0190-Dialer 
Programm zur Einwahl über einen Telefon-Mehrwert-Dienst (0190-Nummern)
in das Internet als Zugang zu besonderen Inhalten, die bezahlt werden
müssen. Die meist hohen Gebühren dieser Dienste werden automatisch über die
Telefonrechnung eingezogen. Über sie werden z.B. pornographische Inhalte,
aber durchaus auch seriöse Daten bereit gestellt.
Immer häufiger werden derartige Dialer ohne Wissen der Nutzer auf Windows-PCs installiert, sodass beim normalen Browsen im Internet diese teuere Telefon-Verbindung statt der ursprünglich eingerichteten verwendet wird (Tipp: Oft am veränderten "Klang" beim Aufbau der Telefonverbindung erkennbar).
Diese Gefahr ist nur bei Modem- oder ISDN-Verbindungen gegeben. Bei einer DSL-Verbindung besteht keine Gefahr in dieser Richtung.
Account (Konto) 
Zugangsberechtigung zu einem Computer, einer Mailbox oder einem Online-Dienst.
Besteht mindestens aus einem Benutzernamen und einem Passwort,
meist sind damit noch weitere Informationen verknüpft (Profil).
Address-Spoofing 
Siehe ARP-Spoofing,
DNS-Spoofing,
IP-Spoofing,
RIP-Spoofing
und URL-Rewriting/WWW-Spoofing.
ActiveX 
Weitverbreitete Skriptsprache für HTML-Seiten, die ausschließlich
unter dem Betriebssystem "Windows" zur Verfügung steht. Stellt eine
Programmierschnittstelle dar, die HTML-Seiten erlaubt, auf lokale oder aus
dem Internet geladene "Controls" zuzugreifen. Diese Controls sind kleine
ausführbare Programme bzw. Programmteile, die einzelne Funktionen ausführen.
Siehe Aktiver Inhalt.
Address Resolution Protocol (ARP) 
Broadcast-basierendes Protokoll, das in lokalen Netzen zu einer (logischen)
IP-Adresse die (physikalische) MAC-Adresse des Rechners
(der Netzwerkkarte) mit dieser IP-Adresse sucht. Die Adressierung von Rechnern
in einem lokalen Netz basiert auf diesen MAC-Adressen.
Diese Zuordnungen werden von den einzelnen Rechner über einen gewissen
Zeitraum (z.B. 30 Sekunden) im sogenannten ARP-Cache gespeichert,
um bei erneuter Adressierung des gleichen Rechners schneller zu sein.
Administrator 
Verwalter eines Computers oder Netzwerks (heißt unter UNIX/Linux root)
mit folgenden Aufgaben:
- Installieren/Konfigurieren/Updaten von Betriebssystemen
- Einrichten von Benutzern + Gruppen (Betreuung)
- Einrichten/Anpassen/Überwachen der Zugriffsrechte
- Einrichten neuer Hardware + Treiber
- Einrichten/Konfigurieren/Updaten von (Anwendungs-)Programmen
- Datensicherung
- Fehlerbehebung
- System-Überwachung (Plattenplatz, Zugänge, Netzwerk, Protokolle)
- Automatisierung von wiederholten Tätigkeiten (Skripte)
- System-Dokumentation (Logbuch)
Advanced Encryption Standard (AES) 
Offizielle Standardverschlüsselung der amerikanischen Normungsbehörde NIST, die im Rahmen einer öffentlichen Ausschreibung aus 15
verschiedenen Algorithmen ausgewählt wurde. Nachfolger des inzwischen
unsicheren DES. Der Algorithmus hieß ursprünglich "Rijndael" und arbeitet mit einer Schlüssellänge von
128/192/256 Bit.
Advanced Research Projects Agency Network (ARPAnet) 
Militärischer Ursprung (Vorläufer) des heutigen Internet. Damit sollte ein
ausfallsicheres Kommunikations-System geschaffen werde, das auch bei
einem atomaren Angriff mit weitreichenden Zerstörungen noch funktionieren
sollte. Wurde in den siebziger Jahren in den USA mit finanzieller Unterstützung
des US-Militärs entwickelt, ist heute nicht mehr in Betrieb.
Aktiver Inhalt 
Inhalte auf WWW-Seiten, die in Skriptsprachen wie Java, Javascript oder ActiveX programmiert sind. Skriptsprachen führen
Programmcode direkt auf dem Client-Rechner aus. Die Grundeinstellung vieler
Browser erlaubt leider meist die Ausführung aktiver Inhalte in WWW-Seiten.
Böswillige Betreiber einer WWW-Seite können diese damit so programmieren, dass Daten auf Ihrem Rechner gelesen oder sogar beschädigt werden. Besonders problematisch sind solche Angriffe, wenn der böswillige Angreifer eine WWW-Seite betreibt, die der einer bekannten Institution oder eines bekannten Unternehmens gleicht (und sich z.B. nur durch einen URL-Schreibfehler von der Originalseite unterscheidet, siehe URL-Rewriting/WWW-Spoofing, oder durch DNS-Spoofing von vornherein auf die eigene Seite umleitet, auch wenn der Anwender die URL der Originalseite exakt eingetippt hat).
Schutz vor solchen Angriffen bietet nur das vollständige Abschalten von Skriptsprachen — entweder direkt im eigenen Browser oder durch einen zentralen Filter z.B. auf dem Firewall. Nur wenige Filter sind allerdings in der Lage, Skriptsprachen vollständig auszufiltern, da hierzu eine vollständige syntaktische Analyse des HTML-Quelltextes erforderlich ist.
Eine weitere Möglichkeit ist, den Browser in einer Sandbox auf einem Rechner in einem gesonderten Netz zu benutzen, auf dem sich keine sensiblen Daten befinden. Unter Linux und UNIX-artigen Betriebssystemen ist dies relativ einfach einzurichten: Der Browser wird zwar auf dem eigenen Arbeitsplatzrechner angezeigt, läuft aber in Wirklichkeit auf einem Rechner in einem gesonderten Netzwerk.
Alias 
Zweiter oder weiterer Name für den Zugang zu einem Computer oder das
Empfangen/Versenden von Mails. Meist kürzer oder besser verständlich
als der Original-Name, der häufig länger ist oder eine schwer zu merkenden
Buchstaben/Zahlenkombination darstellt.
Angriff von innen 
Wird ein Netzwerk von innen (also meist unter Mitwirkung eines Mitarbeiters)
angegriffen, so ist der Angriff sehr viel häufiger erfolgreich als bei
einem Angriff von außen. Ein Schutz gegen derartige Angriffe ist
schwierig. Gute Vorbeugemaßnahmen sind, auch das interne Netz durch Firewalls
in mehrere
Zonen mit unterschiedlichen Zugangsberechtigungen zu zerlegen sowie
Netze/Daten immer nur denjenigen Mitarbeitern zugänglich zu machen, die diese auch
wirklich benötigen.
Um unbeabsichtigte Angriffe von innen zum Beispiel durch Fehlverhalten aus Unkenntnis zu vermeiden, ist eine gute Schulung der Benutzer sowie das Aufstellen klarer Regeln für den Umgang mit Daten zu empfehlen. Sollte dennoch etwas passieren, ist Datensicherung das wichtigste Hilfsmittel.
Angriffssimulator 
Programmpakete, die eine Vielzahl bekannter Angriffe reproduzierbar
simulieren. Beispiele: CypberCop, ISS, MetaSploit, Nessus, NetSaint, openVAS, Satan, SARA, SAINT (mehrere davon sind
freie Software). Sie testen das Netzwerk von außen, indem sie bekannte
Angriffszenarien durchspielen. Man sollte sich aber nicht zu sehr auf
solche Tools verlassen, da ein Angriffssimulator nur das testen kann,
was ihm einprogrammiert wurde.
Sollte es Schwachstellen geben, die in keinem der Angriffszenarien des Simulators berücksichtigt werden, erfolgt keine Warnung. Daher ist es sinnvoll, neben dem Einsatz eines Angriffssimulators zusätzlich die Konfigurationen von innen zu prüfen. Auch hier können Programme (wie COPS) unterstützen.
Anonymous FTP 
Spezielles Angebot eines FTP-Servers, der einen Zugang namens
anonymous
oder ftp
ohne Passwort zur Verfügung stellt. Meist wird
man gebeten, als Passwort die eigene E-Mail-Adresse einzutragen, damit der
Betreiber des FTP-Servers eine länderspezifische Statistik über die Downloads
erstellen kann.
Anwendungs-Programm (Applikation) 
Programm, das einem bestimmten Zweck, einer Anwendung dient und von normalen
Anwendern regelmäßig verwendet wird. Ein Anwendungs-Programm (oder eine
Applikation) ist beispielsweise eine Textverarbeitung, eine Tabellenkalkulation,
ein Bildbearbeitungsprogramm oder ein WWW-Browser.
Üblicherweise sollten Anwendungs-Programme auf einer niedrigen Zugriffsrechte-Ebene arbeiten, damit mit ihnen nicht Systemdaten oder Daten anderer Benutzer gelesen und/oder verändern werden können.
Application Layer ("Anwendungs-Schicht") 
7. Schicht des OSI-Modells: In ihr sind die
eigentlichen Anwendungen angesiedelt, die zum Großteil sehr spezifische
Protokolle sprechen (z.B. FTP, TELNET, SMTP, …).
Apache 
Mit Abstand am häufigsten eingesetzter Web-Server, läuft sowohl auf
UNIX/Linux- als auch auf Windows-Systemen. Basiert auf einem der ersten
Webserver, dem NCSA httpd. Der Name "Apache" leitet sich aus den vielen
"Patches" für den NCSA-Server her ("a patchy server").
Application-Level-Gateway (ALG) 
Firewall, der auf Anwendungsebene arbeitet und keinen
direkten Transfer der Anwendungs-Protokolle zwischen "innen" und "außen"
zulässt. Für Anwendungs-Protokolle, die über ein ALG geschleust werden, werden
sogenannte Proxies benötigt. Der Proxy kann die
Anwendungsdaten "mitlesen", "verstehen" sowie "sprechen" und sie so z.B. nach
Viren, URLs scannen. Reicht oft eine standardisierte und bereinigte Form der
gelesenen Protokoll-Daten zur anderen Seite weiter ("Weeding").
Für jede Anwendungs-Protokoll ist ein eigener, speziell programmierter Proxy notwendig.
ALGs sind vom Sicherheitsstandpunkt aus Paketfiltern deutlich überlegen, benötigen jedoch performantere Hardware. Protokolle, für die das ALG keine Proxies zur Verfügung stellt, können nur mit demselben Sicherheitsstatus wie bei einem Circuit-Level-Gateway behandelt werden.
ARP-Spoofing (Address Resolution Protokoll Spoofing) 
Beim ARP-Spoofing wird das gezielte Senden von gefälschten
ARP-Paketen dazu benutzt, um sich als Man-in-The-Middle (Proxy) in den Datenverkehr
zwischen zwei Rechnern B und C in einem lokalen Netzwerk einzuschleusen.
Der Angreifer A sendet dem Rechner B eine ARP-Nachricht, sodass dieser Pakete für Rechner C an den Angreifer A sendet. Das selbe macht er mit Rechner C, sodass dieser Pakete statt direkt an B nun ungewollt zum Angreifer A sendet. A muss dann nur noch die jeweils von B und C erhaltenen Pakete an den eigentlichen Empfänger weiterleiten, damit eine für ihn abhörbare Verbindung zustande kommt.
Asymmetric Digitale Subscriber Line (ADSL) 
Variante der DSL, bei der aus technischen oder
Marketing-Gründen in Upload-Richtung eine geringere Datenrate verfügbar ist als
in Download-Richtung (z.B. 16 MBit/s down versus 500 KBit/s up).
Asymmetrische Verschlüsselung (Public-Key-Verfahren) 
Arbeitet mit zwei unterschiedlichen Schlüsseln für die Ver- und die
Entschlüsselung. Einer der Schlüssel wird dabei veröffentlicht (Public
Key), der andere bleibt geheim (Private Key). Die Kenntnis eines
der beiden Schlüssel lässt keine Rückschlüsse auf den jeweils anderen Schlüssel
zu. Nachrichten, die mit einem der beiden zusammengehörenden Schlüssel
verschlüsselt wurden, können mit dem jeweils anderen Schlüssel wieder
entschlüsselt werden.
Attachment (Anhang) 
Anhang zu einer E-Mail, der meist nach dem sogenannten MIME-Standard gestaltet ist. Wird z.B. für die
Übertragung von Word-Dateien, Bildern, Videos, Musikdateien und HTML-Seiten in E-Mails verwendet.
Das automatische Ausführen von Attachments im Mailprogramm beim Anklicken mit der Maus kann zur Aktivierung von in den Anhängen versteckten Angriffen führen. Wird häufig zur Verbreitung von Makroviren oder Scriptviren genutzt.
Attachments sollte man daher nur öffnen, wenn man vom Absender eine E-Mail mit Attachment erwartet (Achtung: auch der Absender eine E-Mail kann gefälscht sein!). Im Zweifelsfall empfiehlt es sich, das Attachment auf einem Testrechner zu öffnen. Besonders problematisch ist, wenn Mailprogramme so eingestellt sind, dass Attachments automatisch ohne jede Rückfrage geöffnet werden. Derartige Konfigurationen sind unbedingt zu vermeiden, da sie Angriffen wie z.B. Nymda, ILOVEYOU und Melissa die Arbeit erleichtern!
Authentifizierung 
Nachweis der Zugangsberechtigung durch die Abfrage von Benutzererkennung
und Passwort bei Verbindung zu einem Server mit Zugangsbeschränkungen.
Kryptologisch sichere Beglaubigung des Urhebers einer Nachricht; der Absender soll sich nicht als jemand anderer ausgeben können (z.B. gilt durch die Eingabe der PIN eine Kontoabhebung als authentifiziert, da normalerweise nur der Kontobesitzer die PIN kennt).
Authentisierung 
Nachweis, dass ein Nutzer einen Rechner oder Daten benutzen darf. Erfolgt
z.B. durch Passwörter, Magnetkarte oder Fingerabdruck. Authentisierung darf
nicht mit Identifizierung verwechselt werden:
bei der Identifizierung wird festgestellt, dass eine bestimmte Person mit einer
bestimmte Identität überein stimmt. Authentisierung stellt dagegen nur fest,
dass ein Benutzer Kenntnisse (z.B. bei Verwendung eines Passwortes)
oder Dinge (z.B. SmartCards) hat, die ihn zur Benutzung eines Systems
berechtigen. Folgende 3 Verfahren kommen hierbei zur Anwendung:
Wissenbasierte Verfahren
Schutz mittels eines "Geheimnisses" (z.B. Passwort), das alle Zugriffsberechtigten vom Zugriffsverwalter erhalten.Besitzbasierte Verfahren
Schutz mittels eines "Objekts" (z.B. Magnetkarte, Chipkarte, Schlüssel), dessen Inhalt dem Besitzer nicht unbedingt offengelegt wird. In der Regel mit einem Passwort kombiniert, damit Verlust nicht zu Kompromittierung führt.Biometrische Verfahren
Schutz durch "Identifikation" der Benutzer anhand typischer und einmaliger Merkmale (z.B. Fingerabdruck, Sprache oder Retinamuster). Leider haben sich diese vielversprechenden Verfahren (kaum Verlust möglich) bisher nicht als so sicher erwiesen wie gedacht, da sie sehr leicht durch Täuschung manipuliert werden können. Daher werden diese Verfahren in der Praxis mit anderen Verfahren kombiniert.
Authentizität 
Tatsache, dass Daten tatsächlich aus der Quelle oder von der Person
stammen, von der sie zu stammen vorgeben. Authentizität gehört zu den
grundlegenden Sicherheitszielen. Siehe
auch Vertraulichkeit und Integrität.
Authorisierung 
Rechte welche durch die Anmeldung vergeben werden.
Backbone ("Rückgrat") 
Hauptstrang eines Netzwerks, über den die meisten nicht-lokal ausgetauschten
Daten fließen. Die Backbones im Internet sind die wichtigsten Verbindungen
der großen Provider.
Backdoor ("Trapdoor", Hintertür) 
Ein (meist vom Autor) eingebauter Teil einer Software, der es ihren Benutzern
ermöglicht, unter Umgehung der normalen Zugriffsrechte Zugang zum einem Rechner
oder einer sonst geschützten Funktion eines Programms zu erlangen (z.B.
Universalpasswort für BIOS oder WLAN-Router). Auch z.B. von einem Trojaner heimlich installierte Software, die einen
Fernzugriff auf den Rechner ermöglicht.
Backup ("Sicherung") 
Regelmäßige Sicherung der Daten eines Computers oder eines ganzen Netzwerks
in der Regel auf externe Datenträger (Bänder, DAT, CDROM, DVD, WORM), um im Falle
ihrer Zerstörung den Betrieb wieder aufnehmen zu können. Man unterscheidet:
- Vollständig: Sicherung der gesamten Daten
- Inkrementell: Sicherung nur der geänderten Daten gegenüber der letzten Sicherung
- Differenziell: Sicherung nur der geänderten Daten gegenüber der letzten vollständigen Sicherung
Beginners All purpose Symbolic Instruction Code (BASIC) 
Eine relativ einfach zu erlernende Programmiersprache, die vor allem unter
Microsoft Windows zur Programmierung von Anwendungen oder als aktives
Element innerhalb von Anwendungen eingesetzt wird ("Visual Basic", VBA =
"Visual Basic for Applications").
Betriebssystem (Operating System, OS, BS) 
Betriebssysteme sind die wichtigsten Programme (unter UNIX/Linux der Kern
oder Kernel), ohne die auf einem Computer nichts läuft. Werden beim
Start (Booten) eines Computers zuerst geladen und von den Anwendungen als
Grundlage benutzt. Bekannte Betriebssysteme sind MS-DOS, MS-Windows, Apple macOS,
Linux, OS/360, OpenBSD, FreeBSD, NetBSD, BSD/OS, VMS.
Binary Digit (Bit) 
Zusammengesetzt aus den Begriffen "Binary" (Binär) und "Digit"
(Ziffer). Computer können im Grunde nur die Zustände "aus" und "ein"
voneinander unterscheiden. Die Unterscheidung zwischen genau zwei
verschiedenen Möglichkeiten wie "aus" und "ein" bzw. "0" und "1" ist die
kleinste Informationseinheit in der elektronischen Datenverarbeitung.
Blacklist 
Enthält eine Liste von E-Mail- oder WWW-Adressen, die von einer Firewall
zurückgewiesen werden. Siehe auch Greylisting.
Blockchiffrierung 
Ein symmetrischer
Verschlüsselungs-Algorithmus, der nicht Einzelzeichen, sondern
Textblöcke fester Größe (meist 64 Bit = 8 Byte) verschlüsselt (siehe Stromchiffrierung). Beispiele dafür sind
Blowfish,
IDEA,
DES,
3DES und
AES
Blowfish 
1993 von Bruce Schneier entwickelte symmetrische Blockchiffrierung, die eine Blocklänge von 64 Bit
verwendet. Die Schlüssellänge kann bis zu 448
Bit betragen. Ist eine schnelle, frei verfügbare (nicht patentierte)
Alternative zu DES und IDEA. Twofish ist von Blowfish abgeleitet und wurde ebenfalls von
Bruce Schneier entwickelt.
Booten 
Starten eines Computers und Laden seines Betriebssystems.
Boot-Sektor 
Bereich einer Festplatte, Diskette, CD-ROM oder USB-Sticks, der beim Start
eines Rechners als erster gelesen wird. Enthält die notwendigen Informationen
(Partitions-Tabelle und Boot-Lader), damit ein Computer sein Betriebssystem
starten kann.
Boot-Viren 
Viren, die den Boot-Sektor von Festplatten und Disketten befallen, daher
bereits beim Starten (Booten) des Betriebssystems ausgeführt werden und
anschließend im Arbeitsspeicher verbleiben. Meist dadurch übertragen,
dass von einer bereits infizierten Diskette (oder CD-ROM bzw. USB-Stick)
gebootet wird.
Bot-Netz (Botnet) 
Unter einem Botnet oder Bot-Netz (kurz für Roboter-Netzwerk) versteht man ein
fernsteuerbares Netzwerk von PCs, die (z.B. mit einer DSL-Leitung) ständig
am Internet hängen. Derartige Netzwerke können 100 bis 100.000 Rechner und
mehr umfassen, die Summe ihrer Bandbreiten übersteigt leicht die Bandbreite
üblicher Internetzugänge, siehe
Vint Cerf - Ein Viertel der Internet-PCs ist Mitglied eines Bot-Netzes.
Die Kontrolle über die PCs wird durch Würmer, Trojanische Pferde oder Root-Kits erreicht, mit denen der Computer infiziert ist, ohne dass die betroffenen PC-Nutzer etwas davon mitbekommen. Meist genügt der Besuch einer infizierten Internet-Seite, deren Link per Mail an den Anwender versendet wurde.
Die Bots warten auf Aufträge von einer Zentrale und führen dann gleichzeitig mit ihrer geballten Kraft SPAM-Versand, Denial-of-Service-Attacken und ähnliche illegale Aktionen durch und bedrohen damit Anbieter von Internetdiensten.
Die Leistung derartiger Botnetze wird verkauft und der Zugriff und die Steuerung möglichst weitgehend verschleiert, sodass keine Zurückverfolgung zum Auslöser der Angriffe möglich ist.
Bekannte Vertreter von Botnetzprogrammen sind Agobot, Phatbot und R(x)Bot.
Brechen eines Verfahrens 
Finden einer Methode, um mit einem gegebenen Chiffrierverfahren verschlüsselte
Nachrichten zu entziffern, ohne den geheimen Schlüssel zu kennen. Solange
die effektivste Angriffsmethode für ein Verfahren im Durchprobieren aller
Schlüssel liegt (Brute Force), gilt es als
nicht gebrochen.
Bridge ("Brücke") 
Verbindung zwischen 2 Netzsegmenten (analog einem Hub, der aber mehr als
2 Netzwerksegmente verbindet) und die Signale dabei nur verstärkt und
sofort weiterleitet. Für die Rechner in diesen Netzwerksegmenten nicht
sichtbar.
Bridging Paketfilter 
Ein Paketfilter der auf OSI-Layer 2 arbeitet und daher von den Rechnern nicht
gesehen wird.
Broadcast ("Radiomeldung", "Herausposaunen") 
Nachricht in einem lokalen Netz an alle angeschlossenen Rechner. Müssen
von Switches in alle angrenzenden Netzwerke weitergeleitet werden. Typischer
Vorgang in einem MS-Windows Netzwerk (NetBIOS). Zuviele
Broadcasts belasten das Netzwerk stark.
Browser 
Dienen zur Darstellung der in einer logischen Beschreibungs-
oder Auszeichnungssprache wie HTML, SGML oder XML verfassten
Dokumentbeschreibungen auf dem Bildschirm. Sollten betriebssystemunabhängig
sein, bekannte Beispiele sind Internet Explorer (IE), Edge, Netscape Navigator,
Mozilla Firefox, Opera, Google Chrome, Vivaldi, Konqueror, Safari.
Brute Force Angriff 
Angriff auf einen verschlüsselten Text, bei dem seine Entschlüsselung durch
Durchprobieren aller möglichen Schlüssel versucht wird. Benötigt umso
mehr Rechenleistung, je länger die verwendeten Schlüssel sind.
Bei symmetrischen Verfahren gelten heute Schlüssel mit einer Länge von 128 Bit und mehr als sicher. DES-verschlüsselte Texte (56 Bit Schlüssellänge) konnten bereits mehrfach durch Brute Force Angriffe auf PCs oder mit Spezial-Hardware entschlüsselt werden.
Bei asymmetrischen Verfahren besteht der Brute Force Angriff darin, aus dem bekannten öffentlichen Schlüssel den privaten Schlüssel zu berechnen. Hier liegen sichere Schlüssellängen bei 1024 Bit und mehr (abhängig vom Verfahren).
Bundesamt für Sicherheit in der Informationstechnik (BSI) 
Nationale IT-Sicherheitsbehörde der Bundesrepublik Deutschland (siehe BSI)
BSI Grundschutzhandbuch 
Umfangreiches Handbuch zur Erstellung von IT-Sicherheitsrichtlinien für
niedrigen und mittleren Sicherheitsbedarf. Kann vom Bundesanzeigerverlag
oder elektronisch bezogen
werden.
BSI Sicherheitshandbuch 
Handbuch zur Erstellung von Sicherheitsrichtlinien und Erarbeitung von
Maßnahmen bei mittlerem bis hohem Sicherheitsbedarf. Schon etwas betagt,
aber inhaltlich durchaus noch aktuell (leider vergriffen). Das dort erläuterte
Verfahren basiert u.a. auf einer formellen Risikoabschätzung.
Buffer Overflow ("Pufferüberlauf") 
Programmierfehler, der die Ursache vieler Sicherheitsproblemen darstellt. Der
Programmierer sieht dabei für Daten-Eingaben einen Speicherplatz begrenzter
Länge vor, verhindert aber im Programm nicht, dass diese Länge gezielt
überschritten und damit zusätzlicher Speicherplatz überschrieben wird.
Durch geschicktes Ausnützen dieses Fehlers können Programme zum Absturz gebracht oder sogar beliebiger Programmcode ("Shell Code") eingeschleust und ausgeführt werden.
Bug ("Käfer") 
Mit Bug werden seit Anbeginn der Computerzeit Fehler in Programmen
bezeichnet. Werden meist durch Updates oder Patches
behoben ("geflickt").
Bundesamt für Sicherheit in der Informationstechnik (BSI) 
Das 1991 gegründete Bundesamt gehört zum Geschäftsbereich des Bundesministerium
des Innern und ist eine unabhängige und neutrale Stelle für Fragen zur
IT-Sicherheit in der Informationsgesellschaft.
Erstellt u.a. Richtlinien für die Informationssicherheit und stellt eine Reihe wichtiger Schriften zur Verfügung, z.B. das Grundschutzhandbuch. Unterhält ferner Mailinglisten zu sicherheitsrelevanten Themen und ist zuständig für Zertifizierungen nach verschiedenen Standards (z.B. Common Criteria oder ITSEC). Auf der WWW-Seite des BSI findet man viele nützliche Informationen rund um die IT-Sicherheit.
Byte 
Eine Informationseinheit bestehend aus 8 Bit, die sich als Standard
herauskristallisiert hat. Speichert typischerweise ein Zeichen (26 +
26 Klein/Groß-Buchstaben, Umlaute, 10 Ziffern, Satzeichen, Steuerzeichen,
Sonderzeichen, usw.).
Die Größe einer Datei, eines Hauptspeichers oder einer Festplatte wird in den Begriffen Kilobyte (1 KByte = 1024 Byte), Megabyte (1 MByte = 1024 Kilobyte), Gigabyte (1 GByte = 1024 Megabyte), Terabyte (1 TByte = 1024 GigaByte) und Petabyte (1 PByte = 1024 TeraByte) angegeben.
Ob der Faktor 1000 oder 1024 zur Anwendung kommt, ist nicht einheitlich geregelt. Bei RAM-Speicher wird der größere Faktor benutzt, bei Festplatten meist der kleinere Faktor, um sie größer erscheinen zu lassen.
Cache ("Zwischenspeicher") 
In einem Cache werden Daten zwischengespeichert, auf die dann schneller
zugegriffen werden kann, als wenn sie an ihrem normalen Speicherort gelagert
werden. Caches gibt es beispielsweise bei Festplatten, bei Prozessoren (für
Zugriffe auf den Arbeitsspeicher) oder auch in Browsern (Favoriten, Links,
Web-Seiten) oder Web-Servern.
Sicherheitstechnisch sind Caches relevant, weil darin "alte" Information über einen längeren Zeitraum aufgehoben wird und somit evtl. von Unbefugten gelesen werden kann.
Carrier Sense Multiple Access/Collison Detect (CSMA/CD) 
Übertragungsverfahren in Ethernet-Netzwerken. Alle angeschlossenen
Rechnern können zu beliebigen Zeitpunkten senden. Treten dabei Kollisionen auf,
so werden diese von allen beteiligten Rechnern erkannt und durch Wiederholen
der Nachricht mit einer zufälligen Verzögerung ("exponential back-off")
versucht zu beheben.
Als Ethernet-Netzwerke noch aus Koax-Kabelsträngen mit vielen Anschlusspunkten ("Tranceiver") bestanden, war dieses Verfahren sehr wichtig. Inzwischen werden Netzwerke fast ausschließlich mit Switches als "sternförmige" Strukturen realisiert. Hierbei ist pro Netzwerk-Kabelsegement nur 1 Rechner angeschlossen, Kollisionen treten also im Kabel gar nicht mehr auf. Kommen am Switch gleichzeitig mehrere Pakete an, so verhindert dieser die Kollision, indem er die Pakete zwischenspeichert und leicht verzögert weitergibt. Pakete werden aufgrund der in einem Switch eingebauten Intelligenz auch nur an das richtige Kabelsegement weitergeleitet.
Cäsar-Verschlüsselung 
Eine der einfachsten (asymmetrischen) Verschlüsselungsmethoden, die schon von
den alten Römern und insbesondere Cäsar eingesetzt (erfunden?) wurde. Ersetzt
jeden Buchstaben durch den 3 Stellen weiter hinten im Alphabet stehenden
(A → D, B → E, …, Z → C).
Mit einer Häufigkeitsanalyse der Buchstaben ist diese Verschlüsselungsmethode kinderleicht zu knacken. Eine symmetrische Verschlüsselung dieser Form ist die ROT13-Verschlüsselung.
Certification Authority (CA, Trust Center, Zertifizierungstelle) 
Eine vertrauenswürdige Institution, die (öffentliche)
Schlüssel erstellt, verwaltet und beglaubigt, indem sie dafür Zertifikate ausstellt. Dabei werden die im
Zertifikat abgespeicherten Informationen (insbesondere die Identität des
Schlüsselinhabers) einer strengen Überprüfung unterzogen (persönliches
Erscheinen, Ausweiskontrolle, …) und mit dem öffentlichen
Schlüssel des Zertifikat-Inhabers so verknüpft, dass dieser nicht mehr
fälschbar ist. Nur der Besitzer des zugehörigen privaten Schlüssels kann
mit dem Zertifikat verschlüsselte Nachrichten entschlüsseln.
Vorstellbar analog einer Passbehörde, die Pässe ausstellt. Wer einen Pass (= Zertifikat) möchte, muss persönlich erscheinen und einige unverwechselbare Merkmale nachweisen. Mit dem ausgestellten Pass, von dem man aufgrund des Passfotos und der Unterschrift (= Privater Schlüssel) nachweisen kann, dass er einem gehört, kann man sich an anderen Stellen ausweisen.
Carlisle Adams and Stafford Tavares (CAST-5/6/128/256) 
CAST-5/128 ist eine symmetrischer Blockverschlüsselung mit einer Blockgröße von 8 Byte
und einer Schlüssellänge von 8-128 Bit von der Firma Entrust Technologies.
Lizenzfrei für nicht-kommerziellen und kommerziellen Gebrauch.
CAST-6/256 ist eine symmetrischer Blockverschlüsselung mit einer Blockgröße von 8 Byte und einer Schlüssellänge von 8-256 Bit von der Firma Entrust Technologies. Lizenzfrei für nicht-kommerziellen und kommerziellen Gebrauch.
Certificate Revocation List (CRL) 
Eine Liste zurückgezogener (d.h. nicht mehr gültiger) Zertifikate (öffentlicher
Schlüssel) eines Trust Centers. Diese Sperrlisten werden regelmäßig
aktualisiert, daher ist ihre Gültigkeitsdauer auf 10 Tage beschränkt.
Viele Web-Browser haben eine Liste von Zertifikaten fest eingebaut, die sie akzeptieren. Allerdings enthalten diese Listen auch viele nicht mehr gültige Zertifikate, die meist immer noch akzeptiert werden.
Challenge-Response-Verfahren ("Herausforderung-Antwort") 
Verfahren zur Authentisierung. Das Zielsystem gibt eine zufällig
generierte Parole (Challenge) aus. Der Nutzer, der sich gegenüber dem
Zielsystem authentisieren möchte, antwortete mit einer passenden Antwort
(Response). Diese Antwort wird auf Basis der Challenge per Software oder
von einer sogenannten Tokenkarte errechnet.
Das Verfahren ist der Verwendung herkömmlicher Passwörter weit überlegen, da zum einen jede Response nur für einen Zugriff gilt und somit das Abhören der Verbindung einem Angreifer nicht hilft. Zum anderen benötigt man zur Verwendung einer Tokenkarte sowohl die (physische) Karte als auch ein (logisches) Passwort, um sie zu aktivieren.
Chiffrierung ("Cipher", Verschlüsselung) 
Ein kryptografischer Algorithmus, der zur Verschlüsselung von Daten und Informationen
dient. Man unterscheidet
Blockchiffrierung und
Stromchiffrierung sowie
asymmetrische Verschlüsselung und
symmetrische Verschlüsselung.
Client ("Kunde") 
Ein Client ist ein Computer/eine Software, der/die Dienste eines Servers in Anspruch nimmt. So ist z.B. ein PC bzw. der
darauf laufende Web-Browser, wenn er WWW-Seiten abruft, ein Client. Das
Client-Server-Prinzip ist ein grundlegendes
Prinzip in der Netzwerk-Technik. Ein Rechner kann im Prinzip gleichzeitig
Server und Client für die verschiedensten Dienste sein.
Client-Server-Prinzip 
Grundlegendes Prinzip in der Netzwerk-Technik. Normalerweise sind damit 2
Rechner gemeint, die miteinander kommunizieren. Eigentlich handelt es
sich dabei aber immer um 2 Applikationen. Die Client-Applikation stellt
Anfragen an die Server-Applikation, die von dieser beantwortet werden. D.h. der
Client ist "aktiv", der Server ist "passiv".
Zwischen den beiden Anwendungen muss nicht unbedingt ein Netzwerk liegen, sondern sie können auch auf dem gleichen Rechner laufen (z.B. beim X Window).
Classless Internet Domain Routing (CIDR) 
Verfahren, das auf die Unterteilung von TCP/IP-Netzen in die Klassen A, B,
C, D und E verzichtet. Stattdessen wird nur noch die Länge der Netzwerkmaske
im Format /1
bis /32
angegeben.
Die Klassen A, B und C können durch die Netzwerkmasken /8
/16
und /24
ausgedrückt werden.
Circuit-Level-Gateway 
Ein Proxy, der Daten auf der Transportebene (z.B. die Protokolle UDP und
TCP) weiterleitet. Der Inhalt der Daten wird dabei nicht inspiziert,
aber immerhin eine Entkopplung der Netze bewirkt, da IP-Pakete nicht
direkt an den Zielrechner weitergeleitet, sondern ihre Daten in neue Pakete
umkopiert werden.
Cluster 
Verbund mehrerer Rechner (z.B. Firewalls) um den Ausfall eines (oder mehrerer)
dieser Rechner nicht wirksam werden zu lassen, d.h. die angebotenen Dienste
ständig verfügbar zu halten (High Availability).
Siehe auch Hochverfügbarkeit,
Cold Standby
und Hot Standby.
Cold Standby 
Für einen wichtigen Rechner (z.B. eine Firewall) befindet sich ein zweiter
Rechner als Ersatzgerät konfiguriert im Netzwerk, muss aber bei Bedarf erst
manuell gestartet werden. Siehe auch Cluster
und Hot Standby.
Common Criteria for Information Technology Security Evaluation (CCITSE) 
Die Common Criteria erschienen 1996, sie teilen IT-Systeme in 8
Sicherheitsstufen von EAL 0 (keinerlei Sicherheitsstruktur) bis EAL 7
(formelles Design und Test) ein. In Deutschland ist für Zertifizierungen
nach CCITSE das BSI zuständig.
Computer Emergency Response Team (CERT) 
Beschäftigt sich mit allen Bedrohungen, die ein Netzwerk betreffen.
Dazu werden Informationen über Sicherheitslücken in Hard- und
Software erforscht. Die Ergebnisse werden Unternehmen mit Produkten mit
Sicherheitslücken sofort zur Verfügung gestellt, damit sie entsprechende
Verbesserungen entwickeln können. Veröffentlicht und der Allgemeinheit
bekanntgegeben werden sie erst nach 45 Tagen.
Zu den Bedrohungen gehören Software- und Hardwarefehler, sowie Angriffe
durch Viren, Cracker usw.
Computerwort 
Ein typisches Computerwort umfasst je nach Maschine 8, 16, 32, 48, 64 oder 128 Bit. Einheiten dieser Größe können von der jeweiligen CPU auf einmal verarbeitet und transferiert werden.
Content-Filter ("Inhalte-Filter") 
Versucht Inhalte z.B. einer Web-Seite oder einer E-Mail zu erkennen und davon
bestimmte herauszufiltern. Z.B. soll die Werbung aus Web-Seiten eliminiert
oder jugendgefährdende bzw. rechtsextreme Inhalte unterdrückt werden.
Im Bereich der Sicherheit geht es hier vor allem darum, potentiell gefährliche Dateien (EXE-Files, Viren, Würmer) zu unterdrücken.
Cookie ("Daten-Keks") 
Beim Browsen im Internet übergeben viele Web-Server dem Web-Browser auf dem
Rechner des Anwenders Informationen über sein Verhalten und seine Vorlieben
in Form von Cookies, die der Browser auf dem Rechner des Anwenders
(dauerhaft oder zeitlich beschränkt) speichert.
Bei einem erneuten Aufruf der gleichen Webseite werden diese abgelegten Informationen vom Web-Browser wieder an den Web-Server gesendet, der nun gezielt auf die Vorlieben und Gewohnheiten des Benutzers eingehen kann. Dieses Verhalten ist in der Regel erwünscht, weil es sehr bequem ist und dem Benutzer die mehrfache Eingabe der gleichen Daten erspart.
Cookies sollten eigentlich nur vom ursprünglichen Erzeuger wieder gelesen werden können. Dies wird inzwischen durch zentrale Cookie-Vergabestellen ausgehebelt, sodass sich auch über Anbieter hinweg Informationen über einen Benutzer austauschen lassen. Weiterhin ist das Verfallsdatum der Cookies häufig viel zu lang bemessen.
Durch Einstellungen im Browser kann die Akzeptanz von Cookies und die Dauer ihrer Speicherung gesteuert werden, die Cookies können manuell gelöscht werden und sie können sogar gänzlich abgelehnt werden.
Cracker 
Im heute üblichen Sprachgebrauch ein Angreifer auf ein Computersystem. Wird
im Gegensatz zum Hacker verwendet, womit ein besonders
fähige Computerkundiger bezeichnet wird. Gelegentlich werden beide Begriffe
missverständlich gebraucht.
Data Encryption Standard (DES) 
Von IBM Anfang der 1970 entwickelter symmetrischer Block-Verschlüsselungsalgorithmus mit
einer effektiven Schlüssellänge von 56 Bit (die ursprünglich vorgesehene
Schlüssellänge von 128 Bit wurde auf Wunsch der NSA
reduziert, vermutlich da dieser Institution nur für den kürzeren Schlüssel
Hardware zum Entschlüsseln zur Verfügung stand).
War lange Zeit das wichtigste Standardverfahren zur Verschlüsselung. Wegen der geringen Schlüssellänge ist es aber nicht mehr immun gegen sogenannte Brute Force Attacken (siehe 3DES und AES) und wurde bereits mehrfach geknackt.
Data Link Layer ("Sicherungs-Schicht") 
2. Schicht des OSI-Modells: Führt Fehlerkontrolle
und -korrekturen zwischen zwei direkt miteinander verbundenen Rechnern durch.
Datei ("file") 
Zusammengehörende Daten, die beispielsweise mit einem Anwendungs-Programm
erstellt und unter einem Datei-Namen auf einem Datenträger gespeichert
werden. Zu jeder Datei sind meist weitere Verwaltungs-Informationen wie
Besitzer, Alter, Zugriffsrechte, usw. gespeichert. Alle Daten auf einem
Datenträger sind in Form von Dateien (und Verzeichnissen) organisiert.
Datenschutz 
Schutz der allgemeinen Persönlichkeitsrechte von natürlichen Personen
(Menschen), insbesondere dem vom Grundgesetz garantierten Anspruch auf
Achtung der Privatsphäre, vor einer missbräuchlichen Datenverarbeitung.
Datensicherung 
Die wichtigste Versicherung gegen erfolgreiche Angriffe, indem die wichtigen
Daten auf andere Datenträger/Systeme gesichert werden (möglichst räumlich
getrennt).
Unbedingt regelmäßig prüfen, ob die Daten im Ernstfall auch wieder restauriert werden können. Gehen Sie dabei stets genau so vor, wie Sie dies auch im Erstfall tun müssten: Sicherungsmedien aus dem außer Haus befindlichen Raum holen und dann die Daten zurücksichern. Nur so schließen Sie aus, dass eine Fehlerquelle unerkannt bleibt.
Überlegen Sie auch: Wer kommt an die Datensicherungen heran? Die Sicherungen sind ein lohnendes Ziel für Angreifer. Daher empfiehlt es sich, die Sicherungen verschlüsselt vorzunehmen, allerdings sollten Sie unbedingt sicherstellen, dass das zugehörige Passwort nicht verloren geht oder in Vergessenheit geraten kann!
Siehe auch Backup und Restore.
Decrypt Content Scrambling System (DeCSS) 
Demilitarisierte Zone (DMZ) 
Ein zusätzliches peripheres Netzwerk zwischen Intranet und Internet
(abgeschirmt durch einen oder mehrere Firewalls), in dem sich die eigenen,
öffentlich ansprechbaren Rechnereinheiten befinden (z.B. Web-Server,
E-Mail-Server, ftp-Server). Selbst wenn Unbefugte in diese öffentlichen Server
eindringen, bleibt das eigene Firmennetz ("Intranet") weiterhin geschützt.
Denial of Service (DoS, "Außer Betrieb setzen") 
Verbreitete Angriffsform, die darauf abzielt, bestimmte Dienste des
Angegriffenen unbenutzbar zu machen, z.B den Internetanschluss eines
Unternehmens durch viele gleichzeitige Anfragen so zu überlasten, dass er damit
sowohl für das Unternehmen als auch für dessen Kunden nicht mehr verfügbar
ist. Besonders schwer zu bekämpfen ist die Variante DDoS.
Deutsches Network Information Center (DENIC) 
Gesellschaft zur Verwaltung
der .de
-Domänen in Deutschland, sitzt in Frankfurt am Main.
Dialer 
Programm zur Einwahl über einen Telefonanschluss in das Internet.
Siehe auch 0190-Dialer.
Diffie-Hellman-Verfahren 
1976 als erstes von Whitfield Diffie und Martin Hellman öffentlich
vorgestelltes Public-Key-Verfahren. Beruht auf dem schwierig zu berechnenden
mathematischen Problem der diskreten Logarithmen. Seit Mitte 1997 ohne
Lizenzgebühren benutzbar, da das Patent dafür ausgelaufen ist (im Gegensatz
zu RSA).
Digitale Signatur 
Ein mit dem privaten Schlüssel eines Absenders verschlüsselter Datenblock (Hash-Wert),
der vorher aus einer Nachricht mit Hilfe eines Hash-Verfahrens
erzeugt wird und so die Authentizität dieser Nachricht bezeugt. Die Überprüfung
der digitalen Signatur erfolgt mit dem öffentlichen Schlüssel des Absenders.
Signiert werden können u.a. Dokumente und Programme. Mit Hilfe dieser Signaturen kann festgestellt werden, wer der Urheber ist. Auch beweist eine intakte Signatur, dass die Daten nach dem Signieren nicht mehr verändert wurden.
Digital Signature Standard (DSS) 
Vom NIST vorgeschlagener Standard für Digitale Signaturen,
der z.B. von PGP 5.0 verwendet wird.
Distributed Denial of Service (DDoS) 
Variante von DoS-Angriffen, die mit Hilfe spezieller
Software durchgeführt wird. Diese Software sucht sich zunächst eine Reihe von
Rechnern im Internet und installiert dort (unter Nutzung von Sicherheitslücken)
Programme, die zu fest eingestellten Zeitpunkten oder nach dem Erhalt eines
Signals gezielt ein oder mehrere Ziel-Systeme mit Netzwerkpaketen oder
Anfragen nach WWW-Seiten bombardieren.
Da der Angriff von vielen verschiedenen Rechnern ausgeht, ist er schwer zu erkennen und kaum zu bekämpfen. Der Verursacher ist noch schwerer zu finden, da er sich am eigentlichen Angriff gar nicht beteiligt.
Häufig sind diese "Bot-Netze" mit infizierten Rechnern "remote konfigurierbar", Zeitpunkt und das Ziel eines Angriffs können so exakt gesteuert werden.
Digitale Subscriber Line (DSL) 
Erlaubt über eine herkömmliche Kupferdraht-Telefonleitung eine schnelle
Internet-Anbindung (ursprünglich 768 KBit/s in Download- und 128 KBit/s in
Upload-Richtung, heutzutage sind auch bis zu 250 MBit/s down + 40 KBit/s up
und mehr technisch möglich).
Die erzielbare Übertragungsrate hängt wesentlich von der Länge der Telefonleitung bis zum nächsten Verteiler ab, in ländlichen Gegenden ist daher oft keine oder nur eine sehr langsame DSL-Anbindung möglich.
DNS-Spoofing 
Übernahme des DNS-Namens eines öffentlichen Rechners z.B. durch Manipulation
eines zentralen DNS-Servers oder durch Austausch der DNS-Server-Adresse in
den Clients.
Der manipulierte oder falsche DNS-Server antwortet dann auf URLs
(z.B. www.heise.de
) mit einer falschen IP-Adresse (z.B.
167.23.49.132
statt 193.99.144.71
). Der Rechner
mit der anderen IP-Adresse imitiert das Verhalten des Original-Rechners
(Web-Auftritt, E-Mail-Server), sodass der Benutzer nichts merkt.
Mittels DNS-Spoofing können Benutzer / E-Mails auf falsche Rechner umgeleitet werden.
Domain ("Domäne") 
Teil eines Rechnernamens im Internet, gibt in den meisten Fällen die
Organisationeinheit wieder und adressiert eine Gruppe von Rechnern (analog
einer Hausadresse, z.B. Deutschland, 90425 Nürnberg, Waldemar-Klink-Str.
10). So steht die Domain ostc.de
für die Firma Die üblicherweise verwendete Webadresse www.ostc.de
adressiert
den Rechner "www" in dieser Domain, statt "www" können auch andere Namen
eingerichtet und verwendet werden (und z.B. andere Rechner oder einen anderen
Bereich eines Web-Servers adressieren).
Domain Name Service (DNS) 
Wichtigster Internetdienst, der mit Hilfe von Nameservern die
Zuordnung von Rechnernamen zu IP-Adressen (und umgekehrt) gewährleistet
und z.B. auch die für bestimmte Domains zuständigen Mailserver verwaltet
("MX-Records").
DNS basiert auf dem Vertrauen gegenüber Nameservern, die für bestimmte Adressbereiche zuständig sind. Da solche Nameserver gefälscht sein können, stellt DNS ein prinzipielles Sicherheitsproblem im Internet dar.
Die wichtigste und am häufigsten eingesetzte DNS-Daemon-Software ist BIND (Berkeley Internet Name Domain).
Download ("Herunterladen") 
Übertragen von Daten von einem fremden Rechner auf den eigenen Rechner im
Rahmen einer Online-Verbindung (auf den eigenen Rechner "herunterladen").
Dynamic Host Configuration Protocol (DHCP) 
Protokoll zur dynamischen Verteilung von IP-Adressen und vieler weiterer
Netzwerk-Parameter (z.B. Hostname, DNS-Server, Gateway) an Clients in einem
lokalen Netzwerk. Beim Booten oder auch periodisch zu späteren Zeitpunkten
holen sich die Clients ihre Netzwerk-Parameter von einem DHCP-Server.
E-Commerce ("Elektronischer Handel") 
Handel mit Hilfe des Internets.
E-Government ("Elektronische Verwaltung") 
Dienstleistungsangebot der staatlichen Verwaltung im Internet, das es
den Bürgern erlauben soll, Behördengänge so weit wie möglich elektronisch
abzuwickeln. Damit dies funktioniert, müssen für alle Bürger elektronische
Authentifizierungs-Verfahren wie z.B. Signatur-Karten eingeführt werden.
Einmalpasswort ("one time pad") 
Passwörter, die nur genau einmal verwendet werden können. Dazu wird
anhand eines geeigneten Algorithmus eine Folge von Kennworten erstellt,
die dem Benutzer und dem Zielsystem mit einer Liste oder über eine
Berechnungsvorschrift bekannt gemacht werden.
Bei jeder Anmeldung verlangt das Zielsystem das nächste Kennwort der
Folge. Bekannt ist dieses Verfahren vor allem aus dem Online-Banking,
bei dem häufig eine Liste sogenannter TANs (Transaction
Numbers) verwendet wird.
Electronic Mail (E-Mail) 
Elektronischer Postdienst, mit dessen Hilfe Nachrichten, Dokumente und
Dateien versandt und empfangen werden können.
E-Mail-Adresse 
Weltweit eindeutige Adresse, an die E-Mails verschickt werden können,
z.B. tom.cat@ostc.de
. Sie besteht aus einer Nutzerbezeichnung
tom.cat
dem At-Zeichen @
und einer
Domain-Bezeichnung ostc.de
.
E-Mail-Verschlüsselung 
E-Mail kann auf dem Weg vom Absender zum Empfänger genauso leicht eingesehen
werden wie eine Postkarte. Inhalte wie Vertragsentwürfe, Angebote,
Kalkulationen oDer Bewerbungen sollten daher nur verschlüsselt per E-Mail
übertragen werden. Mechanismen hierfür sind z.B. PGP und
S-MIME.
Bei verschlüsselter E-Mail kann ein Virencheck leider nicht mehr zentral erfolgen, sondern muss auf den Arbeitsplatzrechnern nach dem Entschlüsseln durchgeführt werden.
Emission Security (EMSEC) 
US-Zertifikat für etwas abhörsicherere Rechner. Wendet sich gegen einen Angriff
durch "Abhören" der elektromagnetischen Abstrahlung von Bildschirmen und
Grafikkarten. Dies erlaubt einem Angreifer das Mitlesen des Bildschirminhalts.
Solche Angriffe sind relativ einfach durchführbar und nur durch aufwändige
Maßnahmen zu verhindern.
EU-Signaturrichtlinie 
Soll innerhalb der Europäischen Union die
rechtlichen Rahmenbedingungen für elektronische Signaturen und bestimmte
Zertifizierungsdienste regeln und harmonisieren. Sie soll die Verwendung
elektronischer Signaturen erleichtern und zu ihrer rechtlichen Anerkennung
beitragen. Im wesentlichen geht es dabei um die Gleichstellung der
elektronischen Signatur mit einer handschriftlichen Unterschrift.
Bürger oder Unternehmen in der EU können aus der EU-Signaturrichtlinie selbst keine eigenen Rechte oder Ansprüche ableiten. Sie hat also keine Direktwirkung.
Die Richtlinie soll bis 19.7.2001 in nationales Recht umgesetzt werden oder die nationalen Rechte daran angepasst werden (Wortlaut des seit 1997 bestehenden deutschen Signaturgesetz SigG).
Die wichtigsten Anpassungen an das bestehende Signaturgesetz SigG sind die Einführung einer Haftungsregelung, sowie die Ablösung des Genehmigungsverfahrens durch ein Akkreditierungsverfahren. Weiterhin wird auch der Wortlaut des Gesetzes an die Richtlinie angepasst, so dass nicht mehr von digitalen Signaturen oder Zertifikaten die Rede ist, sondern von qualifizierten Zertifikaten mit denen qualifizierte elektronische Signaturen (also signaturgesetzkonforme) erstellt werden können.
Die vollständige Bezeichnung der EU-Signaturrichtlinie lautet: Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen.
Encapsulation Security Payload (ESP) 
Bei IPsec verwendetes Protokoll, das zwischen IP-Header
und TCP-Header des nächsthöheren Layers (des OSI-Modells) eine Erweiterung
hinzufügt, mit der zusätzlich zur Authentisierung auch eine Verschlüsselung der
Daten erfolgt. Das eigentliche Verschlüsselungsverfahren ist frei gestellt,
zwingend ist jedoch DES zu implementieren. Obligatorische
Hash-Verfahren sind MD5-96 und SHA-96.
Exploit 
Verfahren zur Ausnutzung einer Schwachstelle oder Sicherheitslücke.
False Negative 
Von Virenscannern und Intrusion
Detection Systemen untersuchte Daten und beobachtete Verhaltensweisen
werden als normal eingeschätzt, obwohl sie durch einen Virus bzw. Angriff
verursacht werden.
False Positive 
Fehlalarm bei Virenscannern und Intrusion Detection Systemen, d.h. ein angezeigter Virus/ein
angezeigter Angriff sind/ist in Wirklichkeit normale Daten bzw. normales
Verhalten.
Frequently Asked Question (FAQ) 
Eine Liste häufig gestellter Fragen (und der dazugehörigen Antworten)
zu einem bestimmten Thema. Zu nahezu jeder Newsgruppe im Internet existiert
eine solche FAQ. Sinn und Zweck von FAQs ist es, unerfahrene Leser der Gruppe
davor zu bewahren, ständig dieselben Fragen zu stellen. Bevor man also in
einer Newsgruppe im Internet eine Frage stellt, sollte man nachsehen, ob diese
nicht bereits in der FAQ dieser Gruppe (soweit vorhanden) beantwortet ist.
Fibre Distributed Data Interface (FDDI) 
Netzwerk-Technologie basierend auf Glasfaser-Kabeln.
File Transfer Protocol (FTP) 
Weit verbreitetes Standard-Protokoll zur Übertragung von Dateien
zwischen Rechnern. Aufgrund der unverschlüsselten Übertragung von Passwort und
Daten sehr unsicher, besser SFTP verwenden.
File Transfer Protocol Secure (FTPS) 
Verschlüsseltes Standard-Protokoll zur Übertragung von Dateien
zwischen Rechnern auf der Basis von FTP und
SSL/TLS
Fingerprint ("Fingerabdruck") 
Extrakt eines öffentlichen Schlüssels (128 oder 160 Bit lang),
der dazu dient, auf einfache Weise die Korrektheit dieses Schlüssels zu
überprüfen, ohne den gesamten Schlüssel (1024 Bit und mehr) abgleichen zu
müssen.
Typischerweise werden Fingerprints in Absenderangaben von E-Mails oder auf
Web-Seiten veröffentlicht. Allerdings ist eine wirklich sichere Überprüfung
nur dann gegeben, wenn ein zweiter Kanal für die Übermittlung verwendet
wird (z.B. Telefon, Brief, persönlich übergebene Diskette, …).
Firewall 
Infrastruktur aus einem oder mehreren Rechnern, die zwei Netzwerke
voneinander trennt und durch Kontrolle des Datenflusses dazwischen Zonen
unterschiedlicher Sicherheit schafft. Firewalls werden vor allem zum
Schutz interner Netze vor dem Internet oder zur Schaffung unterschiedlicher
Sicherheitszonen in Unternehmensnetzen eingesetzt.
Nach einer Empfehlung des BSI sollte ein gutes Firewallsystem gemäß dem PAP-Modell aufgebaut sein.
Fully Qualified Domain Name (FQDN) 
Vollständiger Name einer Domain im Internet, z.B. ostc.de
.
Fully Qualified Host Name (FQHN) 
Vollständiger Name eine Rechners im Internet, z.B. www.ostc.de
.
Freeware ("Freie Software") 
Bei Freeware handelt es sich um Software, die ohne Lizenzgebühren oder
ähnliches (also ohne Kosten für den Anwender) genutzt werden darf. Sie darf
auch beliebig kopiert und weitergegeben werden.
Gateway ("Tor") 
Eine Rechnereinheit, die zwei oder mehr Netzwerke miteinander verbindet,
IP-Pakete zwischen ihnen überträgt und diese dabei gegebenenfalls auch
verändert. Für mindestens eines dieser Netzwerke ist es der zentrale Rechner,
durch den alle Pakete müssen, die für andere Netzwerke bestimmt sind.
Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (IuKDG) 
Auch "Multimediagesetz" genannt und seit 1.7.1997 in Kraft. Umfasst das
Teledienstgesetz, das Teledienstdatenschutzgesetz, das Signaturgesetz und
weitere Gesetzesänderungen, die die Individualkommunikation betreffen.
General Packet Radio Service (GPRS) 
Soll in naher Zukunft den Engpass bei der Datenübertragung bei mobilen
Rechnern mit GSM mit nur 9.600 Bit/s beseitigen. Durch
die gleichzeitige Übertragung auf bis zu acht Kanälen, auch Zeitschlitze
genannt, und die Verringerung des Overheads wird eine Transferrate von
ca. 110 KBit/s erreicht.
Um einen reibungslosen Sprachverkehr zu gewährleisten, wird GSM eine höhere
Priorität eingeräumt. Dazu ist ein QoS vorgesehen, der
durch dynamische Ressourcenverteilung unterstützt wird.
Global System for Mobile Communications (cellular phone technology) (GSM) 
Technischer Standard für mobile Telefonie der sogenannten 2. Generation. Für
Besitzer von tragbaren Rechnern werden Modems sowie Adapter zu Mobil-Telefonen
nach diesem Standard angeboten, so dass Surfen oder das Abrufen von E-Mails
auch unterwegs möglich ist. Benutzt eine Datenübertragungsrate von 9.600 Bit/s.
Gopher 
Standard-Protokoll für die menügesteuerte Informationssuche und den
Download von Dokumenten im Internet. Hat sich nicht durchgesetzt und
wird kaum mehr verwendet.
Greylisting 
E-Mails bestimmter Absenderadressen werden beim Erstkontakt zurückgewiesen
und erst beim erneuten Zusenden nach Ablauf einer bestimmten Zeit (z.B. 2-4
Stunden) akzeptiert. Dient vor allem zur Spamabwehr, da Server von
Spammern in der Regel keinen 2. Versuch startet, die E-Mail zu versenden.
Wurde eine E-Mail einmal akzeptiert, dann ist diese Adresse in der Regel für einen längeren Zeitraum freigeschalten (z.B. einen Monat). D.h. weitere Mails mit dieser Absenderadresse werden sofort zugestellt.
Problematisch an diesem Verfahren ist zum einen, dass bei einem Erstkontakt die erste Mail nicht unverzüglich, sondern erst nach Ablauf von mehreren Stunden zugestellt wird. Hat man vorher z.B. am Telefon die unverzügliche Bearbeitung der E-Mail zugesichert, dann wundert sich der Absender über die lange Verzögerung. Zum zweiten gibt es viele falsch konfigurierte Mail-Server (z.B. unter Windows), die entweder nicht lange genug für den 2. Sendeversuch warten oder E-Mails überhaupt nicht erneut versenden, wenn sie beim 1. Sendeversuch abgelehnt wurden.
Siehe auch Blacklist und Whitelist
Hacker 
Im heute üblichen Sprachgebrauch ein Angreifer. Früher wurden als
Hacker besonders fähige Computerkundige bezeichnet, während Angreifer
Cracker genannt wurden. Gelegentlich werden beide
Begriffe missverständlich gebraucht.
Prozess, der ein System sicherer gegen Angriffe macht. Dies geschieht
beispielsweise durch entfernen unnötiger Usernamen/Logins und unnötiger
Dienste, schließen offener Netzwerkports oder deaktivieren nicht benutzter
Features in Konfigurationsdateien.
Hardening kann noch weitergehen, indem beispielsweise aus Sicherheitsgründen unerwünschte Features in Betriebssystem-Kernels komplett entfernt werden (insbesondere im Netzwerkbereich) oder Erkennungs- und Reaktionsmaßnahmen gegen häufige Programmierfehler in den Kern und die Bibliotheken eingebaut werden (siehe GR-Security, W^X-Stack).
Hash-Funktion 
Generiert aus einer Datei einen Extrakt (z.B. MD5: 128 Bit = 16 Zeichen,
SHA-1: 160 Bit = 20 Zeichen). Dieser Extrakt ist eindeutig dieser Datei zugeordnet
und die Bildung lässt sich nicht umkehren
(d.h. es ist praktisch unmöglich, eine Datei anderen Inhalts zu erzeugen, die den
gleichen Hash-Wert generiert), erlaubt aber nicht die Rekonstruktion der
Original-Datei.
Z.B. kann eine E-Mail digital unterschrieben werden, indem ihr Hash-Wert mit dem privaten Schlüssel des Versenders verschlüsselt wird. Der Empfänger entschlüsselt mit dem öffentlichen Schlüssel des Versenders den mitgesendeten Hash-Wert und vergleicht ihn mit dem von ihm aus der E-Mail berechneten Hash-Wert. Sind beide gleich, ist sichergestellt, dass die E-Mail wirklich vom Versender stammt und nicht verändert wurde.
Hoax ("Streich, blinder Alarm") 
Eine Falschmeldung über einen Virus, die wegen der Überlastung der Netzwerke
aufgrund ihrer Weiterverbreitung sehr lästig ist, da sie in der Regel
weiterversendet werden (oder sogar dazu aufrufen: "Kettenbrief").
Manche Hoaxes fordern zum Löschen von (Windows-)Systemdateien auf, indem sie behaupten, diese Dateien wären Trojaner, und sind daher sehr gefährlich. Eine aktuelle Liste ist unter www.hoax-info.de zu finden. Sehen Sie erst dort nach, bevor Sie eine Virenwarnung befolgen oder weitergeben!
Hochverfügbarkeit (HA) 
Kritische Systeme wie Server oder Firewalls sollten hochverfügbar ausgelegt
sein, d.h. bei einem Systemausfall muss mindestens ein weiteres System
vorhanden sein, das die Aufgaben des ausgefallenen Systems übernimmt. Gute
HA-Systeme erlauben den Parallelbetrieb beliebig vieler Einheiten
nebeneinander, die sich im Normalfall die Last teilen und im Störungsfall
das ausgefallene System nahtlos ersetzen (Cluster).
Home-Banking 
Siehe Online-Banking.
Home Banking Computer Interface (HCBI) 
Standard zur Absicherung von Online-Banking. Beruht meist auf einer Chipkarte
(gelegentlich auch nur einer Diskette) und stellt eine Alternative zum
PIN/TAN-Verfahren dar.
Homepage 
Hauptseite innerhalb des WWW, auf der sich Organisationen, Institutionen,
Unternehmen oder Privatpersonen im Internet darstellen.
Hot Standby 
Für einen wichtigen Rechner (z.B. eine Firewall) befindet sich ein zweiter
Rechner als Ersatzgerät konfiguriert im Netzwerk, der den Ausfall des
Primärrechners erkennt und automatisch dessen Aufgaben übernimmt. Siehe auch
Cluster und Cold Standby.
Hub 
Netz-Koppelelement, an das mehrere Netzkabel angeschlossen sind. Alle Signale,
die er von einem dieser Kabel empfängt, verstärkt er und sendet sie wieder
an alle anderen Netzkabel aus.
Hybride Verschlüsselung 
Bezeichnet Verschlüsselungs-Algorithmen, die symmetrische und asymmetrische
Verschlüsselungsverfahren kombinieren, um ihre Vorteile (symmetrisch =
hohe Geschwindigkeit; asymmetrisch = Schlüsselaustausch ohne Verlust der
Sicherheit möglich, …) gleichzeitig nutzen zu können.
Hyperlink 
Verweis auf eine andere Seite oder Information im WWW. Oft als farblich
abgesetzter, unterstrichener Text zu erkennen. Häufig sind auch hinter
Grafiken Links auf weiterführende Daten hinterlegt. Klickt man mit der
Maustaste auf einen solchen Link, ruft der Browser die zugeordneten Daten auf.
Hyper Text Markup Language (HTML) 
Beschreibungssprache zum Erstellen von Dokumenten im World Wide Web (WWW),
die mit Hilfe von Web-Browsern dargestellt werden. Erlaubt das "Verzeigern"
dieser Dokumente per Links mit anderen HTML-Dokumenten im Internet und die
Einbindung von Multimedia-Inhalten.
Hyper Text Transport Protocol (HTTP) 
Standard-Protokoll zur Kommunikation im World Wide Web (WWW). Basiert im
wesentlichen darauf, dass ein Client eine Anfrage an einen WWW-Server stellt
und als Antwort eine HTML-Seite geschickt bekommt,
die er dann darstellt. Weder Anfrage noch Antwort sind verschlüsselt!
Hyper Text Transport Protocol Secure (HTTPS) 
Sichere Variante des HTTP-Protokolls, bei dem die HTTP-Anfragen und -Antworten
(HTML-Seiten) verschlüsselt übertragen werden.
Identifizierung 
Vorgang, der einen Benutzer identifiziert, also einer bekannten Identität
zuordnet. Darf nicht mit Authentisierung
verwechselt werden.
Information Technology Security Evaluation Criteria (ITSEC) 
Europäisches Klassifizierungssystem für die Sicherheit von IT-Systemen. ITSEC
kennt sieben Sicherheitsstufen (E0 - E6), die teilweise noch nach "niedrig",
"mittel" und hoch" unterschieden werden. In Deutschland ist u.a. das BSI für die Zertifizierungen nach ITSEC zuständig.
Integrated Services Digital Network (ISDN) 
"Dienste-integrierendes digitales Fernmeldenetz", das Telekommunikationsdienste
wie Telefon, Fax und Datenübertragung in einem Netz integriert. Internationaler
Standard, der vor allem in Deutschland sehr verbreitet ist. Die Digitalisierung
erhöht die Übertragungsgeschwindigkeit auf 64.000 Bit/s und verbessert die
Übertragungsqualität.
Verbindungen von Rechnern in Netzwerken via ISDN bergen grundsätzlich dieselben Probleme wie über Modems.
Integrität 
Unverfälschtheit eines Datenbestandes, gehört neben
Verfügbarkeit und Vertraulichkeit zu den wichtigsten
Sicherheitszielen. Wenn Sicherheitsrichtlinien aufgestellt werden, muss
oft gewählt werden, welche dieser Arten im Zweifel Vorrang vor der anderen
hat. Beispiel: ist es im Falle eines Angriffes wichtiger, dass ein WWW-Server
verfügbar bleibt oder dass die dort hinterlegten Bestelldaten unverfälscht
sind?
Interface ("Schnittstelle") 
Bezeichnet das software- oder hardware-technische Bindeglied zwischen zwei
verschiedenen Ebenen, zum Beispiel Anwendung/Betriebssystem, Computer/Drucker
oder Software/Mensch.
International Data Encryption Algorithm (IDEA) 
64-Bit Blockchiffrierung, die einen 128-Bit Schlüssel verwendet. Wird unter
anderem von PGP benutzt. Für den nicht-kommerziellen
Gebrauch kostenlos, für den kommerziellen Gebrauch muss von der Schweizer
Firma ASCOM eine Lizenz erworben werden.
Internet ("International Network") 
Weltweites Computernetzwerk, das viele kleine lokale Netze von Universitäten,
Unternehmen und Institutionen zusammenschließt. Ist aus dem ARPAnet
hervorgegangen und basiert auf dem Netzwerkprotokoll TCP/IP.
Erlaubt die Nutzung verschiedener standardisierter Netzwerk-Dienste wie FTP, Gopher, Telnet, WWW und E-Mail, um darüber Nachrichten zu versenden/empfangen, Daten zu übertragen, auf Datenbanken zuzugreifen oder an Diskussionsforen teilzunehmen.
Internet Control Message Protocol (ICMP) 
Protokoll der zweiten Schicht des TCP/IP-Modells. Es ist u.a. für
Fehlermeldungen und dem Versand von Test-Paketen zuständig und gewährleistet
die Verständigung in einem TCP/IP-Netzwerk.
Internet Explorer (IE) 
Standard-Webbrowser von Microsoft Windows. Ist sehr weit verbreitet, da er
im Lieferungsumfang der Windows-Betriebssysteme enthalten ist (andere Browser
sind z.B. Netscape Navigator, Mozilla Firefox, Opera, Google Chrome, Konqueror).
Internet Message Access Protocol (IMAP) 
Protokoll zum Zugriff auf einen entfernten E-Mail-Server. Dabei müssen die
E-Mails nicht unbedingt heruntergeladen werden, sondern können auf dem Server
verbleiben. Verbesserung des POP3-Protokolls.
Internet Protocol (IP) 
Protokoll im TCP/IP-Netzwerk, um Datenpakete an das richtige Ziel weiterzuleiten.
Internet Relay Chat (IRC, "quasseln") 
Internetdienst, der es erlaubt, online mit anderen IRC-Benutzern über
Texteingaben zu kommunizieren. Entstand 1989 und wurde 1993 zum ersten Mal
formell als RFC aufgenommen.
Internet Wurm 
Berühmter Angriff im Jahr 1988, der einen großen Teil des damals existierenden
Internets zum Erliegen brachte. Der Internet Wurm nutzte mehrere bereits
lange vorher bekannte Sicherheitslücken, um Rechner zu infizieren, brach
dort den Passwortschutz und verteilte sich dann mit Hilfe der gewonnenen
Informationen weiter. Er führte dazu, dass Sicherheit im Internet zu einem
Thema wurde; u.a. ist die Gründung des CERT auf den
Internet-Wurm zurückzuführen.
Internet Protocol Version 4 (IPv4) 
Ursprüngliche Version des Internetprotokolls, verwendet Internetadressen der
Länge 4 Byte = 32 Bit, die maximal etwa 4 Milliarden direkt adressierbare
Endgeräte erlauben. Da zu Beginn des Internets viele A- und B-Klasse-Netze
unüberlegt vergeben wurden, das IPv4-Protokoll sicherheits-technische Schwächen
hat (Authentisierung und Verschlüsselung sind nicht eingebaut), der Großteil
der IP-Adressen (etwa 60%) für Amerika reserviert sind und in absehbarer Zeit
deutlich mehr als 4 Milliarden Endgeräte zu erwarten sind (IoT-Systeme,
Smartphones, RFID-Tags, Fahrzeuge, …), gibt es sein einigen Jahren das
IPv6-Protokoll, das diese Beschränkungen aufhebt.
Aufgrund von technischen Maßnahmen wie Network Address Translation (NAT) und der zu erwartenden technischen Probleme beim Umstellen von IPv4 auf IPv6 hat sich IPv6 bisher noch nicht vollständig durchsetzen können.
Internet Protocol Version 6 (IPv6, IPnG "Next Generation") 
Aktuelle Version des Internetprotokolls, die u.a. längere Internetadressen als
das ursprüngliche IPv4 vorsieht (16 Byte = 128 Bit statt 4
Byte = 32 Bit) und damit dessen Knappheit an IP-Adressen beenden wird.
Beinhaltet ferner Mechanismen zur Authentisierung und Verschlüsselung, hat sich
aber aufgrund von Verbesserungsmaßnahmen für die IPv4-Adressierung wie z.B. CIDR und IP-Masquerading
bisher noch nicht vollständig durchsetzen können.
Intrusion Detection System (IDS) 
Systeme zur Angriffserkennung, die über einen oder mehrere Sensoren auf
dem Netz horchen, auffälligen Netzverkehr auswerten und auf bekannte
Angriffssignaturen überprüfen. Gute Systeme gestatten es, die Daten der
Sensoren zentral zusammenzuführen, zu korrelieren und auszuwerten.
Intrusion Prevention System (IPS) 
Reagiert im Gegensatz zum rein passiven Intrusion Detection
System auf vermutete Angriffe.
IP-Adresse 
Weltweit eindeutige Adresse für jeden an das Internet angeschlossenen
Rechner. Besteht aus vier Byte, die durch Punkte getrennt sind:
(z.B. 194.95.179.205). Eingeteilt in die Klassen A, B, C, D und E. Private
Adressbereiche für die Nutzung in privaten Netzwerken sind 10.*.*.*,
127.*.*.*, 172.16.*.* bis 172.31.*.* und 192.168.*.*.
IP-Masquerading 
Auch als PAT (Port and Address Translation), NPAT (Network
and Port Address Translation) oder 1-to-n-NAT (Network Address Translation)
bezeichnet. Bildet alle Adressen eines privaten Netzwerkes auf eine einzelne
öffentliche (dynamische) IP-Adresse eines Gateways ab.
Dies geschieht dadurch, dass bei jeder Verbindung nach außen die gleiche IP-Adresse verwendet wird und die Portnummern ausgetauscht werden. Dieser Austausch wird in zurückkehrenden Paketen wieder rückgängig gemacht und das Paket dem Ausgangsrechner zugestellt.
Auf diese Weise benötigt ein gesamtes privates Netz nur eine einzige registrierte öffentliche IP-Adresse. Angenehmer Nebeneffekt: Die Rechner im privaten Netzwerk können vom Internet aus nicht angewählt werden.
IP Secure (IPSec) 
Erweiterung des Internetprotokolls IP, das verschlüsselte Kommunikation und
Authentisierung erlaubt. IPSec funktioniert mit IPv4
(derzeit verbreitete IP-Version) und IPv6 (in Zukunft
geltende IP-Version). Musterimplementierungen wie KAME
sorgen dafür, dass auch unterschiedliche Produkte, (z.B. VPN-Schnittstellen
unterschiedlicher Hersteller) miteinander verschlüsselt kommunizieren können.
Ganz so einfach ist die Verbindung von VPN-Produkten unterschiedlicher
Hersteller über IPSec trotzdem nicht.
IP-Spoofing (Address-Spoofing) 
IP-Spoofing bezeichnet das Versenden von IP-Paketen mit gefälschter
Quell-IP-Adresse, z.B. das Simulieren einer IP-Adresse eines internen Systems
durch ein externes System. Der Header jedes IP-Pakets enthält normalerweise
die Quell-IP des aussendenden Rechners. Tauscht man sie vor dem Absenden
gegen die IP-Adresse eines anderen Rechners aus, dann "scheint" das Paket
von dieser Maschine zu kommen.
Kann dazu genutzt werden, Sicherheitsmaßnahmen wie z.B. einfache Firewalls zu überwinden, um z.B. IP-Pakete von "außen" in ein Intranet einzuschleusen, IP-adressbasierte Authentifizierung im Netzwerk auszutricksen oder den eigenen Rechner zu "verschleiern". Siehe ARP-Spoofing, DNS-Spoofing, RIP-Spoofing und URL-Rewriting/WWW-Spoofing.
Integrated Services Digital Network (ISDN) 
ISDN-Router 
Dient dazu, einen Rechner oder ein Computer-Netzwerk über das ISDN-Netz mit
Hilfe eines Providers mit dem Internet zu verbinden. Enthält häufig bereits
rudimentäre Firewall-Funktionalität. Die Datenrate beträgt (magere) 64 kBit/s
Up+Download, bei Nutzung beider ISDN-Anschlüsse 128 kBit/s Up+Download. Ist die
einzige grundsätzlich vorhandene Möglichkeit der Anbindung eines Standortes an
das Internet.
ISO/OSI-Modell 
Siehe OSI-Modell.
Java 
Weitverbreitete, plattformunabhängige (d.h. portable) Programmier- und
Skriptsprache für HTML-Seiten (siehe Aktiver
Inhalt), die von der Firma SUN entwickelt wurde. Aufgrund der
Maschinenunabhängigkeit nicht ganz so schnell wie viele andere
Programmiersprachen. Hat mit der Programmiersprache JavaScript nichts zu tun.
Verfügt im Gegensatz zu anderen Skriptsprachen über ein sinnvolles Sicherheitsmodell. Da Java aber bei Anwendung auf WWW-Seiten dazu benutzt werden kann, Programme mit anderen Skriptsprachen zu tunneln, sind aktive Inhalte mit Java ebenso problematisch wie mit anderen Skriptsprachen.
Java Virtual Machine (JVM) 
Da Java eine maschinenunabhängige Programmiersprache darstellt, ist für
die Ausführung von Java-Programmen eine JVM notwendig, die auf jedem
Rechner installiert sein muss, der Java-Programme ausführen will.
JavaScript 
Weitverbreitete Skriptsprache für HTML-Seiten (siehe Aktiver Inhalt), die von Netscape erfunden wurde.
Hat mit der Programmiersprache Java nichts zu tun.
Junk Mail (Spam, Massenmail, UCE) 
Diese an sehr viele Empfänger unverlangt zugeschickten E-Mails wie
z.B. Werbe-E-Mails (Spam) sind aus vielerlei Gründen sehr ärgerlich für
den Empfänger: Es kostet Zeit (und damit Geld), sie aus den wirklich
wichtigen E-Mails herauszuwerfen und sie belasten die Übertragungskanäle der
Online-Dienste und Provider. Meist ist die Absenderkennung gefälscht.
KAME 
Verbreitete IPv6-Implementierung, die u.a. eine
Musterimplementierung für IPSec (auch unter IPv4) zur Verfügung
stellt. Verschiedene Produkte, die auf KAME basieren, sind meist
miteinander kompatibel. Entsprechende Informationen finden sich auf www.kame.net.
Key Escrow ("Urkunde zur Schlüsselübertragung") 
Hinterlegung eines privaten Schlüssels bei einer staatlichen Stelle, um bei
Bedarf eine Überwachung des Datenverkehrs zu ermöglichen. Der Gesetzgeber
hat vor allem deshalb daran Interesse, weil viele Verschlüsselungsverfahren
die Verfolgung und den Nachweis einer ganzen Reihe von Verbrechen nahezu
unmöglich machen können.
Key Ring ("Schlüsselring/bund") 
Datei, in der PGP die ihm bekannten öffentlichen und
privaten Schlüssel speichert.
Kompromittierung 
Bekanntwerden eines geheimen Verfahrens oder eines geheimen Schlüssels,
sodass die damit geschützten Daten nicht mehr geschützt sind.
Konfigurationsdatei 
Datei in der das Betriebssystem oder ein Anwendungs-Programm
Einstellungen gespeichert hat. Die meisten Programme benötigen derartige
Konfigurationsdateien, um stabil und vernünftig ablaufen zu können.
Standardverfahren unter UNIX/Linux, unter Windows werden derartige Einstellungen meist in der Registry abgelegt.
Kryptoanalyse ("Cryptanalysis") 
Beschäftigt sich mit (mathematischen) Verfahren zur Entschlüsselung codierter Nachrichten
ohne dazu vom Schlüssel Kenntnis haben zu müssen.
Kryptographie ("Cryptography") 
Wissenschaft mit dem Ziel, Nachrichten, die zwischen zwei oder
mehr Partnern ausgetauscht werden, geheimzuhalten, siehe auch Verschlüsselung.
Kryptologie ("Cryptology") 
Bezeichnet die Sparte der Mathematik, die Kryptographie und
Kryptoanalyse vereint.
LAMP 
Mit LAMP oder "LAMP-Stack" ist ein Open Source Web-Applikations-Server
bestehend aus einer Kombination des Betriebssystems Linux, des Webservers Apache, der Datenbank
MySQL und der Skriptsprache Perl/PHP/Python gemeint.
Lightweight Directory Access Protocol (LDAP) 
Eine vereinfachte Version des "Directory Access Protocols" (DAP), das einen
Standard für die Kommunikation mit "Verzeichnisdienst" genannten Datenbanken
im Internet (oder auch Intranet) darstellt. Erlaubt sicheren und geschützten
Zugriff auf z.B. E-Mail-Adressen oder Zertifikate.
Makro ("Textbaustein") 
Folge von Befehlen, die aufgezeichnet und unter einem Namen abgespeichert
werden. Wird ein Makro aufgerufen, werden die gespeicherten Befehle in der
aufgezeichneten Reihenfolge wieder abgearbeitet. Makros werden in der Regel
in Anwendungs-Programmen für wiederkehrende Aufgaben verwendet. Populär sind
hier besonders Office-Anwendungen.
Sind sicherheitsrelevant, da sie als aktive Elemente zusammen mit Office-Dokumenten wie Word-Dateien und Excel-Sheets abgespeichert werden und beim Öffnen dieser Dateien häufig automatisch ausgeführt werden.
Makrovirus 
Virus, der in einer sogenannten Makrosprachen programmiert ist. Populäre
Office-Programme wie Microsoft Excel oder Word erlauben z.B. die Programmierung
von Makros und damit auch von Makroviren, die in Dokumente eingebettet
vorwiegend über E-Mail verbreitet werden. Solche Dokumente sollten stets
einem Virenscan unterzogen werden, bevor sie geöffnet werden.
Zusätzlichen Schutz vor neuen Makroviren bietet das Öffnen solcher Dokumente auf Testrechnern und das Abschalten von Makros. Zwar weisen neuere Versionen der makrofähigen Programme oft eine Abfragefunktion auf, die eine Bestätigung verlangt, bevor ein Makro ausgeführt werden soll. Doch erstens werden solche Fragen oft rasch weggeklickt, zweitens wurden auch schon Angriffe bekannt, die diese Nachfragen unterlaufen konnten.
Maleware/Malicious Code ("üble Software") 
Sammelbegriff für schädliche Programme, auch Viren
genannt. Darunter fallen RootKits,
Backdoors, Trojanische Pferde
und Würmer. Ihre
Verbreitung wird durch das Internet, besonders durch Download, E-Mail und
IRC vereinfacht. Nutzen bekannte Sicherheitslücken in Betriebssystemen und
Anwendungs-Programmen, um sich zu verbreiten und Schaden anzurichten.
Während in den Anfängen fast ausschliesslich Assembler als Programmiersprache genutzt wurde, werden inzwischen durch die Verbreitung des Betriebssystems MS Windows auch höhere Programmiersprachen wie C und Visual Basic oder Scriptsprachen wie Visual Basic Scripting Edition (VBS) und Visual Basic for Application (VBA), die Makrosprache von Microsoft Office, benutzt.
Man-in-the-middle 
Angriff, bei denen ein Dritter sich unbemerkt in die Kommunikation
zwischen zwei Partnern einschmuggelt und diese abhört oder sogar manipuliert.
Mehrstufige Firewall 
Siehe PAP-Modell.
Messaging Application Programming Interface (MAPI, Messaging API) 
Proprietäre Schnittstelle von Microsoft zum Verwalten, Versenden und
Synchronisieren von E-Mails, Terminen, Kontakten und Aufgaben aus beliebigen
Anwendungen heraus. Stellt die zentrale Schnittstelle von Microsoft Exchange
und von Microsoft Outlook dar.
Media Access Control (MAC) 
6 Byte lange Nummer (z.B. 00:02:3F:75:DC:58), die weltweit eindeutig jeder
Ethernet-Netzwerkkarte zugeordnet ist. Wird in lokalen Netzen zur Adressierung
verwendet.
Message Digest 5 (MD5) 
Eine von Ron Rivest entwickelte und weit verbreitete 128-Bit Hash-Funktion,
wird z.B. von PGP zusammen mit dem RSA-Algorithmus verwendet.
Multipurpose Internet Mail Extensions (MIME) 
Ermöglicht ursprünglich in einer E-Mail nicht nur einfache Textnachrichten
zu übertragen, sondern auch Texte mit Umlauten, Bilddateien, Dateien aus
Anwendungs-Programmen usw. Wird inzwischen von vielen anderen Protokollen
zur Übertragung von Daten eingesetzt, um den Dateityp zu spezifizieren (PGP,
S-MIME).
Die sogenannten MIME-Attachments mit Anwendungsdaten können aber auch ein Sicherheits-Risiko darstellen (siehe Attachments).
Modulator/Demodulator (Modem) 
Gerät zur Datenfernübertragung (DFÜ) zwischen Computern über Wählleitungen des
analogen, öffentlichen Telefonnetzes. Wandelt dazu die digitalen Daten des
Computers in analog Signale ("Töne") um und umgekehrt. Derzeit lassen sich
Übertragungsraten bis zu 56 kBit/s erreichen. Werden mehr und mehr von
ISDN abgelöst.
In Unternehmen werden Modems häufig für Wartungszugänge und zusätzliche Anbindungen ans Internet genutzt. Da hier häufig nicht dieselben Sicherheitsmaßnahmen beachtet werden wie beim Internetanschluss des Unternehmens, bieten Modems eine beliebte Hintertür für Hacker. Abhilfe: Die Einwahlpunkte in ein Secure Server Netzwerk verlagern.
Wichtig Standards der ITU (International Telecommunication Union) sind V.34+ (bis 33.600 Bit/s), V.42 (mit Fehlerkorrektur), V.42bis (mit Datenkompression) und V.90 (bis 56.600 Bit/s).
Multicast 
Versenden eines Datenpaketes an viele Rechner gleichzeitig, z.B. für
Video- oder Televion on Demand.
National Institute for Standards and Technology (NIST) 
Eine Abteilung des US-Handelsministeriums, die offene Standards publiziert,
die sich mit der Fähigkeit von Hard- und Software befassen, miteinander zu
kommunizieren (Interoperabilität). Hieß früher NBS
(National Bureau of Standards).
National Security Agency (NSA) 
US-amerikanische Behörde, die sich u.a. mit der Entwicklung und Kryptoanalyse
von Verschlüsselungsverfahren beschäftigt. usw.
NetBIOS 
Altes Netzwerkprotokoll in MSDOS- und Windows-Netzwerken.
Netmask ("Netzmaske) 
Definiert über eine Anzahl von 1-32 aufeinanderfolgenden Bits den Teil
einer IP-Adresse, der ihren Netzanteil darstellt (z.B.
255.0.0.0
= /8
,
255.255.0.0
= /16
,
255.255.255.0
= /24
).
Notwendig für das "Routing".
Network Address Translation (NAT) 
Setzt (private) IP-Adressen auf im Internet gültige IP-Adressen um und wird oft
in Paketfilter-Firewalls eingesetzt. Die Struktur des eigenen Netz wird damit
häufig vor anderen Netzen verborgen, da es nur einen Übergangspunkt
gibt, auf dem NAT stattfindet. Application-Level-Gateway benötigen kein NAT,
da hier stets die Adresse des Firewalls verwendet wird, nicht die aus dem
internen Netz.
Network Layer ("Vermittlungs-Schicht") 
3. Schicht des OSI-Modells: Führt die Vermittlung
und Zustellung der Datenpakete zwischen 2 Endpunkten durch (IP-Schicht).
Network Virtual Terminal Protocol (TELNET) 
Weit verbreitetes Standard-Protokoll zum Anmelden an Rechnern über Netzwerk.
Aufgrund der unverschlüsselten Übertragung von Passwort und
Daten sehr unsicher, besser SSH verwenden.
Network File System (NFS) 
Von der Firma SUN erfundenes Standard-Netzwerk-Dateisystem für die Freigabe
von Dateisystemem zwischen UNIX-Rechnern.
Leider schon relativ alt und daher schlecht gegen Missbrauch gesichert (weder die Authentifizierung noch der Datentransfer sind gegen Mitlesen geschützt). Sollte daher nur in sicheren, abgeschotteten Umgebungen eingesetzt werden.
Network Information System (NIS, Yellow Pages) 
Von der Firma SUN erfundener Standard-Dienst für die zentrale Benutzer- und
Gruppen-Verwaltung von UNIX-Rechnern. Auch Rechnernamen, Netzwerkgruppen
und viele andere zentrale UNIX-Systemdateien sind damit administrierbar. Fasst
eine Reihe von UNIX-Rechnern in einer "flachen" NIS-Domäne zusammen
(bitte nicht mit einer DNS- oder einer Windows-Domäne verwechseln). Hieß
zunächst "Yellow Pages" bis die British Telecom gegen diesen von ihr
registrierten Namen Einwand erhob.
Leider schon relativ alt und daher schlecht gegen Missbrauch gesichert (weder die Authentifizierung noch der Datentransfer sind gegen Mitlesen geschützt). Sollte daher nur in sicheren, abgeschotteten Umgebungen eingesetzt werden. Sichere Ersatzanwendungen sind NIS+ und LDAP.
Network Information System + (NIS+) 
Von der Firma SUN entwickelter deutlich verbesserter Nachfolger von NIS. Arbeitet verschlüsselt und bietet eine hierarchische
Namenstruktur. Hat sich leider nicht durchgesetzt.
Netzwerkprotokoll 
In Netzwerken (z.B. dem Internet) kommunizieren die Rechner untereinander
mit der Hilfe von exakt definierten Protokollen. Unter Protokoll kann man
sich so etwas wie die gemeinsame "Sprache" des Netzwerkes vorstellen. Typische
Beispiele sind
TCP/IP,
ICMP,
SMTP,
POP und
FTP,
Im Zuge der technischen Entwicklung werden Protokolle oft verfeinert oder
z.B. um sicherheitstechnische Eigenschaften erweitert und es gibt dann
ein "Nachfolger-"Protokoll. Viele Internet-Protokolle werden durch
RFCs definiert.
Newsgroup ("Newsgruppe") 
Diskussionsforen, in denen sich die Nutzer über festgelegte Themen
austauschen. Die Themen können technisch, gesellschaftspolitisch,
randgruppenbezogen, aber leider auch gewaltverherrlichend, sexistisch oder
am Rande der Legalität sein. Mitteilungen in diesen Newsgroups werden für
lange Zeit von bestimmten News-Servern gespeichert und verteilt.
Notfallplan 
Legt fest, welche Maßnahmen bei einem erfolgreichen Angriff durchzuführen
sind, wer wofür zuständig ist, welche Daten Priorität haben und wer informiert
werden muss. Sollte rechtzeitig aufgestellt und immer wieder geübt werden,
da im Ernstfall kaum jemand kühlen Kopf behält. Wichtig ist dabei, dass der
Notfallplan bekannt gemacht wird und leicht zugänglich ist.
Offline ("ohne Verbindung") 
Verbindungsloser Zustand eines Rechners, meist in Bezug auf das Internet.
Online ("in Verbindung") 
Zustand einer Verbindung eines Rechners, meist mit dem Internet.
Online-Banking 
Abwickeln von Bankgeschäften (z.B. Überweisungen oder Aktienhandel) von zu
Hause aus über das Internet.
One-time-Keypad (OTP, Einmal-/Wegwerf-Schlüssel) 
Die einzige nachweisbar sichere Verschlüsselungsmethode. Man erzeugt einen "echt"
zufälligen Schlüssel, der genauso lang ist wie die zu verschlüsselnde Nachricht
und verwendet ihn nur ein einziges Mal zum Ver- und zum Entschlüsseln. Hier
gibt es 2 Probleme:
- Wie erzeugt man einen "echt" zufälligen Schlüssel (d.h. keinen pseudo-zufälligen) über einen Algorithmus?
- Wie handhabt man den Schlüssel (d.h. wie gelangt er zum Empfänger, wie wird er verwahrt, und wie wird er vernichtet).
Open Source Software (OSS) 
Dabei handelt es sich um Software, bei der der Quellcode mitgeliefert
wird oder auf Verlangen ohne zusätzliche Kosten erhältlich ist.
Orange Book 
Klassifizierung von IT-Systemen nach den Sicherheitsklassen D, C1, C2, B1,
B2, B3 und A1. Die Klassifizierungen werden nur in den USA zertifiziert.
Das Orange Book erschien 1983, inzwischen sind die Klassifizierungen nach
ITSEC und CCITSE gebräuchlicher.
OSI-Modell 
Standardisierte Aufteilung der OSI (Open Systems
Interconnection) eines Netzwerkes in 7 logische Schichten. Hat sich
wegen seiner Komplexität nie durchgesetzt, ist aber gut zur sauberen Trennung
und Darstellung der einzelnen Aufgaben in einem Netzwerk geeignet (Merkspruch:
All people seem to need data
processing oder Please Do Not Throw
Salami Pizza Away).
Nr | Layer | Ebene/Schicht | Einordnung | Beispiel |
---|---|---|---|---|
7 | Application | Anwendung | Anwendungs- orientiert | FTAM |
6 | Presentation | Darstellung | ASN.1 | |
5 | Session | Sitzung | ISO 8326 | |
4 | Transport | End-zu-End-Verbindung | Transport- orientiert | ISO 8073 |
3 | Network | Vermittlung | CLNP | |
2 | Data Link | Sicherung | HDLC | |
1 | Physical | Bit-Übertragung | Token Bus |
TCP/IP kennt dagegen nur 4 Schichten (Merkspruch: Alle Transportieren Netzwerk Daten):
Nr | Layer | Ebene/Schicht | Einordnung | Beispiele |
---|---|---|---|---|
4 | Process/Application | Anwendung | End zu End (Multihop) | HTTP, FTP |
3 | Host-to-Host | End-zu-End- Verbindung | TCP, UDP, ICMP | |
2 | Internet/IP | Vermittlung | Punkt zu Punkt | IP |
1 | Network Access | Übertragung | Ethernet |
Outlook Express 
Standard-E-Mail- und Groupware-Programm von Microsoft Windows. Ist sehr
weit verbreitet, da es im Lieferungsumfang der Windows-Betriebssysteme
enthalten ist.
Packet InterNet Groper (Ping, "Herumtaster") 
Programm, mit dem ein Internet-Server angesprochen werden kann.
Es ermittelt u.a. die URL zu einer IP-Adresse, die Verfügbarkeit und die
Verbindungsgeschwindigkeit und verwendet dazu ICMP.
Der Autor Mike Muuss benannte seinen Hack nach dem Sonar-Ortungsgeräusch
von U-Booten.
Paketfilter (PFL) 
Firewall-Typ, der auf der Basis von Protokolltyp, IP-Adresse, Portnummer,
Netzwerk-Interface, Verbindungsstatus, usw. Filterregeln auf
die Netzwerkpakete anwendet. Ist die Verbindung gemäß den Filterregeln
erlaubt, lässt der Paketfilter die Daten der Verbindung wie ein
Router passieren.
Angriffe auf IP-Ebene kann ein Paketfilter daher nur abwehren,
wenn zusätzliche Schutzmechanismen greifen. Eine sogenannte Stateful Inspection gewährt zusätzlichen
Schutz.
Ein klassischer Paketfilter hat keinen Zugriff auf Anwendungsdaten und kann
daher keine Angriffe auf Anwendungsebene (z.B. Viren)
erkennen.
PAP-Modell 
Nach einer
Empfehlung des BSI
sollte ein Firewallsystem gemäß dem PAP-Modell
(- Äußerer Paketfilter (PFL)
- Application-Level Gateway (ALG) (Proxy-Server, auf dem ein Virenscanner mit ständig aktualisierten Virenmustern für die benötigten Protokolle E-Mail, HTTP, usw. läuft)
- Innerer Paketfilter (PFL)

Zusätzlich notwendig ist eine genaue Festlegung der durch die Firewall zugelassenen Netzwerk-Dienste, seine sorgfältige Einrichtung und anschließende Überwachung. Dabei kann der meist ohnehin vorhandene externe (DSL-)Router mit entsprechenden Regeln als äußerer Paketfilter ausgelegt werden.
Mehrstufige Komplett-Firewalls gibt es nur wenige auf dem Markt (z.B. von genua).
Passphrase 
Dient wie ein Passwort dazu, Daten vor unbefugtem Zugriff zu schützen.
Besteht jedoch aus mehreren Wörtern sowie Zahlen und Satzzeichen, um eine
größere Sicherheit zu bieten. Dient häufig dazu, den Private Key eines
asymmetrischen Schlüsselpaars abzusichern.
Passwort 
Schützt den Zugang zu Benutzerkennungen und Anwendungen. Mit der Eingabe eines
Passwortes weist der Benutzer nach, dass er zu dem geschlossen System eine
Zugangsberechtigung hat (z.B. Eingabe der Geheimzahl am Geldautomaten).
Im Internet werden Passwörter bei bestimmten Diensten benötigt, zum Beispiel
bei der Einwahl ins Internet über einen Internetprovider oder den Zugang zu
Bestimmten Internet-Seiten.
Da sehr leistungsfähige Passwort-Crack-Programme verfügbar sind, dürfen Passwörter keinesfalls an in Lexika befindlichen Wörtern angelehnt sein (egal welcher Sprache). Gute Passwörter sollten Gross-, Kleinbuchstaben, Ziffern und Sonderzeichen enthalten und in regelmäßigen Abständen (alle paar Monate) geändert werden.
Sinnvoll ist auch das Vorbereiten einiger "guter" Passworte, die im Notfall, wenn das eigene Passwort "verbrannt" (anderen bekannt) ist, ohne großes Überlegen verwendet werden können. Gute Passworte kann man "auswürfeln" oder aus einem (möglichst sinnlosen) Satz ableiten (z.B. "Heute bleibt die Hausfrau nicht mehr am Herd" => "HbdH5m2H"), der das Memorieren erleichtert.
Passwort-Cracker 
Testen Passwörter gegen eine Vielzahl aufbereiteter Wörterbücher und daraus
abgeleiteten Passwörtern. Funktioniert auch bei verschlüsselt abgespeicherten
Passwörtern, da aus großen Lexika abgeleitete Passwörter entsprechend
verschlüsselt und mit dem verschlüsselten Passwort verglichen werden.
Patch ("Flicken") 
Ein kleines Programm, das Fehler in Anwendungs-Programmen oder Betriebssystemen
behebt. Service Packs stellen eine Sammlung von Patches dar, die auf
einen Schlag auf einem Betriebssystem installiert werden.
Personal Firewall 
Programm, das auf einem Arbeitsplatzrechner installiert wird und diesen
ähnlich einer Firewall schützen soll. Durch den Einsatz auf einem
Arbeitsrechner ist jedoch eines der wichtigsten Prinzipien von
Firewalls durchbrochen:Eine Firewall sollte immer auf einem gesonderten System mit dem minimal nötigen Softwareumfang (z.B. abgespecktes Betriebssytem) installiert sein.Gute Personal Firewalls bieten vor allem beim Einsatz auf privaten Rechnern, die mit dem Internet verbunden sind, bei sorgfältiger Konfiguration angemessenen Schutz; hier wäre der Schutz durch eine normale Firewall nicht verhältnismäßig. Im Unternehmensumfeld sind Personal Firewalls wegen des geringeren Schutzniveaus und der erschwerten Administration kein Ersatz für eine zentrale, dedizierte Firewall.
Penetrationstest 
"Erlaubter" Angriff, mit dem externe Spezialisten gezielt ein zu überprüfendes
Netzwerk angreifen, um eventuelle Sicherheitslücken festzustellen. Ein echter
Penetrationtest geht weit über den Einsatz von fertiger Scansoftware hinaus,
sondern wird wie ein richtiger Hackerangriff durchgeführt.
Personal Identification Number (PIN) 
Für den Zugang zu einem Konto mit einer Bank-Card ist neben der Konto-Nummer
auch die geheime 4-stellige PIN notwendig, die normalerweise nur der Kunde
kennt (und deshalb auch geheim halten sollte).
Physical Layer ("Bit-Übertragungs-Schicht") 
1. Schicht des OSI-Modells: Sendet und empfängt Bits.
Phishing (Password Fishing) 
Aus "Passwort" + "Fishing" zusammgesetztes Kunstwort. Phishing-Mails sollen
arglose Online-Kunden auf Websites locken, die den echten Web-Auftritten
von Banken täuschend ähnlich nachempfunden sind, und dort zur Eingabe der
Zugangsdaten (z.B. PIN-Nummer, TAN-Nummer) verleiten.
Solche Mails sollte man sofort in den Papierkorb werfen, Banken treten nicht
auf diese Weise mit Kunden in Verbindung. Die Zugangsdaten werden nie zu
Kontrollzwecken von Banken abgefragt (auch nicht per Telefon).
Basis von Phishing-Angriffe kann auch
URL-Rewriting/WWW-Spoofing oder
DNS-Spoofing sein.
Ping of Death 
(Veralteter) Angriff durch ein in Teilen (Fragmenten) gesendetes, unzulässig
langes ICMP-Paket. ICMP wird für Statusmeldungen und
z.B. das Programm ping verwendet. Das angegriffene
System stürzt beim dem Versuch ab, das unzulässige Paket zusammenzusetzen
und zu verarbeiten. Der Angriff sollte inzwischen bei allen Betriebssystemen
wirkungslos bleiben.
Plug-In 
Hilfsprogramm, das sich in ein anderes Programm "einklinkt" und
dessen Funktionalitäten erweitert.
Internet-Browser unterstützen bereits eine Vielzahl von Formaten (z.B. Grafiken, Videos, Audio-Aufnahmen) und Verfahren (z.B. gesicherte Verbindungen aufbauen und verschlüsselte Nachrichten austauschen). Täglich kommen jedoch neue Formate hinzu, die von den Browsern nicht direkt unterstützt werden. Mit den passenden Plug-Ins, die über eine standardisierte Schnittstelle vom Browser angesprochen werden, sind diese neuartigen Formate dann doch im unveränderten Browser verwendbar.
Allerdings kann man sich durch schlecht programmierte Plug-Ins leicht Sicherheitslöcher in seinem Browser einhandeln, die den eigenen Rechner angreifbar machen. Im Internet kursieren viele "Exploits", mit denen diese Sicherheitslücken ausgenützt werden können, also Vorsicht.
Point to Point Protocol (PPP) 
Kommunikationsprotokoll zwischen 2 Endpunkten, z.B. bei der Einwahl per
Modem in das Internet zwischen dem eigenen Rechner und dem Provider.
Port ("Tor") 
In einem TCP/IP-Netzwerk hat ein Rechner zunächst nur eine IP-Adresse. Will
man innerhalb des Rechners unterschiedliche Applikationen/Server adressieren,
so macht man das über die Ports, die von 0-65535 durchnummeriert sind. Die
Ports 0-1023 sind sogenannte Well known Ports die nur von Anwendungen
mit Administrator-Rechten benutzt werden dürfen.
Port Forwarding ("SSH-Tunneling") 
Verfahren, mit dem man über einen willkürlich gewählten Port auf dem
localhost eine SSH-Sitzung auf einen bestimmten Port eines anderen
Rechners eröffnet. Daten anderer Internet-Dienste wie FTP, X11, POP oder HTTP
können somit durch die verschlüsselte Strecke "getunnelt" werden. Dadurch
profitieren diese unsicheren Protokolle vom ausgezeichneten und
verifizierten Verschlüsselungsmechanismus der SSH-Verbindung und können
auch dann weiter verwendet werden, wenn die unverschlüsselten Zugänge
geschlossen sind.
Port Scan 
Hiermit versucht ein Angreifer herauszufinden, welche Dienste ein Rechner
nach außen hin anbietet, indem er nacheinander alle Ports dieses Rechners
"anspricht". Dient in der Regel dazu, einen Angriff vorzubereiten, indem
Schwachstellen gesucht werden.
Ein Portscan untersucht die Rechner eines Netzwerkes auf bekannte Dienste wie HTTP, TELNET, FTP etc. Dies ist dadurch möglich, dass jedem Dienst ein eigener numerischer Wert (die sog. TCP/ UDP-Portnummer) zugewiesen wird und jeder Dienst auf eine Anfrage mit einer charakteristischen Antwort reagiert.
Die prinzipielle Arbeitsweise eines Portscanners beruht darauf, dass er entweder versucht, eine Verbindung zu einem Dienst aufzubauen (Connect Scan) oder über die Antwort auf ungültige Pakete (Stealth Scans) Informationen über die aktiven Dienste auf einem Rechner erhalten möchte (weitere Informationen).
Post Office Protocol V3 (POP3) 
Protokoll um E-Mails von einem Mail-Server abzuholen.
Pretty Good Privacy (PGP) 
Programm zur hochsicheren digitalen Signatur
und Verschlüsselung von Texten, insbesondere von E-Mails, das von Phillip
Zimmermann entwickelt wurde. War ursprünglich freie Software, wurde dann
aber in ein kommerzielles Unternehmen übertragen. Der nicht-kommerzielle
Gebrauch ist kostenlos, zum kommerziellen Gebrauch muss eine Lizenz von Network Associates Inc. (NAI)
erworben werden.
Als freies Gegenstück zu PGP gibt es das in Deutschland entwickelte GnuPG, das mit den anderen PGP-Versionen kompatibel ist. Beide können u.a. mit einer Vielzahl von Mailprogrammen kombiniert werden.
Das frei verfügbare Verschlüsselungsprogramm Pretty Good Privacy (PGP), das sich als Quasi-Standard für den Austausch verschlüsselter E-Mail etabliert hat, benutzte ursprünglich den asymmetrischen Algorithmus RSA und als symmetrischen Algorithmus IDEA. In neueren Versionen wird als asymmetrischer Algorithmus Diffie-Hellman/DSS und für die symmetrische Seite CAST verwendet (RSA und IDEA werden jedoch weiterhin unterstützt).
Privacy Enhanced Mail (PEM) 
Vorgeschlagener Internet-E-Mail-Standard, der Protokolle zur Verschlüsselung,
Integritätsprüfung ("Wurde die Nachricht nachträglich verändert?"),
Schlüsselverwaltung und Authentifizierung (digitale Signatur)
umfasst. Verwendet RSA-Schlüssel der Länge 508 bis 1024 Bits und basiert
auf dem X.509-Format.
Hat sich nicht durchgesetzt und besitzt keinerlei praktische Bedeutung mehr.
Private/Secret Key (Privater Schlüssel, Geheimer Schlüssel) 
Einer von den 2 Schlüsseln in Verfahren zur asymmetrische Verschlüsselung,
der nicht veröffentlicht wird, sondern geheim bleibt.
Er dient dazu, Nachrichten an den Inhaber zu entschlüsseln und für ihn
digitale Signaturen zu erzeugen.
Meist wird dieser Private Schlüssel durch ein Passwort oder eine Passphrase geschützt, damit er nicht im Klartext irgendwo auf Festplatte oder Diskette abgelegt ist.
Proprietäre Software 
Software, die nur in bestimmten Umgebungen lauffähig ist und nur gegen
Zahlung von Lizenzgebühren erhältlich ist. Meist ist hiermit Software für
kommerzielle Betriebssysteme wie Windows gemeint. In der Regel wird der
Quellcode nicht veröffentlicht, sodass eine Anpassung nicht möglich ist.
Proxy ("Stellvertreter") 
Ein Programm, das stellvertretend für einen Client den
Auf- und Abbau von Verbindungen durchführt. Wird in Application- und
Circuit-Level-Gateways
eingesetzt. Verbindungen werden nicht einfach nach Prüfung durchgelassen
sondern unterbrochen und mit Hilfe des Proxies verbunden (beabsichtigter Man-in-the-Middle-Angriff). Für den Client
und den Server ist dieses Verhalten normalerweise transparent (nicht
feststellbar). Dadurch wird das interne Netz zuverlässig vor Angriffen auf
IP-Ebene geschützt.
Wird von WWW-Servern auch verwendet, um Daten zwischenzuspeichern und sie so beim nächsten Abruf schneller auszuliefern (die Performance erhöhen).
Private Key Verfahren 
Siehe symmetrisches Verfahren.
Protokollanomalien 
Datenverkehr, der gegen Netzwerkregeln verstößt. Hierunter fallen
beispielsweise unerwartete Daten und zusätzliche beziehungsweise ungültige
Zeichen. Protokollregeln für Netzwerkprotokolle, wie Telnet, HTTP, SMTP,
SSH, werden in den Sensoren eines IDS nachgebildet und dadurch Abweichungen
davon erkannt.
Provider 
In der Regel ist hiermit der Zugangsvermittler zum Internet gemeint. Häufig
wird auch von Internet-Provider, Internet-Access-Provider oder
Internet-Service-Provider gesprochen.
Public Key (Öffentlicher Schlüssel) 
Einer von den 2 Schlüsseln in Verfahren zur Asymmetrische Verschlüsselung,
der veröffentlicht wird (z.B. auf einem Public Key Server).
Er dient dazu, Nachrichten an seinen Inhaber zu verschlüsseln und von diesem
durchgeführte digitale Signaturen zu überprüfen.
Ein von einer Certification Authority beglaubigter öffentlicher Schlüssel heißt Zertifikat. Ein Zertifikat wird auch als elektronischer Ausweis bezeichnet.
Public Key Infrastructure (PKI) 
Sicherheitssystem zur Verschlüsselung von Informationen und zur Identifizierung
von Anwendern mithilfe digitaler Zertifikate zwischen mehrere Partner.
Bezeichnung für die notwendigen technischen Einrichtungen sowie der dazugehörenden Prozesse und Konzepte bei der asymmetrischen Verschlüsselung. Zu den notwendigen Einrichtungen gehören u.a. CA (Certification Authority). Hier werden Zertifikate ausgestellt, Public Keys auf so genannten Public Key Server bereitgestellt, die CRL (Certificate Revocation List) gepflegt usw. Der Aufbau der CA ist nach X.509-Format hierarchisch, so gehören auch internationale CA wie ICE-TEL dazu.
Aber auch die notwendigen Einrichtungen für die Beglaubigungsgruppen, die bei PGP Anwendung finden, fallen unter diesen Begriff.
Public Key Server 
Verwaltet ein öffentliches Schlüsselverzeichnis, vergleichbar einem elektronischen
Telefonbuch, in dem die öffentlichen Schlüssel der Benutzer, die dies wünschen,
für jeden leicht erreichbar zugänglich gemacht werden.
Public Key Verfahren 
Siehe Asymmtrische Verschlüsselung.
Quality of Service (QoS) 
Steuerung der Verbindungsqualität abhängig von der Verbindungsart oder
dem Verbindungsprotokoll.
Quantenkryptografie 
Eine Mischung aus Physik und kryptografischen Protokollen, bei der
sich Abhörversuche sicher beweisen lassen. Erlaubt die sichere
Informationsübertragung, ist jedoch in der Praxis noch außerordentlich schwer
zu realisieren.
Race Condition 
Programmierfehler, der für Angriffe ausgenützt werden kann. Ein Programm belegt
bestimmte Ressourcen, sichert diese aber nicht sofort, sondern erst
später gegen unerlaubten Zugriff ab. Dazwischen kann ein geschickter Angreifer auf diese Ressourcen
zugreifen und für seine Zwecke verwenden. Besonders häufig geschieht dies,
wenn ein Programm Daten vorübergehend in temporären Dateien ablegt. Der
Angreifer verschafft sich auf diese Dateien Zugriff, kann sie ändern, zerstören
oder mit ihrer Hilfe Systemprivilegien erlangen. Es gibt noch viele andere
Race Conditions, von denen eine Vielzahl Sicherheitsprobleme darstellen können.
RC2, RC4 und RC5 (Ron's Code) 
RC2 ist eine symmetrische Blockchiffrierung von RSADSI mit variabler
Schlüssellänge und einer Blockgröße von 64 Bit. Als Ersatz für DES konzipiert
und etwa zwei- bis dreimal schneller. Wird von
S-MIME eingesetzt.
RC4 ist eine symmetrische Blockchiffrierung von RSADSI mit variabler Schlüssellänge. Wird von HTTPS (SSL) verwendet.
RC5 ist eine symmetrische Blockchiffrierung, die 1994 von Ron Rivest für RSADSI entwickelt wurde. Sowohl Blockgröße als auch Schlüssellänge sind variabel.
Relay-Missbrauch 
Siehe SPAM.
Regulierungsbehörde für Telekommunikation und Post (RegTP) 
Ging am 1.1.1998 aus dem Bundesministerium für Post und Telekommunikation
(BMPT) und dem Bundesamt für Post und Telekommunikation (BAPT)
hervor. Verwaltet neben der Regulierung des Telekommunikations- und Postmarktes
auch die Frequenzen und Rufnummern und erstellt die Genehmigung zum Betrieb
von signaturkonformen Zertifizierungstellen. Ist dem
Bundeswirtschaftsministerium nachgeordnet und hat ihren Hauptsitz in Bonn.
Remote Dienste (R-Dienste) 
Eine Reihe von UNIX-Standard-Programmen, die das Arbeiten über Netzwerk auf einem entfernten
Rechner ermöglichen, z.B.
RCMD,
RCP,
RLOGIN und
RSH.
Arbeiten alle mit dem RPC-Protokoll und sind alle unsicher,
da die Anmeldung und die Datenübertragung unverschlüsselt erfolgt.
Remote Command (RCMD) 
Weit verbreitetes UNIX-Standard-Protokoll zum Ausführen von Kommandos auf
Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort
und Daten sehr unsicher, besser SSH verwenden.
Remote Copy (RCP) 
Weit verbreitetes UNIX-Standard-Protokoll zum Kopieren von Dateien zwischen
Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort und Daten
sehr unsicher, besser SCP verwenden.
Remote Execute (REXEC) 
Weit verbreitetes UNIX-Standard-Protokoll zum Ausführen von Kommandos auf
Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort
und Daten sehr unsicher, besser SSH verwenden.
Remote Login (RLOGIN) 
Weit verbreitetes Standard-Protokoll zum Anmelden an Rechnern über Netzwerk.
Aufgrund der unverschlüsselten Übertragung von Passwort und Daten sehr
unsicher, besser SSH verwenden.
Remote Procedure Call (RPC) 
Von der Firma SUN erfundenes Verfahren, Prozeduren auf einem anderen Rechner
über Netzwerk hinweg aufzurufen. Dient als Basisprotokoll für eine ganze Reihe von
Netzwerkdiensten wie z.B.
NFS,
NIS und
NIS+.
Remote Shell (RSH) 
Weit verbreitetes UNIX-Standard-Protokoll zum Ausführen von Kommandos auf
Rechnern im Netzwerk. Aufgrund der unverschlüsselten Übertragung von Passwort
und Daten sehr unsicher, besser SSH verwenden.
Repeater ("Wiederholer") 
Siehe Bridge.
Replay Angriff 
Ein Angreifer zeichnet fremde verschlüsselte Nachrichten auf (ohne sie
dechiffrieren zu können) und spielt sie zu einem späteren Zeitpunkt noch einmal
in ein System ein, um sich dort unter falschem Namen zu authentifizieren
und den Datenverkehr zu stören, zu verfälschen oder in das fremde System
einzudringen.
Request For Comment (RFC) 
Definieren Internet-Standards und machen Vorschläge für neue
Internet-Standards. Dienste wie E-Mail, HTTP, MIME etc. werden durch RFCs
geregelt. Eine Übersicht über alle RFCs findet man unter www.ietf.org.
Restore ("Rücksicherung") 
Rückspielen einer oder mehrer Datensicherungen (Backups).
Reverse Address Resolution Protocol (RARP) 
Broadcast-basierendes Protokoll, das in lokalen Netzen zu einer (physikalische)
MAC-Adresse (der Netzwerkkarte) die zugehörige (logische) IP-Adresse sucht.
Revocation ("Zurücknahme") 
Darunter versteht man das ungültig machen eines öffentlichen Schlüssels,
weil z.B. nicht mehr sichergestellt ist, dass nur der Inhaber des zugehörigen
privaten Schlüssel darauf Zugriff hat. Damit wird die Gefahr abgewendet, dass
ein anderer sich als Schlüsselinhaber ausgibt und damit Schaden anrichtet.
Revozierte Schlüssel werden üblicherweise von der CA in eine Certificate
Revocation List (CRL) aufgenommen, die jeder einsehen kann.
Revocation Password ("Notfall-Passwort") 
Dient zu Authentisierung eines Zertifikatinhabers für den Fall, dass dieser
keinen Zugriff mehr auf seinen privaten Schlüssel hat, um seine Revozierung
digital zu signieren. Damit ist eine telefonische Sperre eines Zertifikats
bei einem Trust Center möglich.
Radio Frequency IDentification (RFID, Transponder) 
Automatische Datenerfassungstechnik, bei der winzige Chips an Produkten oder
Verpackungen befestigt werden, um sie (weltweit) eindeutig zu identifizieren.
Sie lassen sich per Funk über eine Entfernung von 1-2 Metern ohne direkten
Kontakt abfragen — sogar durch eine Geldbörse, einen Rucksack oder eine
Tasche hindurch. Viele grosse Handelskonzerne möchten die bekannten EAN-Barcodes
durch diese "Schnüffelchips" ersetzen.
Leider kann damit so gut wie jedes Objekt auf dem ganzen Planeten — sowie die Menschen, die sie tragen und bewegen — unbemerkt verfolgt werden. Zur Zeit gibt es keine Regelungen oder Gesetze in Deutschland, der EG oder gar weltweit, mit denen die Gesellschaft vor den Gefahren oder gar dem Missbrauch solcher Technologien geschützt werden könnte.
Registry 
Zentrale Datenbank bei Windows-Betriebssystemen, in der wichtige Benutzer-,
Anwendungs- und System-Einstellungen gespeichert sind. Ein Fehler darin
kann dazu führen, dass der Computer nicht mehr startet.
Rijndael 
Ursprünglicher Name des Advanced Encryption Standard (AES).
Routing Information Protocol (RIP) 
Protokoll zum Austausch von Informationen zwischen Routern, um die
Netzwerktopologie zu ermitteln und allen Routern bekannt zu machen.
RIP-Spoofing 
Darunter versteht man das Umleiten von Datenströmen durch Einstreuen
falscher Routing-Informationen. Als Gegenmaßnahme können unter UNIX-Systemen
entsprechende Kernelparameters gesetzt werden.
Rivest Shamir Adleman-Algorithmus (RSA) 
Bekanntes asymmetrisches Verschlüsselungsverfahren (z.B. in PGP verwendet), benannt nach seinen 3 Autoren, das Patent
darauf wird von der US-Firma RSA
Data Security Inc. gehalten. Seine Sicherheit beruht auf der simplen
Tatsachen, dass es zwar sehr einfach ist, zwei sehr grosse Primzahlen (mit
mehreren 100 Dezimalstellen) miteinander zu multiplizieren, es aber umgekehrt
sehr schwer ist, dieses Produkt wieder in die beiden Primzahlen zu zerlegen
(zu "faktorisieren").
root ("Wurzel") 
Name des Administrators auf UNIX/Linux-Systemen.
Gleichzeitig der Name des Startverzeichnisses des gesamten
UNIX/Linux-Dateibaumes.
RootKit ("Administratorbausatz") 
Sammlung von Softwarewerkzeugen, die nach einem Einbruch auf dem
kompromittierten Rechner installiert wird, um zukünftige Anmeldevorgänge
("Logins") des Eindringlings zu verbergen und die zugehörigen Prozesse und
Dateien zu verstecken.
ROT13 (Rotation 13) 
Cäsar-Verschlüsselung mit einer Verschiebung um 13
Buchstaben (A ↔ N, B ↔ O, …, M ↔ Z). D.h. die zweimalige Anwendung
dieser Verschlüsselung ergibt wieder den Originaltext. Dient weniger zum
Verschlüsseln als zum Schutz gegen versehentliches Mitlesen (z.B. der Lösungen
von Rätseln oder politischer/religiöser Kommentare, die die Gefühle anderer
verletzen könnten).
Router 
Eine Art Rechner mit mehreren Netzwerk-Anschlüssen. Hat die Aufgabe,
alle Daten, die er erhält, in die richtige Richtung (also zur richtigen
Datenleitung — und nur zu dieser) weiterzuleiten. Dazu verwendet er Routing-Tabellen.
Routing-Angriff 
Angriff, bei dem der Datenstrom zwischen zwei Kommunikationspartnern von
einem Angreifer über eine Station geleitet wird, die unter seiner Kontrolle
steht. Hierzu ist IP-Spoofing sowie der Versand
gefälschter Routing-Informationen erforderlich.
Samba 
Frei verfügbare Software, die einen UNIX/Linux-Rechner zu einem File-, Print-
und Anmelde-Server für Windows-Rechner macht. Auf der Windows-Seite taucht dieser
Rechner dann mit einem NetBIOS-Namen in der Netzwerkumgebung auf. Verwendet
das SMB-Protokoll, daher der Name.
Sandbox 
Geschützte Umgebung auf einem Rechner, in der eine unsichere Software ablaufen
kann, ohne den Rechner zu kompromittieren.
Schadensroutine 
Siehe Malicious Code.
Schlüssellänge 
Die Länge des verwendeten Schlüssels ist von entscheidender Bedeutung
für die Sicherheit eines Verschlüsselungsalgorithmus bezüglich
Brute Force Angriffen. Bei
symmetrischen Verfahren gelten Schlüssel ab 128 Bit als sicher, bei den
meisten asymmetrischen Verfahren
ab 1024 Bit.
Secure Hashing Algorithm 1 (SHA-1) 
Vom NIST entwickelte 160-Bit Hash-Funktion, die beim DSS verwendet wird.
Secure HTTP (S-HTTP) 
Erweiterung des HTTP-Protokolls für die verschlüsselte
Übertragung von WWW-Seiten. Auf Grund diverser Einschränkungen wird S-HTTP
kaum eingesetzt, sondern SSL verwendet.
Server ("Diener") 
Ein Server ist ein Computer/eine Software, der Dienste für andere Rechner,
genannt Clients, anbietet (z.B. ein Rechner, auf dem ein
Web-Server läuft). Das Client-Server-Prinzip ist
ein grundlegendes Prinzip in der IT. Ein Rechner kann im Prinzip gleichzeitig
Server und Client für die verschiedensten Dienste sein.
Session Layer ("Sitzungs-Schicht") 
5. Schicht des OSI-Modells: Koordiniert die
End-zu-End-Verbindung zwischen 2 Anwendungen. Baut z.B. die Verbindung wieder
neu auf und setzt sie an der alten Stelle fort.
Secure Copy (SCP) 
Script Kiddie ("Kindchen") 
Etwas abschätzige Bezeichnung für Jugendliche, die mit fertigen oder nach
dem Baukastenprinzip zusammensetzbaren Programmen allgemein bekannte Fehler
in Internet-Software ausnutzen. Nichtsdestotrotz können diese Leute hohen
Schaden anrichten.
Dabei geht es nicht um das Ausspionieren bestimmter Informationen oder das Beeinträchtigen bestimmter Anbieter, sondern um das wahllose Scannen von Rechnern. Mit Hilfe der passenden Exploits wird eine so gefundene Schwachstelle dann ausgenutzt. Ziel ist es, auf einem Rechner die Administrator-Rechte zu bekommen oder einen Backdoor zu installieren, sodass die Systeme dann z.B. für eine DDoS-Attacke benutzt werden können.
Secure Multipurpose Mail Extension (S-MIME) 
Standardisierungsvorschlag zur Erweiterung von MIME (von einem RSADSI angeführten Konsortiums
von Softwareherstellern), der die Verwendung digitaler Signaturen und
Verschlüsselungsverfahren in MIME-Nachrichten ermöglicht. S-MIME-Zertifikate
basieren auf dem X.509-Format.
Secure Server Netzwerk 
Netzwerk, das für öffentlich zugängliche Server wie WWW-Server, ftp-Server
oder Einwahlrouter verwendet wird. Dieses Secure Server Netzwerk wird so
realisiert, dass es einerseits einen gewissen Schutz gegen das Internet hat,
andererseits wird das eigentliche interne Netzwerk gegen das Secure Server
Netzwerk abgesichert (siehe auch DMZ).
Secure Shell (SSH) 
SSH ist ein standardisiertes Protokoll, um sich über das Netzwerk
verschlüsselt an Rechnern anzumelden und dort Kommandos auszuführen. Es
gibt freie (OpenSSH)
und kommerzielle Implementierungen (SSH) davon. Eignet sich z.B. gut
für Außendienstmitarbeiter, die nur Zugriff auf einzelne Anwendungen benötigen.
Secure Socket Layer (SSL) 
Moderne Web-Browser unterstützen verschlüsselte
Online-Verbindungen. Dazu wird das von der Firma Netscape entwickelte
Protokoll Secure Socket Layer (SSL) verwendet, das
auf TCP/IP aufsetzt und eine sichere Kommunikation für Protokolle wie HTTP,
FTP etc. ermöglicht (für E-Commerce, Online-Banking oder E-Governments).
SSL-gesicherte WWW-Seiten werden mit https://
statt mit
http://
angesprochen. SSL-Zertifikate basieren auf dem
X.509-Format.
Leider unterstützen Export-Versionen, die außerhalb der USA verfügbar sind, aufgrund von Ausfuhrbeschränkungen nur die schwache 40-Bit-DES-Variante anstelle (die heute nicht mehr als sicher gelten kann) anstelle der starken 128-Bit Verschlüsselung. Weiterhin sind viele in Browser fest eingebaute SSL-Zertifikate leider schon abgelaufen und daher unsicher. Das SSL-Zertifikat, welches die Grundlage für die Verschlüsselung zwischen dem Web-Server und dem Nutzer darstellt und mit dem sich der Server ausweist, basiert auf dem sogenannten X.509-Format.
Security through obscurity ("Sicherheit durch Verschleierung") 
Bedeutet, dass Sicherheit durch das Geheimhalten der verwendeten
Sicherheitsmechanismen erreicht werden soll. Dies ist eine sehr fragwürdige
Methode, da es nur eine Frage der Zeit ist, bis die Geheimhaltung
zusammenbricht und das System dann offen liegt (siehe DeCSS = Decrypt Content
Scrambling System für DVDs).
Weiterhin ist die Qualität des Verfahrens nicht einschätzbar, da Sicherheits-Experten es nicht untersuchen können. Sinnvoller und praktikabler ist es, auf allgemein als gut und getestet eingeschätzte schlüsselbasierte Sicherheitsmechanismen zu vertrauen und nur die verwendeten Schlüssel geheimzuhalten.
Session Hijacking 
Übernahme einer bestehenden Verbindung während der Kommunikation der Partner
durch einen Angreifer. Kann mit entsprechenden Tools sehr einfach durchgeführt
werden. Einziger Schutz hiervor ist Verwendung verschlüsselter Verbindungen
(z.B. über SSH).
Secure File Transfer Protocol (SFTP) 
Verschlüsseltes Standard-Protokoll zur Übertragung von Dateien
zwischen Rechnern auf der Basis von SSH und
FTP
Shareware 
Art der Softwarevermarktung. Der Anwender hat dabei das Recht ein Programm
einige Zeit zu testen und sich erst dann für den Kauf zu entscheiden und sich
registrieren lassen. Unregistrierte Shareware hat manchmal Einschränkungen,
z.B. sind nicht alle Funktionen nutzbar oder das unregistrierte Programm
läuft nur eine gewisse Zeit. Die unregistrierten Programme dürfen kopiert
und weitergegeben werden.
Sicherheitsrichtlinien 
Regelwerk, das Maßnahmen festlegt, die zu einer sicheren IT-Landschaft
führen. Hierzu gehören Regeln zum Umgang mit Daten, zur Nutzung und Absicherung
von Netzwerken, zur Verwendung von Passwörtern, zur Verschlüsselung
von E-Mail und vieles, vieles mehr. Ein Anhaltspunkt zur Erstellung von
Sicherheitsrichtlinien ist das BSI-Grundschutzhandbuch.
Sicherheitsziele 
Die fundamentalen Sicherheitsziele sind:Authentisierung: Wer bin ich?
Authorisierung: Was darf ich?
Vertraulichkeit: Was darf ich sehen?
Integrität: Was darf ich ändern?
Verfügbarkeit: Wann kann ich arbeiten?
Signatur 
Siehe Digitale Signatur.
Signaturgesetz (SigG) 
Gesetz (Artikel 3 des IuKDG), das in Deutschland digitale Signaturen, die bestimmten Standards
genügen, der handschriftlichen Unterschrift gleichstellt (d.h. als
sicher angesehen werden).
Simple Mail Transfer Protocol (SMTP) 
Einfaches Protokoll zum Mail-Versand.
Simple Network Management Protocol (SNMP) 
Einfaches Protokoll zur Verwaltung von Geräten (Druckern, Switches, Rechner, …)
in einem Netzwerk.
Sniffer 
Programme, die den Netzwerkverkehr überwachen und Informationen
wie z.B. Passwörter abhören. Weit verbreitet und sehr leicht
einzusetzen. Daher sollten Passwörter (aber auch Daten) niemals
unverschlüsselt über ein Netzwerk gesendet werden, sondern z.B. durch Einmalpasswörter oder durch Anwendung von SSH
abgesichert werden.
Social Engineering 
Verschaffen von Informationen für einen Angriff durch Täuschung von
Systemadministratoren oder anderen Mitarbeitern eines Unternehmens. Beispiel:
als Servicetechniker getarnter Angreifer erfragt am Telefon ein Systempasswort.
SPAM (Junk, Unsolicited commerical e-Mail UCE) 
Unerwünschte Werbe-E-Mail. Findige Geschäftemacher sammeln und verkaufen
Listen mit E-Mail-Adressen, die dann mit unerwünschter Werbemail zugeschüttet
werden. In der Regel wird für den Versand der Mails ein sogenannter E-Mail-Relay zwischengeschaltet. Als Relay dienen
vor allem Rechner im Internet, die ungenügend gegen derartige Manipulationen
geschützt sind. Die Empfänger der Werbemails sehen den Relay als
Absender an und wenden sich mit ihren Beschwerden an den Betreiber dieses
Rechners.
Der Begriff SPAM ("SPiced hAM") geht auf ein gleichnamiges englisches
Büchsenfleisch zurück, das in 2. Weltkrieg praktisch überall und unbeschränkt
verfügbar war und dessen Zusammensetzung zweifelhaft ist.
Einige Netzbetreiber prüfen Rechner im Internet darauf, ob sie als Relay missbraucht werden können und sperren sich gegen jeglichen Netzverkehr, der von solchen Rechnern stammt. Daher ist es absolut notwendig, eigene Internetserver relay-fest zu gestalten.
Spoofing 
Siehe ARP-Spoofing,
DNS-Spoofing,
IP-Spoofing,
RIP-Spoofing
und WWW-Spoofing/URL-Rewriting.
Spyware ("Schnüffelsoftware") 
Programme, die Informationen über den Rechner, die Surfgewohnheiten, Passwörter(!),
usw. des Anwenders in das Internet senden, wenn dieser damit verbunden
ist. Häufig durch Viren oder Würmer unbeabsichtigt und unbemerkt auf einem
Rechner installiert.
SSH-Tunneling 
Siehe Port Forwarding.
Stateful Inspection 
Verfahren, das auf Paketfilter-Firewalls eine Kontrolle auf
Verbindungsebene ermöglicht und damit sowohl den Konfigurationsaufwand verringert als
auch die Sicherheit gegenüber einem reinen Paketfilter deutlich erhöht
(z.B. kann die Gültigkeit der Rück-Richtung für alle erlaubten Verbindungen
gemeinsam über eine einzige Regel definiert werden, die nur noch prüft,
ob die Hin-Richtung bereits geprüft und erlaubt ist).
Steganographie 
Versucht im Gegensatz zur Kryptographie zu verschleiern, dass es überhaupt
eine geheime Nachricht gibt, indem die vertrauliche Botschaft in harmlos
erscheinenden Dateien (z.B. Grafiken oder Musikstücken) versteckt
wird.
Normalerweise schreibt dazu der Absender der geheimen Nachricht eine nach außen hin harmlos erscheinende Nachricht, und versteckt in dieser die geheime. In Spionagethrillern werden dazu unsichtbarer Tinte, Markierung bestimmter Buchstaben, kleine Unterschiede in der handschriftlichen Schreibweise von Buchstaben oder Briefschablonen benutzt.
Eine moderne Methode besteht darin, die geheime Nachricht in digitalen Bildern zu verstecken, indem z.B. das letzte Bit jedes Bytes des Bildes durch ein Bit der Nachricht ersetzt wird. Der Unterschied ist nahezu nicht zu bemerken, da Grafikformate häufig wesentlich mehr Farbschattierungen zulassen, als das menschliche Auge unterscheiden kann. In einem Bild der Größe 1024x768 Pixel (typische Monitorauflösung) mit 256 Farben pro Pixel (d.h. ein Byte pro Pixel) könnte so eine Nachricht von 96 Kilobytes (etwa 20 bis 25 Schreibmaschinenseiten) versteckt werden.
Stromchiffrierung ("Stream Cipher") 
Ein symmetrischer
Verschlüsselungs-Algorithmus, der Zeichen für Zeichen verschlüsselt (siehe
Blockchiffrierung).
Switch 
Netz-Koppelelement, an das mehrere Netzkabel angeschlossen sind. Alle Signale,
die er von einem dieser Kabel empfängt, verstärkt er und sendet sie nur am
richtigen Anschluß wieder aus. Dazu führt er eine MAC-Adressen-Tabelle
für jedes Netzwerk-Segment. Kann auch physikalisch unterschiedliche Netzwerke
miteinander verbinden (z.B. 10-MBit, 100-MBit, 1000-MBit=1 GBit und 10
GBit-Netzwerke).
Symmetric Digitale Subscriber Line (SDSL) 
Variante der DSL, bei der in Upload- und Download-Richtungen
die gleiche Datenrate verfügbar ist. In der Regel deutlich teurer als
ADSL und daher meist nur für Firmen und Institutionen
interessant. Voraussetzung für den sinnvollen Einsatz von privat oder öffentlich
"hinter" diesem Anschluss nach außen ins Internet angebotenen Diensten
(z.B. Web, FTP, Mail, VPN, …).
Symmetrische Verschlüsselung (Private-Key Verfahren) 
Verschlüsselungsverfahren, bei dem derselbe Schlüssel zur Ver-
und zur Entschlüsselung eingesetzt wird (oder der eine Schlüssel lässt
sich leicht aus dem jeweils anderen berechnen). Der Schlüssel muss unbedingt
geheim gehalten werden, da er sonst wertlos wird. Beispiel: DES,
Triple-DES,
AES,
Blowfish und
CAST.
SYN-Flooding 
Denial-of-Service-Angriff, der das Zielsystem mit
unvollständigen Anfragen nach einem TCP-Verbindungsaufbau überschwemmt. Das
angegriffene System wartet auf den Rest des Verbindungsaufbaus und hält
die entsprechenden Informationen so lange im Speicher, bis aufgrund von
Speichermangel oder Überlastung keinerlei Verbindungsaufbau mehr möglich
ist oder das System abstürzt.
Moderne Systeme halten als Abwehr dagegen die Daten nicht mehr vollständig im Speicher oder warten nur kurze Zeit auf die Vervollständigung des TCP-Verbindungsaufbaus.
Time To Live (TTL) 
Vorgabe, wie lange z.B. ein Datenpaket in einem Netzwerk oder eine Zuordnung
IP-Adresse ↔ FQHN gültig ist. Beim Datenpaket handelt
sich nicht wirklich um einen Zeitraum, sondern um die Anzahl der Router,
durch die es maximal weitervermittelt werden darf.
Top Level Domain (TLD, "Oberste Domänen Ebene") 
Überstruktur für Domains und Teil eines Rechnernamens im Internet, gibt
häufig das Land an, z.B. .de
für Deutschland. Es gibt aber auch
themenbezogene Top-Level-Domains, z.B. .com
für kommerzielle
Einrichtungen.
Transaktionsnummer (TAN, transaction number) 
Verfahren zur Authentisierung beim Online-Banking. Hierbei sind für den
Zugang zu einem Konto neben der Konto- oder Kundennummer die geheime PIN (Personal
Identification Number) und für jede einzelne Transaktion (z.B. Überweisungen)
zusätzlich eine TAN (Transaktionsnummer) angegeben. Eine TAN kann nur einmal
verwendet werden. Die Bank sendet in der Regel dem Kunden auf Anforderung
eine individuelle Liste mit TANs auf dem Postweg zu.
Transmission Control Protocol (TCP) 
Schicht des TCP/IP-Protokolls, die sich mit verbindungsorientierter
Kommunikation befasst.
Transport Layer ("End-zu-End-Schicht") 
4. Schicht des OSI-Modells: Koordiniert die
End-zu-End-Verbindung zwischen 2 Rechnern (bzw. 2 Anwendungen). Sorgt dafür,
dass alle Pakete ankommen und in der richtigen Reihenfolge zusammengesetzt
werden.
Transport Layer Security (TLS) 
Weiterentwicklung von SSL (Secure Socket Layer)
TCP-Sequenznummern-Angriff 
Der Angreifer versucht durch Erraten der sogenannten TCP-Sequenznummer
beim TCP-Verbindungsaufbau die Identität eines anderen Systems vorzutäuschen,
damit er statt des anderen Systems Teilnehmer einer Verbindung wird. Dies
funktioniert auch durch Paketfilter-Firewalls hindurch. Schwachpunkt ist die
Vorhersagbarkeit der Sequenznummern vieler TCP/IP-Stack Implementierungen,
die durch Verwendung besserer Zufallszahlengeneratoren fast unmöglich
werden kann.
Telnet (Terminal emulation over Network) 
Siehe Telnet.
Transmission Control Protocol/Internet Protocol (TCP/IP) 
Im Internet verwendete Familie von Netzwerkprotokollen, die auf den
entsprechenden Protokollen der physikalischen Schicht (z.B. Ethernet oder
PPP) aufsetzt. Über der physikalischen Ebene folgt die Netzwerkschicht
mit dem IP (Internet Protocol). Darauf setzt die Transportschicht mit
Protokollen wie TCP (für verbindungsorientierte Kommunikation) und UDP (für
verbindungslose Kommunikation) auf. Auf diesen setzt die Anwendungsschicht
mit Protokollen wie HTTP oder FTP auf.
TCP/IP teilt die zu übertragenden Daten in Datenpakete auf, die verschiedene Wege durch das Netz nehmen können und erst am Zielort wieder zusammengesetzt werden.
Für jede dieser Ebenen gibt es unterschiedliche Angriffe. Je nach eingesetzten Schutzmechanismen können Angriffe der höheren Ebenen meist nicht erkannt werden. Ein Paketfilter-Firewall arbeitet auf Netzwerkebene und kann daher Angriffe der höheren Ebenen nicht erkennen, während ein Application-Level-Gateway Angriffe bis zur Anwendungsebene erkennen kann.
Traceroute ("Spur verfolgen") 
Ursprünglich ein Utility aus der UNIX-Welt, das alle Knoten auf den
Weg auflistet, der zu einer URL führt. Dadurch kann z. B. das Land des
Internet-Servers erkannt werden, auf dem die aufgerufene Domain liegt.
Arbeitet über Pakete mit TTL-Feldern. Es verschickt nacheinander Pakete mit
wachsendem TTL-Wert und kann so den Weg erfahren, den die Pakete zu einem
Ziel nehmen.
Triple-DES (3DES) 
Weiterentwicklung des DES, symmetrischer Verschlüsselungsalgorithmus mit 168
Bit potentieller Schlüssellänge, die effektive Schlüssellänge beträgt jedoch
lediglich 112 Bits. Benutzt drei DES-Schlüssel zu je 56 Bit, mit dem ersten
wird der Klartext verschlüsselt, mit dem zweiten entschlüsselt und mit dem
dritten wieder verschlüsselt (insgesamt also 3x). Das Verfahren gilt als
sicher, ist aber nicht sehr performant.
Eine Zeitlang bestand der Verdacht, dass die 3 Verschlüsselungsrunden eine mathematische Gruppe bilden könnten, was eine erhebliche Schwächung des Verfahrens zur Folge gehabt hätte. Diese Vermutung wurde inzwischen widerlegt.
Tripwire ("Stacheldraht") 
Programm, das die Integrität eines Systems überprüft. Hilft bei der
nachträglichen Erkennung erfolgreicher Einbrüche, indem es die aktuellen
Eigenschaften (z.B. Größe, Alter, Besitzer, Zugriffsrechte) von beliebig
auswählbaren Teilen des Dateisystems gegen den in einer Datenbank abgelegten
Originalzustand prüft.
Trojaner/Trojanisches Pferd 
Ein Programm, das neben seinem eigentlichen "offiziellen" Zweck noch einen
weiteren, meist unerwünschten verfolgt (z.B. ein Mailprogramm, das selbständig
Passwortinformationen sammelt und verschickt). Sinn eines Trojanischen Pferds
kann es beispielsweise sein, Zugangskennungen mitzuprotokollieren.
Trojaner werden meist mit Software aus unsicheren Quellen eingeschleppt. Daher stets Software vom Hersteller kaufen oder von den Originalseiten im Internet oder zur Weiterverbreitung autorisierten Seiten herunter laden und einen Virenscanner benutzen.
Trust Center (TC) 
Siehe Certification Authority.
Twofish 
Im Jahre 1998 von Bruce Schneier veröffentlichte symmetrische Blockchiffrierung, die eine Blocklänge von 128
Bit verwendet. Die Schlüssellänge kann 128, 192 oder 256 Bit betragen. Im
Gegensatz zum Vorläufer Blowfish ist Twofish auch
auf SmartCards effektiv einsetzbar, und ebenso wie dieser frei von Patent-
oder Lizenzgebühren.
Übertragungsprotokoll 
Siehe Netzwerkprotokoll.
Übertragungsrate 
Anzahl an Bits pro Sekunde (Bit/s), die in öffentlichen oder privaten Netzen
zwischen Kommunikationseinrichtungen übertragen werden. Faxgeräte erreichen bis
zu 14.000 Bit/s, Modems bis zu 56 KBit/s, ISDN-Verbindungen erreichen 64
KBit/s und DSL-Verbindungen 768 KBit/s bis 100 MBit/s. Ethernet-Verbindungen
erreichen 10 MBit/s, 100 MBit/s (aktuell), 1 GBit/s oder sogar 10 GBit/s
(100 GBit/s sind in Vorbereitung).
Uniform Resource Locator (URL) 
Bezeichnet eindeutig die Adresse eines Dokuments
im Internet, die typische Form sieht z.B. so aus:
http://tom:cat@www.ostc.de/pub/html/sec.html?topic=nfs&type=full#top
Besteht aus folgenden Teilen (von denen einige auch fehlen dürfen):
- Protokoll (darf fehlen, Standard:
http://
) - User + Passwort (
tom:cat@
, darf fehlen) - Hostname (
www
) - Domäne (
ostc.de
) - Pfad zu Webseite/Datei (darf fehlen,
/public/html
) - Webseite/Datei (
security.html
) - Query String (darf fehlen,
?topic=nfs&type=full
) - Lokaler Anker (darf fehlen,
#top
)
Upload ("Hinaufladen") 
Übertragen von Daten vom eigenen Rechner auf einen fremden Rechner im Rahmen
einer Online-Verbindung (auf den fremden Rechner "hinaufladen").
URL-Rewriting/WWW-Spoofing 
Gaukelt dem Benutzer vor, dass er sich auf einer Web-Seite mit einer
bestimmten URL (z.B. http://www.google.com
) befindet,
obwohl er sich in Wirklichkeit auf einer Webseite einer ganz anderen URL
(z.B. http://www.google.com@167.23.49.132
) befindet. Diverse Browser
besaßen hier eine Sicherheitslücke, die lange Zeit nicht geschlossen wurde.
User Datagram Protocol (UDP) 
Teil-Protokoll der TCP/IP-Protokollsuite, das für eine
schnelle aber unzuverlässige, nicht verbindungorientierte Kommunikation
zuständig ist.
Universal Mobile Telephone System (UMTS) 
Nachfolger von GSM, soll ab 2002 als Mobil-Telefonnetz
der 3. Generation weltweit einheitlich starten, so dass ein Mobil-Telefon auf
der ganzen Welt nach diesem Standard funktioniert. Für die Datenübertragung
ist eine Geschwindigkeit von maximal 2 Mbit/s vorgesehen.
Universal Serial Bus (USB) 
Standard zum Anschluss von Zusatzgeräten wie z.B. Maus, Tastatur, Scanner,
ISDNKarten, Modems, USB-Speicher-Sticks an den PC, der in zunehmendem Maße
die parallele und serielle Schnittstelle ersetzt. Kann bis zu 128 Geräte mit
einer Übertragungsgeschwindigkeit von 12 MBit/s (USB 1.0) bzw. 480 MBit/s (USB
2.0) ansteuern. USB-Geräte können an den laufenden Rechner angeschlossen und
direkt benutzt werden, ohne dass das Betriebssystem neu gestartet werden muss.
Sicherheitsrisikio, da darüber sehr grosse Datenmengen und evtl. sicherheitstechnisch bedenkliche Programme sehr leicht in/aus einem Netzwerk transferiert werden können.
UNIX to UNIX Copy (UUCP) 
Sehr alte und einfache Form der Netzwerk-Verbindung zwischen UNIX-Rechner,
die aber auch heute noch zum Austausch von Mails und News genutzt wird. Findet
meist 1x pro Nacht statt.
Users Network (Usenet) 
Summe aller Newsgroups im Internet. Wird durch eine Anzahl von News-Servern
gebildet, die die einzelnen Beiträge in den Newsgroups gegenseitig austauschen.
Verfügbarkeit 
Wichtiges Sicherheitsziel von Daten und Diensten.
Verschlüsselung 
Übersetzung von sinnvollen Daten in scheinbar sinnlose Daten mit Hilfe
eines (elektronischen) Schlüssels. Eine Rückübersetzung ist nur mit Hilfe
eines geeigneten Schlüssels möglich, den (hoffentlich) nur Sende und
Empfänger besitzen. Zum Verschlüsseln werden bestimmte Algorithmen (meist
komplizierte mathematische Operation wie Permutation, Polynome n-ten Grades)
verwendet. Sind die Schlüssel für Ver- und Entschlüsselung identisch,
handelt es sich um symmetrische
Verschlüsselung. Wird zum Entschlüsseln ein anderen (privater)
Schlüssel als zum Verschlüsseln (öffentlicher) benötigt, spricht man von asymmetrischer Verschlüsselung.
Verschlüsselungsalgorithmus 
Ein Verschlüsselungsalgorithmus verwandelt mit Hilfe eines Schlüssels
(Keys) einen Klartext in einen unlesbaren chiffrierten Text
(Verschlüsselung). Auf ähnliche Weise kann diese Verschlüsselung
auch wieder rückgängig gemacht werden (Entschlüsselung), um wieder den
Klartext zu erhalten. Ökonomisch daran ist, dass das Problem der Geheimhaltung
vieler Nachrichten auf das Problem der Geheimhaltung eines einzigen Schlüssels
übertragen wird.
Vertrauensmodell 
Beschreibt in der PKI die verschiedenen Möglichkeiten,
wie dem Public Key eines anderen Inhabers vertraut
werden kann. Es werden drei Modelle unterschieden, jedes benötigt andere
Enrichtungen, die es unterstützen:
Direct Trust
Es wird nur dem vertraut, von dem der Public Key stammt. Der Schlüssel wurde direkt übergeben oder mit Hilfe des Inhabers unter Benutzung des Fingerprints geprüft. Es sind keine weiteren Einrichtungen notwendig.Web of Trust
Es wird dem vertraut, von dem der Public Key stammt. Gleichzeitig wird auch allen vertraut, denen der Inhaber des Schlüssels vertraut; Motto: "Ich kenne ihn, Du kannst ihm vertrauen". Das Vertrauensmodell von PGP basiert hierauf.Hierarchical Trust
Hier ist eine komplette hierarchische Umgebung mit Trust Center zu schaffen. Eine oberste vertrauenswürdige Instanz gibt einer oder mehreren untergeordneten Instanzen ihr Vertrauen. Diese dürfen dann Zertifikate herausgeben, eine einstufige Hierarchie entsteht. Werden von den untergeordneten Instanzen weitere Instanzen (Trust Center, CA) eingesetzt usw., entstehen mehrstufige Hierarchien. X.509 benötigt eine hierarchische Struktur.
Vertraulichkeit 
Eigenschaft eines Datenbestandes, dass er nur von Benutzern eingesehen werden
kann, denen dies gestattet ist. Eines der fundamentalen Sicherheitsziele,
siehe auch Integrität.
Verzeichnis (Ordner, "directory") 
Logische Struktur zur hierarchischen Unterteilung von Datenträgern
in Untereinheiten. Neben Dateien enthalten Verzeichnisse auch weitere
Verzeichnisse (sogenannte Unterverzeichnisse). Das Startverzeichnis eines
Datenträgers heißt Wurzelverzeichnis (root directory).
Virenscanner 
Programm zum Suchen und Beseitigen von Viren auf Datenträgern oder
in elektronisch transferierten Dokumenten. Kann zentral z.B. auf einer
Firewall oder auf Fileservern oder auch lokal auf den Arbeitsplatzrechnern
eingesetzt werden. Wichtig ist, dass alle Daten vor dem Abspeichern auf
dem Rechner untersucht werden und dass der Virenscanner häufig (jede Woche)
aktualisiert wird.
Zusätzlich zu einem zentralen Virenscanner empfiehlt sich ein dezentraler Einsatz auf den Arbeitsplatzrechnern. Auch ausgehende E-Mails sollten von Virenscannern geprüft werden, damit nicht versehentlich Geschäftspartnern Makroviren o.ä. geschickt bekommen.
Virtuelles Privates Netzwerk (VPN) 
Emulation eines privaten WAN (Wide Area Network) trotz Transport des
Netzwerkverkehrs über das öffentliche Internet. Die Privatheit wird durch
den Einsatz von Verschlüsselung erreicht. VPNs können auf verschiedene
Weise realisiert werden:
VPNs nach IPSec
Führen z.B. zu einer vollständigen Netzkopplung auf IP-Ebene: Die VPN-Gegenstellen haben kompletten Zugriff auf die Netzwerke der Partner.VPNs auf Anwendungsebene
Erlauben den Zugriff nur für bestimmte Anwendungen und können beispielsweise über SSH realisiert werden.
Virus 
Programm, das andere Programme (oder Dateien) befällt, sich
vervielfältigt und auf einem Rechner von Programm zu Programm weiter
verbreitet. Viele Viren haben neben den Verbreitungsmechanismen Schadensroutinen eingebaut, die z.B. Daten
löschen oder den Betrieb des Rechner stören. Unterschieden werden je nach
Verbreitungsweg: BootViren, Datei-Viren, Makro-Viren, Multipartite Viren.
War-Dialer 
Programm, das systematisch Telefonnummern durchprobiert, bis ein Modem
antwortet. Der Begriff stammt aus dem Film "War Games".
Wartungszugang 
Einwahlmöglichkeiten über Modems oder ISDN für die Wartung von Rechnern oder Softwarepaketen. Können
je nach Ausgestaltung einfach zu hackende Nebeneingänge in ein Unternehmen
darstellen und müssen geeigneten Sicherheitsmechanismen unterworfen werden.
Weeding 
Bereinigen und Standardisieren von Protokoll- oder Anwendungsdaten (z.B. HTML-,
CSS, JavaScript-Code), um darin enthaltene Fehler zu beheben oder Schadcode
daraus zu entfernen.
Web-Mailer 
Nach Überprüfung der Zugangsberechtigung stellt dieses Interface einem
Benutzer die Funktionalität eines E-Mail-Clients über einen Web-Browser zur
Verfügung. E-Mails können damit online über die Web-Oberfläche gelesen oder
verschickt werden.
Whitelist 
Enthält eine Liste von E-Mail- oder WWW-Adressen, die von einer Firewall
nie zurückgewiesen werden. Siehe auch
Blacklist und
Greylisting.
Wireless Application Protocol (WAP) 
Weltweiter offener Standard für drahtlose Kommunikation, der mobilen
Endgeräten (Mobiltelefone, PDAs, SmartPhones, …) einfachen und schnellen
Zugang zu speziell aufbereiteten Web-Inhalten ermöglicht. WAP ist für geringe
Übertragungsbandbreite optimiert und überträgt daher nur die wesentlichen
Informationen zu den Microbrowsern auf den Endgeräten (keine Grafiken,
sondern nur Texte).
Beispiele für derartige Informationen sind Auskünfte über Staus, Bahnverbindungen oder Rufnummern. Auch Nachrichten-Dienste, Branchenverzeichnisse, Online-Banking und -Broking zählen dazu.
Wireless Transport Layer Security (WTLS) 
Steuert im WAP-Protokoll die gesicherte Kommunikation,
indem es eine verschlüsselte Verbindung zwischen WAP-Endgerät und WAP-Server
analog einer SSL-Verbindung ermöglicht.
World Wide Web (WWW) 
Einer der vielen Dienste im Internet, der aber von herausragender Bedeutung
ist. Stellt eine riesige, weltweit verteilte Bibliothek von Dokumenten im
Internet dar, die auf vielen Internet-Servern verteilt liegen. Adressiert
werden diese Dokumente über URLs, dargestellt werden sie
mit der Seiten-Beschreibungssprache HTML und transferiert
werden sie mit dem Protokoll HTTP.
World Wide Web Consortium (W3C) 
Internationale Interessenvertretung zur Förderung von Standards in
WWW-Produkten (z.B. in Browsern).
Wurm 
Im Gegensatz zu Viren befällt ein Wurm keine anderen Programme, sondern
verbreitet sich selbständig über ein Netzwerk. Würmer können ebenso wie
Viren über Schadensroutinen verfügen.
WWW-Spoofing 
Siehe URL-Rewriting.
X.509 
X.509 ist ein Standardformat der ITU-T (International Telecommunication
Union-Telecommunication) für Zertifikate. Es beinhaltet den Namen
des Ausstellers, üblicherweise eine Certification
Authority, Informationen über die Identität des Inhabers
sowie die digitale Signatur des
Ausstellers. Auf dem X.509-Format basieren z.B. SSL
und S-MIME.
X Window 
Minimaler Standard für grafische Benutzeroberflächen auf
UNIX-Systemen. Entspricht einer Art "Grafikkartentreiber" und wird erst durch
einen Display Manager (für die Anmeldung), einen Fenstermanager
(für die Fensterverwaltung) und ein Desktop Environment (für die
wichtigsten Anwendungen wie Taskbar, Desktop-Icons, Editor, Taschenrechner,
…) richtig benutzbar.
Erlaubt grundsätzlich die Auftrennung einer grafischen Applikation in die Darstellung auf einem Rechner A (X Server) und die eigentliche Applikation auf einem Rechner B (X Client).
Arbeitet getrennt vom eigentlichen UNIX-Betriebssystem und bietet daher mehr Sicherheit als eine direkt im Betriebssystem integrierte grafische Oberfläche (wie z.B. unter Windows). Allerdings kostet diese saubere Trennung auch etwas Performance (was sich z.B. bei Spielen auswirken kann).
Yellow Pages 
Anderer Name für Network Information System (NIS).
Zertifikat 
Ein Zertifikat ist ein öffentlicher Schlüssel, der von einer Certification Authority beglaubigt und unterschrieben
ist. Ein Zertifikat belegt, dass der Schlüssel wirklich zu derjenigen Person
gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist
deshalb vergleichbar mit einem elektronischen Ausweis. Die am weitesten
verbreiteten Zertifikat-Formate sind derzeit PGP und X.509.
Eine mit einem Zertifikat erstellte elektronische Unterschrift schützt das
unterzeichnete Dokument vor Manipulationen auf seinem Weg durch das Internet.
Zertifikatklasse 
Alle Zertifikate werden in Klassen einteilt, welche die Art und Weise der
Überprüfung der Inhalte sowie der Identitätsfeststellung — und damit der
Vertrauenswürdigkeit beschreiben.
Class 0 (Demo-Zertifikate) Stehen Geschäftskunden zu Testzwecken zur Verfügung und haben eine auf 30 Tage beschränkte Gültigkeitsdauer.
Class 1 (Express-Zertifikate)
Bestätigen, dass die angegebene E-Mail-Adresse existiert, und der Besitzer des zugehörigen öffentlichen Schlüssels Zugriff auf diese E-Mail-Adresse hat. Sie stellen damit nur einen sehr geringen Nachweis der Identität dar. Da keine Überprüfung anhand von Unterlagen stattfindet, können sie binnen weniger Minuten ausgestellt und an den Kunden ausgeliefert werden.Ideal für private Nutzer, die erste Schritte auf dem Weg zur sicheren Kommunikation gehen wollen und den Umgang mit verschlüsselter E-Mail ausprobieren möchten.
Class 2
Bei diesen Zertifikaten für Unternehmen wird auf eine persönliche Identitätsfeststellung verzichtet. Eine einfache Kopie des Handelsregisterauszuges zur Feststellung der zeichnungsberechtigten Person und ein schriftlicher Auftrag sind ausreichend.Hauptsächlich für die gesicherte Kommunikation zwischen einander bereits außerhalb des Internets bekannten Partnern gedacht.
Class 3
Beinhaltet neben der E-Mail-Überprüfung eine persönliche Identitätsprüfung der Person. Mit der Ausstellung eines Class 3-Zertifikats wird bestätigt, dassDiese Person anhand ihres Personalausweises oder Reisepasses identifiziert worden ist;
Im Zertifikat enthaltene Angaben zur Person mit den Angaben im Ausweis übereinstimmen.
Werden Class 3-Zertifikate für die geschäftliche Nutzung benötigt, so ist neben der Überprüfung der antragstellenden Person auch die Überprüfung der juristischen Person notwendig. Dazu ist u.a. ein beglaubigter Handelsregisterauszug (oder ein vergleichbares Dokument) erforderlich.Vor allem für Anwendungen im E-Commerce gedacht wie beispielsweise Internet Banking und Online Shopping.
Class 4
Class 4-Zertifikate stellen eine aufwändigere Identifikation in einer Hamburger Meldebehörde dar und werden selten angeboten.
Zertifizierung 
Es gibt verschiedene Klassifikationssysteme für die Sicherheit von
IT-Systemen. Relevant sind vor allem ITSEC, CCITSE und Orange
Book. Je nach Sicherheitsstufe und Komplexität des zu zertifizierenden
Systems dauert eine Zertifizierung bis zu mehreren Jahren.
Bei allen Zertifizierungen ist wichtig, genau zu hinterfragen, was zertifiziert wurde. Oft lassen Hersteller nur Teilkomponenten eines Systems zertifizieren, um den erheblichen Aufwand gering zu halten.