spezial-Hardware entschlüsselt werden.
Bei asymmetrischen Verfahren besteht der Brute Force Angriff darin, aus dem bekannten öffentlichen Schlüssel den privaten Schlüssel zu berechnen. Hier liegen sichere Schlüssellängen bei 1024 Bit und mehr (abhängig vom Verfahren).
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Nationale IT-Sicherheitsbehörde der Bundesrepublik Deutschland (siehe BSI)BSI Grundschutzhandbuch
Umfangreiches Handbuch zur Erstellung von IT-Sicherheitsrichtlinien für niedrigen und mittleren Sicherheitsbedarf. Kann vom Bundesanzeigerverlag oder elektronisch bezogen werden.BSI Sicherheitshandbuch
Handbuch zur Erstellung von Sicherheitsrichtlinien und Erarbeitung von Maßnahmen bei mittlerem bis hohem Sicherheitsbedarf. Schon etwas betagt, aber inhaltlich durchaus noch aktuell (leider vergriffen). Das dort erläuterte Verfahren basiert u.a. auf einer formellen Risikoabschätzung.Buffer Overflow ("Pufferüberlauf")
Programmierfehler, der die Ursache vieler Sicherheitsproblemen darstellt. Der Programmierer sieht dabei für Daten-Eingaben einen Speicherplatz begrenzter Länge vor, verhindert aber im Programm nicht, dass diese Länge gezielt überschritten und damit zusätzlicher Speicherplatz überschrieben wird.Durch geschicktes Ausnützen dieses Fehlers können Programme zum Absturz gebracht oder sogar beliebiger Programmcode ("Shell Code") eingeschleust und ausgeführt werden.
Bug ("Käfer")
Mit Bug werden seit Anbeginn der Computerzeit Fehler in Programmen bezeichnet. Werden meist durch Updates oder Patches behoben ("geflickt").Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das 1991 gegründete Bundesamt gehört zum Geschäftsbereich des Bundesministerium des Innern und ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.Erstellt u.a. Richtlinien für die Informationssicherheit und stellt eine Reihe wichtiger Schriften zur Verfügung, z.B. das Grundschutzhandbuch. Unterhält ferner Mailinglisten zu sicherheitsrelevanten Themen und ist zuständig für Zertifizierungen nach verschiedenen Standards (z.B. Common Criteria oder ITSEC). Auf der WWW-Seite des BSI findet man viele nützliche Informationen rund um die IT-Sicherheit.
Byte
Eine Informationseinheit bestehend aus 8 Bit, die sich als Standard herauskristallisiert hat. Speichert typischerweise ein Zeichen (26 + 26 Klein/Groß-Buchstaben, Umlaute, 10 Ziffern, Satzeichen, Steuerzeichen, Sonderzeichen, usw.).Die Größe einer Datei, eines Hauptspeichers oder einer Festplatte wird in den Begriffen Kilobyte (1 KByte = 1024 Byte), Megabyte (1 MByte = 1024 Kilobyte), Gigabyte (1 GByte = 1024 Megabyte), Terabyte (1 TByte = 1024 GigaByte) und Petabyte (1 PByte = 1024 TeraByte) angegeben.
Ob der Faktor 1000 oder 1024 zur Anwendung kommt, ist nicht einheitlich geregelt. Bei RAM-Speicher wird der größere Faktor benutzt, bei Festplatten meist der kleinere Faktor, um sie größer erscheinen zu lassen.
Cache ("Zwischenspeicher")
In einem Cache werden Daten zwischengespeichert, auf die dann schneller zugegriffen werden kann, als wenn sie an ihrem normalen Speicherort gelagert werden. Caches gibt es beispielsweise bei Festplatten, bei Prozessoren (für Zugriffe auf den Arbeitsspeicher) oder auch in Browsern (Favoriten, Links, Web-Seiten) oder Web-Servern.Sicherheitstechnisch sind Caches relevant, weil darin "alte" Information über einen längeren Zeitraum aufgehoben wird und somit evtl. von Unbefugten gelesen werden kann.
Carrier Sense Multiple Access/Collison Detect (CSMA/CD)
Übertragungsverfahren in Ethernet-Netzwerken. Alle angeschlossenen Rechnern können zu beliebigen Zeitpunkten senden. Treten dabei Kollisionen auf, so werden diese von allen beteiligten Rechnern erkannt und durch Wiederholen der Nachricht mit einer zufälligen Verzögerung ("exponential back-off") versucht zu beheben.Als Ethernet-Netzwerke noch aus Koax-Kabelsträngen mit vielen Anschlusspunkten ("Tranceiver") bestanden, war dieses Verfahren sehr wichtig. Inzwischen werden Netzwerke fast ausschließlich mit Switches als "sternförmige" Strukturen realisiert. Hierbei ist pro Netzwerk-Kabelsegement nur 1 Rechner angeschlossen, Kollisionen treten also im Kabel gar nicht mehr auf. Kommen am Switch gleichzeitig mehrere Pakete an, so verhindert dieser die Kollision, indem er die Pakete zwischenspeichert und leicht verzögert weitergibt. Pakete werden aufgrund der in einem Switch eingebauten Intelligenz auch nur an das richtige Kabelsegement weitergeleitet.
Cäsar-Verschlüsselung
Eine der einfachsten (asymmetrischen) Verschlüsselungsmethoden, die schon von den alten Römern und insbesondere Cäsar eingesetzt (erfunden?) wurde. Ersetzt jeden Buchstaben durch den 3 Stellen weiter hinten im Alphabet stehenden (A → D, B → E, …, Z → C).Mit einer Häufigkeitsanalyse der Buchstaben ist diese Verschlüsselungsmethode kinderleicht zu knacken. Eine symmetrische Verschlüsselung dieser Form ist die ROT13-Verschlüsselung.
Certification Authority (CA, Trust Center, Zertifizierungstelle)
Eine vertrauenswürdige Institution, die (öffentliche) Schlüssel erstellt, verwaltet und beglaubigt, indem sie dafür Zertifikate ausstellt. Dabei werden die im Zertifikat abgespeicherten Informationen (insbesondere die Identität des Schlüsselinhabers) einer strengen Überprüfung unterzogen (persönliches Erscheinen, Ausweiskontrolle, …) und mit dem öffentlichen Schlüssel des Zertifikat-Inhabers so verknüpft, dass dieser nicht mehr fälschbar ist. Nur der Besitzer des zugehörigen privaten Schlüssels kann mit dem Zertifikat verschlüsselte Nachrichten entschlüsseln.Vorstellbar analog einer Passbehörde, die Pässe ausstellt. Wer einen Pass (= Zertifikat) möchte, muss persönlich erscheinen und einige unverwechselbare Merkmale nachweisen. Mit dem ausgestellten Pass, von dem man aufgrund des Passfotos und der Unterschrift (= Privater Schlüssel) nachweisen kann, dass er einem gehört, kann man sich an anderen Stellen ausweisen.
Carlisle Adams and Stafford Tavares (CAST-5/6/128/256)
CAST-5/128 ist eine symmetrischer Blockverschlüsselung mit einer Blockgröße von 8 Byte und einer Schlüssellänge von 8-128 Bit von der Firma Entrust Technologies. Lizenzfrei für nicht-kommerziellen und kommerziellen Gebrauch.CAST-6/256 ist eine symmetrischer Blockverschlüsselung mit einer Blockgröße von 8 Byte und einer Schlüssellänge von 8-256 Bit von der Firma Entrust Technologies. Lizenzfrei für nicht-kommerziellen und kommerziellen Gebrauch.
Certificate Revocation List (CRL)
Eine Liste zurückgezogener (d.h. nicht mehr gültiger) Zertifikate (öffentlicher Schlüssel) eines Trust Centers. Diese Sperrlisten werden regelmäßig aktualisiert, daher ist ihre Gültigkeitsdauer auf 10 Tage beschränkt.Viele Web-Browser haben eine Liste von Zertifikaten fest eingebaut, die sie akzeptieren. Allerdings enthalten diese Listen auch viele nicht mehr gültige Zertifikate, die meist immer noch akzeptiert werden.
Challenge-Response-Verfahren ("Herausforderung-Antwort")
Verfahren zur Authentisierung. Das Zielsystem gibt eine zufällig generierte Parole (Challenge) aus. Der Nutzer, der sich gegenüber dem Zielsystem authentisieren möchte, antwortete mit einer passenden Antwort (Response). Diese Antwort wird auf Basis der Challenge per Software oder von einer sogenannten Tokenkarte errechnet.Das Verfahren ist der Verwendung herkömmlicher Passwörter weit überlegen, da zum einen jede Response nur für einen Zugriff gilt und somit das Abhören der Verbindung einem Angreifer nicht hilft. Zum anderen benötigt man zur Verwendung einer Tokenkarte sowohl die (physische) Karte als auch ein (logisches) Passwort, um sie zu aktivieren.
Chiffrierung ("Cipher", Verschlüsselung)
Ein kryptografischer Algorithmus, der zur Verschlüsselung von Daten und Informationen dient. Man unterscheidet Blockchiffrierung und Stromchiffrierung sowie asymmetrische Verschlüsselung und symmetrische Verschlüsselung.Client ("Kunde")
Ein Client ist ein Computer/eine Software, der/die Dienste eines Servers in Anspruch nimmt. So ist z.B. ein PC bzw. der darauf laufende Web-Browser, wenn er WWW-Seiten abruft, ein Client. Das Client-Server-Prinzip ist ein grundlegendes Prinzip in der Netzwerk-Technik. Ein Rechner kann im Prinzip gleichzeitig Server und Client für die verschiedensten Dienste sein.Client-Server-Prinzip
Grundlegendes Prinzip in der Netzwerk-Technik. Normalerweise sind damit 2 Rechner gemeint, die miteinander kommunizieren. Eigentlich handelt es sich dabei aber immer um 2 Applikationen. Die Client-Applikation stellt Anfragen an die Server-Applikation, die von dieser beantwortet werden. D.h. der Client ist "aktiv", der Server ist "passiv".Zwischen den beiden Anwendungen muss nicht unbedingt ein Netzwerk liegen, sondern sie können auch auf dem gleichen Rechner laufen (z.B. beim X Window).
Classless Internet Domain Routing (CIDR)
Verfahren, das auf die Unterteilung von TCP/IP-Netzen in die Klassen A, B, C, D und E verzichtet. Stattdessen wird nur noch die Länge der Netzwerkmaske im Format/1
bis /32
angegeben.
Die Klassen A, B und C können durch die Netzwerkmasken /8
/16
und /24
ausgedrückt werden.
Circuit-Level-Gateway
Ein Proxy, der Daten auf der Transportebene (z.B. die Protokolle UDP und TCP) weiterleitet. Der Inhalt der Daten wird dabei nicht inspiziert, aber immerhin eine Entkopplung der Netze bewirkt, da IP-Pakete nicht direkt an den Zielrechner weitergeleitet, sondern ihre Daten in neue Pakete umkopiert werden.Cluster
Verbund mehrerer Rechner (z.B. Firewalls) um den Ausfall eines (oder mehrerer) dieser Rechner nicht wirksam werden zu lassen, d.h. die angebotenen Dienste ständig verfügbar zu halten (High Availability). Siehe auch Hochverfügbarkeit, Cold Standby und Hot Standby.Cold Standby
Für einen wichtigen Rechner (z.B. eine Firewall) befindet sich ein zweiter Rechner als Ersatzgerät konfiguriert im Netzwerk, muss aber bei Bedarf erst manuell gestartet werden. Siehe auch Cluster und Hot Standby.Common Criteria for Information Technology Security Evaluation (CCITSE)
Die Common Criteria erschienen 1996, sie teilen IT-Systeme in 8 Sicherheitsstufen von EAL 0 (keinerlei Sicherheitsstruktur) bis EAL 7 (formelles Design und Test) ein. In Deutschland ist für Zertifizierungen nach CCITSE das BSI zuständig.Computer Emergency Response Team (CERT)
Beschäftigt sich mit allen Bedrohungen, die ein Netzwerk betreffen. Dazu werden Informationen über Sicherheitslücken in Hard- und Software erforscht. Die Ergebnisse werden Unternehmen mit Produkten mit Sicherheitslücken sofort zur Verfügung gestellt, damit sie entsprechende Verbesserungen entwickeln können. Veröffentlicht und der Allgemeinheit bekanntgegeben werden sie erst nach 45 Tagen. Zu den Bedrohungen gehören Software- und Hardwarefehler, sowie Angriffe durch Viren, Cracker usw.Computerwort
Ein typisches Computerwort umfasst je nach Maschine 8, 16, 32, 48, 64 oder 128 Bit. Einheiten dieser Größe können von der jeweiligen CPU auf einmal verarbeitet und transferiert werden.
Content-Filter ("Inhalte-Filter")
Versucht Inhalte z.B. einer Web-Seite oder einer E-Mail zu erkennen und davon bestimmte herauszufiltern. Z.B. soll die Werbung aus Web-Seiten eliminiert oder jugendgefährdende bzw. rechtsextreme Inhalte unterdrückt werden.Im Bereich der Sicherheit geht es hier vor allem darum, potentiell gefährliche Dateien (EXE-Files, Viren, Würmer) zu unterdrücken.
Cookie ("Daten-Keks")
Beim Browsen im Internet übergeben viele Web-Server dem Web-Browser auf dem Rechner des Anwenders Informationen über sein Verhalten und seine Vorlieben in Form von Cookies, die der Browser auf dem Rechner des Anwenders (dauerhaft oder zeitlich beschränkt) speichert.Bei einem erneuten Aufruf der gleichen Webseite werden diese abgelegten Informationen vom Web-Browser wieder an den Web-Server gesendet, der nun gezielt auf die Vorlieben und Gewohnheiten des Benutzers eingehen kann. Dieses Verhalten ist in der Regel erwünscht, weil es sehr bequem ist und dem Benutzer die mehrfache Eingabe der gleichen Daten erspart.
Cookies sollten eigentlich nur vom ursprünglichen Erzeuger wieder gelesen werden können. Dies wird inzwischen durch zentrale Cookie-Vergabestellen ausgehebelt, sodass sich auch über Anbieter hinweg Informationen über einen Benutzer austauschen lassen. Weiterhin ist das Verfallsdatum der Cookies häufig viel zu lang bemessen.
Durch Einstellungen im Browser kann die Akzeptanz von Cookies und die Dauer ihrer Speicherung gesteuert werden, die Cookies können manuell gelöscht werden und sie können sogar gänzlich abgelehnt werden.
Cracker
Im heute üblichen Sprachgebrauch ein Angreifer auf ein Computersystem. Wird im Gegensatz zum Hacker verwendet, womit ein besonders fähige Computerkundiger bezeichnet wird. Gelegentlich werden beide Begriffe missverständlich gebraucht.Data Encryption Standard (DES)
Von IBM Anfang der 1970 entwickelter symmetrischer Block-Verschlüsselungsalgorithmus mit einer effektiven Schlüssellänge von 56 Bit (die ursprünglich vorgesehene Schlüssellänge von 128 Bit wurde auf Wunsch der NSA reduziert, vermutlich da dieser Institution nur für den kürzeren Schlüssel Hardware zum Entschlüsseln zur Verfügung stand).War lange Zeit das wichtigste Standardverfahren zur Verschlüsselung. Wegen der geringen Schlüssellänge ist es aber nicht mehr immun gegen sogenannte Brute Force Attacken (siehe 3DES und AES) und wurde bereits mehrfach geknackt.
Data Link Layer ("Sicherungs-Schicht")
2. Schicht des OSI-Modells: Führt Fehlerkontrolle und -korrekturen zwischen zwei direkt miteinander verbundenen Rechnern durch.Datei ("file")
Zusammengehörende Daten, die beispielsweise mit einem Anwendungs-Programm erstellt und unter einem Datei-Namen auf einem Datenträger gespeichert werden. Zu jeder Datei sind meist weitere Verwaltungs-Informationen wie Besitzer, Alter, Zugriffsrechte, usw. gespeichert. Alle Daten auf einem Datenträger sind in Form von Dateien (und Verzeichnissen) organisiert.Datenschutz
Schutz der allgemeinen Persönlichkeitsrechte von natürlichen Personen (Menschen), insbesondere dem vom Grundgesetz garantierten Anspruch auf Achtung der Privatsphäre, vor einer missbräuchlichen Datenverarbeitung.Datensicherung
Die wichtigste Versicherung gegen erfolgreiche Angriffe, indem die wichtigen Daten auf andere Datenträger/Systeme gesichert werden (möglichst räumlich getrennt).Unbedingt regelmäßig prüfen, ob die Daten im Ernstfall auch wieder restauriert werden können. Gehen Sie dabei stets genau so vor, wie Sie dies auch im Erstfall tun müssten: Sicherungsmedien aus dem außer Haus befindlichen Raum holen und dann die Daten zurücksichern. Nur so schließen Sie aus, dass eine Fehlerquelle unerkannt bleibt.
Überlegen Sie auch: Wer kommt an die Datensicherungen heran? Die Sicherungen sind ein lohnendes Ziel für Angreifer. Daher empfiehlt es sich, die Sicherungen verschlüsselt vorzunehmen, allerdings sollten Sie unbedingt sicherstellen, dass das zugehörige Passwort nicht verloren geht oder in Vergessenheit geraten kann!
Siehe auch Backup und Restore.
Decrypt Content Scrambling System (DeCSS)
Demilitarisierte Zone (DMZ)
Ein zusätzliches peripheres Netzwerk zwischen Intranet und Internet (abgeschirmt durch einen oder mehrere Firewalls), in dem sich die eigenen, öffentlich ansprechbaren Rechnereinheiten befinden (z.B. Web-Server, E-Mail-Server, ftp-Server). Selbst wenn Unbefugte in diese öffentlichen Server eindringen, bleibt das eigene Firmennetz ("Intranet") weiterhin geschützt.Denial of Service (DoS, "Außer Betrieb setzen")
Verbreitete Angriffsform, die darauf abzielt, bestimmte Dienste des Angegriffenen unbenutzbar zu machen, z.B den Internetanschluss eines Unternehmens durch viele gleichzeitige Anfragen so zu überlasten, dass er damit sowohl für das Unternehmen als auch für dessen Kunden nicht mehr verfügbar ist. Besonders schwer zu bekämpfen ist die Variante DDoS.Deutsches Network Information Center (DENIC)
Gesellschaft zur Verwaltung der.de
-Domänen in Deutschland, sitzt in Frankfurt am Main.
Dialer
Programm zur Einwahl über einen Telefonanschluss in das Internet. Siehe auch 0190-Dialer.Diffie-Hellman-Verfahren
1976 als erstes von Whitfield Diffie und Martin Hellman öffentlich vorgestelltes Public-Key-Verfahren. Beruht auf dem schwierig zu berechnenden mathematischen Problem der diskreten Logarithmen. Seit Mitte 1997 ohne Lizenzgebühren benutzbar, da das Patent dafür ausgelaufen ist (im Gegensatz zu RSA).Digitale Signatur
Ein mit dem privaten Schlüssel eines Absenders verschlüsselter Datenblock (Hash-Wert), der vorher aus einer Nachricht mit Hilfe eines Hash-Verfahrens erzeugt wird und so die Authentizität dieser Nachricht bezeugt. Die Überprüfung der digitalen Signatur erfolgt mit dem öffentlichen Schlüssel des Absenders.Signiert werden können u.a. Dokumente und Programme. Mit Hilfe dieser Signaturen kann festgestellt werden, wer der Urheber ist. Auch beweist eine intakte Signatur, dass die Daten nach dem Signieren nicht mehr verändert wurden.
Digital Signature Standard (DSS)
Vom NIST vorgeschlagener Standard für Digitale Signaturen, der z.B. von PGP 5.0 verwendet wird.Distributed Denial of Service (DDoS)
Variante von DoS-Angriffen, die mit Hilfe spezieller Software durchgeführt wird. Diese Software sucht sich zunächst eine Reihe von Rechnern im Internet und installiert dort (unter Nutzung von Sicherheitslücken) Programme, die zu fest eingestellten Zeitpunkten oder nach dem Erhalt eines Signals gezielt ein oder mehrere Ziel-Systeme mit Netzwerkpaketen oder Anfragen nach WWW-Seiten bombardieren.Da der Angriff von vielen verschiedenen Rechnern ausgeht, ist er schwer zu erkennen und kaum zu bekämpfen. Der Verursacher ist noch schwerer zu finden, da er sich am eigentlichen Angriff gar nicht beteiligt.
Häufig sind diese "Bot-Netze" mit infizierten Rechnern "remote konfigurierbar", Zeitpunkt und das Ziel eines Angriffs können so exakt gesteuert werden.
Digitale Subscriber Line (DSL)
Erlaubt über eine herkömmliche Kupferdraht-Telefonleitung eine schnelle Internet-Anbindung (ursprünglich 768 KBit/s in Download- und 128 KBit/s in Upload-Richtung, heutzutage sind auch bis zu 250 MBit/s down + 40 KBit/s up und mehr technisch möglich).Die erzielbare Übertragungsrate hängt wesentlich von der Länge der Telefonleitung bis zum nächsten Verteiler ab, in ländlichen Gegenden ist daher oft keine oder nur eine sehr langsame DSL-Anbindung möglich.
DNS-Spoofing
Übernahme des DNS-Namens eines öffentlichen Rechners z.B. durch Manipulation eines zentralen DNS-Servers oder durch Austausch der DNS-Server-Adresse in den Clients.Der manipulierte oder falsche DNS-Server antwortet dann auf URLs
(z.B. www.heise.de
) mit einer falschen IP-Adresse (z.B.
167.23.49.132
statt 193.99.144.71
). Der Rechner
mit der anderen IP-Adresse imitiert das Verhalten des Original-Rechners
(Web-Auftritt, E-Mail-Server), sodass der Benutzer nichts merkt.
Mittels DNS-Spoofing können Benutzer / E-Mails auf falsche Rechner umgeleitet werden.
Domain ("Domäne")
Teil eines Rechnernamens im Internet, gibt in den meisten Fällen die Organisationeinheit wieder und adressiert eine Gruppe von Rechnern (analog einer Hausadresse, z.B. Deutschland, 90425 Nürnberg, Waldemar-Klink-Str. 10). So steht die Domainostc.de
für die Firma Die üblicherweise verwendete Webadresse www.ostc.de
adressiert
den Rechner "www" in dieser Domain, statt "www" können auch andere Namen
eingerichtet und verwendet werden (und z.B. andere Rechner oder einen anderen
Bereich eines Web-Servers adressieren).
Domain Name Service (DNS)
Wichtigster Internetdienst, der mit Hilfe von Nameservern die Zuordnung von Rechnernamen zu IP-Adressen (und umgekehrt) gewährleistet und z.B. auch die für bestimmte Domains zuständigen Mailserver verwaltet ("MX-Records").DNS basiert auf dem Vertrauen gegenüber Nameservern, die für bestimmte Adressbereiche zuständig sind. Da solche Nameserver gefälscht sein können, stellt DNS ein prinzipielles Sicherheitsproblem im Internet dar.
Die wichtigste und am häufigsten eingesetzte DNS-Daemon-Software ist BIND (Berkeley Internet Name Domain).
Download ("Herunterladen")
Übertragen von Daten von einem fremden Rechner auf den eigenen Rechner im Rahmen einer Online-Verbindung (auf den eigenen Rechner "herunterladen").Dynamic Host Configuration Protocol (DHCP)
Protokoll zur dynamischen Verteilung von IP-Adressen und vieler weiterer Netzwerk-Parameter (z.B. Hostname, DNS-Server, Gateway) an Clients in einem lokalen Netzwerk. Beim Booten oder auch periodisch zu späteren Zeitpunkten holen sich die Clients ihre Netzwerk-Parameter von einem DHCP-Server.E-Commerce ("Elektronischer Handel")
Handel mit Hilfe des Internets.E-Government ("Elektronische Verwaltung")
Dienstleistungsangebot der staatlichen Verwaltung im Internet, das es den Bürgern erlauben soll, Behördengänge so weit wie möglich elektronisch abzuwickeln. Damit dies funktioniert, müssen für alle Bürger elektronische Authentifizierungs-Verfahren wie z.B. Signatur-Karten eingeführt werden.Einmalpasswort ("one time pad")
Passwörter, die nur genau einmal verwendet werden können. Dazu wird anhand eines geeigneten Algorithmus eine Folge von Kennworten erstellt, die dem Benutzer und dem Zielsystem mit einer Liste oder über eine Berechnungsvorschrift bekannt gemacht werden. Bei jeder Anmeldung verlangt das Zielsystem das nächste Kennwort der Folge. Bekannt ist dieses Verfahren vor allem aus dem Online-Banking, bei dem häufig eine Liste sogenannter TANs (Transaction Numbers) verwendet wird.Electronic Mail (E-Mail)
Elektronischer Postdienst, mit dessen Hilfe Nachrichten, Dokumente und Dateien versandt und empfangen werden können.E-Mail-Adresse
Weltweit eindeutige Adresse, an die E-Mails verschickt werden können, z.B.tom.cat@ostc.de
. Sie besteht aus einer Nutzerbezeichnung
tom.cat
dem At-Zeichen @
und einer
Domain-Bezeichnung ostc.de
.
E-Mail-Verschlüsselung
E-Mail kann auf dem Weg vom Absender zum Empfänger genauso leicht eingesehen werden wie eine Postkarte. Inhalte wie Vertragsentwürfe, Angebote, Kalkulationen oDer Bewerbungen sollten daher nur verschlüsselt per E-Mail übertragen werden. Mechanismen hierfür sind z.B. PGP und S-MIME.Bei verschlüsselter E-Mail kann ein Virencheck leider nicht mehr zentral erfolgen, sondern muss auf den Arbeitsplatzrechnern nach dem Entschlüsseln durchgeführt werden.
Emission Security (EMSEC)
US-Zertifikat für etwas abhörsicherere Rechner. Wendet sich gegen einen Angriff durch "Abhören" der elektromagnetischen Abstrahlung von Bildschirmen und Grafikkarten. Dies erlaubt einem Angreifer das Mitlesen des Bildschirminhalts. Solche Angriffe sind relativ einfach durchführbar und nur durch aufwändige Maßnahmen zu verhindern.EU-Signaturrichtlinie
Soll innerhalb der Europäischen Union die rechtlichen Rahmenbedingungen für elektronische Signaturen und bestimmte Zertifizierungsdienste regeln und harmonisieren. Sie soll die Verwendung elektronischer Signaturen erleichtern und zu ihrer rechtlichen Anerkennung beitragen. Im wesentlichen geht es dabei um die Gleichstellung der elektronischen Signatur mit einer handschriftlichen Unterschrift.Bürger oder Unternehmen in der EU können aus der EU-Signaturrichtlinie selbst keine eigenen Rechte oder Ansprüche ableiten. Sie hat also keine Direktwirkung.
Die Richtlinie soll bis 19.7.2001 in nationales Recht umgesetzt werden oder die nationalen Rechte daran angepasst werden (Wortlaut des seit 1997 bestehenden deutschen Signaturgesetz SigG).
Die wichtigsten Anpassungen an das bestehende Signaturgesetz SigG sind die Einführung einer Haftungsregelung, sowie die Ablösung des Genehmigungsverfahrens durch ein Akkreditierungsverfahren. Weiterhin wird auch der Wortlaut des Gesetzes an die Richtlinie angepasst, so dass nicht mehr von digitalen Signaturen oder Zertifikaten die Rede ist, sondern von qualifizierten Zertifikaten mit denen qualifizierte elektronische Signaturen (also signaturgesetzkonforme) erstellt werden können.
Die vollständige Bezeichnung der EU-Signaturrichtlinie lautet: Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen.
Encapsulation Security Payload (ESP)
Bei IPsec verwendetes Protokoll, das zwischen IP-Header und TCP-Header des nächsthöheren Layers (des OSI-Modells) eine Erweiterung hinzufügt, mit der zusätzlich zur Authentisierung auch eine Verschlüsselung der Daten erfolgt. Das eigentliche Verschlüsselungsverfahren ist frei gestellt, zwingend ist jedoch DES zu implementieren. Obligatorische Hash-Verfahren sind MD5-96 und SHA-96.Exploit
Verfahren zur Ausnutzung einer Schwachstelle oder Sicherheitslücke.False Negative
Von Virenscannern und Intrusion Detection Systemen untersuchte Daten und beobachtete Verhaltensweisen werden als normal eingeschätzt, obwohl sie durch einen Virus bzw. Angriff verursacht werden.False Positive
Fehlalarm bei Virenscannern und Intrusion Detection Systemen, d.h. ein angezeigter Virus/ein angezeigter Angriff sind/ist in Wirklichkeit normale Daten bzw. normales Verhalten.Frequently Asked Question (FAQ)
Eine Liste häufig gestellter Fragen (und der dazugehörigen Antworten) zu einem bestimmten Thema. Zu nahezu jeder Newsgruppe im Internet existiert eine solche FAQ. Sinn und Zweck von FAQs ist es, unerfahrene Leser der Gruppe davor zu bewahren, ständig dieselben Fragen zu stellen. Bevor man also in einer Newsgruppe im Internet eine Frage stellt, sollte man nachsehen, ob diese nicht bereits in der FAQ dieser Gruppe (soweit vorhanden) beantwortet ist.Fibre Distributed Data Interface (FDDI)
Netzwerk-Technologie basierend auf Glasfaser-Kabeln.File Transfer Protocol (FTP)
Weit verbreitetes Standard-Protokoll zur Übertragung von Dateien zwischen Rechnern. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SFTP verwenden.File Transfer Protocol Secure (FTPS)
Verschlüsseltes Standard-Protokoll zur Übertragung von Dateien zwischen Rechnern auf der Basis von FTP und SSL/TLSFingerprint ("Fingerabdruck")
Extrakt eines öffentlichen Schlüssels (128 oder 160 Bit lang), der dazu dient, auf einfache Weise die Korrektheit dieses Schlüssels zu überprüfen, ohne den gesamten Schlüssel (1024 Bit und mehr) abgleichen zu müssen. Typischerweise werden Fingerprints in Absenderangaben von E-Mails oder auf Web-Seiten veröffentlicht. Allerdings ist eine wirklich sichere Überprüfung nur dann gegeben, wenn ein zweiter Kanal für die Übermittlung verwendet wird (z.B. Telefon, Brief, persönlich übergebene Diskette, …).Firewall
Infrastruktur aus einem oder mehreren Rechnern, die zwei Netzwerke voneinander trennt und durch Kontrolle des Datenflusses dazwischen Zonen unterschiedlicher Sicherheit schafft. Firewalls werden vor allem zum Schutz interner Netze vor dem Internet oder zur Schaffung unterschiedlicher Sicherheitszonen in Unternehmensnetzen eingesetzt.Nach einer Empfehlung des BSI sollte ein gutes Firewallsystem gemäß dem PAP-Modell aufgebaut sein.
Fully Qualified Domain Name (FQDN)
Vollständiger Name einer Domain im Internet, z.B.ostc.de
.
Fully Qualified Host Name (FQHN)
Vollständiger Name eine Rechners im Internet, z.B.www.ostc.de
.
Freeware ("Freie Software")
Bei Freeware handelt es sich um Software, die ohne Lizenzgebühren oder ähnliches (also ohne Kosten für den Anwender) genutzt werden darf. Sie darf auch beliebig kopiert und weitergegeben werden.Gateway ("Tor")
Eine Rechnereinheit, die zwei oder mehr Netzwerke miteinander verbindet, IP-Pakete zwischen ihnen überträgt und diese dabei gegebenenfalls auch verändert. Für mindestens eines dieser Netzwerke ist es der zentrale Rechner, durch den alle Pakete müssen, die für andere Netzwerke bestimmt sind.Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG)
Auch "Multimediagesetz" genannt und seit 1.7.1997 in Kraft. Umfasst das Teledienstgesetz, das Teledienstdatenschutzgesetz, das Signaturgesetz und weitere Gesetzesänderungen, die die Individualkommunikation betreffen.General Packet Radio Service (GPRS)
Soll in naher Zukunft den Engpass bei der Datenübertragung bei mobilen Rechnern mit GSM mit nur 9.600 Bit/s beseitigen. Durch die gleichzeitige Übertragung auf bis zu acht Kanälen, auch Zeitschlitze genannt, und die Verringerung des Overheads wird eine Transferrate von ca. 110 KBit/s erreicht. Um einen reibungslosen Sprachverkehr zu gewährleisten, wird GSM eine höhere Priorität eingeräumt. Dazu ist ein QoS vorgesehen, der durch dynamische Ressourcenverteilung unterstützt wird.Global System for Mobile Communications (cellular phone technology) (GSM)
Technischer Standard für mobile Telefonie der sogenannten 2. Generation. Für Besitzer von tragbaren Rechnern werden Modems sowie Adapter zu Mobil-Telefonen nach diesem Standard angeboten, so dass Surfen oder das Abrufen von E-Mails auch unterwegs möglich ist. Benutzt eine Datenübertragungsrate von 9.600 Bit/s.Gopher
Standard-Protokoll für die menügesteuerte Informationssuche und den Download von Dokumenten im Internet. Hat sich nicht durchgesetzt und wird kaum mehr verwendet.Greylisting
E-Mails bestimmter Absenderadressen werden beim Erstkontakt zurückgewiesen und erst beim erneuten Zusenden nach Ablauf einer bestimmten Zeit (z.B. 2-4 Stunden) akzeptiert. Dient vor allem zur Spamabwehr, da Server von Spammern in der Regel keinen 2. Versuch startet, die E-Mail zu versenden.Wurde eine E-Mail einmal akzeptiert, dann ist diese Adresse in der Regel für einen längeren Zeitraum freigeschalten (z.B. einen Monat). D.h. weitere Mails mit dieser Absenderadresse werden sofort zugestellt.
Problematisch an diesem Verfahren ist zum einen, dass bei einem Erstkontakt die erste Mail nicht unverzüglich, sondern erst nach Ablauf von mehreren Stunden zugestellt wird. Hat man vorher z.B. am Telefon die unverzügliche Bearbeitung der E-Mail zugesichert, dann wundert sich der Absender über die lange Verzögerung. Zum zweiten gibt es viele falsch konfigurierte Mail-Server (z.B. unter Windows), die entweder nicht lange genug für den 2. Sendeversuch warten oder E-Mails überhaupt nicht erneut versenden, wenn sie beim 1. Sendeversuch abgelehnt wurden.
Siehe auch Blacklist und Whitelist
Hacker
Im heute üblichen Sprachgebrauch ein Angreifer. Früher wurden als Hacker besonders fähige Computerkundige bezeichnet, während Angreifer Cracker genannt wurden. Gelegentlich werden beide Begriffe missverständlich gebraucht. Prozess, der ein System sicherer gegen Angriffe macht. Dies geschieht beispielsweise durch entfernen unnötiger Usernamen/Logins und unnötiger Dienste, schließen offener Netzwerkports oder deaktivieren nicht benutzter Features in Konfigurationsdateien.Hardening kann noch weitergehen, indem beispielsweise aus Sicherheitsgründen unerwünschte Features in Betriebssystem-Kernels komplett entfernt werden (insbesondere im Netzwerkbereich) oder Erkennungs- und Reaktionsmaßnahmen gegen häufige Programmierfehler in den Kern und die Bibliotheken eingebaut werden (siehe GR-Security, W^X-Stack).
Hash-Funktion
Generiert aus einer Datei einen Extrakt (z.B. MD5: 128 Bit = 16 Zeichen, SHA-1: 160 Bit = 20 Zeichen). Dieser Extrakt ist eindeutig dieser Datei zugeordnet und die Bildung lässt sich nicht umkehren (d.h. es ist praktisch unmöglich, eine Datei anderen Inhalts zu erzeugen, die den gleichen Hash-Wert generiert), erlaubt aber nicht die Rekonstruktion der Original-Datei.Z.B. kann eine E-Mail digital unterschrieben werden, indem ihr Hash-Wert mit dem privaten Schlüssel des Versenders verschlüsselt wird. Der Empfänger entschlüsselt mit dem öffentlichen Schlüssel des Versenders den mitgesendeten Hash-Wert und vergleicht ihn mit dem von ihm aus der E-Mail berechneten Hash-Wert. Sind beide gleich, ist sichergestellt, dass die E-Mail wirklich vom Versender stammt und nicht verändert wurde.
Hoax ("Streich, blinder Alarm")
Eine Falschmeldung über einen Virus, die wegen der Überlastung der Netzwerke aufgrund ihrer Weiterverbreitung sehr lästig ist, da sie in der Regel weiterversendet werden (oder sogar dazu aufrufen: "Kettenbrief").Manche Hoaxes fordern zum Löschen von (Windows-)Systemdateien auf, indem sie behaupten, diese Dateien wären Trojaner, und sind daher sehr gefährlich. Eine aktuelle Liste ist unter www.hoax-info.de zu finden. Sehen Sie erst dort nach, bevor Sie eine Virenwarnung befolgen oder weitergeben!
Hochverfügbarkeit (HA)
Kritische Systeme wie Server oder Firewalls sollten hochverfügbar ausgelegt sein, d.h. bei einem Systemausfall muss mindestens ein weiteres System vorhanden sein, das die Aufgaben des ausgefallenen Systems übernimmt. Gute HA-Systeme erlauben den Parallelbetrieb beliebig vieler Einheiten nebeneinander, die sich im Normalfall die Last teilen und im Störungsfall das ausgefallene System nahtlos ersetzen (Cluster).Home-Banking
Siehe Online-Banking.Home Banking Computer Interface (HCBI)
Standard zur Absicherung von Online-Banking. Beruht meist auf einer Chipkarte (gelegentlich auch nur einer Diskette) und stellt eine Alternative zum PIN/TAN-Verfahren dar.Homepage
Hauptseite innerhalb des WWW, auf der sich Organisationen, Institutionen, Unternehmen oder Privatpersonen im Internet darstellen.Hot Standby
Für einen wichtigen Rechner (z.B. eine Firewall) befindet sich ein zweiter Rechner als Ersatzgerät konfiguriert im Netzwerk, der den Ausfall des Primärrechners erkennt und automatisch dessen Aufgaben übernimmt. Siehe auch Cluster und Cold Standby.Hub
Netz-Koppelelement, an das mehrere Netzkabel angeschlossen sind. Alle Signale, die er von einem dieser Kabel empfängt, verstärkt er und sendet sie wieder an alle anderen Netzkabel aus.Hybride Verschlüsselung
Bezeichnet Verschlüsselungs-Algorithmen, die symmetrische und asymmetrische Verschlüsselungsverfahren kombinieren, um ihre Vorteile (symmetrisch = hohe Geschwindigkeit; asymmetrisch = Schlüsselaustausch ohne Verlust der Sicherheit möglich, …) gleichzeitig nutzen zu können.Hyperlink
Verweis auf eine andere Seite oder Information im WWW. Oft als farblich abgesetzter, unterstrichener Text zu erkennen. Häufig sind auch hinter Grafiken Links auf weiterführende Daten hinterlegt. Klickt man mit der Maustaste auf einen solchen Link, ruft der Browser die zugeordneten Daten auf.Hyper Text Markup Language (HTML)
Beschreibungssprache zum Erstellen von Dokumenten im World Wide Web (WWW), die mit Hilfe von Web-Browsern dargestellt werden. Erlaubt das "Verzeigern" dieser Dokumente per Links mit anderen HTML-Dokumenten im Internet und die Einbindung von Multimedia-Inhalten.Hyper Text Transport Protocol (HTTP)
Standard-Protokoll zur Kommunikation im World Wide Web (WWW). Basiert im wesentlichen darauf, dass ein Client eine Anfrage an einen WWW-Server stellt und als Antwort eine HTML-Seite geschickt bekommt, die er dann darstellt. Weder Anfrage noch Antwort sind verschlüsselt!Hyper Text Transport Protocol Secure (HTTPS)
Sichere Variante des HTTP-Protokolls, bei dem die HTTP-Anfragen und -Antworten (HTML-Seiten) verschlüsselt übertragen werden.Identifizierung
Vorgang, der einen Benutzer identifiziert, also einer bekannten Identität zuordnet. Darf nicht mit Authentisierung verwechselt werden.Information Technology Security Evaluation Criteria (ITSEC)
Europäisches Klassifizierungssystem für die Sicherheit von IT-Systemen. ITSEC kennt sieben Sicherheitsstufen (E0 - E6), die teilweise noch nach "niedrig", "mittel" und hoch" unterschieden werden. In Deutschland ist u.a. das BSI für die Zertifizierungen nach ITSEC zuständig.Integrated Services Digital Network (ISDN)
"Dienste-integrierendes digitales Fernmeldenetz", das Telekommunikationsdienste wie Telefon, Fax und Datenübertragung in einem Netz integriert. Internationaler Standard, der vor allem in Deutschland sehr verbreitet ist. Die Digitalisierung erhöht die Übertragungsgeschwindigkeit auf 64.000 Bit/s und verbessert die Übertragungsqualität.Verbindungen von Rechnern in Netzwerken via ISDN bergen grundsätzlich dieselben Probleme wie über Modems.
Integrität
Unverfälschtheit eines Datenbestandes, gehört neben Verfügbarkeit und Vertraulichkeit zu den wichtigsten Sicherheitszielen. Wenn Sicherheitsrichtlinien aufgestellt werden, muss oft gewählt werden, welche dieser Arten im Zweifel Vorrang vor der anderen hat. Beispiel: ist es im Falle eines Angriffes wichtiger, dass ein WWW-Server verfügbar bleibt oder dass die dort hinterlegten Bestelldaten unverfälscht sind?Interface ("Schnittstelle")
Bezeichnet das software- oder hardware-technische Bindeglied zwischen zwei verschiedenen Ebenen, zum Beispiel Anwendung/Betriebssystem, Computer/Drucker oder Software/Mensch.International Data Encryption Algorithm (IDEA)
64-Bit Blockchiffrierung, die einen 128-Bit Schlüssel verwendet. Wird unter anderem von PGP benutzt. Für den nicht-kommerziellen Gebrauch kostenlos, für den kommerziellen Gebrauch muss von der Schweizer Firma ASCOM eine Lizenz erworben werden.Internet ("International Network")
Weltweites Computernetzwerk, das viele kleine lokale Netze von Universitäten, Unternehmen und Institutionen zusammenschließt. Ist aus dem ARPAnet hervorgegangen und basiert auf dem Netzwerkprotokoll TCP/IP.Erlaubt die Nutzung verschiedener standardisierter Netzwerk-Dienste wie FTP, Gopher, Telnet, WWW und E-Mail, um darüber Nachrichten zu versenden/empfangen, Daten zu übertragen, auf Datenbanken zuzugreifen oder an Diskussionsforen teilzunehmen.
Internet Control Message Protocol (ICMP)
Protokoll der zweiten Schicht des TCP/IP-Modells. Es ist u.a. für Fehlermeldungen und dem Versand von Test-Paketen zuständig und gewährleistet die Verständigung in einem TCP/IP-Netzwerk.Internet Explorer (IE)
Standard-Webbrowser von Microsoft Windows. Ist sehr weit verbreitet, da er im Lieferungsumfang der Windows-Betriebssysteme enthalten ist (andere Browser sind z.B. Netscape Navigator, Mozilla Firefox, Opera, Google Chrome, Konqueror).Internet Message Access Protocol (IMAP)
Protokoll zum Zugriff auf einen entfernten E-Mail-Server. Dabei müssen die E-Mails nicht unbedingt heruntergeladen werden, sondern können auf dem Server verbleiben. Verbesserung des POP3-Protokolls.Internet Protocol (IP)
Protokoll im TCP/IP-Netzwerk, um Datenpakete an das richtige Ziel weiterzuleiten.Internet Relay Chat (IRC, "quasseln")
Internetdienst, der es erlaubt, online mit anderen IRC-Benutzern über Texteingaben zu kommunizieren. Entstand 1989 und wurde 1993 zum ersten Mal formell als RFC aufgenommen.Internet Wurm
Berühmter Angriff im Jahr 1988, der einen großen Teil des damals existierenden Internets zum Erliegen brachte. Der Internet Wurm nutzte mehrere bereits lange vorher bekannte Sicherheitslücken, um Rechner zu infizieren, brach dort den Passwortschutz und verteilte sich dann mit Hilfe der gewonnenen Informationen weiter. Er führte dazu, dass Sicherheit im Internet zu einem Thema wurde; u.a. ist die Gründung des CERT auf den Internet-Wurm zurückzuführen.Internet Protocol Version 4 (IPv4)
Ursprüngliche Version des Internetprotokolls, verwendet Internetadressen der Länge 4 Byte = 32 Bit, die maximal etwa 4 Milliarden direkt adressierbare Endgeräte erlauben. Da zu Beginn des Internets viele A- und B-Klasse-Netze unüberlegt vergeben wurden, das IPv4-Protokoll sicherheits-technische Schwächen hat (Authentisierung und Verschlüsselung sind nicht eingebaut), der Großteil der IP-Adressen (etwa 60%) für Amerika reserviert sind und in absehbarer Zeit deutlich mehr als 4 Milliarden Endgeräte zu erwarten sind (IoT-Systeme, Smartphones, RFID-Tags, Fahrzeuge, …), gibt es sein einigen Jahren das IPv6-Protokoll, das diese Beschränkungen aufhebt.Aufgrund von technischen Maßnahmen wie Network Address Translation (NAT) und der zu erwartenden technischen Probleme beim Umstellen von IPv4 auf IPv6 hat sich IPv6 bisher noch nicht vollständig durchsetzen können.
Internet Protocol Version 6 (IPv6, IPnG "Next Generation")
Aktuelle Version des Internetprotokolls, die u.a. längere Internetadressen als das ursprüngliche IPv4 vorsieht (16 Byte = 128 Bit statt 4 Byte = 32 Bit) und damit dessen Knappheit an IP-Adressen beenden wird. Beinhaltet ferner Mechanismen zur Authentisierung und Verschlüsselung, hat sich aber aufgrund von Verbesserungsmaßnahmen für die IPv4-Adressierung wie z.B. CIDR und IP-Masquerading bisher noch nicht vollständig durchsetzen können.Intrusion Detection System (IDS)
Systeme zur Angriffserkennung, die über einen oder mehrere Sensoren auf dem Netz horchen, auffälligen Netzverkehr auswerten und auf bekannte Angriffssignaturen überprüfen. Gute Systeme gestatten es, die Daten der Sensoren zentral zusammenzuführen, zu korrelieren und auszuwerten.Intrusion Prevention System (IPS)
Reagiert im Gegensatz zum rein passiven Intrusion Detection System auf vermutete Angriffe.IP-Adresse
Weltweit eindeutige Adresse für jeden an das Internet angeschlossenen Rechner. Besteht aus vier Byte, die durch Punkte getrennt sind: (z.B. 194.95.179.205). Eingeteilt in die Klassen A, B, C, D und E. Private Adressbereiche für die Nutzung in privaten Netzwerken sind 10.*.*.*, 127.*.*.*, 172.16.*.* bis 172.31.*.* und 192.168.*.*.IP-Masquerading
Auch als PAT (Port and Address Translation), NPAT (Network and Port Address Translation) oder 1-to-n-NAT (Network Address Translation) bezeichnet. Bildet alle Adressen eines privaten Netzwerkes auf eine einzelne öffentliche (dynamische) IP-Adresse eines Gateways ab.Dies geschieht dadurch, dass bei jeder Verbindung nach außen die gleiche IP-Adresse verwendet wird und die Portnummern ausgetauscht werden. Dieser Austausch wird in zurückkehrenden Paketen wieder rückgängig gemacht und das Paket dem Ausgangsrechner zugestellt.
Auf diese Weise benötigt ein gesamtes privates Netz nur eine einzige registrierte öffentliche IP-Adresse. Angenehmer Nebeneffekt: Die Rechner im privaten Netzwerk können vom Internet aus nicht angewählt werden.
IP Secure (IPSec)
Erweiterung des Internetprotokolls IP, das verschlüsselte Kommunikation und Authentisierung erlaubt. IPSec funktioniert mit IPv4 (derzeit verbreitete IP-Version) und IPv6 (in Zukunft geltende IP-Version). Musterimplementierungen wie KAME sorgen dafür, dass auch unterschiedliche Produkte, (z.B. VPN-Schnittstellen unterschiedlicher Hersteller) miteinander verschlüsselt kommunizieren können. Ganz so einfach ist die Verbindung von VPN-Produkten unterschiedlicher Hersteller über IPSec trotzdem nicht.IP-Spoofing (Address-Spoofing)
IP-Spoofing bezeichnet das Versenden von IP-Paketen mit gefälschter Quell-IP-Adresse, z.B. das Simulieren einer IP-Adresse eines internen Systems durch ein externes System. Der Header jedes IP-Pakets enthält normalerweise die Quell-IP des aussendenden Rechners. Tauscht man sie vor dem Absenden gegen die IP-Adresse eines anderen Rechners aus, dann "scheint" das Paket von dieser Maschine zu kommen.Kann dazu genutzt werden, Sicherheitsmaßnahmen wie z.B. einfache Firewalls zu überwinden, um z.B. IP-Pakete von "außen" in ein Intranet einzuschleusen, IP-adressbasierte Authentifizierung im Netzwerk auszutricksen oder den eigenen Rechner zu "verschleiern". Siehe ARP-Spoofing, DNS-Spoofing, RIP-Spoofing und URL-Rewriting/WWW-Spoofing.
Integrated Services Digital Network (ISDN)
ISDN-Router
Dient dazu, einen Rechner oder ein Computer-Netzwerk über das ISDN-Netz mit Hilfe eines Providers mit dem Internet zu verbinden. Enthält häufig bereits rudimentäre Firewall-Funktionalität. Die Datenrate beträgt (magere) 64 kBit/s Up+Download, bei Nutzung beider ISDN-Anschlüsse 128 kBit/s Up+Download. Ist die einzige grundsätzlich vorhandene Möglichkeit der Anbindung eines Standortes an das Internet.ISO/OSI-Modell
Siehe OSI-Modell.Java
Weitverbreitete, plattformunabhängige (d.h. portable) Programmier- und Skriptsprache für HTML-Seiten (siehe Aktiver Inhalt), die von der Firma SUN entwickelt wurde. Aufgrund der Maschinenunabhängigkeit nicht ganz so schnell wie viele andere Programmiersprachen. Hat mit der Programmiersprache JavaScript nichts zu tun.Verfügt im Gegensatz zu anderen Skriptsprachen über ein sinnvolles Sicherheitsmodell. Da Java aber bei Anwendung auf WWW-Seiten dazu benutzt werden kann, Programme mit anderen Skriptsprachen zu tunneln, sind aktive Inhalte mit Java ebenso problematisch wie mit anderen Skriptsprachen.
Java Virtual Machine (JVM)
Da Java eine maschinenunabhängige Programmiersprache darstellt, ist für die Ausführung von Java-Programmen eine JVM notwendig, die auf jedem Rechner installiert sein muss, der Java-Programme ausführen will.JavaScript
Weitverbreitete Skriptsprache für HTML-Seiten (siehe Aktiver Inhalt), die von Netscape erfunden wurde. Hat mit der Programmiersprache Java nichts zu tun.Junk Mail (Spam, Massenmail, UCE)
Diese an sehr viele Empfänger unverlangt zugeschickten E-Mails wie z.B. Werbe-E-Mails (Spam) sind aus vielerlei Gründen sehr ärgerlich für den Empfänger: Es kostet Zeit (und damit Geld), sie aus den wirklich wichtigen E-Mails herauszuwerfen und sie belasten die Übertragungskanäle der Online-Dienste und Provider. Meist ist die Absenderkennung gefälscht.KAME
Verbreitete IPv6-Implementierung, die u.a. eine Musterimplementierung für IPSec (auch unter IPv4) zur Verfügung stellt. Verschiedene Produkte, die auf KAME basieren, sind meist miteinander kompatibel. Entsprechende Informationen finden sich auf www.kame.net.Key Escrow ("Urkunde zur Schlüsselübertragung")
Hinterlegung eines privaten Schlüssels bei einer staatlichen Stelle, um bei Bedarf eine Überwachung des Datenverkehrs zu ermöglichen. Der Gesetzgeber hat vor allem deshalb daran Interesse, weil viele Verschlüsselungsverfahren die Verfolgung und den Nachweis einer ganzen Reihe von Verbrechen nahezu unmöglich machen können.Key Ring ("Schlüsselring/bund")
Datei, in der PGP die ihm bekannten öffentlichen und privaten Schlüssel speichert.Kompromittierung
Bekanntwerden eines geheimen Verfahrens oder eines geheimen Schlüssels, sodass die damit geschützten Daten nicht mehr geschützt sind.Konfigurationsdatei
Datei in der das Betriebssystem oder ein Anwendungs-Programm Einstellungen gespeichert hat. Die meisten Programme benötigen derartige Konfigurationsdateien, um stabil und vernünftig ablaufen zu können.Standardverfahren unter UNIX/Linux, unter Windows werden derartige Einstellungen meist in der Registry abgelegt.
Kryptoanalyse ("Cryptanalysis")
Beschäftigt sich mit (mathematischen) Verfahren zur Entschlüsselung codierter Nachrichten ohne dazu vom Schlüssel Kenntnis haben zu müssen.Kryptographie ("Cryptography")
Wissenschaft mit dem Ziel, Nachrichten, die zwischen zwei oder mehr Partnern ausgetauscht werden, geheimzuhalten, siehe auch Verschlüsselung.Kryptologie ("Cryptology")
Bezeichnet die Sparte der Mathematik, die Kryptographie und Kryptoanalyse vereint.LAMP
Mit LAMP oder "LAMP-Stack" ist ein Open Source Web-Applikations-Server bestehend aus einer Kombination des Betriebssystems Linux, des Webservers Apache, der Datenbank MySQL und der Skriptsprache Perl/PHP/Python gemeint.Lightweight Directory Access Protocol (LDAP)
Eine vereinfachte Version des "Directory Access Protocols" (DAP), das einen Standard für die Kommunikation mit "Verzeichnisdienst" genannten Datenbanken im Internet (oder auch Intranet) darstellt. Erlaubt sicheren und geschützten Zugriff auf z.B. E-Mail-Adressen oder Zertifikate.Makro ("Textbaustein")
Folge von Befehlen, die aufgezeichnet und unter einem Namen abgespeichert werden. Wird ein Makro aufgerufen, werden die gespeicherten Befehle in der aufgezeichneten Reihenfolge wieder abgearbeitet. Makros werden in der Regel in Anwendungs-Programmen für wiederkehrende Aufgaben verwendet. Populär sind hier besonders Office-Anwendungen.Sind sicherheitsrelevant, da sie als aktive Elemente zusammen mit Office-Dokumenten wie Word-Dateien und Excel-Sheets abgespeichert werden und beim Öffnen dieser Dateien häufig automatisch ausgeführt werden.
Makrovirus
Virus, der in einer sogenannten Makrosprachen programmiert ist. Populäre Office-Programme wie Microsoft Excel oder Word erlauben z.B. die Programmierung von Makros und damit auch von Makroviren, die in Dokumente eingebettet vorwiegend über E-Mail verbreitet werden. Solche Dokumente sollten stets einem Virenscan unterzogen werden, bevor sie geöffnet werden.Zusätzlichen Schutz vor neuen Makroviren bietet das Öffnen solcher Dokumente auf Testrechnern und das Abschalten von Makros. Zwar weisen neuere Versionen der makrofähigen Programme oft eine Abfragefunktion auf, die eine Bestätigung verlangt, bevor ein Makro ausgeführt werden soll. Doch erstens werden solche Fragen oft rasch weggeklickt, zweitens wurden auch schon Angriffe bekannt, die diese Nachfragen unterlaufen konnten.
Maleware/Malicious Code ("üble Software")
Sammelbegriff für schädliche Programme, auch Viren genannt. Darunter fallen RootKits, Backdoors, Trojanische Pferde und Würmer. Ihre Verbreitung wird durch das Internet, besonders durch Download, E-Mail und IRC vereinfacht. Nutzen bekannte Sicherheitslücken in Betriebssystemen und Anwendungs-Programmen, um sich zu verbreiten und Schaden anzurichten.Während in den Anfängen fast ausschliesslich Assembler als Programmiersprache genutzt wurde, werden inzwischen durch die Verbreitung des Betriebssystems MS Windows auch höhere Programmiersprachen wie C und Visual Basic oder Scriptsprachen wie Visual Basic Scripting Edition (VBS) und Visual Basic for Application (VBA), die Makrosprache von Microsoft Office, benutzt.
Man-in-the-middle
Angriff, bei denen ein Dritter sich unbemerkt in die Kommunikation zwischen zwei Partnern einschmuggelt und diese abhört oder sogar manipuliert.Mehrstufige Firewall
Siehe PAP-Modell.Messaging Application Programming Interface (MAPI, Messaging API)
Proprietäre Schnittstelle von Microsoft zum Verwalten, Versenden und Synchronisieren von E-Mails, Terminen, Kontakten und Aufgaben aus beliebigen Anwendungen heraus. Stellt die zentrale Schnittstelle von Microsoft Exchange und von Microsoft Outlook dar.Media Access Control (MAC)
6 Byte lange Nummer (z.B. 00:02:3F:75:DC:58), die weltweit eindeutig jeder Ethernet-Netzwerkkarte zugeordnet ist. Wird in lokalen Netzen zur Adressierung verwendet.Message Digest 5 (MD5)
Eine von Ron Rivest entwickelte und weit verbreitete 128-Bit Hash-Funktion, wird z.B. von PGP zusammen mit dem RSA-Algorithmus verwendet.Multipurpose Internet Mail Extensions (MIME)
Ermöglicht ursprünglich in einer E-Mail nicht nur einfache Textnachrichten zu übertragen, sondern auch Texte mit Umlauten, Bilddateien, Dateien aus Anwendungs-Programmen usw. Wird inzwischen von vielen anderen Protokollen zur Übertragung von Daten eingesetzt, um den Dateityp zu spezifizieren (PGP, S-MIME).Die sogenannten MIME-Attachments mit Anwendungsdaten können aber auch ein Sicherheits-Risiko darstellen (siehe Attachments).
Modulator/Demodulator (Modem)
Gerät zur Datenfernübertragung (DFÜ) zwischen Computern über Wählleitungen des analogen, öffentlichen Telefonnetzes. Wandelt dazu die digitalen Daten des Computers in analog Signale ("Töne") um und umgekehrt. Derzeit lassen sich Übertragungsraten bis zu 56 kBit/s erreichen. Werden mehr und mehr von ISDN abgelöst.In Unternehmen werden Modems häufig für Wartungszugänge und zusätzliche Anbindungen ans Internet genutzt. Da hier häufig nicht dieselben Sicherheitsmaßnahmen beachtet werden wie beim Internetanschluss des Unternehmens, bieten Modems eine beliebte Hintertür für Hacker. Abhilfe: Die Einwahlpunkte in ein Secure Server Netzwerk verlagern.
Wichtig Standards der ITU (International Telecommunication Union) sind V.34+ (bis 33.600 Bit/s), V.42 (mit Fehlerkorrektur), V.42bis (mit Datenkompression) und V.90 (bis 56.600 Bit/s).
Multicast
Versenden eines Datenpaketes an viele Rechner gleichzeitig, z.B. für Video- oder Televion on Demand.National Institute for Standards and Technology (NIST)
Eine Abteilung des US-Handelsministeriums, die offene Standards publiziert, die sich mit der Fähigkeit von Hard- und Software befassen, miteinander zu kommunizieren (Interoperabilität). Hieß früher NBS (National Bureau of Standards).National Security Agency (NSA)
US-amerikanische Behörde, die sich u.a. mit der Entwicklung und Kryptoanalyse von Verschlüsselungsverfahren beschäftigt. usw.NetBIOS
Altes Netzwerkprotokoll in MSDOS- und Windows-Netzwerken.Netmask ("Netzmaske)
Definiert über eine Anzahl von 1-32 aufeinanderfolgenden Bits den Teil einer IP-Adresse, der ihren Netzanteil darstellt (z.B.255.0.0.0
= /8
,
255.255.0.0
= /16
,
255.255.255.0
= /24
).
Notwendig für das "Routing".
Network Address Translation (NAT)
Setzt (private) IP-Adressen auf im Internet gültige IP-Adressen um und wird oft in Paketfilter-Firewalls eingesetzt. Die Struktur des eigenen Netz wird damit häufig vor anderen Netzen verborgen, da es nur einen Übergangspunkt gibt, auf dem NAT stattfindet. Application-Level-Gateway benötigen kein NAT, da hier stets die Adresse des Firewalls verwendet wird, nicht die aus dem internen Netz.Network Layer ("Vermittlungs-Schicht")
3. Schicht des OSI-Modells: Führt die Vermittlung und Zustellung der Datenpakete zwischen 2 Endpunkten durch (IP-Schicht).Network Virtual Terminal Protocol (TELNET)
Weit verbreitetes Standard-Protokoll zum Anmelden an Rechnern über Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SSH verwenden.Network File System (NFS)
Von der Firma SUN erfundenes Standard-Netzwerk-Dateisystem für die Freigabe von Dateisystemem zwischen UNIX-Rechnern.Leider schon relativ alt und daher schlecht gegen Missbrauch gesichert (weder die Authentifizierung noch der Datentransfer sind gegen Mitlesen geschützt). Sollte daher nur in sicheren, abgeschotteten Umgebungen eingesetzt werden.
Network Information System (NIS, Yellow Pages)
Von der Firma SUN erfundener Standard-Dienst für die zentrale Benutzer- und Gruppen-Verwaltung von UNIX-Rechnern. Auch Rechnernamen, Netzwerkgruppen und viele andere zentrale UNIX-Systemdateien sind damit administrierbar. Fasst eine Reihe von UNIX-Rechnern in einer "flachen" NIS-Domäne zusammen (bitte nicht mit einer DNS- oder einer Windows-Domäne verwechseln). Hieß zunächst "Yellow Pages" bis die British Telecom gegen diesen von ihr registrierten Namen Einwand erhob.Leider schon relativ alt und daher schlecht gegen Missbrauch gesichert (weder die Authentifizierung noch der Datentransfer sind gegen Mitlesen geschützt). Sollte daher nur in sicheren, abgeschotteten Umgebungen eingesetzt werden. Sichere Ersatzanwendungen sind NIS+ und LDAP.
Network Information System + (NIS+)
Von der Firma SUN entwickelter deutlich verbesserter Nachfolger von NIS. Arbeitet verschlüsselt und bietet eine hierarchische Namenstruktur. Hat sich leider nicht durchgesetzt.Netzwerkprotokoll
In Netzwerken (z.B. dem Internet) kommunizieren die Rechner untereinander mit der Hilfe von exakt definierten Protokollen. Unter Protokoll kann man sich so etwas wie die gemeinsame "Sprache" des Netzwerkes vorstellen. Typische Beispiele sind TCP/IP, ICMP, SMTP, POP und FTP, Im Zuge der technischen Entwicklung werden Protokolle oft verfeinert oder z.B. um sicherheitstechnische Eigenschaften erweitert und es gibt dann ein "Nachfolger-"Protokoll. Viele Internet-Protokolle werden durch RFCs definiert.Newsgroup ("Newsgruppe")
Diskussionsforen, in denen sich die Nutzer über festgelegte Themen austauschen. Die Themen können technisch, gesellschaftspolitisch, randgruppenbezogen, aber leider auch gewaltverherrlichend, sexistisch oder am Rande der Legalität sein. Mitteilungen in diesen Newsgroups werden für lange Zeit von bestimmten News-Servern gespeichert und verteilt.Notfallplan
Legt fest, welche Maßnahmen bei einem erfolgreichen Angriff durchzuführen sind, wer wofür zuständig ist, welche Daten Priorität haben und wer informiert werden muss. Sollte rechtzeitig aufgestellt und immer wieder geübt werden, da im Ernstfall kaum jemand kühlen Kopf behält. Wichtig ist dabei, dass der Notfallplan bekannt gemacht wird und leicht zugänglich ist.Offline ("ohne Verbindung")
Verbindungsloser Zustand eines Rechners, meist in Bezug auf das Internet.Online ("in Verbindung")
Zustand einer Verbindung eines Rechners, meist mit dem Internet.Online-Banking
Abwickeln von Bankgeschäften (z.B. Überweisungen oder Aktienhandel) von zu Hause aus über das Internet.One-time-Keypad (OTP, Einmal-/Wegwerf-Schlüssel)
Die einzige nachweisbar sichere Verschlüsselungsmethode. Man erzeugt einen "echt" zufälligen Schlüssel, der genauso lang ist wie die zu verschlüsselnde Nachricht und verwendet ihn nur ein einziges Mal zum Ver- und zum Entschlüsseln. Hier gibt es 2 Probleme:- Wie erzeugt man einen "echt" zufälligen Schlüssel (d.h. keinen pseudo-zufälligen) über einen Algorithmus?
- Wie handhabt man den Schlüssel (d.h. wie gelangt er zum Empfänger, wie wird er verwahrt, und wie wird er vernichtet).
Open Source Software (OSS)
Dabei handelt es sich um Software, bei der der Quellcode mitgeliefert wird oder auf Verlangen ohne zusätzliche Kosten erhältlich ist.Orange Book
Klassifizierung von IT-Systemen nach den Sicherheitsklassen D, C1, C2, B1, B2, B3 und A1. Die Klassifizierungen werden nur in den USA zertifiziert. Das Orange Book erschien 1983, inzwischen sind die Klassifizierungen nach ITSEC und CCITSE gebräuchlicher.OSI-Modell
Standardisierte Aufteilung der OSI (Open Systems Interconnection) eines Netzwerkes in 7 logische Schichten. Hat sich wegen seiner Komplexität nie durchgesetzt, ist aber gut zur sauberen Trennung und Darstellung der einzelnen Aufgaben in einem Netzwerk geeignet (Merkspruch: All people seem to need data processing oder Please Do Not Throw Salami Pizza Away).
Nr | Layer | Ebene/Schicht | Einordnung | Beispiel |
---|---|---|---|---|
7 | Application | Anwendung | Anwendungs- orientiert | FTAM |
6 | Presentation | Darstellung | ASN.1 | |
5 | Session | Sitzung | ISO 8326 | |
4 | Transport | End-zu-End-Verbindung | Transport- orientiert | ISO 8073 |
3 | Network | Vermittlung | CLNP | |
2 | Data Link | Sicherung | HDLC | |
1 | Physical | Bit-Übertragung | Token Bus |
TCP/IP kennt dagegen nur 4 Schichten (Merkspruch: Alle Transportieren Netzwerk Daten):
Nr | Layer | Ebene/Schicht | Einordnung | Beispiele |
---|---|---|---|---|
4 | Process/Application | Anwendung | End zu End (Multihop) | HTTP, FTP |
3 | Host-to-Host | End-zu-End- Verbindung | TCP, UDP, ICMP | |
2 | Internet/IP | Vermittlung | Punkt zu Punkt | IP |
1 | Network Access | Übertragung | Ethernet |
Outlook Express
Standard-E-Mail- und Groupware-Programm von Microsoft Windows. Ist sehr weit verbreitet, da es im Lieferungsumfang der Windows-Betriebssysteme enthalten ist.Packet InterNet Groper (Ping, "Herumtaster")
Programm, mit dem ein Internet-Server angesprochen werden kann. Es ermittelt u.a. die URL zu einer IP-Adresse, die Verfügbarkeit und die Verbindungsgeschwindigkeit und verwendet dazu ICMP. Der Autor Mike Muuss benannte seinen Hack nach dem Sonar-Ortungsgeräusch von U-Booten.Paketfilter (PFL)
Firewall-Typ, der auf der Basis von Protokolltyp, IP-Adresse, Portnummer, Netzwerk-Interface, Verbindungsstatus, usw. Filterregeln auf die Netzwerkpakete anwendet. Ist die Verbindung gemäß den Filterregeln erlaubt, lässt der Paketfilter die Daten der Verbindung wie ein Router passieren. Angriffe auf IP-Ebene kann ein Paketfilter daher nur abwehren, wenn zusätzliche Schutzmechanismen greifen. Eine sogenannte Stateful Inspection gewährt zusätzlichen Schutz. Ein klassischer Paketfilter hat keinen Zugriff auf Anwendungsdaten und kann daher keine Angriffe auf Anwendungsebene (z.B. Viren) erkennen.PAP-Modell
Nach einer Empfehlung des BSI sollte ein Firewallsystem gemäß dem PAP-Modell (- Äußerer Paketfilter (PFL)
- Application-Level Gateway (ALG) (Proxy-Server, auf dem ein Virenscanner mit ständig aktualisierten Virenmustern für die benötigten Protokolle E-Mail, HTTP, usw. läuft)
- Innerer Paketfilter (PFL)
Zusätzlich notwendig ist eine genaue Festlegung der durch die Firewall zugelassenen Netzwerk-Dienste, seine sorgfältige Einrichtung und anschließende Überwachung. Dabei kann der meist ohnehin vorhandene externe (DSL-)Router mit entsprechenden Regeln als äußerer Paketfilter ausgelegt werden.
Mehrstufige Komplett-Firewalls gibt es nur wenige auf dem Markt (z.B. von genua).
Passphrase
Dient wie ein Passwort dazu, Daten vor unbefugtem Zugriff zu schützen. Besteht jedoch aus mehreren Wörtern sowie Zahlen und Satzzeichen, um eine größere Sicherheit zu bieten. Dient häufig dazu, den Private Key eines asymmetrischen Schlüsselpaars abzusichern.Passwort
Schützt den Zugang zu Benutzerkennungen und Anwendungen. Mit der Eingabe eines Passwortes weist der Benutzer nach, dass er zu dem geschlossen System eine Zugangsberechtigung hat (z.B. Eingabe der Geheimzahl am Geldautomaten). Im Internet werden Passwörter bei bestimmten Diensten benötigt, zum Beispiel bei der Einwahl ins Internet über einen Internetprovider oder den Zugang zu Bestimmten Internet-Seiten.Da sehr leistungsfähige Passwort-Crack-Programme verfügbar sind, dürfen Passwörter keinesfalls an in Lexika befindlichen Wörtern angelehnt sein (egal welcher Sprache). Gute Passwörter sollten Gross-, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten und in regelmäßigen Abständen (alle paar Monate) geändert werden.
Sinnvoll ist auch das Vorbereiten einiger "guter" Passworte, die im Notfall, wenn das eigene Passwort "verbrannt" (anderen bekannt) ist, ohne großes Überlegen verwendet werden können. Gute Passworte kann man "auswürfeln" oder aus einem (möglichst sinnlosen) Satz ableiten (z.B. "Heute bleibt die Hausfrau nicht mehr am Herd" => "HbdH5m2H"), der das Memorieren erleichtert.
Passwort-Cracker
Testen Passwörter gegen eine Vielzahl aufbereiteter Wörterbücher und daraus abgeleiteten Passwörtern. Funktioniert auch bei verschlüsselt abgespeicherten Passwörtern, da aus großen Lexika abgeleitete Passwörter entsprechend verschlüsselt und mit dem verschlüsselten Passwort verglichen werden.Patch ("Flicken")
Ein kleines Programm, das Fehler in Anwendungs-Programmen oder Betriebssystemen behebt. Service Packs stellen eine Sammlung von Patches dar, die auf einen Schlag auf einem Betriebssystem installiert werden.Personal Firewall
Programm, das auf einem Arbeitsplatzrechner installiert wird und diesen ähnlich einer Firewall schützen soll. Durch den Einsatz auf einem Arbeitsrechner ist jedoch eines der wichtigsten Prinzipien von Firewalls durchbrochen:Eine Firewall sollte immer auf einem gesonderten System mit dem minimal nötigen Softwareumfang (z.B. abgespecktes Betriebssytem) installiert sein.Gute Personal Firewalls bieten vor allem beim Einsatz auf privaten Rechnern, die mit dem Internet verbunden sind, bei sorgfältiger Konfiguration angemessenen Schutz; hier wäre der Schutz durch eine normale Firewall nicht verhältnismäßig. Im Unternehmensumfeld sind Personal Firewalls wegen des geringeren Schutzniveaus und der erschwerten Administration kein Ersatz für eine zentrale, dedizierte Firewall.
Penetrationstest
"Erlaubter" Angriff, mit dem externe Spezialisten gezielt ein zu überprüfendes Netzwerk angreifen, um eventuelle Sicherheitslücken festzustellen. Ein echter Penetrationtest geht weit über den Einsatz von fertiger Scansoftware hinaus, sondern wird wie ein richtiger Hackerangriff durchgeführt.Personal Identification Number (PIN)
Für den Zugang zu einem Konto mit einer Bank-Card ist neben der Konto-Nummer auch die geheime 4-stellige PIN notwendig, die normalerweise nur der Kunde kennt (und deshalb auch geheim halten sollte).Physical Layer ("Bit-Übertragungs-Schicht")
1. Schicht des OSI-Modells: Sendet und empfängt Bits.Phishing (Password Fishing)
Aus "Passwort" + "Fishing" zusammgesetztes Kunstwort. Phishing-Mails sollen arglose Online-Kunden auf Websites locken, die den echten Web-Auftritten von Banken täuschend ähnlich nachempfunden sind, und dort zur Eingabe der Zugangsdaten (z.B. PIN-Nummer, TAN-Nummer) verleiten. Solche Mails sollte man sofort in den Papierkorb werfen, Banken treten nicht auf diese Weise mit Kunden in Verbindung. Die Zugangsdaten werden nie zu Kontrollzwecken von Banken abgefragt (auch nicht per Telefon). Basis von Phishing-Angriffe kann auch URL-Rewriting/WWW-Spoofing oder DNS-Spoofing sein.Ping of Death
(Veralteter) Angriff durch ein in Teilen (Fragmenten) gesendetes, unzulässig langes ICMP-Paket. ICMP wird für Statusmeldungen und z.B. das Programm ping verwendet. Das angegriffene System stürzt beim dem Versuch ab, das unzulässige Paket zusammenzusetzen und zu verarbeiten. Der Angriff sollte inzwischen bei allen Betriebssystemen wirkungslos bleiben.Plug-In
Hilfsprogramm, das sich in ein anderes Programm "einklinkt" und dessen Funktionalitäten erweitert.Internet-Browser unterstützen bereits eine Vielzahl von Formaten (z.B. Grafiken, Videos, Audio-Aufnahmen) und Verfahren (z.B. gesicherte Verbindungen aufbauen und verschlüsselte Nachrichten austauschen). Täglich kommen jedoch neue Formate hinzu, die von den Browsern nicht direkt unterstützt werden. Mit den passenden Plug-Ins, die über eine standardisierte Schnittstelle vom Browser angesprochen werden, sind diese neuartigen Formate dann doch im unveränderten Browser verwendbar.
Allerdings kann man sich durch schlecht programmierte Plug-Ins leicht Sicherheitslöcher in seinem Browser einhandeln, die den eigenen Rechner angreifbar machen. Im Internet kursieren viele "Exploits", mit denen diese Sicherheitslücken ausgenützt werden können, also Vorsicht.
Point to Point Protocol (PPP)
Kommunikationsprotokoll zwischen 2 Endpunkten, z.B. bei der Einwahl per Modem in das Internet zwischen dem eigenen Rechner und dem Provider.Port ("Tor")
In einem TCP/IP-Netzwerk hat ein Rechner zunächst nur eine IP-Adresse. Will man innerhalb des Rechners unterschiedliche Applikationen/Server adressieren, so macht man das über die Ports, die von 0-65535 durchnummeriert sind. Die Ports 0-1023 sind sogenannte Well known Ports die nur von Anwendungen mit Administrator-Rechten benutzt werden dürfen.Port Forwarding ("SSH-Tunneling")
Verfahren, mit dem man über einen willkürlich gewählten Port auf dem localhost eine SSH-Sitzung auf einen bestimmten Port eines anderen Rechners eröffnet. Daten anderer Internet-Dienste wie FTP, X11, POP oder HTTP können somit durch die verschlüsselte Strecke "getunnelt" werden. Dadurch profitieren diese unsicheren Protokolle vom ausgezeichneten und verifizierten Verschlüsselungsmechanismus der SSH-Verbindung und können auch dann weiter verwendet werden, wenn die unverschlüsselten Zugänge geschlossen sind.Port Scan
Hiermit versucht ein Angreifer herauszufinden, welche Dienste ein Rechner nach außen hin anbietet, indem er nacheinander alle Ports dieses Rechners "anspricht". Dient in der Regel dazu, einen Angriff vorzubereiten, indem Schwachstellen gesucht werden.Ein Portscan untersucht die Rechner eines Netzwerkes auf bekannte Dienste wie HTTP, TELNET, FTP etc. Dies ist dadurch möglich, dass jedem Dienst ein eigener numerischer Wert (die sog. TCP/ UDP-Portnummer) zugewiesen wird und jeder Dienst auf eine Anfrage mit einer charakteristischen Antwort reagiert.
Die prinzipielle Arbeitsweise eines Portscanners beruht darauf, dass er entweder versucht, eine Verbindung zu einem Dienst aufzubauen (Connect Scan) oder über die Antwort auf ungültige Pakete (Stealth Scans) Informationen über die aktiven Dienste auf einem Rechner erhalten möchte (weitere Informationen).
Post Office Protocol V3 (POP3)
Protokoll um E-Mails von einem Mail-Server abzuholen.Pretty Good Privacy (PGP)
Programm zur hochsicheren digitalen Signatur und Verschlüsselung von Texten, insbesondere von E-Mails, das von Phillip Zimmermann entwickelt wurde. War ursprünglich freie Software, wurde dann aber in ein kommerzielles Unternehmen übertragen. Der nicht-kommerzielle Gebrauch ist kostenlos, zum kommerziellen Gebrauch muss eine Lizenz von Network Associates Inc. (NAI) erworben werden.Als freies Gegenstück zu PGP gibt es das in Deutschland entwickelte GnuPG, das mit den anderen PGP-Versionen kompatibel ist. Beide können u.a. mit einer Vielzahl von Mailprogrammen kombiniert werden.
Das frei verfügbare Verschlüsselungsprogramm Pretty Good Privacy (PGP), das sich als Quasi-Standard für den Austausch verschlüsselter E-Mail etabliert hat, benutzte ursprünglich den asymmetrischen Algorithmus RSA und als symmetrischen Algorithmus IDEA. In neueren Versionen wird als asymmetrischer Algorithmus Diffie-Hellman/DSS und für die symmetrische Seite CAST verwendet (RSA und IDEA werden jedoch weiterhin unterstützt).
Privacy Enhanced Mail (PEM)
Vorgeschlagener Internet-E-Mail-Standard, der Protokolle zur Verschlüsselung, Integritätsprüfung ("Wurde die Nachricht nachträglich verändert?"), Schlüsselverwaltung und Authentifizierung (digitale Signatur) umfasst. Verwendet RSA-Schlüssel der Länge 508 bis 1024 Bits und basiert auf dem X.509-Format.Hat sich nicht durchgesetzt und besitzt keinerlei praktische Bedeutung mehr.
Private/Secret Key (Privater Schlüssel, Geheimer Schlüssel)
Einer von den 2 Schlüsseln in Verfahren zur asymmetrische Verschlüsselung, der nicht veröffentlicht wird, sondern geheim bleibt. Er dient dazu, Nachrichten an den Inhaber zu entschlüsseln und für ihn digitale Signaturen zu erzeugen.Meist wird dieser Private Schlüssel durch ein Passwort oder eine Passphrase geschützt, damit er nicht im Klartext irgendwo auf Festplatte oder Diskette abgelegt ist.
Proprietäre Software
Software, die nur in bestimmten Umgebungen lauffähig ist und nur gegen Zahlung von Lizenzgebühren erhältlich ist. Meist ist hiermit Software für kommerzielle Betriebssysteme wie Windows gemeint. In der Regel wird der Quellcode nicht veröffentlicht, sodass eine Anpassung nicht möglich ist.Proxy ("Stellvertreter")
Ein Programm, das stellvertretend für einen Client den Auf- und Abbau von Verbindungen durchführt. Wird in Application- und Circuit-Level-Gateways eingesetzt. Verbindungen werden nicht einfach nach Prüfung durchgelassen sondern unterbrochen und mit Hilfe des Proxies verbunden (beabsichtigter Man-in-the-Middle-Angriff). Für den Client und den Server ist dieses Verhalten normalerweise transparent (nicht feststellbar). Dadurch wird das interne Netz zuverlässig vor Angriffen auf IP-Ebene geschützt.Wird von WWW-Servern auch verwendet, um Daten zwischenzuspeichern und sie so beim nächsten Abruf schneller auszuliefern (die Performance erhöhen).
Private Key Verfahren
Siehe symmetrisches Verfahren.Protokollanomalien
Datenverkehr, der gegen Netzwerkregeln verstößt. Hierunter fallen beispielsweise unerwartete Daten und zusätzliche beziehungsweise ungültige Zeichen. Protokollregeln für Netzwerkprotokolle, wie Telnet, HTTP, SMTP, SSH, werden in den Sensoren eines IDS nachgebildet und dadurch Abweichungen davon erkannt.Provider
In der Regel ist hiermit der Zugangsvermittler zum Internet gemeint. Häufig wird auch von Internet-Provider, Internet-Access-Provider oder Internet-Service-Provider gesprochen.Public Key (Öffentlicher Schlüssel)
Einer von den 2 Schlüsseln in Verfahren zur Asymmetrische Verschlüsselung, der veröffentlicht wird (z.B. auf einem Public Key Server). Er dient dazu, Nachrichten an seinen Inhaber zu verschlüsseln und von diesem durchgeführte digitale Signaturen zu überprüfen.Ein von einer Certification Authority beglaubigter öffentlicher Schlüssel heißt Zertifikat. Ein Zertifikat wird auch als elektronischer Ausweis bezeichnet.
Public Key Infrastructure (PKI)
Sicherheitssystem zur Verschlüsselung von Informationen und zur Identifizierung von Anwendern mithilfe digitaler Zertifikate zwischen mehrere Partner.Bezeichnung für die notwendigen technischen Einrichtungen sowie der dazugehörenden Prozesse und Konzepte bei der asymmetrischen Verschlüsselung. Zu den notwendigen Einrichtungen gehören u.a. CA (Certification Authority). Hier werden Zertifikate ausgestellt, Public Keys auf so genannten Public Key Server bereitgestellt, die CRL (Certificate Revocation List) gepflegt usw. Der Aufbau der CA ist nach X.509-Format hierarchisch, so gehören auch internationale CA wie ICE-TEL dazu.
Aber auch die notwendigen Einrichtungen für die Beglaubigungsgruppen, die bei PGP Anwendung finden, fallen unter diesen Begriff.
Public Key Server
Verwaltet ein öffentliches Schlüsselverzeichnis, vergleichbar einem elektronischen Telefonbuch, in dem die öffentlichen Schlüssel der Benutzer, die dies wünschen, für jeden leicht erreichbar zugänglich gemacht werden.Public Key Verfahren
Siehe Asymmtrische Verschlüsselung.Quality of Service (QoS)
Steuerung der Verbindungsqualität abhängig von der Verbindungsart oder dem Verbindungsprotokoll.Quantenkryptografie
Eine Mischung aus Physik und kryptografischen Protokollen, bei der sich Abhörversuche sicher beweisen lassen. Erlaubt die sichere Informationsübertragung, ist jedoch in der Praxis noch außerordentlich schwer zu realisieren.Race Condition
Programmierfehler, der für Angriffe ausgenützt werden kann. Ein Programm belegt bestimmte Ressourcen, sichert diese aber nicht sofort, sondern erst später gegen unerlaubten Zugriff ab. Dazwischen kann ein geschickter Angreifer auf diese Ressourcen zugreifen und für seine Zwecke verwenden. Besonders häufig geschieht dies, wenn ein Programm Daten vorübergehend in temporären Dateien ablegt. Der Angreifer verschafft sich auf diese Dateien Zugriff, kann sie ändern, zerstören oder mit ihrer Hilfe Systemprivilegien erlangen. Es gibt noch viele andere Race Conditions, von denen eine Vielzahl Sicherheitsprobleme darstellen können.RC2, RC4 und RC5 (Ron's Code)
RC2 ist eine symmetrische Blockchiffrierung von RSADSI mit variabler Schlüssellänge und einer Blockgröße von 64 Bit. Als Ersatz für DES konzipiert und etwa zwei- bis dreimal schneller. Wird von S-MIME eingesetzt.RC4 ist eine symmetrische Blockchiffrierung von RSADSI mit variabler Schlüssellänge. Wird von HTTPS (SSL) verwendet.
RC5 ist eine symmetrische Blockchiffrierung, die 1994 von Ron Rivest für RSADSI entwickelt wurde. Sowohl Blockgröße als auch Schlüssellänge sind variabel.
Relay-Missbrauch
Siehe SPAM.Regulierungsbehörde für Telekommunikation und Post (RegTP)
Ging am 1.1.1998 aus dem Bundesministerium für Post und Telekommunikation (BMPT) und dem Bundesamt für Post und Telekommunikation (BAPT) hervor. Verwaltet neben der Regulierung des Telekommunikations- und Postmarktes auch die Frequenzen und Rufnummern und erstellt die Genehmigung zum Betrieb von signaturkonformen Zertifizierungstellen. Ist dem Bundeswirtschaftsministerium nachgeordnet und hat ihren Hauptsitz in Bonn.Remote Dienste (R-Dienste)
Eine Reihe von UNIX-Standard-Programmen, die das Arbeiten über Netzwerk auf einem entfernten Rechner ermöglichen, z.B. RCMD, RCP, RLOGIN und RSH. Arbeiten alle mit dem RPC-Protokoll und sind alle unsicher, da die Anmeldung und die Datenübertragung unverschlüsselt erfolgt.Remote Command (RCMD)
Weit verbreitetes UNIX-Standard-Protokoll zum Ausführen von Kommandos auf Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SSH verwenden.Remote Copy (RCP)
Weit verbreitetes UNIX-Standard-Protokoll zum Kopieren von Dateien zwischen Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SCP verwenden.Remote Execute (REXEC)
Weit verbreitetes UNIX-Standard-Protokoll zum Ausführen von Kommandos auf Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SSH verwenden.Remote Login (RLOGIN)
Weit verbreitetes Standard-Protokoll zum Anmelden an Rechnern über Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SSH verwenden.Remote Procedure Call (RPC)
Von der Firma SUN erfundenes Verfahren, Prozeduren auf einem anderen Rechner über Netzwerk hinweg aufzurufen. Dient als Basisprotokoll für eine ganze Reihe von Netzwerkdiensten wie z.B. NFS, NIS und NIS+.Remote Shell (RSH)
Weit verbreitetes UNIX-Standard-Protokoll zum Ausführen von Kommandos auf Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr unsicher, besser SSH verwenden.Repeater ("Wiederholer")
Siehe Bridge.Replay Angriff
Ein Angreifer zeichnet fremde verschlüsselte Nachrichten auf (ohne sie dechiffrieren zu können) und spielt sie zu einem späteren Zeitpunkt noch einmal in ein System ein, um sich dort unter falschem Namen zu authentifizieren und den Datenverkehr zu stören, zu verfälschen oder in das fremde System einzudringen.Request For Comment (RFC)
Definieren Internet-Standards und machen Vorschläge für neue Internet-Standards. Dienste wie E-Mail, HTTP, MIME etc. werden durch RFCs geregelt. Eine Übersicht über alle RFCs findet man unter www.ietf.org.Restore ("Rücksicherung")
Rückspielen einer oder mehrer Datensicherungen (Backups).Reverse Address Resolution Protocol (RARP)
Broadcast-basierendes Protokoll, das in lokalen Netzen zu einer (physikalische) MAC-Adresse (der Netzwerkkarte) die zugehörige (logische) IP-Adresse sucht.Revocation ("Zurücknahme")
Darunter versteht man das ungültig machen eines öffentlichen Schlüssels, weil z.B. nicht mehr sichergestellt ist, dass nur der Inhaber des zugehörigen privaten Schlüssel darauf Zugriff hat. Damit wird die Gefahr abgewendet, dass ein anderer sich als Schlüsselinhaber ausgibt und damit Schaden anrichtet. Revozierte Schlüssel werden üblicherweise von der CA in eine Certificate Revocation List (CRL) aufgenommen, die jeder einsehen kann.Revocation Password ("Notfall-Passwort")
Dient zu Authentisierung eines Zertifikatinhabers für den Fall, dass dieser keinen Zugriff mehr auf seinen privaten Schlüssel hat, um seine Revozierung digital zu signieren. Damit ist eine telefonische Sperre eines Zertifikats bei einem Trust Center möglich.Radio Frequency IDentification (RFID, Transponder)
Automatische Datenerfassungstechnik, bei der winzige Chips an Produkten oder Verpackungen befestigt werden, um sie (weltweit) eindeutig zu identifizieren. Sie lassen sich per Funk über eine Entfernung von 1-2 Metern ohne direkten Kontakt abfragen — sogar durch eine Geldbörse, einen Rucksack oder eine Tasche hindurch. Viele grosse Handelskonzerne möchten die bekannten EAN-Barcodes durch diese "Schnüffelchips" ersetzen.Leider kann damit so gut wie jedes Objekt auf dem ganzen Planeten — sowie die Menschen, die sie tragen und bewegen — unbemerkt verfolgt werden. Zur Zeit gibt es keine Regelungen oder Gesetze in Deutschland, der EG oder gar weltweit, mit denen die Gesellschaft vor den Gefahren oder gar dem Missbrauch solcher Technologien geschützt werden könnte.
Registry
Zentrale Datenbank bei Windows-Betriebssystemen, in der wichtige Benutzer-, Anwendungs- und System-Einstellungen gespeichert sind. Ein Fehler darin kann dazu führen, dass der Computer nicht mehr startet.Rijndael
Ursprünglicher Name des Advanced Encryption Standard (AES).Routing Information Protocol (RIP)
Protokoll zum Austausch von Informationen zwischen Routern, um die Netzwerktopologie zu ermitteln und allen Routern bekannt zu machen.RIP-Spoofing
Darunter versteht man das Umleiten von Datenströmen durch Einstreuen falscher Routing-Informationen. Als Gegenmaßnahme können unter UNIX-Systemen entsprechende Kernelparameters gesetzt werden.Rivest Shamir Adleman-Algorithmus (RSA)
Bekanntes asymmetrisches Verschlüsselungsverfahren (z.B. in PGP verwendet), benannt nach seinen 3 Autoren, das Patent darauf wird von der US-Firma RSA Data Security Inc. gehalten. Seine Sicherheit beruht auf der simplen Tatsachen, dass es zwar sehr einfach ist, zwei sehr grosse Primzahlen (mit mehreren 100 Dezimalstellen) miteinander zu multiplizieren, es aber umgekehrt sehr schwer ist, dieses Produkt wieder in die beiden Primzahlen zu zerlegen (zu "faktorisieren").root ("Wurzel")
Name des Administrators auf UNIX/Linux-Systemen. Gleichzeitig der Name des Startverzeichnisses des gesamten UNIX/Linux-Dateibaumes.RootKit ("Administratorbausatz")
Sammlung von Softwarewerkzeugen, die nach einem Einbruch auf dem kompromittierten Rechner installiert wird, um zukünftige Anmeldevorgänge ("Logins") des Eindringlings zu verbergen und die zugehörigen Prozesse und Dateien zu verstecken.ROT13 (Rotation 13)
Cäsar-Verschlüsselung mit einer Verschiebung um 13 Buchstaben (A ↔ N, B ↔ O, …, M ↔ Z). D.h. die zweimalige Anwendung dieser Verschlüsselung ergibt wieder den Originaltext. Dient weniger zum Verschlüsseln als zum Schutz gegen versehentliches Mitlesen (z.B. der Lösungen von Rätseln oder politischer/religiöser Kommentare, die die Gefühle anderer verletzen könnten).Router
Eine Art Rechner mit mehreren Netzwerk-Anschlüssen. Hat die Aufgabe, alle Daten, die er erhält, in die richtige Richtung (also zur richtigen Datenleitung — und nur zu dieser) weiterzuleiten. Dazu verwendet er Routing-Tabellen.Routing-Angriff
Angriff, bei dem der Datenstrom zwischen zwei Kommunikationspartnern von einem Angreifer über eine Station geleitet wird, die unter seiner Kontrolle steht. Hierzu ist IP-Spoofing sowie der Versand gefälschter Routing-Informationen erforderlich.Samba
Frei verfügbare Software, die einen UNIX/Linux-Rechner zu einem File-, Print- und Anmelde-Server für Windows-Rechner macht. Auf der Windows-Seite taucht dieser Rechner dann mit einem NetBIOS-Namen in der Netzwerkumgebung auf. Verwendet das SMB-Protokoll, daher der Name.Sandbox
Geschützte Umgebung auf einem Rechner, in der eine unsichere Software ablaufen kann, ohne den Rechner zu kompromittieren.Schadensroutine
Siehe Malicious Code.Schlüssellänge
Die Länge des verwendeten Schlüssels ist von entscheidender Bedeutung für die Sicherheit eines Verschlüsselungsalgorithmus bezüglich Brute Force Angriffen. Bei symmetrischen Verfahren gelten Schlüssel ab 128 Bit als sicher, bei den meisten asymmetrischen Verfahren ab 1024 Bit.Secure Hashing Algorithm 1 (SHA-1)
Vom NIST entwickelte 160-Bit Hash-Funktion, die beim DSS verwendet wird.Secure HTTP (S-HTTP)
Erweiterung des HTTP-Protokolls für die verschlüsselte Übertragung von WWW-Seiten. Auf Grund diverser Einschränkungen wird S-HTTP kaum eingesetzt, sondern SSL verwendet.Server ("Diener")
Ein Server ist ein Computer/eine Software, der Dienste für andere Rechner, genannt Clients, anbietet (z.B. ein Rechner, auf dem ein Web-Server läuft). Das Client-Server-Prinzip ist ein grundlegendes Prinzip in der IT. Ein Rechner kann im Prinzip gleichzeitig Server und Client für die verschiedensten Dienste sein.Session Layer ("Sitzungs-Schicht")
5. Schicht des OSI-Modells: Koordiniert die End-zu-End-Verbindung zwischen 2 Anwendungen. Baut z.B. die Verbindung wieder neu auf und setzt sie an der alten Stelle fort.Secure Copy (SCP)
Script Kiddie ("Kindchen")
Etwas abschätzige Bezeichnung für Jugendliche, die mit fertigen oder nach dem Baukastenprinzip zusammensetzbaren Programmen allgemein bekannte Fehler in Internet-Software ausnutzen. Nichtsdestotrotz können diese Leute hohen Schaden anrichten.Dabei geht es nicht um das Ausspionieren bestimmter Informationen oder das Beeinträchtigen bestimmter Anbieter, sondern um das wahllose Scannen von Rechnern. Mit Hilfe der passenden Exploits wird eine so gefundene Schwachstelle dann ausgenutzt. Ziel ist es, auf einem Rechner die Administrator-Rechte zu bekommen oder einen Backdoor zu installieren, sodass die Systeme dann z.B. für eine DDoS-Attacke benutzt werden können.
Secure Multipurpose Mail Extension (S-MIME)
Standardisierungsvorschlag zur Erweiterung von MIME (von einem RSADSI angeführten Konsortiums von Softwareherstellern), der die Verwendung digitaler Signaturen und Verschlüsselungsverfahren in MIME-Nachrichten ermöglicht. S-MIME-Zertifikate basieren auf dem X.509-Format.Secure Server Netzwerk
Netzwerk, das für öffentlich zugängliche Server wie WWW-Server, ftp-Server oder Einwahlrouter verwendet wird. Dieses Secure Server Netzwerk wird so realisiert, dass es einerseits einen gewissen Schutz gegen das Internet hat, andererseits wird das eigentliche interne Netzwerk gegen das Secure Server Netzwerk abgesichert (siehe auch DMZ).Secure Shell (SSH)
SSH ist ein standardisiertes Protokoll, um sich über das Netzwerk verschlüsselt an Rechnern anzumelden und dort Kommandos auszuführen. Es gibt freie (OpenSSH) und kommerzielle Implementierungen (SSH) davon. Eignet sich z.B. gut für Außendienstmitarbeiter, die nur Zugriff auf einzelne Anwendungen benötigen.Secure Socket Layer (SSL)
Moderne Web-Browser unterstützen verschlüsselte Online-Verbindungen. Dazu wird das von der Firma Netscape entwickelte Protokoll Secure Socket Layer (SSL) verwendet, das auf TCP/IP aufsetzt und eine sichere Kommunikation für Protokolle wie HTTP, FTP etc. ermöglicht (für E-Commerce, Online-Banking oder E-Governments). SSL-gesicherte WWW-Seiten werden mithttps://
statt mit
http://
angesprochen. SSL-Zertifikate basieren auf dem
X.509-Format.
Leider unterstützen Export-Versionen, die außerhalb der USA verfügbar sind, aufgrund von Ausfuhrbeschränkungen nur die schwache 40-Bit-DES-Variante anstelle (die heute nicht mehr als sicher gelten kann) anstelle der starken 128-Bit Verschlüsselung. Weiterhin sind viele in Browser fest eingebaute SSL-Zertifikate leider schon abgelaufen und daher unsicher. Das SSL-Zertifikat, welches die Grundlage für die Verschlüsselung zwischen dem Web-Server und dem Nutzer darstellt und mit dem sich der Server ausweist, basiert auf dem sogenannten X.509-Format.
Security through obscurity ("Sicherheit durch Verschleierung")
Bedeutet, dass Sicherheit durch das Geheimhalten der verwendeten Sicherheitsmechanismen erreicht werden soll. Dies ist eine sehr fragwürdige Methode, da es nur eine Frage der Zeit ist, bis die Geheimhaltung zusammenbricht und das System dann offen liegt (siehe DeCSS = Decrypt Content Scrambling System für DVDs).Weiterhin ist die Qualität des Verfahrens nicht einschätzbar, da Sicherheits-Experten es nicht untersuchen können. Sinnvoller und praktikabler ist es, auf allgemein als gut und getestet eingeschätzte schlüsselbasierte Sicherheitsmechanismen zu vertrauen und nur die verwendeten Schlüssel geheimzuhalten.
Session Hijacking
Übernahme einer bestehenden Verbindung während der Kommunikation der Partner durch einen Angreifer. Kann mit entsprechenden Tools sehr einfach durchgeführt werden. Einziger Schutz hiervor ist Verwendung verschlüsselter Verbindungen (z.B. über SSH).Secure File Transfer Protocol (SFTP)
Verschlüsseltes Standard-Protokoll zur Übertragung von Dateien zwischen Rechnern auf der Basis von SSH und FTPShareware
Art der Softwarevermarktung. Der Anwender hat dabei das Recht ein Programm einige Zeit zu testen und sich erst dann für den Kauf zu entscheiden und sich registrieren lassen. Unregistrierte Shareware hat manchmal Einschränkungen, z.B. sind nicht alle Funktionen nutzbar oder das unregistrierte Programm läuft nur eine gewisse Zeit. Die unregistrierten Programme dürfen kopiert und weitergegeben werden.Sicherheitsrichtlinien
Regelwerk, das Maßnahmen festlegt, die zu einer sicheren IT-Landschaft führen. Hierzu gehören Regeln zum Umgang mit Daten, zur Nutzung und Absicherung von Netzwerken, zur Verwendung von Passwörtern, zur Verschlüsselung von E-Mail und vieles, vieles mehr. Ein Anhaltspunkt zur Erstellung von Sicherheitsrichtlinien ist das BSI-Grundschutzhandbuch.Sicherheitsziele
Die fundamentalen Sicherheitsziele sind:Authentisierung: Wer bin ich?
Authorisierung: Was darf ich?
Vertraulichkeit: Was darf ich sehen?
Integrität: Was darf ich ändern?
Verfügbarkeit: Wann kann ich arbeiten?
Signatur
Siehe Digitale Signatur.Signaturgesetz (SigG)
Gesetz (Artikel 3 des IuKDG), das in Deutschland digitale Signaturen, die bestimmten Standards genügen, der handschriftlichen Unterschrift gleichstellt (d.h. als sicher angesehen werden).Simple Mail Transfer Protocol (SMTP)
Einfaches Protokoll zum Mail-Versand.Simple Network Management Protocol (SNMP)
Einfaches Protokoll zur Verwaltung von Geräten (Druckern, Switches, Rechner, …) in einem Netzwerk.Sniffer
Programme, die den Netzwerkverkehr überwachen und Informationen wie z.B. Passwörter abhören. Weit verbreitet und sehr leicht einzusetzen. Daher sollten Passwörter (aber auch Daten) niemals unverschlüsselt über ein Netzwerk gesendet werden, sondern z.B. durch Einmalpasswörter oder durch Anwendung von SSH abgesichert werden.Social Engineering
Verschaffen von Informationen für einen Angriff durch Täuschung von Systemadministratoren oder anderen Mitarbeitern eines Unternehmens. Beispiel: als Servicetechniker getarnter Angreifer erfragt am Telefon ein Systempasswort.SPAM (Junk, Unsolicited commerical e-Mail UCE)
Unerwünschte Werbe-E-Mail. Findige Geschäftemacher sammeln und verkaufen Listen mit E-Mail-Adressen, die dann mit unerwünschter Werbemail zugeschüttet werden. In der Regel wird für den Versand der Mails ein sogenannter E-Mail-Relay zwischengeschaltet. Als Relay dienen vor allem Rechner im Internet, die ungenügend gegen derartige Manipulationen geschützt sind. Die Empfänger der Werbemails sehen den Relay als Absender an und wenden sich mit ihren Beschwerden an den Betreiber dieses Rechners. Der Begriff SPAM ("SPiced hAM") geht auf ein gleichnamiges englisches Büchsenfleisch zurück, das in 2. Weltkrieg praktisch überall und unbeschränkt verfügbar war und dessen Zusammensetzung zweifelhaft ist.Einige Netzbetreiber prüfen Rechner im Internet darauf, ob sie als Relay missbraucht werden können und sperren sich gegen jeglichen Netzverkehr, der von solchen Rechnern stammt. Daher ist es absolut notwendig, eigene Internetserver relay-fest zu gestalten.
Spoofing
Siehe ARP-Spoofing, DNS-Spoofing, IP-Spoofing, RIP-Spoofing und WWW-Spoofing/URL-Rewriting.Spyware ("Schnüffelsoftware")
Programme, die Informationen über den Rechner, die Surfgewohnheiten, Passwörter(!), usw. des Anwenders in das Internet senden, wenn dieser damit verbunden ist. Häufig durch Viren oder Würmer unbeabsichtigt und unbemerkt auf einem Rechner installiert.SSH-Tunneling
Siehe Port Forwarding.Stateful Inspection
Verfahren, das auf Paketfilter-Firewalls eine Kontrolle auf Verbindungsebene ermöglicht und damit sowohl den Konfigurationsaufwand verringert als auch die Sicherheit gegenüber einem reinen Paketfilter deutlich erhöht (z.B. kann die Gültigkeit der Rück-Richtung für alle erlaubten Verbindungen gemeinsam über eine einzige Regel definiert werden, die nur noch prüft, ob die Hin-Richtung bereits geprüft und erlaubt ist).Steganographie
Versucht im Gegensatz zur Kryptographie zu verschleiern, dass es überhaupt eine geheime Nachricht gibt, indem die vertrauliche Botschaft in harmlos erscheinenden Dateien (z.B. Grafiken oder Musikstücken) versteckt wird.Normalerweise schreibt dazu der Absender der geheimen Nachricht eine nach außen hin harmlos erscheinende Nachricht, und versteckt in dieser die geheime. In Spionagethrillern werden dazu unsichtbarer Tinte, Markierung bestimmter Buchstaben, kleine Unterschiede in der handschriftlichen Schreibweise von Buchstaben oder Briefschablonen benutzt.
Eine moderne Methode besteht darin, die geheime Nachricht in digitalen Bildern zu verstecken, indem z.B. das letzte Bit jedes Bytes des Bildes durch ein Bit der Nachricht ersetzt wird. Der Unterschied ist nahezu nicht zu bemerken, da Grafikformate häufig wesentlich mehr Farbschattierungen zulassen, als das menschliche Auge unterscheiden kann. In einem Bild der Größe 1024x768 Pixel (typische Monitorauflösung) mit 256 Farben pro Pixel (d.h. ein Byte pro Pixel) könnte so eine Nachricht von 96 Kilobytes (etwa 20 bis 25 Schreibmaschinenseiten) versteckt werden.
Stromchiffrierung ("Stream Cipher")
Ein symmetrischer Verschlüsselungs-Algorithmus, der Zeichen für Zeichen verschlüsselt (siehe Blockchiffrierung).Switch
Netz-Koppelelement, an das mehrere Netzkabel angeschlossen sind. Alle Signale, die er von einem dieser Kabel empfängt, verstärkt er und sendet sie nur am richtigen Anschluß wieder aus. Dazu führt er eine MAC-Adressen-Tabelle für jedes Netzwerk-Segment. Kann auch physikalisch unterschiedliche Netzwerke miteinander verbinden (z.B. 10-MBit, 100-MBit, 1000-MBit=1 GBit und 10 GBit-Netzwerke).Symmetric Digitale Subscriber Line (SDSL)
Variante der DSL, bei der in Upload- und Download-Richtungen die gleiche Datenrate verfügbar ist. In der Regel deutlich teurer als ADSL und daher meist nur für Firmen und Institutionen interessant. Voraussetzung für den sinnvollen Einsatz von privat oder öffentlich "hinter" diesem Anschluss nach außen ins Internet angebotenen Diensten (z.B. Web, FTP, Mail, VPN, …).Symmetrische Verschlüsselung (Private-Key Verfahren)
Verschlüsselungsverfahren, bei dem derselbe Schlüssel zur Ver- und zur Entschlüsselung eingesetzt wird (oder der eine Schlüssel lässt sich leicht aus dem jeweils anderen berechnen). Der Schlüssel muss unbedingt geheim gehalten werden, da er sonst wertlos wird. Beispiel: DES, Triple-DES, AES, Blowfish und CAST.SYN-Flooding
Denial-of-Service-Angriff, der das Zielsystem mit unvollständigen Anfragen nach einem TCP-Verbindungsaufbau überschwemmt. Das angegriffene System wartet auf den Rest des Verbindungsaufbaus und hält die entsprechenden Informationen so lange im Speicher, bis aufgrund von Speichermangel oder Überlastung keinerlei Verbindungsaufbau mehr möglich ist oder das System abstürzt.Moderne Systeme halten als Abwehr dagegen die Daten nicht mehr vollständig im Speicher oder warten nur kurze Zeit auf die Vervollständigung des TCP-Verbindungsaufbaus.
Time To Live (TTL)
Vorgabe, wie lange z.B. ein Datenpaket in einem Netzwerk oder eine Zuordnung IP-Adresse ↔ FQHN gültig ist. Beim Datenpaket handelt sich nicht wirklich um einen Zeitraum, sondern um die Anzahl der Router, durch die es maximal weitervermittelt werden darf.Top Level Domain (TLD, "Oberste Domänen Ebene")
Überstruktur für Domains und Teil eines Rechnernamens im Internet, gibt häufig das Land an, z.B..de
für Deutschland. Es gibt aber auch
themenbezogene Top-Level-Domains, z.B. .com
für kommerzielle
Einrichtungen.
Transaktionsnummer (TAN, transaction number)
Verfahren zur Authentisierung beim Online-Banking. Hierbei sind für den Zugang zu einem Konto neben der Konto- oder Kundennummer die geheime PIN (Personal Identification Number) und für jede einzelne Transaktion (z.B. Überweisungen) zusätzlich eine TAN (Transaktionsnummer) angegeben. Eine TAN kann nur einmal verwendet werden. Die Bank sendet in der Regel dem Kunden auf Anforderung eine individuelle Liste mit TANs auf dem Postweg zu.Transmission Control Protocol (TCP)
Schicht des TCP/IP-Protokolls, die sich mit verbindungsorientierter Kommunikation befasst.Transport Layer ("End-zu-End-Schicht")
4. Schicht des OSI-Modells: Koordiniert die End-zu-End-Verbindung zwischen 2 Rechnern (bzw. 2 Anwendungen). Sorgt dafür, dass alle Pakete ankommen und in der richtigen Reihenfolge zusammengesetzt werden.Transport Layer Security (TLS)
Weiterentwicklung von SSL (Secure Socket Layer)TCP-Sequenznummern-Angriff
Der Angreifer versucht durch Erraten der sogenannten TCP-Sequenznummer beim TCP-Verbindungsaufbau die Identität eines anderen Systems vorzutäuschen, damit er statt des anderen Systems Teilnehmer einer Verbindung wird. Dies funktioniert auch durch Paketfilter-Firewalls hindurch. Schwachpunkt ist die Vorhersagbarkeit der Sequenznummern vieler TCP/IP-Stack Implementierungen, die durch Verwendung besserer Zufallszahlengeneratoren fast unmöglich werden kann.Telnet (Terminal emulation over Network)
Siehe Telnet.Transmission Control Protocol/Internet Protocol (TCP/IP)
Im Internet verwendete Familie von Netzwerkprotokollen, die auf den entsprechenden Protokollen der physikalischen Schicht (z.B. Ethernet oder PPP) aufsetzt. Über der physikalischen Ebene folgt die Netzwerkschicht mit dem IP (Internet Protocol). Darauf setzt die Transportschicht mit Protokollen wie TCP (für verbindungsorientierte Kommunikation) und UDP (für verbindungslose Kommunikation) auf. Auf diesen setzt die Anwendungsschicht mit Protokollen wie HTTP oder FTP auf.TCP/IP teilt die zu übertragenden Daten in Datenpakete auf, die verschiedene Wege durch das Netz nehmen können und erst am Zielort wieder zusammengesetzt werden.
Für jede dieser Ebenen gibt es unterschiedliche Angriffe. Je nach eingesetzten Schutzmechanismen können Angriffe der höheren Ebenen meist nicht erkannt werden. Ein Paketfilter-Firewall arbeitet auf Netzwerkebene und kann daher Angriffe der höheren Ebenen nicht erkennen, während ein Application-Level-Gateway Angriffe bis zur Anwendungsebene erkennen kann.
Traceroute ("Spur verfolgen")
Ursprünglich ein Utility aus der UNIX-Welt, das alle Knoten auf den Weg auflistet, der zu einer URL führt. Dadurch kann z. B. das Land des Internet-Servers erkannt werden, auf dem die aufgerufene Domain liegt. Arbeitet über Pakete mit TTL-Feldern. Es verschickt nacheinander Pakete mit wachsendem TTL-Wert und kann so den Weg erfahren, den die Pakete zu einem Ziel nehmen.Triple-DES (3DES)
Weiterentwicklung des DES, symmetrischer Verschlüsselungsalgorithmus mit 168 Bit potentieller Schlüssellänge, die effektive Schlüssellänge beträgt jedoch lediglich 112 Bits. Benutzt drei DES-Schlüssel zu je 56 Bit, mit dem ersten wird der Klartext verschlüsselt, mit dem zweiten entschlüsselt und mit dem dritten wieder verschlüsselt (insgesamt also 3x). Das Verfahren gilt als sicher, ist aber nicht sehr performant.Eine Zeitlang bestand der Verdacht, dass die 3 Verschlüsselungsrunden eine mathematische Gruppe bilden könnten, was eine erhebliche Schwächung des Verfahrens zur Folge gehabt hätte. Diese Vermutung wurde inzwischen widerlegt.
Tripwire ("Stacheldraht")
Programm, das die Integrität eines Systems überprüft. Hilft bei der nachträglichen Erkennung erfolgreicher Einbrüche, indem es die aktuellen Eigenschaften (z.B. Größe, Alter, Besitzer, Zugriffsrechte) von beliebig auswählbaren Teilen des Dateisystems gegen den in einer Datenbank abgelegten Originalzustand prüft.Trojaner/Trojanisches Pferd
Ein Programm, das neben seinem eigentlichen "offiziellen" Zweck noch einen weiteren, meist unerwünschten verfolgt (z.B. ein Mailprogramm, das selbständig Passwortinformationen sammelt und verschickt). Sinn eines Trojanischen Pferds kann es beispielsweise sein, Zugangskennungen mitzuprotokollieren.Trojaner werden meist mit Software aus unsicheren Quellen eingeschleppt. Daher stets Software vom Hersteller kaufen oder von den Originalseiten im Internet oder zur Weiterverbreitung autorisierten Seiten herunter laden und einen Virenscanner benutzen.
Trust Center (TC)
Siehe Certification Authority.Twofish
Im Jahre 1998 von Bruce Schneier veröffentlichte symmetrische Blockchiffrierung, die eine Blocklänge von 128 Bit verwendet. Die Schlüssellänge kann 128, 192 oder 256 Bit betragen. Im Gegensatz zum Vorläufer Blowfish ist Twofish auch auf SmartCards effektiv einsetzbar, und ebenso wie dieser frei von Patent- oder Lizenzgebühren.Übertragungsprotokoll
Siehe Netzwerkprotokoll.Übertragungsrate
Anzahl an Bits pro Sekunde (Bit/s), die in öffentlichen oder privaten Netzen zwischen Kommunikationseinrichtungen übertragen werden. Faxgeräte erreichen bis zu 14.000 Bit/s, Modems bis zu 56 KBit/s, ISDN-Verbindungen erreichen 64 KBit/s und DSL-Verbindungen 768 KBit/s bis 100 MBit/s. Ethernet-Verbindungen erreichen 10 MBit/s, 100 MBit/s (aktuell), 1 GBit/s oder sogar 10 GBit/s (100 GBit/s sind in Vorbereitung).Uniform Resource Locator (URL)
Bezeichnet eindeutig die Adresse eines Dokuments im Internet, die typische Form sieht z.B. so aus: http://tom:cat@www.ostc.de/pub/html/sec.html?topic=nfs&type=full#top
Besteht aus folgenden Teilen (von denen einige auch fehlen dürfen):
- Protokoll (darf fehlen, Standard:
http://
) - User + Passwort (
tom:cat@
, darf fehlen) - Hostname (
www
) - Domäne (
ostc.de
) - Pfad zu Webseite/Datei (darf fehlen,
/public/html
) - Webseite/Datei (
security.html
) - Query String (darf fehlen,
?topic=nfs&type=full
) - Lokaler Anker (darf fehlen,
#top
)
Upload ("Hinaufladen")
Übertragen von Daten vom eigenen Rechner auf einen fremden Rechner im Rahmen einer Online-Verbindung (auf den fremden Rechner "hinaufladen").URL-Rewriting/WWW-Spoofing
Gaukelt dem Benutzer vor, dass er sich auf einer Web-Seite mit einer bestimmten URL (z.B.http://www.google.com
) befindet,
obwohl er sich in Wirklichkeit auf einer Webseite einer ganz anderen URL
(z.B. http://www.google.com@167.23.49.132
) befindet. Diverse Browser
besaßen hier eine Sicherheitslücke, die lange Zeit nicht geschlossen wurde.
User Datagram Protocol (UDP)
Teil-Protokoll der TCP/IP-Protokollsuite, das für eine schnelle aber unzuverlässige, nicht verbindungorientierte Kommunikation zuständig ist.Universal Mobile Telephone System (UMTS)
Nachfolger von GSM, soll ab 2002 als Mobil-Telefonnetz der 3. Generation weltweit einheitlich starten, so dass ein Mobil-Telefon auf der ganzen Welt nach diesem Standard funktioniert. Für die Datenübertragung ist eine Geschwindigkeit von maximal 2 Mbit/s vorgesehen.Universal Serial Bus (USB)
Standard zum Anschluss von Zusatzgeräten wie z.B. Maus, Tastatur, Scanner, ISDNKarten, Modems, USB-Speicher-Sticks an den PC, der in zunehmendem Maße die parallele und serielle Schnittstelle ersetzt. Kann bis zu 128 Geräte mit einer Übertragungsgeschwindigkeit von 12 MBit/s (USB 1.0) bzw. 480 MBit/s (USB 2.0) ansteuern. USB-Geräte können an den laufenden Rechner angeschlossen und direkt benutzt werden, ohne dass das Betriebssystem neu gestartet werden muss.Sicherheitsrisikio, da darüber sehr grosse Datenmengen und evtl. sicherheitstechnisch bedenkliche Programme sehr leicht in/aus einem Netzwerk transferiert werden können.
UNIX to UNIX Copy (UUCP)
Sehr alte und einfache Form der Netzwerk-Verbindung zwischen UNIX-Rechner, die aber auch heute noch zum Austausch von Mails und News genutzt wird. Findet meist 1x pro Nacht statt.Users Network (Usenet)
Summe aller Newsgroups im Internet. Wird durch eine Anzahl von News-Servern gebildet, die die einzelnen Beiträge in den Newsgroups gegenseitig austauschen.Verfügbarkeit
Wichtiges Sicherheitsziel von Daten und Diensten.Verschlüsselung
Übersetzung von sinnvollen Daten in scheinbar sinnlose Daten mit Hilfe eines (elektronischen) Schlüssels. Eine Rückübersetzung ist nur mit Hilfe eines geeigneten Schlüssels möglich, den (hoffentlich) nur Sende und Empfänger besitzen. Zum Verschlüsseln werden bestimmte Algorithmen (meist komplizierte mathematische Operation wie Permutation, Polynome n-ten Grades) verwendet. Sind die Schlüssel für Ver- und Entschlüsselung identisch, handelt es sich um symmetrische Verschlüsselung. Wird zum Entschlüsseln ein anderen (privater) Schlüssel als zum Verschlüsseln (öffentlicher) benötigt, spricht man von asymmetrischer Verschlüsselung.Verschlüsselungsalgorithmus
Ein Verschlüsselungsalgorithmus verwandelt mit Hilfe eines Schlüssels (Keys) einen Klartext in einen unlesbaren chiffrierten Text (Verschlüsselung). Auf ähnliche Weise kann diese Verschlüsselung auch wieder rückgängig gemacht werden (Entschlüsselung), um wieder den Klartext zu erhalten. Ökonomisch daran ist, dass das Problem der Geheimhaltung vieler Nachrichten auf das Problem der Geheimhaltung eines einzigen Schlüssels übertragen wird.Vertrauensmodell
Beschreibt in der PKI die verschiedenen Möglichkeiten, wie dem Public Key eines anderen Inhabers vertraut werden kann. Es werden drei Modelle unterschieden, jedes benötigt andere Enrichtungen, die es unterstützen:Direct Trust
Es wird nur dem vertraut, von dem der Public Key stammt. Der Schlüssel wurde direkt übergeben oder mit Hilfe des Inhabers unter Benutzung des Fingerprints geprüft. Es sind keine weiteren Einrichtungen notwendig.Web of Trust
Es wird dem vertraut, von dem der Public Key stammt. Gleichzeitig wird auch allen vertraut, denen der Inhaber des Schlüssels vertraut; Motto: "Ich kenne ihn, Du kannst ihm vertrauen". Das Vertrauensmodell von PGP basiert hierauf.Hierarchical Trust
Hier ist eine komplette hierarchische Umgebung mit Trust Center zu schaffen. Eine oberste vertrauenswürdige Instanz gibt einer oder mehreren untergeordneten Instanzen ihr Vertrauen. Diese dürfen dann Zertifikate herausgeben, eine einstufige Hierarchie entsteht. Werden von den untergeordneten Instanzen weitere Instanzen (Trust Center, CA) eingesetzt usw., entstehen mehrstufige Hierarchien. X.509 benötigt eine hierarchische Struktur.
Vertraulichkeit
Eigenschaft eines Datenbestandes, dass er nur von Benutzern eingesehen werden kann, denen dies gestattet ist. Eines der fundamentalen Sicherheitsziele, siehe auch Integrität.Verzeichnis (Ordner, "directory")
Logische Struktur zur hierarchischen Unterteilung von Datenträgern in Untereinheiten. Neben Dateien enthalten Verzeichnisse auch weitere Verzeichnisse (sogenannte Unterverzeichnisse). Das Startverzeichnis eines Datenträgers heißt Wurzelverzeichnis (root directory).Virenscanner
Programm zum Suchen und Beseitigen von Viren auf Datenträgern oder in elektronisch transferierten Dokumenten. Kann zentral z.B. auf einer Firewall oder auf Fileservern oder auch lokal auf den Arbeitsplatzrechnern eingesetzt werden. Wichtig ist, dass alle Daten vor dem Abspeichern auf dem Rechner untersucht werden und dass der Virenscanner häufig (jede Woche) aktualisiert wird.Zusätzlich zu einem zentralen Virenscanner empfiehlt sich ein dezentraler Einsatz auf den Arbeitsplatzrechnern. Auch ausgehende E-Mails sollten von Virenscannern geprüft werden, damit nicht versehentlich Geschäftspartnern Makroviren o.ä. geschickt bekommen.
Virtuelles Privates Netzwerk (VPN)
Emulation eines privaten WAN (Wide Area Network) trotz Transport des Netzwerkverkehrs über das öffentliche Internet. Die Privatheit wird durch den Einsatz von Verschlüsselung erreicht. VPNs können auf verschiedene Weise realisiert werden:VPNs nach IPSec
Führen z.B. zu einer vollständigen Netzkopplung auf IP-Ebene: Die VPN-Gegenstellen haben kompletten Zugriff auf die Netzwerke der Partner.VPNs auf Anwendungsebene
Erlauben den Zugriff nur für bestimmte Anwendungen und können beispielsweise über SSH realisiert werden.
Virus
Programm, das andere Programme (oder Dateien) befällt, sich vervielfältigt und auf einem Rechner von Programm zu Programm weiter verbreitet. Viele Viren haben neben den Verbreitungsmechanismen Schadensroutinen eingebaut, die z.B. Daten löschen oder den Betrieb des Rechner stören. Unterschieden werden je nach Verbreitungsweg: BootViren, Datei-Viren, Makro-Viren, Multipartite Viren.War-Dialer
Programm, das systematisch Telefonnummern durchprobiert, bis ein Modem antwortet. Der Begriff stammt aus dem Film "War Games".Wartungszugang
Einwahlmöglichkeiten über Modems oder ISDN für die Wartung von Rechnern oder Softwarepaketen. Können je nach Ausgestaltung einfach zu hackende Nebeneingänge in ein Unternehmen darstellen und müssen geeigneten Sicherheitsmechanismen unterworfen werden.Weeding
Bereinigen und Standardisieren von Protokoll- oder Anwendungsdaten (z.B. HTML-, CSS, JavaScript-Code), um darin enthaltene Fehler zu beheben oder Schadcode daraus zu entfernen.Web-Mailer
Nach Überprüfung der Zugangsberechtigung stellt dieses Interface einem Benutzer die Funktionalität eines E-Mail-Clients über einen Web-Browser zur Verfügung. E-Mails können damit online über die Web-Oberfläche gelesen oder verschickt werden.Whitelist
Enthält eine Liste von E-Mail- oder WWW-Adressen, die von einer Firewall nie zurückgewiesen werden. Siehe auch Blacklist und Greylisting.Wireless Application Protocol (WAP)
Weltweiter offener Standard für drahtlose Kommunikation, der mobilen Endgeräten (Mobiltelefone, PDAs, SmartPhones, …) einfachen und schnellen Zugang zu speziell aufbereiteten Web-Inhalten ermöglicht. WAP ist für geringe Übertragungsbandbreite optimiert und überträgt daher nur die wesentlichen Informationen zu den Microbrowsern auf den Endgeräten (keine Grafiken, sondern nur Texte).Beispiele für derartige Informationen sind Auskünfte über Staus, Bahnverbindungen oder Rufnummern. Auch Nachrichten-Dienste, Branchenverzeichnisse, Online-Banking und -Broking zählen dazu.
Wireless Transport Layer Security (WTLS)
Steuert im WAP-Protokoll die gesicherte Kommunikation, indem es eine verschlüsselte Verbindung zwischen WAP-Endgerät und WAP-Server analog einer SSL-Verbindung ermöglicht.World Wide Web (WWW)
Einer der vielen Dienste im Internet, der aber von herausragender Bedeutung ist. Stellt eine riesige, weltweit verteilte Bibliothek von Dokumenten im Internet dar, die auf vielen Internet-Servern verteilt liegen. Adressiert werden diese Dokumente über URLs, dargestellt werden sie mit der Seiten-Beschreibungssprache HTML und transferiert werden sie mit dem Protokoll HTTP.World Wide Web Consortium (W3C)
Internationale Interessenvertretung zur Förderung von Standards in WWW-Produkten (z.B. in Browsern).Wurm
Im Gegensatz zu Viren befällt ein Wurm keine anderen Programme, sondern verbreitet sich selbständig über ein Netzwerk. Würmer können ebenso wie Viren über Schadensroutinen verfügen.WWW-Spoofing
Siehe URL-Rewriting.X.509
X.509 ist ein Standardformat der ITU-T (International Telecommunication Union-Telecommunication) für Zertifikate. Es beinhaltet den Namen des Ausstellers, üblicherweise eine Certification Authority, Informationen über die Identität des Inhabers sowie die digitale Signatur des Ausstellers. Auf dem X.509-Format basieren z.B. SSL und S-MIME.X Window
Minimaler Standard für grafische Benutzeroberflächen auf UNIX-Systemen. Entspricht einer Art "Grafikkartentreiber" und wird erst durch einen Display Manager (für die Anmeldung), einen Fenstermanager (für die Fensterverwaltung) und ein Desktop Environment (für die wichtigsten Anwendungen wie Taskbar, Desktop-Icons, Editor, Taschenrechner, …) richtig benutzbar.Erlaubt grundsätzlich die Auftrennung einer grafischen Applikation in die Darstellung auf einem Rechner A (X Server) und die eigentliche Applikation auf einem Rechner B (X Client).
Arbeitet getrennt vom eigentlichen UNIX-Betriebssystem und bietet daher mehr Sicherheit als eine direkt im Betriebssystem integrierte grafische Oberfläche (wie z.B. unter Windows). Allerdings kostet diese saubere Trennung auch etwas Performance (was sich z.B. bei Spielen auswirken kann).
Yellow Pages
Anderer Name für Network Information System (NIS).Zertifikat
Ein Zertifikat ist ein öffentlicher Schlüssel, der von einer Certification Authority beglaubigt und unterschrieben ist. Ein Zertifikat belegt, dass der Schlüssel wirklich zu derjenigen Person gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist deshalb vergleichbar mit einem elektronischen Ausweis. Die am weitesten verbreiteten Zertifikat-Formate sind derzeit PGP und X.509. Eine mit einem Zertifikat erstellte elektronische Unterschrift schützt das unterzeichnete Dokument vor Manipulationen auf seinem Weg durch das Internet.Zertifikatklasse
Alle Zertifikate werden in Klassen einteilt, welche die Art und Weise der Überprüfung der Inhalte sowie der Identitätsfeststellung — und damit der Vertrauenswürdigkeit beschreiben.Class 0 (Demo-Zertifikate) Stehen Geschäftskunden zu Testzwecken zur Verfügung und haben eine auf 30 Tage beschränkte Gültigkeitsdauer.
Class 1 (Express-Zertifikate)
Bestätigen, dass die angegebene E-Mail-Adresse existiert, und der Besitzer des zugehörigen öffentlichen Schlüssels Zugriff auf diese E-Mail-Adresse hat. Sie stellen damit nur einen sehr geringen Nachweis der Identität dar. Da keine Überprüfung anhand von Unterlagen stattfindet, können sie binnen weniger Minuten ausgestellt und an den Kunden ausgeliefert werden.Ideal für private Nutzer, die erste Schritte auf dem Weg zur sicheren Kommunikation gehen wollen und den Umgang mit verschlüsselter E-Mail ausprobieren möchten.
Class 2
Bei diesen Zertifikaten für Unternehmen wird auf eine persönliche Identitätsfeststellung verzichtet. Eine einfache Kopie des Handelsregisterauszuges zur Feststellung der zeichnungsberechtigten Person und ein schriftlicher Auftrag sind ausreichend.Hauptsächlich für die gesicherte Kommunikation zwischen einander bereits außerhalb des Internets bekannten Partnern gedacht.
Class 3
Beinhaltet neben der E-Mail-Überprüfung eine persönliche Identitätsprüfung der Person. Mit der Ausstellung eines Class 3-Zertifikats wird bestätigt, dassDiese Person anhand ihres Personalausweises oder Reisepasses identifiziert worden ist;
Im Zertifikat enthaltene Angaben zur Person mit den Angaben im Ausweis übereinstimmen.
Werden Class 3-Zertifikate für die geschäftliche Nutzung benötigt, so ist neben der Überprüfung der antragstellenden Person auch die Überprüfung der juristischen Person notwendig. Dazu ist u.a. ein beglaubigter Handelsregisterauszug (oder ein vergleichbares Dokument) erforderlich.Vor allem für Anwendungen im E-Commerce gedacht wie beispielsweise Internet Banking und Online Shopping.
Class 4
Class 4-Zertifikate stellen eine aufwändigere Identifikation in einer Hamburger Meldebehörde dar und werden selten angeboten.
Zertifizierung
Es gibt verschiedene Klassifikationssysteme für die Sicherheit von IT-Systemen. Relevant sind vor allem ITSEC, CCITSE und Orange Book. Je nach Sicherheitsstufe und Komplexität des zu zertifizierenden Systems dauert eine Zertifizierung bis zu mehreren Jahren.Bei allen Zertifizierungen ist wichtig, genau zu hinterfragen, was zertifiziert wurde. Oft lassen Hersteller nur Teilkomponenten eines Systems zertifizieren, um den erheblichen Aufwand gering zu halten.