Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ nd Glossar der Informationssicherheit und Netzpolitik
Zum diesem Text Ausführlichere Erklärungen zu den Stichworten Dies ist (quasi) die alphabetische Version der finden sich auf wikipedia.org, entweder in der Inhalte auf meiner Haupt-Webpräsenz: deutschen oder der englischen Version https://sicherheitskultur.at/ Disclaimer Monatliche Nachrichten versende ich im Das vorliegende Glossar wurde sorgfältig Newsletter , zu abonieren auf zusammengestellt und soweit möglich https://sicherheitskultur.at/contact.htm#newslet aktualisiert. Fehler oder veraltete ter Informationen sind aber nicht auszuschließen. Autor: Philipp Schaumann Der Autor übernimmt deshalb keine Haftung für etwaige Fehler, ist aber für Hinweise dankbar. Früher ‚Berater für Informationssicherheit‘, unterrichtet noch, vor allem Algorithmen-Ethik Copyright-Hinweis und andere Themen rund um Nachhaltigkeit. Das Copyright für diese Zusammenstellung Im Rahmen des C3W.AT (https://c3w.at/ ) auch des Materials liegt bei Philipp Schaumann. an Schulen aktiv (https://c3w.at/schule/ ). Anregungen, Fragen und Korrekturen bitte Diese Zusammenstellung ist an lizensiert unter der Creative Commons philippschaumann (bei) mailbox {punkt} org Attribution-Noncommercial-Share Alike 2.0 Die aktuelle Version steht immer auf Austria Lizenz. Natürlich gelten auch die https://sicherheitskultur.at/pdfs/Informationssicherh Regeln des Fair Use und über Ausnahmen eit.pdf bzgl. der Lizenz kann jederzeit mit dem Autor Erstellt unter reichlicher Verwendung von gesprochen werden Wikipedia ( http://wikipedia.org/ ) und vielen anderen Quellen. und neue Begriffe wie Zoom-Bombing. Dazu 0 day: Zero Day kam flächendeckend Home Office (soweit die Internet-Anbindungen in der Fläche das 19-Zoll Rack: standardisiertes Metallregal mit hergeben
Version 11.1 Seite 1 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Benutzer auf Grund dieser vagen Wahrschein- 3D Drucker: (im Technoslang auch Maker lichkeitsaussagen zu unüberlegten Handlun- oder Fabber genannt) Technologie bei der gen neigen könnten. 23andMe vermarktet sog. Feedstock (Plastik, Kunstharz, Keramik, daher ihre Analysen sehr günstig (ab 99$) und Metall oder Beton) durch ein Gerät ähnlich ohne Aussagen zu Gesundheitsfragen. zum Inkjet-Drucker in Schichten aufgetragen Anderseits wird 2014 bekannt, dass das werden, wodurch bei Nutzung von leicht zu Unternehmen die Daten der Benutzer (mit entfernendem Füllmaterial auch komplexe 3- deren pauschaler Zustimmung) an Genentech dimensionale Objekte entstehen. Es gibt eine verkauft, die sie für ihre Forschungen nutzen Szene im Internet, in der die notwendigen wollen. Wieder ein Beispiel, bei dem die Dateien zur Steuerung und Quellen für Feed- Benutzer nicht die Kunden sind, sondern das stock publiziert gestellt werden. Als Probleme Produkt werden das durch diese Technologie mögliche 2D-Barcode: statt den Strichcodes (z.B. bei Umgehen von Gesetzen gesehen, z.B. EAN) wird hierbei ein flächiges Muster zur Copyright von geschützten Objekten, z.B. Codierung von Daten verwendet, z.B. QR- Ersatzteilen. In den USA wird auch der Druck Codes. Siehe Semacode von Waffen (der bereits technisch möglich ist) 2FA: 2-Faktor Authentisierung als Problem gesehen. Ein wichtiges Ziel der 2-Faktor Authentisierung: (2FA, auch „starke Entwickler ist der Bau eines „ Replikators“: Authentisierung“) Authentisierung durch 2 ein 3D Drucker der sich selbst vervielfältigen Faktoren. Diese kommen aus den Bereichen kann „Wissen“ (PIN,Passwort), „Besitz“ ( Smart- 3D Face: staatlich gefördertes Projekt zur card, Smartphone, OTP) oder besseren Gesichtserkennung. Siehe „Eigenschaft“ ( Biometrie). 2-Faktor- Biometrie Authentisierung ist sicherer als ein einfaches 3-D Secure: XML basierendes Protokoll für Passwort da z.B. einfaches Abfangen eines zusätzliche Sicherheit bei Online-Kredit- Passworts (z.B. über Phishing oder kartentransaktionen, implementiert als ‚Verified Keylogging) nicht mehr ausreicht. 2FA wird by Visa’ und ‚MasterCard SecureCode’. Bei von PSD2 für Banken vorgeschrieben. Einsatz dieses Verfahrens übernimmt die Angriffe sind aber leider weiterhin möglich Kreditkartenorganisation die Haftung gegen- (wenn auch etwas aufwendiger für die über dem Händler, der sonst zumeist der Angreifer). So führt die Phishing Website Geschädigte ist. Bei der Umsetzung werden direkt nach der Eingabe des Passworts eine jedoch erhebliche Fehler gemacht, so dass automatisiertes Login bei der Bank durch, neue Schwachstellen entstanden sind. Siehe triggert dadurch den 2. Faktor (z.B. SMS) CNP und fragt diesen auch sofort ab 3P: (pills, porn and poker) Siehe Spam- 2G: (GSM) 2. Generation der Handy-Netze vertising ab 1991. Vorteile gegenüber Vorläufergenera- 419: (419-Scam, Nigeria-Scam) Article 419 im tion: (leider schwache) Verschlüsselung der Nigerian Criminal Code behandelt Betrug. Luftschnittstelle (A5), bessere Ausnutzung Der Begriff wird für alle Arten von Betrug der Frequenzbandbreiten durch digitale Über- verwendet, in denen das Opfer ein E-Mail tragung, neuer Datendienst SMS. Weiter- (früher Fax) erhält, in dem ein großer Betrag entwicklungen für schnelleren Datentransfer als Anteil an einem mehr oder weniger legalen waren GPRS (2.5G) und EDGE (2.75G). Geldtransfer versprochen wird. Das Opfer GPRS hat ein gegenüber GSM verbessertes verliert Geld, entweder durch die Zahlung von Sicherheitskonzept. Einige Länder haben ihre angeblichen Gebühren oder weil das Opfer 2G-Netze abgeschaltet um die Frequenzen Kontonummern, Briefpapier und ähnliches an neu nutzen zu können, dort können alte die Täter sendet, die damit das Konto des Handys nicht mehr verwendet werden. Siehe Opfers leerräumen 3G, 4G, 5G 4-Augen-Prinzip: (engl. Dual Control) bzw. 2. Kanal: Out-of-band Kanal Mehr-Augen-Prinzip. Einer der 2 Aspekte von 3G: (UMTS) 3. Generation der Handy-Netze Segregation of Duty“-Prinzips. Hierbei müs- ab 2001 für schnellere Datenübertragung sen gewisse Aktionen von 2 oder mehr durch spread spectrum Übertragung. UMTS Personen autorisiert werden. Ziel ist die in Europa, Japan, China, CDMA in USA und Verhinderung von unerwünschtem Verhalten, Südkorea. Siehe 2G, 4G, 5G z.B. Betrug durch interne Mitarbeiter 3rd party cookies: Cookies die von einer 4chan: lockere Gruppe rund um eine Bulletin- anderen als der vom Benutzer besuchten Board Website 4chan.org, die durch zumeist Website stammen, z.B. aus einem Werbeblock unpolitische Aktionen auf sich aufmerksam der auf der Website geschaltet ist. Diese macht, z.B. die Manipulation der Time 100- Cookies werden seit ca. 2016 immer aktiver Wahlen und anderer Publikumsabstimmungen. durch die Web Browser blockiert und Sie sind verantwortlich für Web-„Memes“ wie dadurch mehr und mehr durch Web bugs LOLcats und andere. Angeblich ist (Tracking Pixel) ersetzt
Version 11.1 Seite 2 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Anonymous eine Abspaltung von 4chan. britische Geheimdienst für das traditionell Eine weitere Abspaltung ist 8chan. Wegen eingesetzte Verfahren A5/1 eine sehr kurze problematischen Inhalten kommt es immer Schlüssellänge durchsetzen konnte (64 bit, wieder vor, dass 4chan keinen Hoster oder davon 10 immer Null). Daher kann die NSA ISP findet vermutlich alle GSM Gespräche entschlüs- 4G: (LTE, Mobile WiMAX) 4. Generation der seln. Es soll auf A5/3 umgestellt werden. GSM- Handy-Netze ab 2009. All-IP packet- Technologie ist zwar eigentlich veraltet, switched Technologie. Siehe 2G, 3G, 5G Angreifer mit einem IMSI-Catcher können aber, sofern das Gerät und Telefonnetz noch 5G: 5. Generation der Handy-Netze ab GSM unterstützt das Gerät zu GSM „zwingen“ 2020. Ziel ist vor allem Anbindung von IoT- Geräten mit sehr geringer Latency AAA: (authentication, authorization and (Verzögerung) und sehr hohen Übertragungs- accounting) Authentifizierung, Autorisie- raten. Kritisch diskutiert werden im Rahmen rung und Abrechnung der vom Benutzer der 5G-Einführung mögliche Gesundheits- genutzen Ressourcen. Siehe Provisioning, schäden durch ihre elektro-magnetische Identity Management, IAM Strahlung, siehe Handy-Strahlung. Leider AACS: (Advanced Access Content System) wurden viele der IT-Sicherheitsschwächen der Kopierschutzsystem für hochauflösende vorigen Generationen aus Kompatibilitäts- DVDs. Über eine Blacklist mit „geknack- gründen in den 5G-Standard übernommen. ten“ Geräte-IDs, die auf jeder solchen HDTV- Außerdem wurden einige Sicherheitsfeatures Video DVD enthalten sein wird, kann nach- als „optional“ eingestuft. Zusätzlich kommt träglich das Abspielen von DVDs auf diesem hinzu, dass das Protokoll extrem komplex ist Gerätetyp verhindert werden. (Das ältere (und damit anfällig für Programmierfehler). Aus CSS konnte nur ganze Gerätetypen sper- technischen Gründen müssen viele Funktio- ren.) Zur Verschlüsselung wird AES einge- nalitäten sowohl in den base stations setzt. Jan. 2007 wird von „Cracks“ berichtet implementiert werden wie auch in zentralen und das Sperren von WinDVD Player wird Teilen der hierarchischen Infrastruktur. Dies erwogen. Siehe DRM, ICT wird über Virtualisierungen gelöst und Abhören: unbefugtes Erlangen von Infor- bietete weitere Möglichkeiten für Fehler und mationen durch Verletzung der Vertraulich- Schwachstellen. Auch die von den keit einer Datenübertragung (oft durch Sicherheitsbehörden ( Law Enforcement „Knacken“ einer Verschlüsselung) oder Access) gewünschten Schnittstellen zum durch Platzierung eines Gerätes zur Auf- Abhören mussten alle implementiert werden. zeichnung oder Übertragung eines Gesprä- Siehe 2G, 4G, 4G ches, zumeist als targeted attack. Nur an 6-degree of separation: (small world network) zentralen Stellen, z.B. Telefondienstanbieter Behauptung, dass jeder Mensch mit jedem skalierbar für viele Verbindungen. Siehe anderen Menschen über lediglich 6 Verbin- Überwachung, wiretap, NARUS, IP- dungen (hops) verknüpft ist. Die NSA wertet Hijacking, Man-in-the-Middle, TKÜ, zu jedem Verdächtigen das Umfeld von bis zu RFS, A5, Audio Mining, Lawful 3 „Hops“ aus. Siehe auch Netze-von-Netzen Intercept, SINA-Box, ETSI, 6to4: Tunneling-Protokoll um IPv6-Pakete http://sicherheitskultur.at/abhoeren.htm über IPv4 transportieren zu können. Siehe Abort: früher bei Mainframes: (manchmal Teredo gewolltes) Ende eines Programmes (bzw. 8chan: Message-board ohne Moderation, Prozesses) in einem Rechner. Heute wird nichts wird gelöscht. Seite 2013 Abspaltung zumeist Crash verwendet. Siehe Absturz von 4chan. Traurige Berühmtheit hat 8chan Absender: Ursprung einer Nachricht. Siehe in 2019 gewonnen, weil dort mehrere rechts- Authentizität extreme Attentäter, z.B. der Christchurch Absturz: in der IT: wenn ein Programm oder Mörder u.a. ihre Taten vorher angekündigt, das Betriebssystem entweder „hängt“ (d.h. übertragen und gerechtfertigt haben. Die auf keine Eingabe mehr reagiert) oder die Website zeigte auch davor und danach Ausführung beendet („abstürzt“), d.h. die immer wieder rechtsradikale Inhalte, Hass- Sequenz dieser Computerbefehle (z.B. eines Postings und -kriminalität und Publizität für Programms) ungeplant verlässt. Behebung oft Attentate. 8chan kam unter Druck, als es mit durch Neustart, entweder nur des „abge- dDoS angegriffen wurde und keinen Schutz stürzten“ Programms oder des Betriebs- von CDN-Firmen wie Cloudflare bekam die systems, d.h. in der Regel des Rechners. gegen solche Angriffe schützen können. Siehe Programmabsturz, Abort, Crash Danach rebranding als 8kun ACAP: (Automated Content Access Protocol) 8. EU-Richtlinie: EuroSOX neuer Vorschlag um Bots von Suchma- A5: Strom verschlüsselung, eingesetzt bei schinen und anderen Crawlern mitzuteilen, GSM. Es existiert eine Reihe von An- welche Inhalte von Websites in welcher griffen, allerdings nur für targeted attacks Form genutzt werden können. Geht über geeignet. 2013 wird bekannt, dass der robots.txt hinaus, da es auch differenzierte
Version 11.1 Seite 3 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Nutzungsformen wie „Publizieren auf der können dieser sicher und eindeutig zugeordnet eigenen Website“ erlauben kann. Dies betrifft werden. Siehe auch Spoofing, Privileged Copyright und Creative Commons Account ACARS: (Aircraft Communications Addressing Account Takover: Identity Theft and Reporting System) Datenprotokoll zwi- ACE: (Access Control Entry) Eintrag in schen Flugzeugen und Bodenstationen. Kaum Sicherheitsfeatures. Die Daten fließen ins FMS Active Directory zur Kontrolle von Zugriffen (Flight Management System) im Cockpit. 2013 ACH: Automated Clearing House konnten Verwundbarkeiten gezeigt werden. ACL: (access control list) Konzept, Zugriffs- Auf diese Weise könnte eine Angreifer einen rechte zu Objekten (Programme, Hardware- falschen „flight plan“ in das FMS laden. Solche komponenten, Netze) durch geeignete Regeln Angriffe scheinen aber aus dem zu beschränken. Diese Regeln beinhalten Entertainment System nicht möglich zu sein. zumeist 2 Aspekte: Wer darf was , d.h. Siehe auch ADS-B Authentisierung und Autorisierung. Siehe Acceptance : Zeitpunkt an dem ein System MAC, DAC, RBAC vom Business-Kunden (nicht nur IT) getestet Acquirer: (acquiring bank) Kreditkarten und als voll funktionsfähig akzeptiert wurde. Dies sollte Sicherheitstests mit einschließen. ACS: (Access Control System oder Access Der Zeitpunkt wird i.d.R. juristische Bedeutung Control Server) herstellerspezifische Abkür- zung für Geräte oder Systeme zur Zugriffs- haben, z.B. Eigentumsübergang oder Beginn kontrolle der Gewährleistung ACTA: (Anti-Counterfeiting Trade Agreement) Access : (engl.) Zugang oder Zutritt (zu internationale Handelsvereinbarung über die Räumlichkeiten oder Rechnern) oder Zugriff Unterstützung beim Vorgehen gegen (zu Daten oder Anwendungen, Diensten), oft Raubkopien. Siehe auch SOPA, PRO- falsch übersetzt. Siehe ACL, MAC, IP, DMCA DAC, RBAC, Computer crime ActionScript: JavaScript-ähnliche Program- Access Control List : ACL miersprache für Websites, enthalten in Access Point : (AP) Gerät in einem Funk- Flash, wirft Sicherheitsprobleme analog zu LAN, zu dem sich die anderen Geräte ver- Javascript auf, kann z.B. auch auf XHR binden. Beim unautorisierten Eindringen in sol- zugreifen und ist, da enthalten im Flash- che Netze wird eine nichtautorisierte Verbin- Object, schwer automatisiert zu scannen. Kann dung zu diesem AP hergestellt. Zum Teil als für JIT-Spraying ausgenutzt werden öffentliche APs realisiert, dann hotspot ge- Active Content: Inhalte von Websites, die nannt. Falsche APs können durch Angreifer entweder interaktiv sind (z.B. Umfragen oder vorgespielt werden, dann ist ein Man-in-the- Opt-in Optionen) oder dynamische Inhalte, Middle-Angriff möglich. Da Smartphones mit z.B. Java Applets, JavaScript ( AJAX), eingeschaltetem WLAN zu jedem Access Point Flash oder ActiveX Komponenten. Siehe eine Verbindungsanfrage senden und dabei ReCoB, IEController, chroot ihre MAC-Adresse hinterlassen können alle Active Directory: (AD) Verzeichnisdienst Access Points die von der Straße aus von Microsoft, wird u.a. für Authentifizie- erreichbar sind für Tracking verwendet rungen verwendet. Siehe ADAM werden. Dies geschieht z.B. aktiv innerhalb Active Noise Cancellation: (ANC) Feature in von Geschäften und Shopping Centern. Fast Headsets und Kopfhörern bei der die alle Access Points verwenden heute eine Außengeräusche aktiv unterdrückt werden Virtualisierung. Dh. dass auf einer indem ein gespiegeltes Signal mit den Außen- Hardware mehrere logische Netzwerke mit geräuschen diese aufhebt. Sehr angenehm in unterschiedlichen SSIDs implementiert öffentlichen Verkehrsmitteln und Flugzeugen. werden können. Dadurch können z.B. Auch in Airpods verfügbar Heimnutzer ein getrenntes Netz für Gäste Active Scripting: obsolete Microsoft anbieten Technologie die es erlaubte, im Webbrowser Account: (engl. Konto) in der IT der Benutzer- lokale Scripts auszuführen, z.B. zur lokalen zugang zu einem Rechner oder den Diensten Überprüfung von Eingabe-Daten. Active eines Providers, z.B. eines Online-Dienstes Scripting stellte eine potentielle (Web, E-Mail, News, Chat), identifiziert Verwundbarkeit dar, da auf diese Weise durch eine Benutzerkennung. In der Regel viele Browserfunktionen ohne Information geschützt durch PIN oder Passwort. des Benutzers angesprochen werden konnten. AAA, Privileged Account, Fake Account Es konnte zwar im Browser abgeschaltet werden, dann funktionierte aber z.B. beim MS Accountability: Zusammen mit Vertraulich- Internet Explorer auch die Anzeige von PDF- keit, Verfügbarkeit und Integrität eine der Dateien nicht mehr. Heute durch .NET Grundlagen der Informationssicherheit. Techniken ersetzt. Siehe ActiveX Aktionen einer Entität (Person, Computer, etc.)
Version 11.1 Seite 4 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
ActiveX: obsolete Technologie von Microsoft Accounts mit erweiterten Rechten mit basierend auf dem Component Object Model Standardrechten arbeitet, z.B. bei E-Mail (COM)-Konzept. Dabei entstand leicht trans- oder Surfen und für Aktionen die erweiterte portierbarer Code, der z.B. über Websites Rechte erfordern in einem Pop-Up die auf Zielrechner geladen und dort ausgeführt Nutzung erweiterter Recht explizit bestätigen wurde. Diese Programme konnten dabei auf müssen alle Rechnerfunktionen zugreifen, kein Schutz Administration: in der IT: Tätigkeiten der durch Sandbox-Modell wie bei Java Administratoren Applet. Siehe auch killbit Administrator: Systemverwalter von EDV- http://www.cert.org/reports/activeX_report.pdf Ressourcen. Hat eine Kontroll- und Wartungs- ActivityPub: seit 2018 standardisiertes verantwortung für Netze, Netzkomponenten, Protokoll für dezentrales social networking. Server, Client-Systeme, Software-Pro- Analog zu SMTP für E-Mail und http für gramme ( Anwendungen). Fehler, Nach- Websites erlaubt dieses Protokoll das lässigkeit oder böse Absichten bei der Arbeit Erzeugen, Löschen und Verändern von Inhal- führen zu Verwundbarkeiten. Die Pass- ten ( Content) auf anderen Servern über worte der Administratoren müssen extra sicher eine einheitliche Schnittstelle. Wichtige Imple- geschützt werden und ihre Aktivitäten auf mentierungen sind Mastodon, Nextcloud kritischen Systemen sollten zu Audit-Zwecken (file hosting), Peertube (video upload und protokolliert werden. Siehe Datendiebstahl streaming), Friendica, PixelFed (Photo Admin-Rechte: etwas schlampiger Begriff für sharing), Pleroma, Hubzilla, Funkwhale erweiterte Rechte bei Rechnern, speziell (eine Alternative zu Soundcloud) und unter MS Windows. Schadsoftware nutzt WriteFreely ( Blogging). Siehe auch aus, dass viele Benutzeraktivitäten erweiterte Fediverse Rechte benötigen und daher viele Anwender immer mit erweiterten Rechten arbeiten, auch Acxiom Corp: US Daten-Aggregator, be- kannt geworden u.a. durch "Verluste" von beim Surfen im Internet. Auf diese Weise kann Schadsoftware leicht auf System- persönlichen Daten. bereiche zugreifen. Für die Arbeit der http://sicherheitskultur.at/privacy_loss.htm#priv Administratoren sollen statt der sog. „local at admins“ (mit statischen Passworten die allen AD: (Active Directory) Administratoren bekannt sind) sog. „domain ADAM: (Active Directory Application Mode) admins“ genutzt werden, die personengebun- Implementierung von Active Directory, die im den sind, dieser Person entsprechende Rechte User Mode läuft. Umbenannt 2008 nach AD auf vielen Systemen geben und leicht zentral LDS (Lightweight Directory Services) gesperrt werden können. Siehe Vista, Ad-Aware: bekanntes Programm zum über- Admin Approval Mode prüfen von Rechnern auf Malicious Code, Address-Spoofing: Vorspiegeln einer fal- z.B. Spyware und Adware. Für die schen IP-Adresse, z.B. weil die vorgespie- Privatnutzung kostenlos erhältlich von gelte Adresse für Zugang autorisiert ist. Wird http://www.lavasoft.de/support/download/ auch für dDoS Angriffe genutzt, wobei die Packets mit der IP-Adresse des Opfers Adblock Plus: (ADP) Blocking Tool zur Verhinderung von Tracking durch gesendet werden und dann mittels Reflec- tion, z.B. von einem DNS-Server oder Advertising Networks. Zeigt dem Benutzer an, wer ihn tracken will, erlaubt gezieltes NTP-Server gegen das Opfer gesendet Blockieren der Tracking Elemente und blockiert werden im Gegensatz zu Ghostery auch noch die Adobe: (Adobe Systems) Softwareunterneh- Werbung selbst men mit Produkten wie Adobe Acrobat (+ AD FS : (Active Directory Federation Services) kostenlosem PDF-Reader) oder Flash, die mittlerweile bei Verwundbarkeitsstatistiken SSO-Komponente für Windows- Server die mittels Austausch von software-tokens deutlich vor Microsoft liegen. 2013 hat automatisierte Authentisierung auch zwi- Adobe die Zugangsdaten für 150 Mio schen unterschiedlichen Organisationen Benutzeraccounts „verloren“ erlaubt. Kompatibel mit SAML. AD FS beruht ADP: Adblock Plus auf claims-based authentication Adresse: 1) IP-Adresse Ad hoc wireless network: Modus bei 2) E-Mail WLAN, bei der keine Verbindung zu einem 3) In einigen Messaging Systemen wird die AP hergestellt wird (Infrastruktur Mode), Telefonnummer als Adresse verwendet sondern Geräte direkt untereinander Verbin- dung aufnehmen. Dies zu erlauben, stellt ein Adressbuch: Sammlung der Daten der Kon- Sicherheitsrisiko dar takte einer Person in einem Smartphone oder auf einem PC. Es wird mehr und mehr Admin Approval Mode: Modus in Windows üblich, dass Social Networks jeglicher Form Vista, bei der der Administrator trotz eines (z.B. auch Messaging Dienste) den Benutzer
Version 11.1 Seite 5 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ auffordern, sein Adressbuch zum Betreiber zu Advertising Network: Firmen, die auf exportieren, damit dieser die Kontakte des Websites für ihre Auftraggeber Werbung Nutzers ebenfalls anwerben kann (oft im schalten und dies heute immer über Namen des Nutzers). Dies ist rechtlich sehr behavioural advertising tun, d.h. sie problematisch, da der Nutzer nicht das Recht Tracken das Benutzerverhalten und hat, die personenbezogenen Daten seiner versuchen die Werbung gezielt nach den Kontakte weiter zu geben. Siehe auch vermeintlichen Interessen des Benutzers zu Kontakte platzieren. Dabei kommt zumeist Real-time ADS: Active Directory Server bidding (RTB) und Data Management Platform (DMP) Software zum Einsatz ADS-B: (Automatic Dependent Surveillance- Broadcast) in Verkehrsflugzeugen verwendet, Advertising: Das Geschäftsmodell vieler ersetzt Radar indem es Position, Geschwin- Firmen die im Internet kostenlose Dienste digkeit und Kennung digital aussendet. Andere anbieten, z.B. Suchmaschinen beruht auf Flugzeuge kennen ihre eigene Position auf der Platzierung von Werbung auf ihren Seiten. Grund von GPS und können sich damit Durch die Auswertung von möglichst genauen orientieren. Da es keinerlei Sicherheitsfeatures persönlichen Daten einer Person ( data enthält konnte 2013 gezeigt werden, wie das mining) ist targeted advertising ( behaviou- System für Angriffe genutzt werden kann. ral advertising) möglich Dabei kommt software-defined radio zum Adware: Programme die meist unerwünscht Einsatz. Siehe auch ACARS, GPS und heimlich auf einem Rechner installiert Jammer werden ( Trojaner) und die Pop-ups oder ADSL: (Asymmetric Digital Subscriber Line) ähnliche Mechanismen verwenden, um Wer- Modem-Technologie, die es ermöglicht, über bung zu präsentieren. Dies ist zu unterschei- Standard-Telefonleitungen Internetanbindun- den von Spyware im engeren Sinne, die gen über eine kurze Entfernung, aber mit Informationen wie Passworte u.ä. ausspio- hoher Geschwindigkeit anzubieten (bis 6 niert. Aber auch Adware liefert meist Informa- Mbps) (asymmetrisch, da der „Download“ tionen über das Surfverhalten der Benutzer zu- schneller ausgelegt wird als der „Upload“). rück, damit die Reklame gezielter präsentiert Speziell im privaten Bereich genutzt. Siehe werden kann. Siehe PUP, Ad-Aware, DSL, xDSL EULA Adversary: (engl. Gegner) Personen, Grup- Adwords: Google Angebot, bei der Werbe- pen oder Organisationen gegen die eine treibende Stichworte selektieren, bei deren Person, Gruppe oder Organisation sich Suche ihre Anzeige geschaltet wird. Im verteidigen muss. D.h. die Annahme eines Augenblick der Suche des Nutzers wird unter bestimmten Gegners, seiner Möglichkeiten und allen Werbetreibenden mit diesem Stichwort seiner Motivation bestimmt das Threat eine „Auktion“ veranstaltet um die Reihung der Assessment. Beispiel: Global Adversary. Anzeigen zu bestimmen. Durch die marktbe- Siehe auch: Angreifer herrschende Stellung von Google als Suchmaschine ergibt sich auch hier eine Adversial Learning: Untermenge von Marktdominanz. Werbetreibende kommen um machine learning in der AI, bei der es darum Adwords nur schwer herum. Angreifer haben geht aus Angriffen automatisiert Pattern zu es bereits geschafft, auf diese Weise auch erkennen und ebenso automatisiert diese zu Malware zu verteilen Blockieren. Eingesetzt im Facebook Immune System. Im Gegensatz zum normalen machine AES: (Advanced Encryption Standard) von der learning soll hierbei verhindert werden, dass US-Regierung durchgeführtes Verfahren zur die „Lehrenden“, d.h. die Angreifer, merken, Auswahl eines standardisierten symmetrischen dass sie eine künstliche Intelligenz trainieren. Verschlüsselungsalgorithmus. Das ursprüng- Dabei soll die Lernphase möglichst kurz, die liche Standard-Verfahren, DES, ist im Jahr Phase in der der Angreifer merkt, dass sein 2002 durch Rijndael ersetzt worden Angriff erkannt ist, jedoch möglichst lang sein Affiliate Network: Begriff aus dem Marketing. Ad ID: Advertising ID Dort stellen Affiliates Händlern Plattformen für Werbung und Vertrieb zur Verfügung. Im Advertising ID : Datenelement auf Smart- Internet bieten Betrüger ähnliche Dienste an, phones auf das alle Apps immer Zugriff z.B. die Bewerbung einer Website oder einer haben und das daher für das Tracking von Smartphone App. Abhängig vom Bezahl- Personen eingesetzt werden kann. Auf iOS modell werden von den Affiliates manchmal können sie ganz entfernt werden. Sie sind auf betrügerische Methoden eingesetzt, z.B. das iOS und Android als default aktiviert, können ungefragte Installieren von vielen Apps auf durch den Nutzer auf einen neuen Wert einem Gerät in das der Betrüger eindringen gesetzt werden. Danach beginnt aber die konnte, so dass der Affiliate seine Provision Datensammlung aufs Neue. Falls nicht bekommt. Anderseits kommt es auch vor, dass gleichzeitig auch die Cookies auf dem Gerät ehrliche Affiliates von Betrügern dafür gelöscht werden, so wird die alte und die neue missbraucht werden, Schadsoftware auf Ad ID verknüpft
Version 11.1 Seite 6 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Smartphones zu installieren dass z.B.mittels USB-Sticks solche Angriffe AFIS: (Automated Fingerprint Identification sehr wohl über Airgaps hinweg propagieren System) Verfahren zur Authentifizierung von können Personen an Hand von Fingerabdrücken AirTag: (Apple AirTag) kleines Gerät, das an AFS: (Andrew File System) Zugriffsmethode Objekte (wie z.B. Schlüssel) befestigt werden auf Dateien über ein Netzwerk, soll, um diese über das „Find My …“ von iOS Verbesserung zu NFS, speziell im Hinblick und MacOS geortet werden soll. Der Tag auf Sicherheit und Skalierbarkeit. Siehe File wird mit einem Apple-Gerät „gepairt“, d.h. system logisch verknüpft. Es enthält eine kleine Batterie und sendet mittels NFC, After image: bei Datenbanken: Speicherung Bluetooth Low Energy und UWB Signale des Zustands nach einer Änderung, genutzt für die von anderen Apple-Geräten (neuer forward recovery. Siehe before image Produktion) verstanden werden. Diese Agent: Softwareprogramm welches Aufträge anderen Geräte können das „gepairte“ Gerät annimmt und selbstständig ausführt, heute oft sein, sofern es in der Nähe des Tags ist, oder in der Form sog. Bots im Internet oder für auch ein fremdes Apple-Gerät in dem „Find Monitoring von Events My …“ aktiviert ist. Auf diese Weise können Age verification: (Altersbestimmung) Online auch Tags geortet werden, die nicht in nur sehr schwierig möglich. In Österreich für Funknähe des gepairten Apple-Geräts sind. Als Zigarettenautomaten (>17) implementiert in- problematisch wird gesehen, dass Stalker dem auf österreichische Bankomatkarten (z.B. frühere oder aktuelle Partner) diesen Tag eine Altersangabe geschrieben wird. Touristen heimlich platzieren können um den Standort können daher Zigaretten am Automaten nur des „Opfers“ zu erkunden. Ähnliche Geräte mit Hilfe eines erwachsenen Österreichers gibt es auch von anderen Anbietern (auch für kaufen. In den USA siehe COPPA Android), diese brauchen oder für entfernte AGI: (artificial general intelligence) artificial Ortung ein anderes Gerät das die App desselben Hersteller installiert hat. Hier hat intelligence Apple erhebliche Vorteile durch die hohe A-GPS: (Assisted GPS) GPS-Implementie- Verbreitung rung für Smartphones und anderen Geräten in Mobilfunknetzen. Es soll die Problematik AIS: (Account Information Security) Programm von VISA zur Stärkung der Sicherheit von lösen dass die vollständige Berechnung einer Position ohne „Vorwissen“ über die ungefähre Kreditkarten. Die Einhaltung von PCI ist Position bei schwächeren CPUs bis zu 12 Teil des Programms Minuten dauern kann. Die Unterstützung kann AIT: (automatic identification technology) z.B. so aussehen, dass ein sog. Assistance Oberbegriff für Technologien, die eine automa- Server beim Mobilfunk netzbetreiber dem tisierte Identifizierung von Dingen, Men- Gerät die genaue Zeit und auf Grundlage der schen (oder Tieren) erlauben, z.B. Barcodes Koordinaten der Funkzelle eine Liste der (EAN, Magnetstreifen, OCR, RFID, Satelliten gibt, die das Gerät „sehen“ sollte und Biometrie, Voice recognition) die ungefähre Position. Dieser externe Server Ajax: (Asynchronous JavaScript and XML) kann auch Rechenkapazität für die Verar- Form der Programmierung im Web, die eine beitung der (möglicherweise fragmentarischen) stärkere Interaktivität von Websites erlaubt, Satelliten-Daten der zur Verfügung stellen. d.h. einen für den Benutzer transparenten Problematisch ist das jedoch, da die Über- Datenaustausch im Hintergrund, z.B. dynami- tragung dieser Informationen unverschlüsselt sches Nachladen von Inhalten passiert und z.B. in einem unsicheren WLAN (XMLHttpRequest). Ajax ist eine Sammlung nicht nur diese Daten abhören und verändern von Technologien, z.B. XHTML, CSS, kann, sondern auch das Smartphone so zu JavaScript, DOM und XML. Auf Grund der konfigurieren, dass in Zukunft alle diese An- Komplexität von Ajax-Anwendungen und der fragen über den Server eines Angreifers Kommunikation im Hintergrund ergeben sich geleitet werden neue Möglichkeiten für Angriffe, z.B. mittels AI: (künstliche Intelligenz, KI) artificial XSS oder MITM. Verwundbarkeiten wer- intelligence den entdeckt mittels Sprajax oder JSON, AIR: (Adobe Integrated Runtime) browser- die auch bereits aktiv genutzt werden. Daher empfiehlt das BSI solche Anwendungen in unabhängige Laufzeitumgebung für Flash. Kritisiert wird, dass voller Zugriff mit den kritischen Umgebungen nur über Terminal- serverimplementierungen zu nutzen. Siehe jeweiligen Benutzerrechten zum Datei- system besteht ReCoB, IEController Airgap: Fehlende Verbindung zwischen 2 Akamai: wichtiges Content Delivery Network (CDN). Akamai unterhält Server in vielen Datennetzen um zu verhindern, dass Schad- software oder Angriffe aus dem einen Netz Ländern und hostet den statischen Content in das andere propagieren, oft bei SCADA von anderen Anbietern, z.B. Facebook. So Systemen eingesetzt. Stuxnet hat gezeigt, werden statische Inhalte wie z.B. Icons,
Version 11.1 Seite 7 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Javascript, aber auch Profilbilder von Algorithmus, ungeeignete Trainingsdaten, static.facebook.com geladen, das zu Akamai Trainingsdaten die traditionelle Vorurteile gehört. Dies kann datenschutzrechtlich proble- enthalten und an den Algorithmus weitergeben, matisch sein wenn auf diese Weise ungeeignete Wahl der ausgewerteten Variab- datenschutzrechtlich geschützte Inhalte außer- len, falsches Setzen von Schwellenwerten. Ziel halb der EU gehostet werden ohne dass der der Algorithemenethik soll sein, dass die Benutzer darüber informiert wurde, bzw. Entscheidungen fair sind, ohne Vorurteile, zusgestimmt hat ohne Diskriminierungen. Es muss Akkreditierung: von Prüfstellen ausgestellte nachvollziehbar sein, warum der Algorithmus Beglaubigung von Fähigkeiten, verbunden mit zu seiner Entscheidung kam damit eine der Bevollmächtigung, Tätigkeiten bestimmter Revisionsmöglichkeit durch einen mensch- Art auszuführen, z.B. Berechtigung zur Aus- lichen Entscheider sinnvoll möglich ist stellung von Zertifikaten oder für Audits Algorithmus: Handlungsvorschrift zur Lösung Aktienbetrug: im Internet durch “pump- eines Problems, in der IT realisiert in Pro- and-dump“ Aktionen, bei denen über Spam grammen Skripts, o.ä.Fehler oder ungenaue eine Aktie im Cent-Bereich („penny stock“) Definitionen führen zu Schwachstellen. beworben wird und der Betrüger nach Anstieg Ebenfalls kann problematisch sein, dass des Kurses verkauft, während die anderen, die Algorithmen wie der Google page rank auch verdienen wollen, noch am Kaufen sind Algorithmus nicht transparent und kon- trollierbar sind und weitgehende Auswirkungen Alarm: Nachricht, dass ein Vorfall einge- im realen Leben haben können, wenn z.B. treten ist, oft automatisch im Rahmen von gewisse Websites nicht mehr als „relevant“ Monitoring. Siehe AoIP eingestuft werden oder wenn gewiesse Nach- Alarmplan: Teil eines Notfallplanes, bzw. richten von Facebook dem Benutzer nicht Disaster Recovery. Listet die Kontaktdaten mehr präsentiert werden. Andere proble- (z.B. Telefonnummern) der Personen oder matische Algorithmen werden zur Abschätzung Institutionen, die in einem Katastrophenfall der Kreditwürdigkeit (oder anderen informiert werden müssen Ratings) einer Person eingesetzt. Dies bietet ALE: (Annualized Loss Expectancy) erwartete weitgehende Möglichkeiten für Manipulation Schäden pro Jahr für 1 Schadensereignis: (http://sicherheitskultur.at/Manipulation.htm ). (ARO, Annualized Rate of Occurrence) * (SLE, Siehe auch Shor-Algorithmus, big data Single Loss Exposure Value). Die Kosten für Alibaba: Riesiger Internetkonzern in China der die Sicherheitsmaßnahmen sollten die ALO so wie Tencent umfassende Services im nicht überschreiten. Extrem schwer abzu- Web und vor allem auf Smartphones schätzen und daher kaum sinnvoll nutzbar. anbietet. Dabei werden Dienste wie Social Siehe Risiko, ROI Networks mit Messaging Apps und Alert: Kommunikation zu einem Human-in- Zahlungsdiensten ( Alipay) kombiniert. Die the-Loop über die Notwendigkeit einer dabei anfallenden Daten der Nutzer werden Sicherheitsentscheidung. Dies kann so imple- auch mit der Regierung geteilt, siehe Social mentiert werden, dass ohne eine Entscheidung Credit System (SCS) die Anwendung blockiert ist oder auch so dass Alipay: einer der 2 großen Zahlungsdienste- der Alert auch ignoriert werden kann. Sehr anbieter, jetzt im Besitz von Ant Financial, führt ein Alert der Benutzer zu einer sub- einem Teil von Alibaba. Die Alipay App optimalen Sicherheitsentscheidung, siehe wickelt zusammen mit den Konkurrenten Browserwarnungen WeChat Pay einen erheblichen Teil der Alexa: Dienst im Internet der ein Ranking Zahlungen in China ab.,Alipay expandiert aber von Millionen von Websites nach Besucher- auch in andere Länder Asiens, wie auch die zahlen erstellt. Wichtig für Websites, die von Tourismuszentren in Australien, Nordamerika Werbung leben und Europa ALG: (application level gateway) Alphabet: Mutterkonzern von Google Algorithmenethik: (kaum zu trennen von Altersverifikation: im Internet stellt das Datenethik) neue Disziplin bei der es darum Feststellen des wirklichen Alters einer Person geht, sicherzustellen, dass Entscheidungen die eine große Herausforderung dar. Volljährigkeit von Algorithmen getroffen werden zu keiner wird oft über den Besitz einer Kreditkarte Verletzung unserer ethischen Normen führt. verifiziert, was mit dem Alter nicht viel zu tun Seit spätestens 2017 werden viele Vorschläge hat. Ebenso schwierig ist es, dass in zu und Konzepte diskutiert. 2019 hat in schützenden Bereichen, z.B. in virtuellen Deutschland eine Datenethikkommission Welten spezielle Inseln nur für Kinder in entsprechende Vorschläge unterbreitet die Second Life keine Erwachsenen sind, die auch als Grundlage für die für 2020 geplante dort Opfer suchen Implementierung einer Regelung auf EU- Altpapier: häufig übersehene Schwachstelle Ebene dienen könnten. Ursachen solcher des Schutzes von Vertraulichkeit und Verletzungen können u.a. sein: ungeeigneter Privatsphäre, im beruflichen oder privat. Die
Version 11.1 Seite 8 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Lösung ist konsequentes Schreddern dDoS-Angriffe eingesetzt, indem ein AMA: (Advanced Measurement Approach) Protokoll ausgenutzt wird, bei dem auf eine auch „fortgeschrittener Messansatz“, wird im kurze Anfrage eine lange Antwort gesendet Bankensektor als ein Instrument zur Messung wird. Beispiele sind DNS Amplification oder des operationellen Risikos ( OpRisk) im das NTP Protokoll. Dabei werden bei Rahmen von Basel II genutzt. Dabei werden manchen Protokollen Verstärkungen von bis zu 3 Elemente genutzt: interne Verlustdaten, 1000 erreicht. Siehe DNS Amplification externe Verlustdaten, Scenario Analysis AMR: (Automatic Meter Reading) vor allem in („Zukunftsvorhersagen“ durch interne „Exper- den USA eingesetzte Technolgie bei der ten“ nach Kenntnisnahme der Verlustdaten) analoge Gas-, Wasser- oder Stromzähler so und business environment and internal control umgerüstet werden, dass der Zähler über eine factors. drahtlose Verbindung seinen Zählerstand in Amazon: großer US-Konzern der ursprünglich kurzen Abständen überträgt. Zum Ablesen als online Buchhändler groß wurde, dann aber fährt jemand in die Nachbarschaft und kann Angebote vieler anderer Händler übernommen automatisiert alle Geräte im Umkreis zwischen hat und mittlerweile große Teile des Handels 300 und 700 Metern ablesen. Diese Verbin- weltweit mehr und mehr dominiert (was dungen sind unverschlüsselt und können leicht durchaus als problematisch gesehen wird, mittels USRP abgehört werden. Auf diese auch weil Amazon mittels Steuertricks i.d.R. Weise können auch Diebe festgestellen lokal keine Steuern zahlt – Auslagerung von welche Häuser gerade unbewohnt sind. Dies Gewinnen in Steueroasen wie Irland, ist eine Privatsphäreverletzung. Siehe auch Niederlande, Luxemburg. Durch die Suche auf Smart Meter der Amazon-Website fallen riesige Mengen AMT: (Active Management Technology) Intel- von Daten über die Interessen der Entwicklung für Zwecke der Fernwartung von Internetnutzer an (selbst wenn der Nutzer dann PCs. Ist in Chipsätzen integriert und erlaubt nicht dort kauft). Amazon ist daher heute einer einen Zugriff auf Geräte, manchmal auch in der big player bei Daten und Über- ausgeschaltetem Zustand. Entspricht von der wachungskapitalismus. Diese Macht wird Funktionalität her BMC. Erlaubt KVM- ergänzt durch die Amazon Web Services, Zugriffe und auch Anti-Diebstahl Funktionali- d.h. riesige Rechenzentren über die ganze täten wie Remote-Wipe wie sie auch bei Welt verteilt die auf Grund sehr iOS und Android geboten werden fortgeschrittener Software und Energie- ANC: Active Noise Cancellation Management recht kostengünstige Hosting- Android: Betriebssystem für mobile Geräte Services anbieten und die viele der bekannten Internetservices betreiben. ( Smartphones, Tabletts) von Google. Wird als Quellcode zur Verfügung gestellt Mit Amazon Prime mischt die Firma auch im und von Handy-Netzbetreibern angepasst. Streaming Markt (und auch bei Serien in Dies führt dazu, dass Sicherheitsupdates oft Eigenproduktion) mit und macht nicht nur nur sehr verspätet, oder auf Grund der Netflix, sondern auch den traditionellen Marktfragmentierung nie- 2014 waren 19000 Fernsehsendern starke Konkurrenz Varianten im Einsatz) zur Verfügung stehen Amazon Echo: der „intelligente“ Lautsprecher (Obsoleszenz) (im Gegensatz zu iOS und (smart speaker) von Amazon die über eine Windows Phone 7). Daraus resultiert eine Internet-Verbindung mit den Servern von erhebliche Unsicherheit; eine weitere sind die Amazon verbunden sind und dort die vielen alternativen Markets für Apps, die Sprachkommandos der Nutzer auswerten und dazu führen, dass 2011 ca. 50000 Malware- verbale Antworten zurückliefern. Kann für Apps (bzw. Versionen von Malware) pro Tag Abfragen, z.B. Wikipedia und für berichtet werden. Positiv ist, dass bei Bestellungen bei Amazon genutzt werden. Aus Android (und Windows 8 Metro) jede Sicht der Privatsphäre ist dies ähnlich App in einem eigenen User Account problematisch wie alle diese „smart speaker“ ausgeführt wird. 2015 zeigt eine Studie, dass die Gespräche in Wohnungen auswerten auf Grund der fehlenden Sicherheitspatches Amazon Ring : in Europa wohl nicht für die meisten Modelle, über 80% aller Geräte verfügbare „smarte“ Türklingel, die mittels ständig eingreifbar sind. Siehe NAND lock, einer Kamera die Umgebung vor der Tür Google Play, Bouncer, Rooting filmt und mittels der App Neighbors auch mit Angreifer: Personen oder Organisationen, die anderen (und üblicherweise auch mit der einen Angriff durchführen. Wichtige Gruppen lokalen Polizeit teil, diese hat oft direkten sind: Kriminelle, Industriespione, rogue Zugriff auf alle diese Geräte. Das Gerät hat Hacker, Malware Entwickler, Hacktivis- einen gewissen Gruselfaktor und ist wohl mit ten, Saboteure, Cyberkrieger. Ca. 50% sind den europäischen Datenschutz- interne Angreifer. Siehe auch Adversary, Vorstellungen nicht ganz kompatibel http://sicherheitskultur.at/Angreifer_im_Internet.ht Amazon Web Services: (AWS) EC2 m Amplification: (engl. für Verstärkung) wird für Angriff: Versuch der Verletzung der Infor-
Version 11.1 Seite 9 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ mationssicherheit, d.h. der Vertraulichkeit, ermöglichen, wie Name, Anschrift, Telefon- der Integrität oder der Verfügbarkeit von nummer, etc. Ob diese Daten danach wirklich Informationen, z.B. durch DoS. Angriffe kön- anonym sind, hängt davon ob, wie groß die nen aktiv sein, z.B. durch Port Scan und Menge der durch die verbleibenden Daten Eindringen durch Ausnutzen von Verwund- beschriebenen Personen dann immer noch ist. barkeiten, oder passiv, z.B. durch Lausch- Denn wenn z.B. Geschlecht, Altersgrupp und angriff auf Gespräche oder Datenübertra- Postleitzahl erhalten bleiben, so kann bei gungen. Siehe Attack Signature, Targeted kleinen Orten immer noch die Person Attacks, Cyberwar, Hactivism, Reflector gefunden werden. Dieser Vorgang wird unter Attack, skalierbar, survival time, De-Anonymisierung beschrieben. Sehr oft Watering Hole Attack findet aber statt Anonymisierung eine Angriffsfläche: die Summe der möglichen Pseudonymisierung statt, die noch leichter Angriffswege/Angriffsmöglichkeiten für einen aufzuheben ist Angreifer. Die Angriffsfläche vergrößert sich Anonymisierungsdienste: technologische z.B. drastisch, wenn eine Funktionalität im Angebote die eine Rückverfolgung von IP- Internet, statt im internen Firmennetz erreich- Adressen sehr schwierig machen. Dazu gehört bar ist. Zur Reduzierung von Angriffsflächen z.B. TOR, aber auch verschiedene VPN- wird z.B. eine Firewall eingesetzt, die die Anbieter. Diese Dienste werden legitim einge- Angriffsmöglichkeiten auf die Ports ein- setzt um politischer Verfolgung zu entgehen schränkt, die in der Firewall frei gegeben sind. aber auch illegitim um Verbrechen zu begehen Andere Beispiele für reduzierte Angriffsflächen Anonymität: in der IT die Möglichkeit eines sind reduzierte Funktionalitäten, Verbot von Benutzers, Information und Beratung ohne Datei Upload. Das Beheben von Verwund- Preisgabe seiner Identität zu erhalten. In der barkeiten gehört nicht zur Reduzierung der Informations- und Kommunikationstechnik geht Angriffsfläche, sondern soll sicherstellen, dass es hierbei auch um die Verschleierung von die gewünschten Funktionalitäten sicher Aufenthaltsorten oder Kommunikationsbezie- implementiert sind hungen von Benutzern. Die Anonymität geht angularJS: Programmbibliothek die von durch moderne Technologien immer stärker Google entwickelt und gepflegt wird und für verloren, auch das Internet erlaubt kein JavaScript-Programmierung verwendet wird. wirklich anonymes Arbeiten. Siehe IP Sie dient vor allem zur Programmierung von Traceback, Privatsphäre, Anonymisierer, single-page Webseiten, d.h. zur Pseudonymisierung, Pseudonymität, Manipulation des DOMs De-personalization, Kundenkarte, De- Anhang: (engl. Attachment) anonymisierung, Device Fingerprint, TOR http://sicherheitskultur.at/anonymity.htm AN.ON: JAP, Mix Anonymous: aus 4chan hervorgegangene Anonymer Remailer : im Internet verfüg- Hacktivismus-Gruppierung die durch die barer E-Mail-Dienst, der als Mailknoten E- Aktionen rund um WikiLeaks bekannt wurde Mails weiterleitet, nachdem er vorher die und ihre Aktivitäten im Gegensatz zu 4chan Absenderinformationen entfernt. Wenn der politisch sieht. Sie schrecken jedoch auch nicht Empfänger an den Remailer antwortet, so setzt vor Aktionen zurück, die unter Cybercrime dieser wieder die Originalinformationen ein und subsummiert werden, z.B. DoS, Eindringen kann das E-Mail an den Versender weiter- in Websites, Datendiebstahl, etc. Bekannt leiten. Über eine Beschlagnahme der dafür wurde der Angriff auf HBGary Federal verwendeten Datenbank können Polizeistel- len die Anonymität aufheben ANPR: (automatic number plate recognition) automatisches Erkennen von Nummernschil- Anonymisierer: Verfahren die dem Internet- dern von vorbeifahrenden Autos. Für Ge- Nutzer Anonymität verschaffen und Data schwindigkeitskontrolle und Überwachungen Mining oder Consumer Profiling behindern verwendet. Wird in Ö auch für die sollen. Bevor eine Anfrage an den Web- Implementierung der PKW-Maut auf Auto- server weitergeschickt wird, ersetzt der bahnen genutzt, in anderen Ländern auch für Anonymisierer ( Proxy Server) die IP- andere Mautstraßen oder Mautbrücken. Siehe Adresse des Benutzers und filtert evtl. auch. Section Control, ENLETS, Tracking Cookies aus dem Datenstrom. Allerdings gibt es auch bei der Nutzung dieser Dienste ANSI (American National Standards Insti- keine wirklich sichere Anonymität, denn diese tute): US-amerikanische Standardisierungs- Dienste verschleiern ja nur die IP-Adresse, behörde, 1918 gegründet. Siehe DIN, andere Profilisierungstools wie Cookies, öNorm aber auch die Profilierung des Geräts selbst Ant Financial: Teil von Alibaba Group, (und seiner Software-Versionen) ist immer früher bekannt als Alipay noch möglich. Siehe Mix, JAP, TOR Antivirus-Programm: Malware-Schutz Anonymisierung: Vorgang, bei der aus Anweisung: (engl. instruction) Programm- Daten alle die Elemente entfernt werden, die code die Zuordnung dieser Daten zu 1 Person
Version 11.1 Seite 10 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Anwender: Benutzer Programme Zugriffsrechte differenziert Anwendungsprogramm: Programm zur definiert werden können Bearbeitung der Anwenderproblemstellungen Apple: Computerfirma mit einem alternativen (im Gegensatz zur Systemsoftware Betriebs- Konzept zum Windows-PC, gegründet in system) den 70iger Jahren, bekannt für innovative AoIP: (Alarm-over-IP) Übertragung von Konzepte und den Ruf einer einfachen Benutz- Alarm-Nachrichten über IP-Verbindungen barkeit. Auf Grund eines deutlich höheren womit sehr einfach die ständige Verfügbar- Preises und einer geschlossenen Architektur keit der Verbindung geprüft werden kann und im Vergleich zum PC geringere Marktanteile, auch sehr leicht differenzierte Detailinfor- dadurch früher gegenüber dem PC auch mationen mitgegeben werden können weniger angegriffen durch Malware. Dies wird aktuell durch ihr recht geschlossenes AP: Access Point System, automatisierte Updates und Malware- APACS: (Association for Payment Clearing Schutz auszugleichen. Wichtig für Apple ist der Services) UK-Organisation für Banken, hohe Marktanteil bei Smartphones (iPhone, Kreditkarten-Unternehmen, etc. Kümmert iOS) und Tablets ( iPad). Siehe auch sich auch um Sicherheitsfragen. Siehe AirTag PISCE, ISAC Apple Pay: drahtloses Zahlungssystem auf API: (Application Programming Interface) NFC Basis (Apple gibt im Gegensatz zu Schnittstelle, über die ein Programm Dienste Google und Android die NFC Schnittstelle oder Daten von einem anderen Programm nicht für Apps frei und verhindert damit anfordern kann, z.B. MAPI für E-Mail, alternative Zahlungslösung auf iOS Open Social, etc. Solche Interfaces können Geräten). Dabei erfährt der Händler nichts entweder lokal auf 1 Rechner interagieren, über die Bankverbindung des Kunden, da für oder auch über Netzwerke wie das die Zahlungsauslösung nicht die Kredit-, Internet ( TCP/IP) mit kompatiblen Komponenten kommunizieren. Siehe auch Debit- oder Bankomatkarte des Kunden Middleware genutzt wird, sondern eine „tokenised“ Karte die während des sog. Enrollment erzeugt APN: Apple Push Notification wurde. Selbst wenn die selbe Karte auf einem App: anderen Gerät noch mal genutzt wird so wird a) Software Applikation ( Programm) für eine neue Kartennummer erzeugt. Apple und Smartphones. Diese können sehr leicht die Bank erfahren den Namen des Händlers, Sicherheitsprobleme darstellen, da sie auf Datum, Uhrzeit und Betrag. App verspricht, persönliche Daten (wie Telefonbuch), interne diese Daten nicht zu sammeln oder Sensoren wie GPS, und auf mehrere auszuwerten. Apple Pay erfüllt die Anfor- Drahtlos-Netzwerke zugreifen können und derungen der 2 Faktor Authentisierung des dabei leicht die Privatsphäre verletzt werden kann. Apps werden oft aus app stores PSD2. Durch das Enrollment wird der Besitz geladen und zumeist in Sandboxes ausge- des Geräts als 1 Faktor gerechnet. Ein 2. führt. Solche Sandboxen sind weitgehend Faktor entsteht wenn der Nutzer das Gerät vor wirkungslos falls das Gerät einem Jail-break, der Nutzung entsperren muss, entweder über bzw. Rooting unterzogen wurde. . Siehe PIN, d.h. Wissen oder Biometrie, d.h. user permission fatigue „sein“ Apps werden oft über Affiliate Networks Apple Push Notification: (APN) Dienst von beworben oder verteilt, von denen manche mit Apple für die iOS-Systeme. Um trotz betrügerischen Methoden arbeiten und fehlendem Multitasking trotzdem Apps versuchen, auf den Geräten auch ungefragt „aufwecken“ zu können (die nicht im fore- Software zu installieren, bzw. sogar das Gerät ground laufen) hat Apple diesen Service zu rooten. entwickelt. Dabei wird jeder App bei der Installation eine eindeutige ID vergeben, über Des Weiteren sind Man-in-the-Middle An- diese kann dann ein Server Nachrichten an griffe leicht möglich, da die Benutzer einer App diese App (die sich für diesen Dienst registriert das Zertifikat der Website von der die hat) schicken. Implementiert wird dies, indem Daten geladen werden, nicht überprüfen kann der Server der die Nachrichten verschicken will (falls überhaupt HTTPS eingesetzt wird) einen zentralen Apple-Server anspricht, der die b) Programme die in Social Networks Nachricht dann an das iPhone weiterleitet, angeboten werden und im Context des wodurch dann diese App in den foreground Benutzers ablaufen. Der Benutzer muss kommt. Die Funktionalität wurde später auch einmal zustimmen, dann haben solche Apps für MacOS angeboten. Siehe Google Zugriff auf fast alle Profildaten des Cloud Messaging (GCM) Benutzers Applet: in Java geschriebenes kleines Pro- AppArmor: LSM-basierte Sicherheitserwei- gramm, i.d.Regel von einer Website geladen terung für Linux, bei der für einzelne und am Zielrechner innerhalb des Web-
Version 11.1 Seite 11 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ browsers ausgeführt. Auf Grund des Sand- verändert wird, dass der Befehlscode in box-Modell hat dieses Programm nur einge- einer ‚geschützten‘ Umgebung ausgeführt wird schränkten Zugriff zu den Funktionen des Ziel- und Zugriffe zum eigentlichen Betriebs- rechners. Trotzdem kam es im Laufe von 2012 system durch diese Umgebung realisiert und und 2013 zu zahlreichen Verwundbarkeiten kontrolliert werden. Beispiele sind Thinapp für bei Java Code (JRE, Java Runtime Windows und Mobile Horizon für Environment) die für Angriffe genutzt Smartphones wurden. Siehe auch Flash, Quicktime, APT: (Advanced Persistent Threat) neues Silverlight Schlagwort für eine Situation bei der es einem Appliance: (engl. Gerät, Vorrichtung) bezeich- Angreifer gelingt, sich langfristig in einem net ein Gerät, bei der vom Hersteller Hardware Computernetz „einzunisten“ und dort systema- und Software bereits integriert wurden. Solche tisch Informationen zu sammeln oder Schaden Appliances zeichnen sich in der Regel durch anzurichten. Wird hauptsächlich zu Wirt- leichtere Administration aus. Häufige Verwen- schaftsspionage eingesetzt, bzw. bei Aktionen dung als Firewall wie Stuxnet. APT sind zielgerichtet, was bei Application Level gateway: (ALG) Ab- anderen Angriffen mittels Spyware nicht sicherung einer Anwendung durch eine immer der Fall ist. Sehr oft beginnt ein APT- Komponente, die den spezifischen Daten- Angriff mit Social Engineering (z.B. ge- verkehr einer Anwendung versteht und kon- fälschtem E-Mail) auf einen eigentlich un- trollieren kann. Erlaubt komplizierte NAT- wichtigen Rechner. Manchmal werden Firmen- und Port-Zuweisungen, z.B. für SIP, RTSP PCs auch infiziert, indem Websites identi- (Real-time Streaming Protocol) und eine fiziert werden, die von vielen Mitarbeitern die- detaillierte Analyse der Eingaben für die ser Firma oder dieser Branche genutzt werden Anwendung. Im Gegensatz zum Proxy für („watering holes“). Dieser Webserver wird die Anwendung transparent. Ein Beispiel ist dann übernommen, dort eine Schadsoftware Web Application Firewall installiert, die mittels Zero-Day Verwund- barkeiten die PCs der Besucher dieser Web- Application Security: Konzepte zur Ab- site infizieren kann. Auf diesen Besucher-PCs sicherung von Anwendungen gegen An- wird dann eine Software zur Fernsteuerung griffe, speziell auch aus dem Internet, haupt- (RAT) installiert und sog. lateral move- sächlich durch das Finden von Schwach- ments innerhalb des Firmennetzes führen zum stellen in der Software. Siehe Business eigentlichen Ziel, entweder data leakage Logic Flaw, OWASP, FireBug, Fuzzing, oder Sabotage wie bei Stuxnet. APTs WebInspect, Network Security, Desktop sollen über spezielle Systeme erkannt werden, Security die Events korrelieren und Anomalien im Netz App store: Website mit dem Angebot von aufzuspüren versuchen, z.B. SIEM. Siehe Anwendungen (applications, heute, Apps) auch Pass-the-Hash, Process injection für einen bestimmten Typ von Smartphone. APT1: (auch Unit 61398) geheime Einheit in Beispiele sind Google Play für Android der chinesischen Volksbefreiungsarmee ( Apps, iTunes App Store für iOS Apps und PLA), spezialisiert auf das Eindringen in Mac App Store für MacOS Systeme. Einige andere Rechner mittels APT-Angriffen. Hersteller unterziehen diese Apps mehr oder Entsprecht der Einheit TAO in der NSA weniger gründlichen Sicherheitstests, siehe Bouncer. Leider gelangen immer wieder APWG: (Anti-Phishing Working Group) intern. betrügerische Apps in diese Stores, diese Organisation zum Datenaustausch über und können oft (z.B. bei iOS) auch wieder vom zur Bekämpfung von Phishing Gerät entfernt werden ( remote application AR: Augmented Reality removal ). Diese Feature ist aber nicht Arbeitspeicher: Teil eines Rechners (oder unumstritten, da diese Funktionalität auch für auch Smartphones), in dem Programme Zensur genutzt werden kann. Ebenso ist (und Daten temporär während ihrer umstritten, dass Apple und Google 30% der Verareitung im Prozessor) gespeichert sind. Umsätze einfordern, die von den App Siehe Speicher Entwicklern über die Apps eingenommen Archivierung: sicheres Aufbewahren von werden (z.B. Musikverkäufe oder In-App-Käufe in Spielen). Diese Marge ist erheblich und stellt Critical Records. Dies beinhaltet mehrere Kopien und deren Auslagerung. Grund sind sicher, dass z.B. Bücher nie über Apps verkauft werden können (die Margen sind zu z.Teil gesetztliche Aufbewahrungsvorschrif- gering). Spotify hat sich vergeblich dagegen ten oder geschäftliche Erfordernisse gewehrt, ebenso EPIC (Fortnite) für ihre In- ARDA: (Advanced Research Development Game Verkäufe. In China verlangt Huawei für Activity) US-amerikanische Forschungseinrich- die Spiele in seinem App-Store 50% Provision tung zur Unterstützung der NSA und DHS, von Tencent z.B. bei der Auswertung großer Datenmengen App Wrapping: Technik der Virtualisierung ( Data Mining). Heute umbenannt in bei der ein Programm automatisiert so Disruptive Technology Office, DTO (disruptive technology = neue Technologie, die die beste-
Version 11.1 Seite 12 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ henden Technologien ersetzt und ablöst) Dem gegenüber steht das Konzept der ARG: (Alternate Reality Game) spezielle Form „starken AI“ (auch AGI = artificial general eines LARP, bei dem mittels Kommuni- intelligence), die (noch ?) nicht existiert und die kationsmedium (Telefon, E-Mail, Brief) eine sich dadurch auszeichnet, dass diese alternative Realität zu erzeugen. Die Spieler Maschine ALLE Probleme besser löst als ein agieren IRL und werden von einem Game Mensch. Die Idee dabei ist, dass solche Designer gesteuert und die Aufgabe haben, Systeme natürlich auch bessere AI-Systeme Probleme zu lösen. Auch ARGs sind (wie als wir Menschen bauen können und dass es LARPs) für Lehrzwecke eingesetzt worden dazu zu einer Intelligence Explosion (auch singularity genannt) kommen könnte deren ARGE DATEN: sehr aktive Organisation in Ö, Ausgang für die Menschen ungewiss ist (siehe die sich um Belange des Datenschutzes Szenario des Filmes „Matrix“). kümmert. http://www.argedaten.at/ Sicherheitsrelevant z.B. durch Captchas ARM: (Advanced RISC Machine) heute viel bzw. die Versuche, diese zu „knacken“ verwendete CPU-Architektur nach dem ( “cracking“). Es stehen heute sog. RISC-Konzept, entwickelt und hergestellt Chatbots zur Verfügung, denen es gelingt, von der gleichnamigen Firma. ARM-CPUs durch automatisierte Dialoge betrügerische zeichnen wie alle RISC-CPUs sich durch ver- Situationen oder pädophile Kontakte zumin- gleichsweise geringe Zahl von Schalt- dest vorzubereiten. Als Gegenmaßnahme wird elementen und Stromverbrauch aus. ARM- versucht, solche Chatbots automatisiert zu CPUs werden oft in Smartphones, Laptos, erkennen. Es wurde behauptet, dass z.B. bis Tablets verwendet, sowie in Embedded zu 85% der Teilnehmer in Yahoo-Chatrooms Systems und seit 2020 auch für Rechner von (obsolet) bereits bots sind. Facebook und Apple Twitter versuchen sehr aktiv gegen bots ARP: (Address Resolution Protocol) Teil von vorzugehen und löschen viele solcher Layer 2 des OSI Schichtenmodells der Accounts. Diese können aber sehr leicht auch Ethernet-Implementierung, übersetzt die automaisiert wieder angelegt werden. Siehe IP-Adresse eines Rechners in die MAC auch Adversial Learning. Adresse des Netzwerkinterfaces (RFC 826). Problematisch sind auch sog. Deepfakes, Letzter Schritt vor der „Zustellung“ der Daten das sind mittels AI hergestellte Fälschungen im Zielgerät. Man-in-the-Middle Angriffe von Videos mit deren Hilfe Personen in innerhalb des gleichen Subnetzes sind durch unerwünschten Situationen, z.B. Pornofilm ARP Cache Poisoning möglich gezeigt werden kann und falsche Aussagen in Art.8 EMRK: (Europäische Menschen- den Mund gelegt bekommen. Problematisch ist rechtskonvention) definiert das Recht auf auch, dass AI-Systeme auf der Grundlage von Privatsphäre, in einigen Punkten weiter- Deep Learning nicht in der Lage sind, ihre gehend als das ö. DSG2000 Entscheidungen zu erklären ( explainability). Art.29 Data Protection Working Party: bis D.h. die zum Teil für uns Menschen absurden Mai 2018 Arbeitsgruppe der EU, zusammen- Fehler bei der Bilderkennung sind nicht leicht gesetzt mit Vertretern aller Datenschutz- zu vermeiden, was z.B. bei autonomen komissionen der EU-Länder, die sich mit Fahrzeugen sehr problematisch ist. Datenschutz beschäftigt und sehr Bedrohliche Szenarien werden rund um interessante Dokumente herausgab, z.B. zu Intelligence Explosion ( Singularity) disku- Suchmaschinen. Siehe EMRK, ENISA, tiert: sich verselbständigende Super-Intelligen- European Data Protection Initiative, Data zen die rein auf Grund ihrer übermenschlichen Protection Directive. Seit Mai 2018 ersetzt Intelligenz die Menschen automatisch dominie- durch European Data Protection Board ren. Siehe auch Roboter, autonome (EDPB) Fahrzeuge, Meme Artificial intelligence: (AI, künstliche Intel- artificial persona: siehe Bot ligenz) Schlagwort für den Versuch, Soft- AS2: (Applicability Statement 2) Standard für ware zu entwickeln, die Rechnern den Austausch von EDI-Dokumenten über ermöglicht, Aufgaben zu bewältigen, die HTTP, geschaffen durch EDIINT . Der traditionell nur von Menschen erledigt werden Datenaustausch ist unabhängig vom Format können (z.B. Turing Test). Dabei wird unter- der Dokumente, z.B. XML. Neben HTTP schieden zwischen „schwacher AI“, das sind kann auch HTTPS oder S/MIME für den die AI-Systeme die wir heute nutzen, z.B. Datentransport verwendet werden. Mittels neuronale Netze für Bild- oder Sprach- Zertifikaten wird eine Verschlüsselung und erkennung, Sprachübersetzung, Algorithmen Signatur erzeugt für Routenplanung, aber auch Systeme die z.B. mittels Deep Learning Spiele wie ASCII (American Standard Code for Informa- Schach und Go beherrschen und dabei jeden tion Interchange) der (de-facto) Standard für Menschen sicher schlagen können die Codierung von Texten. Leider erlaubt ASCII (DeepMind). nur 7 bits für Zeichen, d.h. die Umlaute können nicht vernünftig dargestellt werden. Dies ist
Version 11.1 Seite 13 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ eine Quelle von Frustration und Fehlern. So und überall wo Kommentare abgegeben wer- können in E-Mails nur durch Nutzung der den können das Manipulieren von Meinungen sog. MIME-Erweiterungen Umlaute z.B. durch Sock puppets. Diese Dienste dargestellt werden. Eine moderne Methode zur werden kommerziell angeboten, bzw. über Textdarstellung verwendet Unicode, das Crowdsourcing Services wie ShortTask auch asiatische Alphabete unterstützt durchgeführt ( Crowdturfing). 2011 wird be- ASLR: (Adress Space Layout Randomization) richtet, dass die Manipulation von Meinungen Technik, z.B. in OpenBSD, Mac OS, Vista zu Politik oder Produkten bei einigen Anbietern und XP SP2, um zu erreichen, dass ein über 90% der angebotenen Aufgaben dar- Angreifer nicht weiß, an welcher Stelle im stellen. Siehe auch Fake Accounts, Twitter Speicher eine bestimmte Funktion geladen ist. Bombe Skype verwendet ähnliche Tricks. Wird Asymmetrische Verschlüsselung: Ver- mittels JIT-Spraying angegriffen schlüsselung ASP: ATA: Hardware-Spezifikation für den 1) Application Service Provider. Anbieter von Anschluss von Magnetplatten u.ä. Erlaubt EDV-Diensten, die über Datenkommu- das Setzen von Passworten zur Kontrolle nikationsanbindung genutzt werden, ähnlich zu von unautorisierten Zugriffen Outsourcing. Dabei sollen durch SLAs die ATM: jeweiligen Sicherheits- und Verfügbar- 1) Asynchronous Transfer Mode : Datenüber- keitsanforderungen festgelegt werden tragungsmethode die es Anbietern erlaubt, 2) Active Server Pages von Microsoft Hochgeschwindigkeitsverbindungen mit garan- entwickelte Methode, dynamische Webseiten tierter Durchsatzleistung für mehrere Kunden zu generieren, Konkurrenz zu Produkten wie in einem einzigen Übertragungskanal zu Cold Fusion und Technologien wie JSP bündeln. Es können darüber beliebige Proto- (Java Server Pages) oder - im Open kolle übertragen werden. Relevant für QoS, Source Bereich. Alle diese Technologien fallen da einzelnen Kunden garantierte Bandbreiten unter Server Side Scripting (d.h. sie werden im zugewiesen werden können. Übertragungs- Webserver ausgeführt), im Gegensatz zu raten liegen dabei höher als 155 Mbps Client Side Scripting durch Active Scripting 2) Automated Teller Machine , engl. für Geld- oder JavaScript/Jscript ausgabeautomaten, (Bankomat). Sicherheits- Asprox: Fast-Flux Botnetz. Siehe Rock problematisch wenn die PIN-Eingabe aus- Phish Gang gespäht wird. Die Sicherheit hängt auch davon Assembler: (to assemble=zusammenbauen) ab, dass die Geräte tamper-proof sind. sehr „maschinen-nahe“ Programmiersprache, Erfunden 1967 von Barclays Bank, damals bei dem Computer-Instruktionen ( Code) und „Robot Cashier“ genannt. Siehe Bankomat- Speicheradressen direkt verwendet werden, im karte, Skimming Gegensatz zu Compilern, die „höhere“ Pro- Autonome Fahrzeuge: Fahrzeuge jeglicher grammiersprachen nutzen (Fortran, Java, C, Art, die mittels Sensoren und geeigneter C++, C#) die abstrakte Datenstrukturen und Software (z.B. Deep Learning) selbständig wiederverwendbare Routinen erlauben. am Verkehr teilnehmen können. Ab 2017 Assembler sind langsamer zu programmieren, werden diese von vielen Firmen auch im aber erzeugen sehr kompakte Programme. Sie Straßenverkehr gestestet, bisher noch immer werden z.B. für Embedded Systems oder mit Aufsicht durch einen Fahrer. Für die Firmware eingesezt, aber auch für manche Sicherheit, auch bei widrigen Umständen wie Formen von Schadsoftware wie z.B. Viren schlechter Sicht, gibt es noch viele offene Fragen, z.B. Haftung und Zulassungsanfor- Asset: Begriff aus dem Risikomanagement. derungen. Der Übergang zu solchen Alles was für ein Unternehmen Wert hat autonomen Fahrzeugen sind Fahrer- (Dinge, Programme, Know-how, Geld, Zeit, Assistenzsysteme, die in der EU in 2022 Marktanteile, Brandname, Ruf, Image, Kun- Bremsassistenten verpflichtend werden. Siehe denzufriedenheit, Goodwill, juristische Rechte, https://www.philipps-welt.info/autonom Ansprüche). Assets sind mit angemessenem Aufwand zu schützen Attribution: Zuordnung zwischen einem Täter (actor) und einer Tat. Sehr schwierig bei Asset Classification: Bewertung von Objek- Angriffen im Internet, z.B. Cybercrime ten, z.B. Dateien oder anderer Daten in und Cyberwar. Plausible Deniability er- einer Datenbank bzgl. Ihres Schutzbedarfs, möglicht es den Beschuldigten sehr oft, die z.B. in Hinsicht auf Vertraulichkeit. Wird Verantwortung z.B durch Verweis auf Hack- selten durchgeführt, da sehr aufwendig. Es gibt tivisten von sich zu weisen (auch wenn diese Versuche zu einer automatisierten Klassi- vielleicht als Proxy aktiv sind). Bei der fizierung. Wenn Asset Classification durchge- Untersuchung von solchen Vorfällen wird nach führt würde, so würde dies DLP stark sog. Indicators of Compromise gesucht. vereinfachen Attribution ist sehr schwierig wenn die Angrei- Astroturfing: in Social Networks, Blogs fer “hop points„ oder einen Anonymisierer
Version 11.1 Seite 14 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ wie TOR oder andere Mittel verwenden um Auswertung (Beispiel auch Code-Audit in der die Spuren zu verwischen. So speichert z.B. Programmierung). In der IT- und Informations- beim Übersetzen eines Programmes in Ma- sicherheit sind solche nachträglichen Kontrol- schinen code (auch bei Schadprogrammen) len ein wichtiger Faktor überall dort, wo z.B. der Compiler die Spracheinstellung des Zugriffe für legitimierte Personen gewährt PCs im Maschinencode als Kommentar ab. werden müssen, aber Missbrauch durch diese Aber auch diese Einstellung lässt sich vor der Personen möglich ist. Neuere Entwicklungen, Compilierung leicht ändern. Kommentare im z.B. Sarbanes-Oxley Act oder Basel II Programm oder die Bekennerschreiben wer- erfordern eine immer stärkere Betrachtung der den auch auf sprachliche oder kulturelle Eigen- Informationssicherheit im Rahmen von heiten untersucht, aber alles dies ist auch Audits, z.B. durch Nutzung von CobiT oder fälschbar. SAS 70. Siehe SMM, comply or explain Attribution ist ein wichtiger Faktor gerade beim Audit-Log: Datei mit den Log-Einträgen von Thema Cyberwar, wo die Militärs sich ein Ereignissen ( Events) in Rechnersystemen Recht auf Selbstverteidigung durch Gegenan- und Netzen zum Zweck der Nachvoll- griff vorbehalten. Dort kann eine falsche Zuord- ziehbarkeit. Dabei soll für alle Ereignisse ein nung (z.B. auf Grund von bewusst gelegten EDV-Nutzer als eindeutiger Verursacher des falschen Spuren, z.B. Hop Points in anderen Ereignisses identifizierbar sein. Dies führt zu Ländern), zu einer Katastrophe führen. Die Accountability eines Prozesses oder Behauptung man kenne die Angreifer kann Systems. Diese Information können im wenn sie nicht als Bluff enttarnt wird, sehr Rahmen eines SIEMs auch für Zwecke der wirksam sein, weil alle anderen dann glauben Informationssicherheit verwendet werden (könnten), dass der Beschuldiger Möglichkei- Audit-Trail: Menge von Logdaten, die ten hat, Angreifer zu identifizieren, was Teil der gemeinsam eine direkte eindeutige Zuordnung Abschreckung sein könnte. Dies wird auch im eines Ereignisses zu einem Verursacher Fall Sony 2014/15 spekuliert erlauben ATS: Automated Targeting System Auditor: Person mit dem Auftrag Qualität, Attachment: Anhang an ein E-Mail, mit Korrektheit und/oder Sicherheit einer Aktivität dessen Hilfe eine beliebige Datei transportiert unabhängig und objektiv zu verifizieren werden kann, Teil des MIME-Formats. Auf Aufbewahrungsfrist: Dauer der Verpflichtung diese Weise kann auch Malicious Code zur Aufbewahrung für wesentliche Geschäfts- übertragen werden, dies soll durch Content informationen, meist gesetzlich geregelt, z.B. 7 Filtering verhindert werden Jahre für Buchhaltungsunterlagen, 30 Jahre für Attack: Angriff Gesundheitsbefunde oder Sparbücher. Sichere Attack Signature, Attack Pattern: der für Aufbewahrung schließt auch die Verfügbarkeit einen Angriff typische Netzwerkverkehr nach einem Katastrophenfall ein, d.h. (Inhalt und Folge von IP-Paketen) oder erfordert oft auch die Auslagerung einer Kopie Folge von Systemaufrufen auf einem Rechner. und oft auch Fälschungssicherheit Wird von IDS für die Erkennung eines Aufbewahrungsvorschrift: gesetzliche oder Angriffs genutzt. Kann sich auch auf eine anderweitige Regel, die besagt, wie lang Folge von Systemaufrufen beziehen, an denen Aufbewahrungsfristen dauern ein im Rechner selbst residentes Über- Auftraggeber: (engl. Controller) im wachungsprogramm einen Angriff erkennen Datenschutz derjenige, der den Auftrag für könnte eine Datenverarbeitung (von personenbezo- Attack Tree: Methode der Risikoanalyse, genen Daten) an einen Dienstleister vergibt bei der man sich in die Rolle des Angreifers und damit die Verantwortung für die versetzt und die verschiedenen Möglichkeiten Rechtmäßigkeit dieser Verarbeitung über- für eine bestimmte Verletzung der nimmt. Sein Dienstleister muss durch ein Informationssicherheit, sei es Vertraulichkeit, SLA und regelmäßige Kontrollen zur Verfügbarkeit, etc., durchspielt Einhaltung der Gesetze gebracht werden Attagging: Angriff mittels QR-Code Augmented Reality: (AR) computergestützte Audio Mining: Form des Lauschangriffs. Erweiterung der Realitätswahrnehmung, z.B. Methode, mit der man gesprochenen Text nach durch Einblendung von zusätzlichen Informa- Schlüsselwörtern durchforstet. Dies ermöglicht tionen in Video-Darstellungen, z.B. Daten aus die Suche in einer Audio-Datei oder von anderen Systemen oder Sensoren. Wird z.B. Telefonaten. Auch 'audio indexing' genannt als Heads-Up Display in Militärflugzeugen eingesetzt oder seit 2013 bei Google Glas Audit: ursprünglich englische Bezeichnung für und 2014 bei Oculus Rift. Wird zu Rechnungsprüfung. Im Qualitätsmanage- Verletzungen der Privatsphäre führen da es ment: systematischer, unabhängiger und doku- oft mit einer Kamera kombiniert wird und mentierter Prozess zur Erlangung von Nach- mittels Gesichtserkennung automatisch weisen bzgl. der Einhaltung interner oder Informationen über andere Menschen einblen- externer Regeln und zu deren objektiver den kann. Wenn die Geräte immer kleiner
Version 11.1 Seite 15 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ werden führt das zu einer Situation dass ander verbunden werden und an dem nicht nur Menschen ständig damit rechnen müssen, Systeme wie Engine Control Module, dass ihr Verhalten aufgezeichnet wird. Siehe Electronic Brake Control Module, Transmission wearable computing, virtual reality Control Module, TPMS und Body Control Ausfall: Nicht-Verfügbarkeit von Systemen, Module angeschlossen sind, sondern auch das Daten oder Services. Siehe RTO, Autoradio (das zumeist auch verwendet wird RPO, Disaster Recovery um alle Blinker- und Warngeräusche zu erzeu- gen und daher eng mit den anderen Fahrzeug- Ausfallwahrscheinlichkeit: Wahrscheinlich- prozessoren gekoppelt sein muss), die keit, dass ein Gerät oder System ausfällt. Klimananlage, die Airbags, die Diebstahl- Siehe Fehlerbaumanalyse, Verfügbarkeit sicherung, das Navi, die Instrumentierung im Auslagerung: Kopie archivierter Dokumente Armaturenbrett, der elektronische Türöffner und Backup-Medien an einem sicheren Ort und das Telematic-Module, das über GSM gelagert um auch nach Katastrophen für (Handy) eine Lokalisierung und Blockierung Desaster Recovery zur Verfügung zu stehen des gestohlenen Autos erlaubt. Authentication: Authentisierung Die Komponenten werden über mehrere Authentication Token: Bus-Systeme ( CAN) miteinander gekop- 1) Gerät das eine Information produziert, die pelt. Wie bei jedem Bus-basierenden System zur Authentisierung einer Person genutzt kann jede Komponente am Bus alle anderen wird Komponenten kommunizieren. Es findet fast keine Authentisierung der Komponenten 2) Datensatz der zwischen Systemen statt. Bei Design wird Sicherheit weitgehend ausgetauscht wird um zu bestätigen, dass eine ignoriert und durch unerlaubt in das System bestimmte Person oder Service authentifiziert eingefügte Kommandos können gefährliche ist ( Kerberos) Zustände erreicht werden, z.B. de-aktivieren Authentifizierung: Authentisierung der Bremsen. Authentisierung: (=Authentifizierung) (engl. Es konnte 2013 gezeigt werden, dass z.B. ein Authentication) Verifizierung der Identität ‚böses‘ Autoradio sicherheitsrelevante Kompo- (Identifizierung) einer Person (oder Objek- nenten wie die Bremsen beinflussen kann. tes). Authentisierung gibt die Sicherheit, dass Ebenfalls problematisch sind ‚keyless‘ Syste- die Person genau die ist, die sie zu sein me bei denen der Motor ohne mechanischen vorgibt. Heute werden dafür meist (noch) Schlüssel gestartet wird. Solche Systeme Passworte eingesetzt, die für Websites in werden über kryptographische Verfahren ab- Datenbanken gespeichert werden, innerhalb gesichert, jedoch haben sie immer die von Firmen wird zumeist Active Directory Schwachstelle der Key recovery für den eingesetzt. Besser als Passworte ist 2- Fall, dass der rechtmäßige Besitzer den Faktor-Authentisierung mit Biometrie oder Schlüssel verloren hat. OTP-Konzepten. Die Trennung zwischen Eine weitere Herausforderung ist die Ab- „nur“ Passworten und stärkeren Verfahren wird sicherung der computer-gesteuerten Fahr- bei Risk-based-Authentication (RBA) zeuge die Fehler in der Steuerung haben dynamisch „errechnet“, z.B. auf Grund von könnten oder manipuliert sein könnten. 2014 Faktoren wie „anderer IP-Adresse“ wie haben Wissenschaftler ein kleines Modul früher. Ein Beispiel für eine ältere Technologie vorgestellt, das von außen in das Bus-System ist das RADIUS Protokoll. Eine Alternative integriert werden kann und dann drahtlos zu Passworten ist Biometrie ( Fingerprint Kommandos von Angreifern empfangen kann. oder Gesichtserkennung) oder Zertifikate, z.B. auf SmartCards oder OTP-Geräte Außerdem werden seit einiger Zeit mehr und oder -Implementierungen. Siehe AAA, mehr Fahrzeuge über Handy-Technologie vernetzt, z.B. für einen automatischen Notruf EAP, Out-of-band Authentisierung, SRP, JAAS, Oauth, eID, TOTP, HOTP, wenn Airbags auslösen (wird 2015 als eCall Nitrokey, Yubikey, Google Authenticator, in der EU Pflicht). Ebenfalls Pflicht werden Systeme die Reifenunterdruck erkennen keyless system. Abgegrenzt von Autorisierung ( TPMS). Eine Lösung geht über einen Vergleich der Umdrehungszahlen der 4 Räder, Authentizität: Echtheit von Gegenständen der andere, unsichere Weg misst den Reifen- oder Nachrichten, für letztere auch die druck im Ventil und sendet diesen drahtlos sichere Zuordnung von Absender oder unverschlüsselt zum Bordcomputer; dies Ursprung und die Integrität der Nachricht, könnte manipuliert werden. realisiert über Nutzung eines Message Authen- Google experimentiert seit einigen Jahren tication Codes (MAC). Siehe Verbindlichkeit mit selbstfahrenden Autos ( autonomous car), Authorization: Autorisierung 2015 stellen alle Hersteller ähnliche Modelle Auto: moderne Autos enthalten 50 - 70 inte- mit mehr oder weniger großen Selbständigkeit grierte Prozessoren ( embedded systems), vor. Vor der Einführung solcher Technologien die typischerweise mittels CAN-bus mitein- sind noch eine Reihe von Haftungs- und
Version 11.1 Seite 16 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Ethikfragen zu klären. Gesellschaft. Auch Fragen der Vernetzung sind 2014 wurde ein Standard verabschiedet, über relevant, siehe C-ITS. Autonome Fahrzeuge den Autos sich gegenseitig über Geschwindig- werfen auch bei Ethik komplexe Probleme keit und Position informieren sollen, um auf auf. So muss die Elektronik in einer kritischen diese Weise Unfälle aktiv zu vermeiden (die Situation in denen ein Unfall unvermeidbar ist, Regeln für kooperative intelligente Transport- Optimierungen dahingehend treffen, dass die systeme, C-ITS, der ETSI). Auch eine Schäden minimiert werden. Schwierig ist z.B. Kommunikation mit Verkehrszeichen ist dann die Bewertung zwischen einer geringen Wahr- natürlich möglich und eine vollständige Über- scheinlichkeit dass ein Mensch verletzt wird wachung wäre sichergestellt. verglichen mit einer sehr hohen Wahr- scheinlichkeit eines sehr großen Material- Siehe PLC, M2M, On-Board-Diagnose schadens. Siehe auch situational crime http://sicherheitskultur.at/notizen_1_10.htm#auto prevention. Zumeist ebenfalls geforderte Automated Clearing House: (ACH) Form der Vernetzung der Fahrzeuge wirft riesige Geldüberweisung und Abbuchungen zwischen Probleme der Privatsphäre auf. Viele Details Bankkonten in den USA bei der die Identität auf http://philipps-welt.info/autonom.htm von Sender und Empfänger nicht geprüft wird Autonome Waffen: die Mehrzahl der in 2019 und eine Rückerstattung nur dann möglich ist, eingesetzten automatischen Waffen, z.B. wenn die gesamte geforderte Summe auf dem Drohnen, stehen noch unter menschlicher Konto ist. Wird daher gern für Money Mule Kontrolle ( human-in-the-loop). Es gibt jedoch Aktivitäten genutzt auch bereits Systeme, die so schnell reagieren Automated Targeting System: (ATS) System müssen, dass dies nicht möglich ist, z.B. das des DHS das für alle Personen, die die US- isrealische Raketen-Abwehrsystem Iron Dome. Grenzen überschreiten oder in Ex- und Import Es wird in AI-Kreisen diskutiert, ob es tätig sind, auf Basis einer Datenauswertung möglich sein wird (ähnlich zu den Robo- eine Risiko-Zuordnung bzgl. Terrorismus tergesetzen die sich natürlich für Waffen oder Kriminalität vornimmt. Ursprünge liegen ausschließen) Regeln in solche Waffen zu in den 90er Jahren. Es gibt keine Möglichkeit implementieren, die eine Einhaltung der der Einsicht oder Korrektur Kriegsrechtsregeln sicherstellen (z.B. Schutz Automatic Update: Funktionalität in von Nicht-Kombatanten). Proponenten sagen, Windows 2000 (SP2), Windows XP und dass ein Roboter auf Grund der fehlenden Vista, die eine automatische Installation von Emotionen und der fehlenden Gefahr für das Patches realisert. Wird in SUS und eigene Leben evtl. sogar solche Schutzregeln WSUS genutzt. Nicht zu Verwechseln mit stärker beachten könnte. Ab 2017 werden dem Update über Internet Explorer große Fortschritte bei der Entwicklung Automation Bias: psychologer Effekt, dass gemacht und auch Schutzgesetze diskutiert die menschliche Wachsamkeit nachlässt wenn (mit jedoch geringer Aussicht auf internationale Überwacher wissen, dass ein automatisches Umsetzung). Siehe auch man-in-the-loop System eigentlich alle Ereignisse entdecken und http://philipps-welt.info/robots.htm#killbot sollte. Dies ist ein Sicherheitsproblem, z.B. in Autorisierung: Prozess, bei dem festgestellt Kernreaktoren. Siehe Primary Effect, wird, zu welchen Aktivitäten ein Benutzer be- Vigilance decrement rechtigt ist. Der Vorgang ist oft, aber nicht notwendigerweise mit der Authentisierung Automobil: Auto gekoppelt, Gegenbeispiel ist claims-based Autonmous car: Autonome Fahrzeuge authorization. Siehe AAA, RBAC Autonome Fahrzeuge: großes Thema seit ca. Availability: Begriff aus der IT-Sicherheit, 2004 mit DARPA Grand Challenge, aber die Verfügbarkeit eines Systems oder einer Entwicklungen hatten viel früher begonnen. Ab Anwendung 1950 wurde ernsthaft daran geforscht. Ab ca. 2010 wird auf breiter Front geforscht. Avatar: in der IT eine künstliche Person oder Google experimentiert seit ca. 2011 mit ein grafischer Stellvertreter einer echten Per- son in einer virtuellen Welt wie Second selbständigen Fahrzeugen im öffentlichen Verkehr. 2015 stellen alle Auto-Hersteller mehr Life oder MMORPGs, beispielsweise in oder weniger selbständige Fahrzeuge vor (oft einem Computerspiel. Diebstahl von Avataren als Parkhilfe oder nur für Autobahnstrecken). oder von Ausstattungen von Avataren wird Solche Fahrzeuge werden in 5 Klassen 2005 zu einem Sicherheitsproblem eingeteilt: von einfachen Assistenzsystemen AV-Software, AV System: Malware-Schutz für bestimmte einfachere Situation bis zu Awareness: (engl. Bewusstsein) in der „steering wheel optional“. Dabei entstehen Informationssicherheit verwendet, um den zahlreiche noch nicht gelöste technische Bewusstseinsstand der Anwender in Bezug Herausforderungen für billige Sensoren, auf Informationssicherheit zu bezeichnen. aber auch Probleme der IT-Sicherheit gegen Awareness-Programme in Unternehmen sollen un autorisierte Zugriffe bis hin zu den den Kenntnisstand, z.B. bzgl. Bedrohungen Auswirkungen auf Raumplanung und die wie Social Engineering verbessern und die
Version 11.1 Seite 17 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Akzeptanz bzgl. Regeln der Security Policy http://www.switch.ch/security/services/IBN/ erhöhen Back Hacking: Versuch, einen Hacker auf- AWS: (Amazon Web Services) EC2 zuspüren, indem man seinen Weg durch das AYIYA: (Anything In Anything) Tunneling Computernetz zurückverfolgt und evt. auch Protokoll mit dem u.a. IPv6 Datenverkehr in den Hacker selbst anzugreifen. Allerdings IPv4 Netzen übertragen warden können. versuchen Hacker beim Eindringen in Systeme Nutzt Port 5072. Siehe Teredo, TSP genau diese Spuren zu verwischen B2B: (Business to Business) E-Commerce Back Orifice: Trojaner, Backdoor zwischen Firmen, siehe EDI Backscatter: Datenverkehr der entsteht wenn B2C: (Business to Consumer) E-Commerce ein SMTP-Server Spam ablehnt und dann zwischen einer Firma und einer Privatperson, eine non-delivery Nachricht an den vermeint- z.B. Einkauf auf einem Web Portal lichen Absender versendet. Siehe Spoofing BAC: (Basic Access Control) standardisierte Backscatter X-ray: Nutzung von Rönt- Verschlüsselung der Daten im ePass. Die genstrahlung zur Darstellung von Menschen Daten der MRC werden als Schlüssel ohne Kleidung ( Nacktscanner). Im verwendet. Dies wird kritisiert, da diese Daten Gegensatz zur medizinischen „Durchleuch- z.B. beim Einchecken im Hotel frei zugänglich tung“ wird hierbei die rückwärtige Streuung sind und die effektive Schlüssellänge in eines sehr dünnen Röntgenstrahles ausge- einigen Ländern nur 28 bit beträgt. Siehe nutzt. Diese hängt von der atomaren EAC Zusammensetzung der jeweiligen Stelle ab und kann daher z.B Metalle deutlich von Backbone: in der Regel sehr schnelle Daten- organischen Materialien unterscheiden verbindung, zumeist auf der Basis von Lichtleitern. Der Betriff wird sehr oft BackTrack: Sammlung von Tools für Netz- verwendet für die Internet-Backbones, d.h. die werksicherheit und Penetrationstests auf Verbindungen zwischen den großen Linux-Basis, basierend auf SLAX. Wie alle Exchanges ( IXP). solche Tools können sie für Angriff oder Testen der eigenen Verteidigungsmaßnahmen Backdoor: (engl. Hintertür) genutzt werden. Angeblich die Grundlage für 1) Programme, die auf einem fremden die Entwicklungen von FinFisher PC installiert und von Angreifern benutzt Backup: (Datensicherung) Daten werden in werden können, um diesen PC zu regelmäßigen Abständen mit Hilfe von definier- kontrollieren (speziell bei targeted ten Prozessen von Produktions-Magnet- attacks). Um Backdoors unbemerkt zu platten auf andere Datenträger (meist installieren, werden oft Trojaner (als Bei- Magnetbänder, heute auch oft Magnet- pack zu Freeware wie einem Bildschirm- platten) kopiert. Bei Datensicherungen wird schoner, einem Spiel oder bei Raubko- unterschieden zwischen voll (alle Dateien der pien) verwendet, zum Teil werden auch betroffenen Verzeichnisse werden gesichert), Schwachstellen (z.B. fehlende Sicher- differentiell (Sicherung nur der Dateien, die heitspatches) ausgenutzt. Ein Beispiel sind seit der letzten vollen Sicherung verändert RAT wurden) und inkrementell (Sicherung der 2) Hintertüren die Entwickler in Programmen geänderten Dateien seit der letzten vollen oder eingebaut haben, z.B. um für Wartungs- inkrementellen Sicherung). Siehe Split, zwecke leichten Zugang zu solchen Mirroring, Clone, Restore, Recovery, Systemen zu haben. Ein Beispiel sind fest Sychronisation, Snapshot, Backup- eingebaute Accounts des Herstellers, Fenster. http://sicherheitskultur.at/Datensicherung über die auf diese Systeme zugegriffen werden kann. Es wird immer wieder Backup-Fenster: Zeitspanne die für behauptet, dass in bestimmten Systemen Datensicherung zur Verfügung steht. Hinter- solche Hintertüren sind, manchmal werden grund ist, dass eine Datensicherung von akti- diese auch im Internet veröffentlicht, was ven (d.h. geöffneten) Dateien nicht möglich dann zu einer erheblichen Schwach- ist und daher für die Sicherung die Anwen- stelle des Systems führt. Solche Hinter- dungen beendet sein müssen. Traditionell die türen werden zum Teil auch auf Nachtstunden nach dem Tagesabschluss. Bei Anforderung von Polizei- oder anderen 24-Stundenbetrieb ist das Fenster Null, es Überwachungsbehörden eingerichtet und müssen andere Sicherungsmethoden, z.B. heißen dann Law Enforcment Access Split oder BCV angewendet werden. Siehe VTL background noise: (auch: Internet Back- ground Noise, IBN) Im Internet durch Rech- Backup-Rechenzentrum: weiteres Rechen- ner erzeugt, die mit Würmern infiziert sind zentrum an einem anderen Ort zwecks und die bis zu ihrer Reinigung ständig ver- Business Continuity und Disaster Reco- suchen, andere Rechner zu infizieren. Eine very, zumeist über eine schnelle Verbindung weitere Quelle des IBN sind port scans mit ( Fibre Channel) angebunden, die Magnet- dem Ziel, verwundbare Rechner zu finden. platten sind oft gespiegelt ( Mirroring)
Version 11.1 Seite 18 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Backup-to-Disk: VTL Strichcodesystem von EAN. Modernere Balabit: Ungarische Firma, bekannt für syslog- Verfahren arbeiten 2-dimensional, können ng und BalaBit Shell Control Box (SCB), eine mehr Daten codieren (z.B. auf elektronischen Software mit deren Hilfe anderweitig schwer zu Bahnfahrkarten) und werden immer öfter protokollierende direkte Zugriffe von Admi- sicherheitsrelevant, siehe Semacode nistratoren auf Betriebssystem- und Bargeld: im Gegensatz zu Kreditkarten und Datenbankebene protokolliert und auditiert Überweisungen (sog. Giralgeld - von den werden können. Audit Banken herausgegebenes „Buchgeld“) die Balanced Score Card: (BSC) Methode um die Möglichkeit von anonymen Zahlungen, daher Visionen eines Unternehmens zu implemen- für viele Regierungen ein Dorn im Auge. In der tieren. Kernpunkte dabei sind: Vorgaben EU müssen seit 1.1.2008 bei Bargeld- (objectives), Messpunkte, Ziele, Initiativen. zahlungen über 15000€ die Personalien Jeweils unter den Gesichtspunkten: Finanzen, erfasst werden. In 2020 starker Trend zu Kunden, interne Geschäftsprozesse, lernen kontaktlosem Bezahlen, d.h. bargeldlos, z.B. und Wachstum. Siehe mittels Kreditkarte oder Bankomatkarte mit http://www.valuebasedmanagement.net/methods_balance NFC-Funktionaliltät, aber auch auf der Basis dscorecard.html von Smartphones (z.B. Apple Pay, Android Pay, Alipay, WeChat Pay, etc.) BAN-Verfahren: (Burrows, Abadi, Needham) und auch durch die Idee von digitalen formales Verfahren das mit formaler Logik die Währungen die von Zentralbanken herausge- Sicherheit eines Protokolls, z.B. für e- geben werden könnten ("Central Bank Digital Banking beweisen kann Currencies" (CBDC)). Zentralbanken „lieben“ Bankensoftware: Siehe Clark-Wilson, dop- bargeldlose Zahlungen da sie davon pelte Buchführung, Gramm-Leach-Bliley ausgehen, dass damit Geldwäsche und Act 4-Augen-Prinzip, Funktionstrennung unversteuerte Zahlungen reduziert werden Bankgeheimnis: In den diversen Banken- können gesetzen verankerte Vertraulichkeitsbestim- Basel II: (Basel II Capital Accord) durch die mungen die beim Datendiebstahl von Bank of International Settlements eingeführtes Bankdaten (neben dem Datenschutz) System, nach dem alle Banken 1) Risiko- verletzt werden. Siehe Liechtenstein-CD management für sich selbst einführen müssen, Bankomat: (ATM) auf Grund deren Ergebnisse die notwendigen Bankomatkarte: Plastikkarte zum Abheben Eigenkapitalwerte für diese Bank festgesetzt werden ( Kreditrisiko, Marktrisiko, opera- von Bargeld am Bankomaten oder für direkte Bezahlung am POS-Terminal. Authentisie- tionelles Risiko, AMA) und 2) Risikoüber- rung heute in vielen Ländern (vor allem in der prüfung für Bankkunden, auf Grund der die EU) nur über integrierte SmartCard und Zinssätze für Kredite für diesen Kunden PIN (EMV-Protokoll), im Ausland jedoch festgesetzt werden immer noch über Magnetstreifen plus PIN, Baseline: 1) Im Projektmanagement der d.h. leicht zu fälschen wenn mittels Stand des Projektplans, der genehmigt wurde. Skimming die Informationen auf dem Mag- In Configuration Management (nach ITIL) netstreifen (Track 2) und PIN ausgelesen unterschiedlich gebraucht, z.B. eine zu einem wurden. Im Geschäft mit Bankomatkarte zu gewissen Zeitpunkt vorgefundene Konfigura- zahlen bedeutet Verlust der Anonymität, so tion. wie bei Nutzung einer Kredit- oder 2) Bei Intrusion Detection Systems der Kundenkarte. Siehe Skimming, Secure Betriebszustand (z.B. Datenverkehr), der als Element „korrekt“ aufgefasst wird Bank run 2010: Aktion auf Facebook bei der Baseline Control: Begriff aus der Informa- in ganz Europa Bankkunden am gleichen Tag tionssicherheit. Grundschutz, die minimalen ihre Bankguthaben abheben sollten um das Schutzmaßnahmen, die auf jeden Fall erfüllt Bankensystem zu destabilisieren. Dies ist ein sein müssen. Siehe Control Beispiel für Slacktivism Baseline Security: Grundschutz, der mini- Barcamp: (auch Unkonferenz) ein in der IT- male Schutzmaßnahmen definiert, die auf je- Szene recht beliebtes Format für Tagungen den Fall erfüllt sein müssen. Siehe und Workshops bei denen kein festes Grundschutzhandbuch Programm vorgegeben wird, sondern die Base Station: das Funkgerät das für den Teilnehmer zu Beginn Themenvorschläge Betrieb eines Handymasten erforderlich ist. machen zu denen dann entweder Impuls- Dort meldet sich das Handy an und meldet vorträge mit anschließenden Diskussionen seine Position an das Home location oder einfach nur Diskussionen angeboten register. Dann können Gespräche zugestellt werden. Zum Beispiel im Zusammenhang mit werden Open Government genutzt Basic Access Control: Verfahren zum Schutz Barcode: System zum Codieren von digitalen der persönlichen Daten in den modernen Daten in gedruckter Form. Bekannt ist das RFID-Pässen gegen unbefugtes Abhören.
Version 11.1 Seite 19 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Siehe MRZ, ePass Aktivitäten, z.B. Einkäufe auf Partnersites allen Bastion Host: Bezeichnung für einen Rech- Kontakten mitgeteilt werden. Privatsphäre ner, der gegen Angriffe besonders geschützt BEC (Business E-Mail Compromise): CEO ist Betrug Bayesian Analysis: statistisches Verfahren, Bedrohung: (engl.threat) Umstand, der direkt das unter anderem in der Analyse von E- oder indirekt zu einer Sicherheitsverletzung Mails in Bezug auf Spam eingesetzt wird. Im führen kann. Setzt in der Regel eine Rahmen von Big Data Analysen bekommt Verwundbarkeit voraus. Oft wird fälschlicher- diese Technik eine immer größere Bedeutung. weise Risiko gesagt, wo Bedrohung kor- http://plato.stanford.edu/entries/epistemology- rekter wäre bayesian/ Bedrohungsanalyse: (Threat analysis) syste- BBB: BigBlueButton matische Bewertung ob die getroffenen BBS : (Bulletin Board System) frühe Version Sicherheitsmaßnahmen für die angenommene dessen, was heute als Chat-Funktionalität in Bedrohung ausreichend sind. Dafür muss man Messaging-Diensten integriert ist. BBS sind Annahmen über die Gegner (adversary) und älter als das Internet. Technisch versierte ihre Fähigkeiten und Resourcen machen. So Menschen implementierten sie auf sog. ist z.B. der Schutz gegen einen global adver- Terminals (d.h. Text-Bildschirme) die mittels sary wie die NSA deutlich aufwendiger als Modem mit Computern verbunden waren gegen Cyberkriminelle oder nur Script und die mittels geeignetes Software auf den Kiddies zentralen Rechnern (oft Mainframes oder Befehl: in der IT Computerbefehl Minicomputer – die Größe typischerweise bis Befehlssatz: die Menge der Instruktionen die zu heutiger 19-Zoll-Rack-Größe) dort an bei einer bestimmten CPU-Architektur Diskussionsforen teilnehmen konnten implementiert sind. BCD: 1) (Boot Configuration Data) Nachfolger Before image: bei Datenbanken: Spei- von boot.ini beim Startup von Windows Vista cherung des Zustands vor einer Änderung, 3) (binary coded decimal) Zahlendarstellung genutzt für die Wiederherstellung eines in einigen Computern bei denen die früheren korrekten Stands nach Fehlern, Zahlendarstellung nicht wie üblich auf Undo dem Binärsystem (‚Zweierland‘) beruht Behavioural advertising: Werbung die auf sondern die Zehnerstellen des Dezimal- der Basis von User Tracking platziert wird, systems jeweils in 1 Byte dargestellt wird. d.h. Advertising Networks versuchen, auf der Wurde speziell in der Frühzeit der Basis des Benutzerverhaltens auf anderen Computertechnik genutzt da es die Vorteile Websites und seiner Suchanfragen herauszu- der Genauigkeit und Geschwindigkeit von finden, wofür sich ein Besucher interessiert ganzzahligen Darstellungen auch für und dann auf anderen Websites die das Zahlen mit Dezimalstellen (z.B. Geld) gleiche Tracking-Unternehmen verwenden liefert gezielt Werbung zu platzieren, siehe auch BCI: (Brain Computer Interface) targeted advertisment, retargeting BCM: Business Continuity Management Behaviour-based pricing: Möglichkeit, durch BCP: Business Continuity Planing Auswertung des bisherigen Kaufverhaltens eines Kunden abzuschätzen, wie preis- BCP38: Best practise Dokument der Internet sensitive dieser Kunde ist, d.h. ob er nur bei Engineering Task Force für zur Verhinderung (anscheinenden) Sonderangeboten kauft oder von DNS Amplification durch Ingress ob er auch bei erhöhten Preisen „treu“ bleibt Filtering. D.h. von innen im Netz eines ISPs („price discrimination“). Auf Grund der werden nur IP-Pakete weitergeleitet, deren detaillierten Informationen die durch data Quell-Adressen auch im internen Netz liegen mining möglich sind, sind solche Praktiken Bcrypt: spezielles Hash Verfahren, das heute möglich langsam ist und beim Einsatz zur Sicherung Bell-LaPadula: Sicherheitsmodell hinter dem von Passworten Brute-Force Angriffe MLS-Konzept des Orange Books zur erschwert. Siehe auch PBKDF2, Scrypt Erreichung von Vetraulichkeit. Siehe BCV: (business continuity volume) spezielle Clark-Wilson Form des Disk Mirroring zur Erhöhung der Benchmark: vergleichende Messung, in der IT Verfügbarkeit, siehe split meist als Geschwindigkeitsmessung mit indivi- BDC: (Backup Domain Controller) PDC duellen oder standardisierten Programmen, BDS: Breach Detection System z.B. LINPACK. Beim Risikomanagement der BDSG: Bundesdatenschutzgesetz Vergleich mit anderen Unternehmen, für die Informationssicherheit auch durch Mystery Beacon: (engl. Leuchtfeuer) 1) web beacon Activity. ISO 27004 2) problematische Funktionalität der Social Networking Website Facebook, bei der Benutzer: (engl. User) auch Anwender ge-
Version 11.1 Seite 20 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ nannt. Jemand, der eine IT-Ressource ( tungen und Verfahrensweisen am besten zur Rechner, Bildschirm, Anwendung, Web- Zielerreichung beitragen. Beispiel ist z.B. site) benutzt. Ein Benutzer sollte immer in die ITIL. Siehe Standards Sicherheitsregeln eingewiesen sein und sich Betriebsrat: muss (in Ö) bei vielen Sicher- vor der Nutzung authentifizieren. Benutzer heitsmaßnahmen involviert werden, immer im Internet erstellen heute sehr oft dann, wenn Protollierungsmaßnahmen poten- Content und übernehmen damit auch eine tiell „die Menschenwürde berühren könnten“. juristische Verantwortung, z.B.für den Daten- http://sicherheitskultur.at/Eisberg_jus.htm schutz oder Urheberrechte. Siehe Identity Management, AAA, Provisionierung Betriebssystem: (engl. OS, operating system) Programme (Steuer- und Dienstprogramme) Benutzeraccount: Account eines Rechners, die die Funktionsfähigkeit Benutzerfreundlichkeit: Oft als Gegensatz sicherstellen und die richtige Abwicklung von zur Informationssicherheit gesehen, da viele Anwendungsprogrammen steuern. Die Abstim- Sicherheitsmaßnahmen zusätzlichen Aufwand mung des Betriebssystems auf die Hardware erfordern (z.B. längere Passworte), aber es ist wichtig. Unvermeidbare Fehler im Betriebs- gibt auch Verfahren die sicher und bequem system führen zu Absturz oder Verwund- sind, z.B. Single Sign-On barkeiten. Siehe Virtualisierung Benutzerkennung: (engl. Username) Daten- Betroffener: im Datenschutz der von der element das eine der Identitäten einer Datenverarbeitung betroffene, engl. „data Person darstellt, heute oft eine E-Mail- subject“, im Gegensatz zu data controller Adresse. Kann auch ein einfacher String sein, oder data owner. Ihm/ihr stehen die sog. oft selbst gewählt. Sie stellt die Verbindung zu Betroffenenrechte zu einem Account her. Bei selbstgewählten Betroffenenrechte: im Datenschutz nach Benutzerkennungen kann es sich um der DSGVO die Rechte der sog. „data Nicknames handeln. Benutzerkennungen subject“, z.B. Recht auf Auskunft, Löschung, können entweder öffentlich bekannt sein Datenportabilität (Beispiel Nickname oder E-Mail-Adresse) oder Betrug: Täuschung zur Erringung eines „privat“ wie die Benutzerkennung bei e- Banking. Siehe auch Enumeration, Vorteils, siehe Wirtschaftskriminalität. Siehe 419 Benutzerprofil: Sammlung von Informationen über Benutzer von Websites oder Social Bewegungsprofil: Standortdaten Networks, die entweder vom Benutzer selbst Bezahldienste: Services im Internet für den eingegeben wurden oder durch Beobachten Austausch von Geld, z.B. beim Einkauf im seines Verhaltens gesammelt wurden. Dies Internet, oder aber auch bei Erpressungen wie kann bis zur Auswertung der E-Mail-Inhalte Ransomware. Bei betrügerischen Aktivitäten bei Gmail führen. Diese Profile erlauben es ist es für die Täter wichtig, dass der Dienst Werbetreibenden, Werbung zielgruppen-orien- anonym genutzt werden kann und nicht wie tiert zu platzieren. Siehe Web beacon, Kreditkarten, PayPal oder Überweisungen Web bug, Data mining, Vertraulichkeit, zurückverfolgbar ist. Anonym ist z.B. die P3P, Datenschutz, Privatsphäre virtuelle Währung Bitcoin, aber auch Dienste Benutzerrechte: Admin-Rechte wie paysafecard, WebMoney, Liberty Reserve (2013 durch US-Behörden Benutzerpsychologie: vernachlässigter Teil geschlossen), Robbokassa, Upay, Ukash. der Informationssicherheit, beschäftigt sich Siehe e-Geld z.B. mit der Frage, warum Regeln ignoriert BGP: (Border Gateway Protocol) Protokoll, werden obwohl deren Sinn rational evtl. sogar verstanden wird das ISPs benutzen, um Routinginformation auszutauschen. Endkunden müssen sich mit Best Practice: (auch Stand der Technik, state diesem Protokoll nur beschäftigen, wenn sie of the art) z.B. aus Ausfallsicherheitsgründen, eine re- 1) vorbildliche Lösungen oder Verfahrenswie- dundante Anbindung an zwei ISPs benötigen. sen, die zu Spitzenleistungen führen, sind Designfehler im Protokoll erlauben IP- "best practice". Hijaking und andere Angriffe 2) das Vorgehen, solche Verfahren zu ermitteln BHO: (browser helper object) Programme, und für die Verbesserung der eigenen die mit dem Webbrowser gestartet werden Prozesse zu nutzen, oft als Weiterführung von und zusätzliche Funktionalitäten anbieten. Benchmarking. Best Practise ist ein prag- Wird oft für Spyware, Phishing und andere matisches Verfahren. Es systematisiert vor- Schadsoftware verwendet handene Erfahrungen erfolgreicher Organi- BIA: (Business Impact Analyse) sationen (oft auch Konkurrenten) oder Anwen- der usw., vergleicht unterschiedliche Lösun- BIC: (Bank Identifier Code, auch SWIFT- gen, die in der Praxis eingesetzt werden, be- code) 8-11-stelliger Code für Banken im wertet sie anhand betrieblicher Ziele und legt internationalen Zahlungsverkehr (ISO 9361, auf dieser Grundlage fest, welche Gestal- mit Ländercode ISO 3366-1), verwendet bei
Version 11.1 Seite 21 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
SWIFT und SEPA Ob sich auf diese Weise wirklich die BigBlueButton: (BBB) Open-Source Persönlichkeit beschreiben lässt, ist nicht so Webkonferenzsystem seit 2007, oft ver- wichtig, die Methode wird leider trotzdem wendet an Universitäten die dafür eigene eingesetzt und erlaubt z.B. eine automatisierte Instanzen aufsetzen. Einige Bundesländer in Persönlichkeitsanalyse von Bewerbern deren D. hosten Instanzen. In 2020 (home-learning) Social Network Auftritte bekannt sind oft durch kommerzielle Dienste ersetzt da die Bildschirm: Standard-Ausgabegeräte für Internet-Anbindung zu den Studenten dann PCs, bei Laptops integriert, bei Servern außerhalb des eigenen Netzes liegt. Enthält zumeist nur einmal im Rack vorhanden. viele Features wie z.B. Break-out Räume, Kann über Van Eck Strahlung zu einem Teilen des Bildschirms, öffentliche und Sicherheitsproblem werden (ein älterer Begriff private Chats, Integration in Lernplattformen dafür war zu Zeit der Mainframes Termi- wie Moodle, ILIAS, Chamilo, Stud.IP und nal. Umgangssprachlich wird bei Web- OpenOLAT. Heute ist die Software mittels konferenzsystemen von „Bildschirm-Teilen“ WebRTC mit jedem modernen gesprochen wenn ein Teilnehmer die Inhalte Webbrowser nutzbar eines seiner Anwendungsfensters „free gibt“. Big Brother: Begriff für Überwachungsstaat, Wenn beim Anlegen von öffentlichen Web- geprägt im Buch „1984“ von George Orwell Events Fehler gemacht werden, so kann es (der eigentlich Eric Blair hieß). Heute genutzt zum Zoom-Bombing kommen als Synonum für einen Überwachungsstaat, Bildschirmschoner: Programm, das auto- aber auch für die Schnüffelaktivitäten von matisch aktiviert wird wenn ein Rechner eine „Little Brothers“, d.h. Privatfirmen die bestimmte Zeit inaktiv ist. Die Reaktivierung persönliche Daten sammeln, z.B. Daten- des Rechners kann über Passwort geschützt Aggregatoren werden. Installation dieses Programmes selbst Big Data: 2011 neues Schlagwort für Data kann aber zu Schadsoftware führen Mining. Es wurde zu Marketing Zwecken ge- Bildschirmsperre: Sperren (manuell oder prägt um damit eine neue Qualität das Data automatisiert) eines Rechners (oder Mining zu bezeichnen. Dieser Begriff erweckt Handys oder Smartphones) der nicht aktiv natürlich auch Anklänge an Big Brother, die genutzt wird. Verhindert, bzw. erschwert un- nicht ganz unberechtigt sind. Es gibt um die autorisierte Zugriffe. Jedoch nicht ausrei- Auswertung sehr großer Datenmengen durch chend wenn z.B. ein Laptop in falsche Algorithmen, die auf statistischen Methoden Hände fällt oder bei Angriff via Firewire. beruhen und durch das Erkennen von Früher (vor 2000) zumeist integriert in einen Korrelationen (d.h. statistischen Zusammen- Bildschirmschoner. Heute bei Smart- hängen) auch Schlüsse auf zukünftige phones noch wichtiger da diese viel öfter Ereignisse erlauben und deren Ursachen zu verloren gehen und oft sehr private Daten kennen. Sehr problematisch (und ein enthalten. Ca. 1/3 der Benutzer nutzt KEINE Missbrauch der statistischen Methoden) wird Bildschirmsperre, die Implementierungen sind es, wenn solche Rückschlüsse auf einzelne unterschiedlich sicher (bzw. werden zumeist Personen angewendet werden, z.B. um ihnen mit Trivial-PINs wie 0000 oder 1234 z.B. auf Grund der Analyse ihrer Facebook- gesichert und leicht zu knacken. Bei dem sog. friends und des Wohnorts Kredite oder Job- Swipe kann der Ablauf oft über Fettspuren Interviews zu verweigern. Wird im Rahmen auf dem Schirm gut gesehen werden, daher eines SIEM auch für Informationssicher- nicht wirklich sicher heit eingesetzt. Ab ca. 2018 wird das Biometrie: alle Authentisierungs-Verfahren, Schlagwort mehr und mehr durch das neue die biometrische Merkmale zur Identifizie- Data Science ersetzt. Siehe auch rung einer Person heranziehen. Siehe Sentiment Analyse, Big Five, Neural http://www.biometrics.org/ und Network, ftp://ftp.jrc.es/pub/EURdoc/eur21585en.pdf zur http://sicherheitskultur.at/data_mining.htm Problematik. Alle biometrischen Verfahren Big Five: in der Psychologie ein Persönlich- arbeiten analog, d.h. eine 100% Identifi- keitskonzept, bei dem für eine Person zierung von Personen ist nicht möglich, da- (i.d.Regel durch Fragebogen) das Ausmaß von durch entstehen False Positive und False folgenden Faktoren bestimmt wird: Neuro- Negative. Problematisch ist auch die fehlende tizismus, Extraversion, Offenheit für Erfah- Möglichkeit der Revocation im Falle einer rungen, Gewissenhaftigkeit und Verträglichkeit. Kompromitierung. Ganz neue sind Versuche Es hat sich gezeigt, dass diese Fragebogen auf der Basis von Brain Computer Interface nicht notwendig sind, wenn die Bewerter Biometrische Merkmale: natürliche Körper- Zugriff z.B. auf die Tweets oder Face- merkmale wie Fingerabdrücke, Stimme, book-Postings oder Facebook- Likes einer Gesichtsform (siehe Stimm-Erkennung, Person haben. Es konnte z.B. gezeigt werden, Face Recognition), Handform, Venenstruktur dass die „Treffer-Rate“ von Familienmitgliedern auf dem Handrücken oder der Handinnenseite, schlechter ist als die Auswertung der Likes. Iris-Erkennung, Retina-Erkennung oder
Version 11.1 Seite 22 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ auch der Ablauf einer Unterschrift (Form und diese Weise sind alle Zahlungen immer Verlauf des Drucks auf die Unterlage). In sichtbar, aber anonym. Die Sicherheit beruht Zukunft wird auch DNA dazu gehören. Eine auf digitalen Signaturen die sicherzustellen, Sammlung von biometrischen Merkmalen für dass das Geld nur vom Besitzer und nur die Entwicklung von Algorithmen ist auf einmal ausgegeben werden kann. Auf Grund http://biosecure.it-sudparis.eu/AB/ der kryptographischen Basis wird BitCoin auch BIOS: (Basic Input/Output System) in einem als Cryptocurrency bezeichnet. (Sehr gutes EPROM-Chip auf dem Motherboard eines Tutorial auf Rechners implementiertes Programm, das http://www.michaelnielsen.org/ddi/how-the- für das Starten des Rechners und die Kom- bitcoin-protocol-actually-works/ ) munikation mit den Hardwarekomponenten, Die Rechenoperationen zur Bestätigung von wie z.B. Magnetplatten, zuständig ist. Im BIOS Zahlungen dienen als Basis für die Erzeugung können eine Reihe von Sicherheitstechno- neuer „Münzen“ wird als Mining bezeichnet. logien implementiert werden, so z.B. ein Langwierige kryptografische Rechenopera- Passwort-Schutz, der nichtautorisierte Ver- tionen ( proof-of-work) sollen die dezentrale änderungen am Rechner zumindest sehr Erzeugung von „Münzen“ („minting“ oder erschwert. BIOS wird abgelöst durch UEFI. „mining“) aufwendig genug machen um die Die NSA untersucht im Rahmen ihrer Versorgung mit neuem Geld begrenzen zu Offensive-Planungen auch, wie das BIOS der können. Sie erfordern eine hohe Rechen- Systeme eines Gegners zerstört werden kann leistung. Betrüger nutzen Zombie-Rechner/ oder wie über Malware im BIOS (das auf Botnetze dafür. So wie andere Cryptocurren- den gesamten Speicher zugreifen kann und cies ist Bitcoin eine starke Vereinfachung des von Virenschutzsoftware nicht gefunden ‚Inkassos‘ für Erpresser jeglicher Art, z.B. wird) Daten auf einem Rechner ausgelesen Ransomware. Sie sind jedoch üblicherweise und ins Internet übertragen werden können. pseudonym, aber NICHT anonym. D.h. Polizei- Solche Angriffe sind aber zumeist recht behörden haben (mit einigem Aufwand) sehr system-spezifisch und setzen eine gewisse wohl Möglichkeiten an die Identitäten der Einheitlichkeit voraus. Nutzer zu kommen. Im Rahmen der Leaks von Edward Snowden Die Umrechnungskurse zu realen Währungen wird bekannt, dass die NSA mit ihrer TAO- werden auf einer speziellen Börse bestimmt. Abteilung sog. Implants, d.h. Malware für Gegner behaupten, dass die Währung für BIOS erstellt und einsetzt. Forscher haben Geldwäsche genutzt werden kann (so wie dann herausgefunden, dass der Code von Bargeld). UEFI zahlreiche Schwachstellen aufweist, die Das Geld wird in sog. Wallet gehalten. Dieb- zwar zum Teil korrigiert wurden, aber natürlich stahl dieser Wallets erlaubt die missbräuch- nicht in Systemen, die bereits produziert sind. liche Nutzung und findet über Einbrüche in Theoretisch wäre dies auch für bereits Bitcoin-Börsen wie Bitfloor, Bitcoinica oder ausgelieferte Systeme möglich, aber es ist Mt.Gox statt. dDoS-Angriffe gegen Mt.Gox nicht einfach genug um vollständig auto- haben 2013 den Kurs zum Absturz gebracht, matisiert zu werden, bzw. die Hersteller haben der Dienst Instawallet mit dem Benutzer ihre keinen entsprechenden Kontakt zu den Bitcoins verwalten können wurde 2013 an- Geräten mehr. gegriffen und die Guthaben von Kunden schei- Forscher konnten zeigen, dass sie sogar das nen zum Teil verloren zu sein. Verlust der spezielle System Tails angreifen konnten, Passworte zu Wallets führt zum Verlust des das von einem externen Device wie DVD Geldes. oder USB-Stick gestartet wird und nur im Die Europäische Nationalbank hat 2013 eine Speicher läuft Studie zu Bitcoin und anderen virtual curren- Birthday paradox: überraschende Tatsache, cies verfasst. Sie sieht derzeit keinen dass bei 23 anwesenden Personen mit über Handlungsbedarf. Die US-Behörde FinCEN hat 50% Wahrscheinlichkeit 2 am gleichen Tag Guidelines erlassen, nach denen alle die mit Geburtstag haben, bei 50 Personen sogar über Bitcoin zu tun haben, eine Registrierung als 97 %. Wird bei Angriffen auf Ver- Money Service Business brauchen. Dies wird schlüsselungen verwendet als teilweise Anerkennung gesehen. Mehr Bit: kleinste Speichereinheit in einem Com- juristische Aspekte unter virtual currencies. puter speicher, kann entweder den Wert 0 2015 beginnen Universitäten, etablierte Firmen oder 1 speichern. Nächstgrößere Einheit ist und Banken die Konzepte und die Mathematik Byte hinter Bitcoin (die Blockchain) für andere Bitcoin: virtuelle Währung seit 2009, basie- Aktivitäten zu nutzen, z.B. das Protokollieren rend auf open-source software und einem von Finanztransaktionen oder Multi-Party P2P-network. Das Konzept beruht auf einer Computation Blockchain-Technologie, bei der alle Bitfrost: Sicherheitskonzept der OLPC- Transaktionen die je getätigt wurden in einer Initiative sehr langen Kette ewig präsent bleiben. Auf BitLocker: Technologie in Windows (ab Vista)
Version 11.1 Seite 23 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ zum Verschlüsseln von Festplatten potentiell gefährlichen Versender, bzw. Volumes unter (optionaler) Nutzung des Programme gegen die Liste, die ständig TPM-Chips. (auch mit USB-basierten aktualisiert werden muss. Sicherer ist eine Schlüsseln). Nicht verfügbar in Windows 10 Whitelist, deren Pflegeaufwand jedoch lokal home, über in Windows 10 Professional, durchgeführt werden muss. Siehe Greylist einfach zu aktivieren. Siehe Festplatten- Blackout: Zusammenbruch der Stromversor- verschlüsselung, Truecrypt, Veracrypt gung in einem größeren Gebiet. In modernen BITS: (Background Intelligent Transfer Ser- Gesellschaften ein sehr problematisches vice) Dienst in Windows für die Übertragung Ereignis da ohne Strom die Informationsgesell- von zeit-unkritischen Daten mit niedriger schaft nicht funktionieren kann, aber auch Priorität. Wird u.a. für die Verteilung von eigentlich physikalische Systeme wie die Patches und Instant Messaging genutzt Wasservorsorgung und Heizung damit nicht BitTorrent: Protokoll, genutzt für P2P File- mehr funktionieren, siehe Cyber-Physical sharing / Tauschbörse. Sehr dezentral, da- Systems. Siehe auch Smart Grid. Ursachen her schwer zu überwachen. 2011 ist dies der für Blackout sind typischerweise entweder größte Teil des illegalen Dateiaustauschs, Instabilitäten im Netz, Störungen der Hoch- 2012 werden 150 Mio aktive Nutzer berichtet. spannungsverteilung z.B. durch Eis, aber in Die Dateien werden nicht von einer festen Zukunft möglicherweise auch Angriffe aus Quelle geladen, sondern einzelne Fragmente dem Internet. Dies ist Thema des Buches: von unterschiedlichen Rechnern. ISPs Blackout – Morgen ist es zu spät. versuchen zum Teil, diesen Datenverkehr zu Black Swan: extrem seltenes Ereignis mit regulieren, u.a. weil es hohe Bandbreitenan- hohem Schaden. Der Begriff wurde populär forderungen darstellt (40 – 70%). Dies durch Nassim Nicholas Taleb in Bezug auf die erfordert Deep Packet Inspection. Siehe Finanzkrise ab 2010 die u.a. dadurch ausge- Hadopi, WebTorrent löst wurde, dass das Platzen der Immo- Blackberry: ursprünglich spezielles Gerät nur bilienblase in den USA nicht berücksichtigt zum Abruf von E-Mails. Auf Grund der worden war. Das Ignorieren von seltenen ursprünglich eingeschränkten Funktionalität Ereignissen ist aber auch typisch für die (das Gerät enthielt ein GSM-Handy, konnte Informationssicherheit, für Firmen z.B. in jedoch früher nicht zum Telefonieren, sondern Bezug auf APTs, für Privatleute z.B. Verlust nur zum Austausch von E-Mails verwendet aller ihrer Daten durch Plattencrash werden) war die Zahl der Sicherheits be- Blended Threats: moderne Angriffstechnik drohungen reduziert und die Bedienung ver- von Schadsoftware, z.B. kombinieren gleichsweise einfach. Danach wurde die Würmer oft viele Angriffs- und Schadmetho- „Blackberry-, bzw. RIM-Funktionalität" auch den: Angriffe durch Scannen nach Schwach- auf anderen Smartphones angeboten. stellen in seiner Umgebung, Versenden von Positiv war die zentrale Administrierbarkeit der E-Mail mit Anhängen mit Viren, Infektion Geräte. 2013 suchte die Firma RIM einen von Websites und Einfügen von schädlichem Käufer, da auch die neue Version, die separate Javascript-Code, Scannen nach Netzwerk- virtuelle Geräte für Privat- und Firmennutzung Shares auf die der Benutzer Zugriff hat, etc. bietet, nicht genug angenommen wurde. 2019 Schadmethoden: Installation von Key- obsolet loggern, RAT zur Erzeugung eines Troja- Black hat: in der IT ners, etc. 1) Begriff für einen Hacker mit bösen Blitzschutz: Überspannungsfilter zum Schutz Absichten. Dazu gehören neben den elektronischer Anlagen vor induzierten Über- „freiberuflichen“ Entwicklern von spannungen bei Blitzeinschlägen. Dies betrifft Schadsoft-ware wie Trojanern und sowohl Stromversorgung der Geräte wie auch Viren auch (je nach Definition) auch die Datenleitungen. Dabei genügt oft die Induktion Mitarbeiter der verschiedenen durch die Ströme im Blitzableiter, um Geheimdienste und der Firmen die Zero erhebliche Schäden zu verursachen. Daher Days verkaufen, wie Hacking Team, sollten Blitzableiter in der Nähe von elektro- FinFisher, Vupen. Siehe auch nischen Geräten abgeschirmt sein. Blitz ist die Wassenaar Arrangement, white hat, zweithäufigste Ursache für Katastrophen in Wassenaar Rechnerräumen 2) Sicherheitskonferenz in Las Vegas, mehr Blockchain: spezielle verteilte Datenbank- oder weniger parallel mit DEF CON technologie die die Grundlage für Bitcoin (und andere cryptocurrencies) darstellt. Das Blacklist: (BL) Verfahren im Kampf gegen Projekt Ethereum will auf dieser Basis Spam und Schadsoftware. Bekannte Spam- Smart Contracts implementieren, die „Turing Versender werden über ihre IP-Adresse auf Complete“ sind, d.h. beliebige (Rechen-) eine Liste von gesperrten Adressen gesetzt, Aufgaben lösen können. Fälschungssicherheit von denen dann kein E-Mail akzeptiert wird. wird durch kryptographische Operationen wie (siehe auch DNSBL) Virenschutz- und Digitale Signatur und Proof-of-work andere Sicherheitssoftware vergleicht alle
Version 11.1 Seite 24 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ erreicht. (Sehr gutes Tutorial auf nenz der einmal gemachten Pairings. Grün- http://www.michaelnielsen.org/ddi/how-the- dungsmitglieder der Buetooth-Organisation bitcoin-protocol-actually-works/ ) sind Ericsson, IBM, Intel, Nokia and Toshiba. Blocking Tools: Software die bestimmtes Siehe http://www.bluetooth.com/ und speziell Verhalten verhindern soll, z.B. Behavioural http://www.bluetooth.com/upload/24Security_Paper Advertising durch Advertising Networks. .PDF Bluejacking, Bluesnarfing Bekannt sind die beiden Produkte Ghostery Bluetooth Low Energy : (BLE) drahtlose und ADP. Verbindung auf der Basis des Bluetooth- Blockverschlüsselung: symmetrisches Protokolls bis zu 10 Metern, aber mit deutlich Verschlüsselungsverfahren, bei dem Daten geringerem Stromverbrauch, deswegen auch fester Blocklänge verschlüsselt werden, für batterie-betriebene Geräte geeignet, z.B. Beispiele sind DES, IDEA, Blowfish die Apple Airtag oder bei den Corona Apps (Corona Warn Apps) bei denen Blog: Kurzform von Weblog, Form eines verhindert werden soll, dass der ununter- Online-Tagebuchs im Internet. Autoren stellen brochene Betrieb nicht die Batterie zu sehr regelmäßig, oft täglich, Beiträge mit ihren belasten soll. Mittels BLE können auch sog. Gedanken und/oder Erlebnissen ein. Es gibt Mesh-Netze aus vielen Geräten aufgebaut mittlerweile viele Millionen Blogs, die erfolg- werden reichsten haben eine Leserzahl, die mit Zeitungsauflagen vergleichbar ist und einen Bluejacking: Angriff auf Bluetooth-Gerät entsprechenden Einfluss haben. Spezielle ohne dass Pairing notwendig ist. Über die Weblog Publishing Systeme erlauben eine Visitenkartenfunktion wird eine Botschaft (auch einfache Implementierung. Auch SPAM, mit Link) zu dem anderen Gerät gesendet. Phishing und Malware werden über die Blue Screen of Death: (BSOD) Seit Windows Kommentare von Blogs verteilt. Siehe 1.0 führt ein Absturz von MS Windows- Twitter, Astroturfing, Blogosphäre Systemen zu einem Schirm, auf dem der Error- Blogosphäre: die Summe aller Blogs, wird Code mit einem blauen Hintergrund dargestellt verwendet um auf die Möglichkeiten, aber wird. Für Windows 11 gibt es Gerüchte, dass auch die Gefahren hinzuweisen die aus der dort ein schwarzer Hintergrund eingesetzt engen Verknüpfung in der Form von Com- werden könnte munities entstehen. Unabhängig von der Bluesnarfing: Angriff auf Bluetooth-Gerät Frage, wie effektiv oder uneffektiv die Blogo- nach erfolgtem Pairing (z.B. wenn das Gerät sphäre (inkl. der social networks) wirklich ist, des Opfers unbeaufsichtigt war). Damit hat der so wird sie von totalitären Systemen als Angreifer Zugriff auf Daten (Adressen, Bedrohung gesehen Termine, getätigte Anrufe) und Funktionen des Blowfish : symmetrischer Algorithmus für Geräts (z.B. Handy) Blockverschlüsselung mit 128-bit Schlüssel- BMC: (Baseboard Management Controller) länge, ohne Lizenzgebühr verwendbar und IPMI gilt heute noch als sicher (2004) Boleto: (Boleto Bancário, Bank-Ticket) brasi- Bluecode: österreichischer Zahlungsanbieter lianisches System für Bezahlungen, sowohl im der auf der Grundlage von EAN Codes ein Internet und in Banken, Post und einigen Bezahlen an Bankomatkassen erfolgreich Supermarkets. Ist seit 2015 auch Angriffsziel anbietet aber in Zukunft wohl auf QR Code von Betrügern wie er in China für solche Zahlungen genutzt Booter: dDoS-as-a-service Dienst um IP- wird umsteigen wird Adressen für eine begrenzte Zeit nicht Bluetooth: Technologie zum Aufbau von erreichbar zu machen (oft auch Stresser wireless networks, auch für ad-hoc Ver- genannt). Siehe Denial of Service netzungen. Es erlaubt Geschwindigkeiten von Bootkit: spezielle Form des Rootkits bei bis zu 1 Mbps und je nach Geräteklasse dem die Schadsoftware bereits sehr früh Reichweiten von bis zu 10 Metern (Class 2), beim Starten des Systems (boot process) bzw. 100 Metern (Class 1). Normalerweise geladen wird besteht ein Netz aus bis zu 8 Geräten, in BOSS: (BSI OSS Security Suite) vom BSI Zukunft werden solche Piconets zu sog. herausgegebene CD mit Hacking, bzw. Scatternets verbunden werden können. Bei Security Tools, z.B. Nessus und Ethereal dem Design des Standards wurden Authen- tisierung (in der Form von Pairings) und Bot: (heute zum Teil auch „artificial persona“ Verschlüsselung bereits integriert, daher gilt es genannt) Bot ist Abkürzung von robot. als sicherer als die anderen Wireless- Programme, die im Internet automatische Technologien. Allerdings gibt es mittlerweile Aufgaben ausführen, z.B. das Internet im (2004) auch Angriffe auf Bluetooth. Dies zum Auftrag von Suchmaschinen durchsucht um einen auf Grund fehlerhafter Implementie- die Indizes zu erstellen. Diese werden auch rungen, speziell im Handy-Bereich, zum ande- Crawler genannt. Es gibt unerwünschte bots, ren über Social Engineering, z.B. durch Ver- z.B. die, welche für Spammer das Internet sand von MMS und auf Grund der Perma- nach E-Mail-Adressen durchsuchen und
Version 11.1 Seite 25 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Botnets, bestehend aus Zombie-PCs. Eine „bösen“ Funktionalitäten erst später über einen neue Form sind Socialbots. Eine wichtige extern steuerbaren Parameter aktivieren Forderung ist, dass solche Systeme sich als BPO: (Business Process Outsourcing) Ausla- künstlich identifizieren sollten, denn sie können gern eines Geschäftsprozesses an einen ex- (und haben) den öffentlichen Diskurs durch ternen Anbieter. Geeignet nur für Prozesse, die massenhaftes Posten auf Twitter oder nicht die Kernkompetenz eines Unternehmens Facebook, aber auch durch automatisierte berührt und wo einfache, wohl-definierte Eingaben an US-Abgeordnete in Wahlen und Schnittstellen zu den In-house Prozessen defi- Parlamentsentscheidungen in den USA niert werden können, z.B. für Logistik. Dabei ist eingemischt. Auch als Google einen Bot wichtig, dass Sicherheitsaspekte durch ent- vorgestellt hat, der im Auftrag von Nutzern des sprechende SLAs geregelt werden Google Assistenten Telefonate mit Menschen BPR: (Business Process Re-engineering) führt und sich dabei nicht als Maschine zu strukturierte Methode zur Neugestaltung von erkennen gab wurde dies heftig kritisiert. Geschäftsprozessen. Ziel ist eine Erhöhung Solche Systeme werden immer perfekter, der Produktivität oder der Sicherheit. Siehe siehe Deep fakes, und werden (früher oder Re-engineering später) Menschen teuschend echt immitieren können Brain-Computer Interface: (BCI) Geräte um Computer durch Gehirnaktivitäten zu steu- Siehe Spambot, Chatbot, ACAP ern. Dies soll vor allem für Behinderte genutzt Botnet: Netz mit vielen Zombies. Wird seit werden, die weder Maus noch Tastatur Ende 2004 für kriminelle Aktivitäten, z.B. nutzen können. Aber auch das Militär ist sehr dDoS und Phishing eingesetzt. Es gibt interessiert. Die 2 Hauptforschungsgebiete Netze bis zu 1 Mio Rechnern (2014 auch 2 Mio sind 2014: Eingabe von Richtungen (z.B. Rechner), oft gesteuert über IRC Chat Soft- rechts/links) mittels Gedanken und erkennen ware. 2013 kommt oft auch Peer-to-Peer von interner Sprache. BCI kann in der 2. ( P2P)-basierte Steuerung dazu, d.h. die Funktion auch genutzt werden um Privat- infizierten Systeme kommunizieren direkt mit sphäre zu verletzen. Dazu eignet sich z.B. anderen Zombies. Auf diese Weise sind die bereits die P300 Reaktion, die immer dann Systeme auch dann noch arbeitsfähig, wenn auftritt, wenn etwas wahrgenommen wird, das zentrale Control-Server (C&C Server) abge- eine Bedeutung für die Person hat, z.B. ein schaltet werden. Eine weitere Entwicklung sind ihm bekanntes Gesicht oder Objekt. Dieser TOR-basierte Botnets, die auf Grund der Impuls wird über ein EEG-Gerät abgegriffen Anonymisierung der IP-Adressen sehr und kann nicht unterdrückt werden. Er kann schwer zu bekämpfen sind. daher dazu genutzt werden, um an Infor- Microsoft hat gemeinsam mit anderen mationen zu kommen, die die Person ver- Security Firmen seit 2012 immer wieder ganze heimlichen möchte. Wird auch eingesetzt um Botnets (in Millionengröße) von den Betreibern bei Behinderungen eine Interaktion zu übernommen (nach Freigabe durch ein US- ermöglichen, z.B. das Eingeben eines Textes Gericht) und versucht dann die Betroffenen PC durch Konzentration auf aufblitzende Buch- zu warnen. Die Übernahme und das Still- staben (P300 Speller). Legen eines Botnets ist nicht unproblematisch, Andere Anwendungen sind im Bereich der da es bei infizierten PCs evt. zu neuen Computerspiele, angeboten von Firmen wie Störungen kommen kann, die theoretisch Emotiv oder NeuroSky. Dabei werden schwerwiegende Auswirkungen haben könnte, zusätzlich zu der EEG (Elektroenzephalo- falls z.B. der infizierte PC ein medizinisches gramm)- Funktionalität Augen- oder Stirm- Gerät steuert. Die Betreiber solcher Netze bewegungen übertragen. Durch solche nennt man Botherder. Botspy ist ein Tool zur Anwendungen sinken die Preise für die Beobachtung von Botnetzen. Siehe Geräte, entstehen bequeme USB-Interfaces Zombienetz, Fast flux und Programmbibliotheken. Siehe Quantified Botherder: Teil der sehr arbeitsteiligen Organi- self, Wearable computing, Lifebits sation der Botnetze. Er konzentriert sich auf Cognitive Biometrics ist eine andere Aufbau und Betrieb der Netze, die er dann an mögliche Anwendung bei der es darum geht, Phisher, Spammer und andere „vermietet“. BCI-Geräte für Identifizierung und Authen- Siehe tisierung einzusetzen. http://sicherheitskultur.at/spam.htm#zusammen Es gibt auch (umstrittene) Versuche zum Bouncer: Programm das im Google Play Einsatz bei der Verbrechensaufklärung. Mehr App Store eingesetzt wird um bösartige dazu unter P300. Apps zu finden und zu verhindern. Dabei Mit BCI verwandt sind auch Neuroprothesen. wird eine statische Analyse des Quellcodes Dabei geht es um den Anschluss von Geräten eingesetzt sowie eine Simulation der App in an Nervenleitungen, z.B. für Cochlear Implants einer geschützten Umgebung, die jedoch oder Anschlüsse an Sehnerven. BCI und diese Zugriff zum Internet hat. Bösartige Apps können Bouncer austricksen indem sie z.B. die Forschungen dienen (derzeit) primär der Hilfe für Kranke, aber natürlich ist auch das Militär
Version 11.1 Seite 26 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ an solchen Entwicklungen sehr interessiert, Auch als Verb: to brick s.th. Siehe auch: over- z.B. zum schnelleren Steuern von Waffen. Es the-air provisioning gibt darüber hinaus auch Zielsetzungen die in Bring your own device: (BYOD) Konzept bei Richtung Transhumanismus gehen dem ein Unternehmen den Mitarbeitern frei- Brain Drain: beschreibt den Verlust an klugen stellt, ihre eigenen Arbeitsgeräte zur Arbeit zu Köpfen, den Abfluss an Wissenskapital im nutzen. Dies können Laptops sein, Tablets Gegensatz zu 'Brain Gain' (Zuwachs an Wis- und/oder Smartphones. Oft werden solche sen) Konzepte unterstützt, indem die Firma einen Brandeis: Louis Brandeis 1856-1941, Richter finanziellen Zuschuss bietet. Wenn private der ca. 1890 wg. der Verfügbarkeit von tragba- Geräte unbekannten Sicherheitszustands auf ren Photoapparaten die im US-Recht noch Firmendaten zugreifen oder diese sogar immer gültigen Kernsätze zur Privatsphäre speichern entstehen natürlich neue Sicher- definiert hat heitsherausforderungen. Dies soll z.B. für mobile Geräte durch MDM gelöst werden, Brand-Protection: Service-Angebot zum aber auch durch Desktop-Virtualisierungen Schutz gegen Domainnamen-Piraterie, wie Citrix oder Terminalserver. Beim Typo-Squatting und begrügerischen Web- Einsatz von MDM sollten Mitarbeiter i.d.R. sites. Enthält das Entdecken von solchen Einschränkungen akzeptieren, z.B. längere Domain-Namen und deren Beseitigung, oft Passworte, Verschlüsselungen und das durch Kontakt mit dem zuständigen Registrar. Recht auf Remote Wipe. Siehe Take-down Juristische Fragen die aus der Vermischung Brandschutz: Maßnahmen zur Entdeckung von privaten und dienstlichen Daten entstehen und Verhinderung von Bränden, eingesetzt u.a. (z.B. private Musik) und Haftungsprobleme bei in Rechnerräumen. Dies sind Brandmelder Schäden, z.B. Verantwortlichkeit bei Datenver- und automatische Löscher, z.B. Gas lust durch Verlust des Geräts sind weitgehend (Verdrängung des Sauerstoffs auf < 13,8% ungeklärt. So könnten z.B. bei einer Beweis- durch inerte, d.h. nicht-brennbare Gase sicherung von Firmendaten auch die Privat- [Argon, Stickstoff, Inergen, Argonite]), geräte beschlagnahmt und ausgewertet chemisch, d.h. durch Wärmeentzug aus der werden, da sich auch dort Firmendaten Flamme [HFC-227ea, HFC-23, Novec 1230]) befinden können. Siehe auch Shadow-IT oder mittels aktiver Brandvermeidung. Koh- lendioxid ist wegen der Personengefährdung in Broadcast: (Rundruf) Rechenzentren problematisch 1) Message auf einem Netz das an alle Brandvermeidung: im Gegensatz zum Teilnehmer dieses Netzes gesendet wird, wird Brandschutz wird bei der aktiven Brandvermei- z.B. von ARP und DHCP verwendet wenn dung die Entstehung des Feuers durch die Adresse des Geräts noch unbekannt ist. permanente Absenkung des Sauerstoffgehalts Broadcast-Sturm ist ein DoS Angriff verhindert. Der genaue Wert ergibt sich aus 2) Übertragung von Mediainformationen (Ton, der Art der brennbaren Stoffe. Arbeiten ist Bild) an viele Teilnehmer für passiven Empfang weiterhin möglich, eine Absenkung auf 15% ohne Steuerungsmöglichkeit durch den entspricht ca. 3.000 Meter Höhe. Eine Empfänger (Gegensatz zum Download oder Gesundheitsuntersuchung für Administrato- Abruf, juristisch im Rahmen der Urheber- ren ist jedoch erforderlich. Siehe Oxy Reduct rechtsregelungen ein großer Unterschied). Breach Detection System: (BDS) Konzept für Siehe DVB-H, DVB-T neues Sicherheitskonzept zur Erkennung von Browser: (kurz für Web-Browser) Software targeted attacks, Erweiterung von Intru- zum Betrachten von Informationen, heute sion Prevention System (IPS). Das System zumeist Webbrowser, mit dessen Hilfe nutzt bei der Erkennung alle Schritte der sog. Inhalte auf Websites betrachtet und navigiert kill chain, nämlich a) Erkennen der In- werden können. Eine der wichtigsten Funktio- fektion, b) Erkennen des „callback“ zum nen ist das Rendering, d.h. die Übersetzung C&C server, c) Entdeckung Malware die die der HTML-Inhalte in eine graphische weitere Arbeit tun soll, d) Entdeckung der Darstellung. Bekannte Webbrowser sind etwa Exfiltration von Daten, e) Entdeckung der Mozilla Firefox, Google Chrome, Apple Versuche des infizierten PCs weitere Systeme Safari und Microsoft Internet Explorer (jetzt zu erreichen, z.B. über SMB und an weitere Microsoft Edge). Zur Geschichte siehe World Benutzer Credentials zu kommen. Diese Wide Web. Siehe auch Javascript, single- Systeme lesen den Datenverkehr im Netz um page application. Verwundbarkeiten und diese Events zu erkennen Schwachstellen in Webbrowsern können Brick: (engl. Backstein) in der IT wenn bei erhebliche Sicherheitslücken darstellen. Siehe einer Änderung an einer Firmware, z.B. BHO, BrowserID, Man-in-the-Browser, BIOS ein Zustand entsteht, bei dem das Cloud Browser Gerät nicht wieder gestartet werden kann. Browser-Fingerprint : Fingerprint, Device 2015 wird bekannt, dass die NSA dies als Fingerprint eine der Methoden im Cyberwar betrachtet.
Version 11.1 Seite 27 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Browser helper object: BHO Verhinderung von Betrug durch interne BrowserID: 2011 vorgeschlagenes Verfahren Mitarbeiter. Siehe GoB, IFRS, Zapper für die Authentisierung auf Websites. Im Buddy List: in Messaging Diensten eine Gegensatz zu OpenID wird die E-Mail- Liste von Kommunikationspartnern. Wird bei Adresse als Identifizierung genutzt und das Angriffen über Instant Messaging verwendet, Verfahren muss in die Webbrowser integriert in dem sich Malware an alle diese Personen werden versendet. Da es sich um Bekannte des Browsing: Kurzform von Web-browsing = im Absenders handelt, besteht eine große Gefahr, World wide Web Webseiten aufrufen. dass die Datei oder der Link akzeptiert wird Siehe Browser Buffer overflow: (engl. Pufferüberlauf) leider Brute Force Angriff: Begriff der Hacker- sehr häufige Schwachstelle in Program- sprache. Ein 'Angriff mit roher Gewalt' ist z.B. men, bei der die Menge der Eingabedaten die der Versuch, mit Hilfe von Wortlisten oder Größe des dafür vorgesehen Speicherbe- durch das systematische Ausprobieren von reiches überschreitet und die eingelesenen Zeichenfolgen das Passwort zu finden, das Daten Programmteile überschreiben. Könnte einem bestimmten Hashwert entspricht. Bei leicht verhindert werden, indem die Größe der einem Dictionary Attack werden dabei nur Eingabe immer überprüft wird. Siehe Bug, solche Begriffe gehasht, die entweder in DEP Wörterbüchern verschiedener Sprachen zu Bug: engl. Bezeichnung für „Wanze“ oder finden sind, oder aber bei einem der vielen „Käfer“, Passwort-Diebstählen erbeutet wurden. Brute 1) umgangssprachliche Bezeichnung für einen Force wird auch verwendet, um durch syste- Fehler (bzw. unerwünschtes und unerwartetes matisches Durchsuchen aller möglichen Verhalten) eines Programms oder Schlüssel verschlüsselte Dokumente zu lesen Betriebssystems. Ursache ist oft die Kom- oder durch Ausprobieren aller PINs andere plexität des IT-Systems. Siehe Fehler Sicherungen zu unterlaufen. Dabei kommen oft 2) In der physischen Sicherheit eine „Abhör- auch GPUs zum Einsatz. Siehe Rainbow wanze“ (dieses Zimmer ist „verwanzt“, d.h. Tables. Als Verteidigung kommen extra enthält versteckte Abhörgeräte, die entweder langsame Passwort-Hashing Algorithmen drahtlos ihre Daten senden (und dadurch zum Einsatz entdeckt werden könnten), oder die Daten BS25999: Code of Practise for Business speichern und für eine Abholung bereit halten Continuity Management, leider kostenpflichtig Bug bounty: Konzept, bei dem White Hat BS 7799: British Standard, der Vorläufer von Researcher welche neue Verwundbarkeiten ISO 17799 (Zero Days), d.h. Fehler in Programmen BSA: (Business Software Alliance) Vereini- in Software entdecken, und dann im gung der Software-Hersteller. Verfolgt Rahmen von Responsible Disclosure Geld Raubkopien und Hersteller, die mit nicht- bekommen, Wird zum Teil direkt von den lizenzierter Software arbeiten betroffenen Firmen angeboten, oder z.B. durch HackerOne. Das erste Bug Bounty BSC: Balanced Score Card Programm war 1995 durch Netscape. 2015 BSI: 1. das bundesdeutsche Bundesamt für genutzt durch Google, Facebook, Sicherheit in der Informationstechnik wurde Microsoft, HP, Yahoo und vielen anderen 1990 gegründet und ist der Nachfolger der (http://www.bugsheet.com/bug-bounties ). deutschen Zentralstelle für das Chiffrierwesen. Alternative für die Researcher ist der noch Das BSI berät Behörden und setzt lukrativere Verkauf an Firmen, die Zero Day Rahmenbedingungen für Kryptographieanwen- Exploits kommerziell ankaufen und an dungen in Deutschland. Daneben bietet es Regierungen (z.B. NSA oder andere unter anderem auch als Dienstleistung die Geheimdienste oder Polizeibehörden) weiter- Bewertung, also die Zertifizierung der verkaufen. In beiden Fällen kann der Verkauf Sicherheitseigenschaften von informations- mit dem Wassenaar Abkommen kollidieren. technischen Systemen an. Wichtigstes Bugzilla: web-basiertes Tool zum Manage- Angebot ist das Grundschutzhandbuch. ment von Bugs, erhältlich als Open http://www.bsi.de . Siehe auch DANE Source 2. British Standards Institut , spezialisiert auf ISO 14001 Umweltmanagement, ISO 9000 Bullet-proof Webhoster: Betreiber von Quality Management, ISO 17799 Information Webservern, der in Ländern ohne Ausliefe- Security. http://www.bsi-global.com/ rungsvertrag sitzt und alle Versuche zur Sperrung von Websites mit illegalen Aktivi- Buchführung, doppelte: (engl. Double Entry) täten ignoriert. Eingesetzt für Spamming, wichtiges, fast 1000 Jahre altes Sicherheits- Kinderpornographie, Raubkopien, Phi- prinzip, bei dem jede Geldbewegung mit 2 shing-Websites, u.ä. Einträgen gebucht wird, deren Summe zu jedem Zeitpunkt und für jeden Geschäfts- BULLRUN: Name der NSA für Aktivitäten bereich Null ergeben muss. Ziel ist die um Verschlüsselungen leichter „knackbar“ zu
Version 11.1 Seite 28 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ machen. Dazu gehört Beeinflussung von und AI können IT-Entwickler immer wieder Standardisierungsgremien (z.B. Schwächung mit ethischen Fragen konfrontiert sein. eines Random Number Generators), von Business Continuity: Aufrechterhaltung der Firmen die Verschlüsselungs-Hardware oder Geschäftsprozesse, d.h. auch des IT- Software herstellen (z.B. Einbau von Systems, durch Risikoabschätzung und Backdoors) u.ä. Bekannt wird dies durch Ergreifen von Gegenmaßnahmen im Sinne von Edward Snowden. Siehe auch Crypto Präventivmaßnahmen. Es beinhaltet auch die Wars Planungen für eine Wiederherstellung der Bundesdatenschutzgesetz: (BDSG) in D. vollen EDV-Kapazität nach einem Disaster Gesetz, das die Einhaltung des Datenschutzes Recovery Fall/ Katastrophenfall. Seit 2006 regelt. Datenschutzgesetz gibt es BS25999-1:2006 als Code of Bundestrojaner: umgangssprachlich für die in Practise zum Thema D. eingesetzte Spyware, die für eine heim- Business Continuity Planung: (BCP) vorbeu- liche Durchsuchung und /oder Überwachung gende Aktivitäten zur Erzielung von Busi- der Rechner von Verdächtigen eingesetzt ness Continuity wurde. In den USA als CIPAV im Einsatz. Oft Business Impact Analysis: (BIA) Schritt im ist es ein jeweils maßgeschneidertes Rahmen einer Risikoanalyse. Bestimmung Programm "Remote Forensic Software" der Auswirkungen, die ein Incident auf den ( RFS). Der Einsatz solcher Software zu Geschäftsbetrieb hat. Dies schließt finanzielle Überwachungszwecken wird immer stärker Auswirkungen ein, aber auch Imageschäden, gefordert seit die End-toend Verschlüs- juristische Aspekte, etc. selung immer stärker eingesetzt wird und dadurch eine Überwachung auf zentralen Business Intelligence: Oberbegriff für Soft- Servern verhindert. Siehe Federal ware, die in einem Unternehmen eingesetzt Spyware, FinFischer/Finspy wird, um Daten zu sammeln, zu speichern und zu verarbeiten - und hierdurch unternehmens- http://sicherheitskultur.at/notizen_1_07.htm#bundes orientierter sowie besser entscheiden zu trojaner können, oft verwendet im Zusammenhang mit Bürgerkarte: Erweiterung einer Smartcard CRM mit digitaler Signatur durch eine Personen- bindung, in Ö z.B. durch Verlinkung zum Business Logic Flaw: Schwachstellen, die ZMR (Melderegister) durch Denkfehler bei der Entwicklung von Anwendungen entstehen. Ausgenutzt z.B. Bürgerportale: deutsches Projekt für eine durch Forced Browsing sichere Infrastruktur für E-Mail (De-Mail) die Business Recovery: Aktivitäten zur möglichst eine vertrauliche, verbindliche und nachvoll- ziehbare elektronische Kommunikation ermög- schnellen Wiederherstellung des Geschäfts- licht, die auch offizielle Zustellungen betriebs nach einer ungeplanten Unter- (Einschreiben) erlaubt. Für die Authenti- brechung fizierung wird e-Perso eingesetzt. Bei Business Recovery Planung: Planen und Datenschützern umstritten Dokumentieren von systematischen Abläufen für Business Recovery. Die Planung ist Teil Bus: in der IT: Technologie um mehrere digi- tale Geräte miteinander zu vernetzen ohne von Business Continuity dass jedes der Geräte mit jedem anderen BYOD: Bring your own device verbunden werden muss. Dies ist die häufigste Byte: Anzahl von Bits zum Speichern 1 Technik und in der IT überall zu finden, Zeichens, nach dem Bit, die nächstgrößere Beispiele sind USB, -CAN, ESB, aber Speichereinheit. Heute werden fast immer 8 bit auch die Verbindung zwischen dem Mother- für 1 Byte verwendet, bei Fernschreibern board eines PCs und Komponenten wie ohne Kleinbuchstaben reichten 4 bit, bei frühen Grafikkarten. Bus-Systeme werden häufig Rechnern wurden auch 5 oder 6 bit verwendet. auf Geschwindigkeit ausgelegt und Aspekte Speichergrößen werden in Byte angegeben wie Verschlüsselung und Authentisierung (z.B. KB=Kilobyte = 1024 Byte, MB=Megabyte selten implementiert = 1 048 576 = 1024 2, GB=Gigabyte = 1 073 Businessethik: Anwendung der Regeln für 741 824= 1024 3, TB=Terabyte = 1000 GB, ethisches Verhalten in der Geschäftswelt, z.B. PT=Petabyte = 1000 TB). Diese „krummen“ durch Berücksichtigung aller Stakeholder, Zahlen entstehen dadurch, dass wegen des auch Nachhaltigkeit oder Corporate Social Binärsystems für Kilo nicht wie in der Responsibility genannt. Nicht alles Verhalten Wissenschaft üblich 1000, sondern 1024 was gesetzes-konform ist, ist auch ethisch, verwendet werden jedoch erlaubt ethisches Verhalten nur dann Byte-Reihenfolge: Endianness Gesetzesübertretungen wenn deutlich ist, dass C2: Command & Control. In der IT zumeist der die Gesetze unethisch sind. Ethische Fragen Server bei dem sich eine Malware nach sind z.B. im Bereich von responsible der Infektion eines anderen Rechners disclosure ein großes Thema ( ethical meldet um z.B. weitere Schadsoftware hacker), aber auch im Bereich Überwachung
Version 11.1 Seite 29 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ nachzuladen oder Daten zu exfiltrieren entwickelt. Siehe DLP ( dataleak) Call Back: historisches Verfahren der Einwahl CA: (Certificate Authority) Zertifizierungs- in ein Rechnersystem oder Netz, bei der die stelle, die öffentliche Schlüssel für digitale Sicherheit bei Zugriff per Modem durch Signaturen beglaubigt, d.h. sich für ihre einen Rückruf aus dem Netz zum Rechner des Echtheit verbürgt. Dazu unterschreibt die CA EDV-Nutzers hergestellt wird. Meist in mit ihrem geheimen Schlüssel die öffentlichen Verbindung mit RAS genutzt. Wird heute Schlüssel der Anwender und stellt bei Bedarf weitgehend durch Internet-Verbindungen die signierten öffentlichen Schlüssel in einem und Absicherung über VPN ersetzt Verzeichnis zur Verfügung. Die CA kann die Call Center: Dienstleistungsstelle innerhalb dazu notwendigen Schlüsselpaare (geheimer oder außerhalb eines Unternehmens, bei der und öffentlicher Schlüssel) auch selbst gene- Kunden anrufen können oder von dem aus rieren. 2011 werden zahlreiche CAs, deren Kunden angerufen werden. Thema für Infor- Zertifikaten von Browsern vertraut wird, mationssicherheit da es Rogue Call Center angegriffen und es werden betrügerische gibt, die gegen entsprechende Zahlung Zertifikate erstellt, die u.a. von Regierungen für Social Engineering Angriffe (in vielen Man-in-the-Middle Angriffe genutzt wer- Sprachen) durchführen den. Die Überprüfung der Identität der Antragsteller wird häufig von Registration Caller ID spoofing: Vorspiegeln einer falschen Authorities ( RA) übernommen, die dann über Telefonnummer, z.B. um damit die Sprachbox eine geeignete Verbindung z.B. Webbrowser eines anderen Teilnehmers abzuhören. Lässt sich mittels VoIP Services sehr leicht mit HTTPS, auf die CA zugreifen. Siehe web-of-trust. implementieren. Phreaking CAN: (Controller area network) Bus, der in 2011 kam es zu zahlreichen Sicherheits- verletzungen bei Certificate Authorities, modernen Autos die Komponenten verlinkt. daher wird 2012 ein neues Verfahren, Wie bei jeder Bus-Kommunikation reicht Zugriff Sovereign Keys, vorgeschlagen Zu den zu einer Komponente um alle anderen Angriffen: Komponenten am Bus zu erreichen. Siehe auch Automobil. http://sicherheitskultur.at/notizen_1_11.htm#iran CAN-Spam Act: US-Gesetz (2003) gegen das CAA : Certificate Authority Authorisation Versenden von Spam, Inhalt z.B. das Opt- CAcert: gemeinschaftsbetriebene nicht-kom- out Prinzip. Wird generell als sehr „zahnlos“ merzielle Zertifizierungsstelle (Root-CA), die betrachtet kostenfrei X.509-Zertifikate ausstellt. Die Canvas Fingerprinting: 2014 neues Verfah- Überprüfung der Identität findet durch ein ren um einzelne PCs im Netz erkennen und web-of-trust statt tracken zu können. Dabei wird ausgenutzt, Cache: temporärer Zwischenspeicher in einem dass es minimale Unterschiede gibt, wie jeder System, in dem Daten, die bei der Rechner einen Text auf einem Bildschirm Nutzung des Systems anfallen, für eine darstellt. Dies kann als Erkennung genutzt bestimmte Zeit gespeichert werden. Ziel ist, bei werden und findet auch real statt. Solche einem nochmaligen Zugriff auf die gleichen Techniken ergänzen die sog. Evercookies Daten einen schnelleren Zugriff zu ermög- Carnivore: (wörtl. Fleischfresser) ursprüng- lichen. Caches werden vielfältig genutzt, z.B. in licher Name einer Software, entwickelt für die Datenbanken, Proxys und Web- US-Bundespolizei FBI. Damit können im browsern. In letzteren stellen sie manchmal ein Internet transportierte E-Mails automati- Sicherheitsproblem dar, da z.B. bei der siert nach verdächtigen Begriffen durchsucht Nutzung eines Internetcafés vertrauliche werden. Weil 'Carnivore' dann doch zu unan- Daten im Cache gespeichert sein können. genehme Assoziationen wecken könnte, wurde Webbrowser bieten die Möglichkeit, den Cache das Programm mittlerweile offiziell in 'Digital explizit zu löschen. Siehe Private Browsing Collection System' umbenannt Cain: open-source Tool zum Auflisten von CAP: (Chip Authentication Program) Verein- Netzen, Cracken von Passworten in Über- fachung des EMV-Protokoll um unter tragungsprotokollen und für Man-in-the- Nutzung eines kleinen (offline) Geräts und Middle Angriffe. Wird für Angriffe und einer Smartcard, z.B. Bankomatkarte, eine Penetration Tests genutzt 2-Faktor Authentifizierung eines Benut- California Security Breach Information Act: zers und ein Signieren von Bank-Trans- Gesetz (SB-1386, 2003), das Firmen und aktionen durchzuführen. Es wurden Behörden zwingt, beim Verlust von personen- Schwachstellen im Protokoll aufgezeigt. bezogenen Daten die Betroffenen zu informie- Eine derzeit in Ö pilotierte Implementierung ren. Hat zu einer Welle von Informationen über heißt CardTAN. DPA ist eine andere solche Verletzungen geführt. Ähnliche Gesetze Implementierung solcher Funktionalitäten wurden mittlerweile in vielen US-Bundes- Capacity Management: nach ITIL die Pro- staaten eingeführt. Als Folge wurde XPS zesse, die sicherstellen, dass alle momen-
Version 11.1 Seite 30 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ tanen und zukünftigen Kapazitäts- und InfoCard) Nachfolger zu Microsoft Pass- Leistungs-Aspekte erfüllbar sind und kosten- port. Identitätsmanagement-Client für Open- wirksam erbracht werden können Identity-Plattform Geneva (d.h. Federated CAPPS II: (Computer Assisted Passenger Pre- Identity Framework wie OpenID), mit dessen Screening) US-Programm zur Überwachung Hilfe der Benutzer in Web definieren und (screening) von Flugpassagieren, entwickelt kontrollieren kann, welche Informationen jede durch die TSA. Nach Protesten heute ersetzt Website über ihn sehen kann. Verwendet durch Secure Flight digitale Signaturen und kann auch für Authentifizierungen eingesetzt werden. Der Captcha : (Completely Automated Public Austausch erfolgt mittels WS-Federation Turing test to tell Computers and Humans Protocol ( Microsoft/ IBM) oder SAML Apart) Technologie zur Unterscheidung von Rechnern ( Programmen) und Menschen. CardTAN: CAP Zumeist werden dabei schwierige OCR- Carrier-grade NAT: (CGN, CGNAT) Verfahren Aufgaben gestellt. Eingesetzt z.B. von um mit den immer knapper werdenden IPv4- Freemailern zum Erschweren von automa- Adressen umzugehen ohne zu IPv6 zu tisierten Spam-Angriffen. Es findet ein wechseln. Es ist ein IPv4-Netzwerkdesign, bei Wettlauf zwischen den Entwicklern neuer welchem Netzbetreiber die Endstellen ihrer Captchas und Hackern statt, die mit neuen Kunden mit sog. privaten IP-Adressen Algorithmen diese doch „knacken“ können. ausstattet um diese dann über ein NAT- Dieser Wettlauf treibt einige Gebiete im Verfahren auf Betreiber-Ebene in öffentliche Bereich AI voran. Außerdem werden IPv4-Adressen zu übersetzen. In einem Captchas oft auch an Menschen weiterge- solchen Netz kann eingehender Datenverkehr reicht, die unter einem Vorwand dazu gebracht nur begrenzt implementiert werden (z.B. werden, die Aufgabe zu lösen (z.B., aber nicht eigene Webserver - im Gegensatz zum nur Mechanical Turk, Crowdturfing). 2011 ausgehenden Datenverkehr auf den die gibt es Firmen wie decaptcher.com, die das anderen Geräte lediglich „Antworten“ senden) Knacken von Captchas gegen geringe Gebühr CASB: Cloud Access Security Broker anbieten (1$ pro 1000 Captchas). Dieser CBDC: (Central Bank Digital Currencies) Form Service wird i.d.Regel durch eine Mischung aus automatisierter Erkennung (AI) und von Stablecoin, eine digitale Währung. Viele Handarbeit erbracht. Seit ca. 2017 dominiert staatliche Zentralbanken erwägen deren Einführung (die für Europa auf Grund des gut der von Google angebotene Re- CAPTCHA Dienst immer mehr den Markt ausgebauten Bankensystems, siehe SEPA nicht wirklich notwendig ist) weil in weniger Captive Outsourcing: Outsourcing entwickelten Ländern viele Bürger, aber auch Capture: beim Einsatz von Biometrie die erste kleine Unternehmen schlechten, d.h. teuren Phase, bei der das biometrische Merkmal oder gar keinen Zugang zum (speziell erfasst und in ein Template umgewandelt internationalen) Bankensystem haben. Das wird. Siehe CBEFF Überweisen von Geld in andere Länder, z.B. Capture&Replay: von Menschen die im Ausland arbeiten, ist oft mit sehr hohen Gebühren verbunden. Die 1) Angriff, bei der Daten einer Zenatralbanken wollen damit Facebook und Datenübertragung aufgezeichnet und seiner geplanten Einführung von Libra zuvor später nochmals gesendet werden ohne kommen dass der Empfänger dies als Fälschung bemerkt CBEFF: (Common Biometric Exchange File 2) Technik bei Software Tests, bei der Format ) angestrebte Standardisierung von eine Sitzung aufgezeichnet wird und für Fingerprint Templates um eine Kompatibilität Regression Testing wiederholt wird zwischen unterschiedlichen Technologien zu erreichen. Speichert nicht das Bild des Capture the Flag: Form von LAPG. In der Fingers, sondern ein daraus berechnetes IT-Security wird damit bezeichnet, wenn meh- „Template“. Sehr relevant für Pässe mit rere Teams versuchen, ihre eigenen IT- biometrischen Merkmalen Systeme zu schützen und in die Systeme der anderen Spieler einzudringen. Wird auf großen CBIR: (content based image retrieval) Konferenzen wie DEFCON angeboten, aber Technologie für Suchmaschinen um Bilder auch zu Schulungszwecken am Inhalt zu erkennen, entweder durch Erkennen des Objektes oder der Person oder Carding: Kriminelle Aktivitäten in Bezug auf über Farbe und Struktur. Auch von Interesse Kreditkarten (oder Bankomatkarten): Dieb- bei der Überwachung und data mining in stahl der K-Daten (zumeist in großem Um- Bildarchiven. Siehe Face Recognition fang), Handel mit diesen (Online-Börsen), dann Nutzung der Daten für Betrug ( CNP). C&C Server: Command and Control Server Die Täter werden Carder genannt. Siehe CCC: 1) Chaos Computer Club Identity Theft, Data Leakage, Phishing 2) Cybercrime Convention CardSpace: (Windows CardSpace, vorm. CCIA: (Computer & Communications Industry
Version 11.1 Seite 31 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Association) Industrievereinigung der Com- Mitarbeiter eines Unternehmens, sehr oft in der puter-Industrie. Sie kümmert sich u.a. im Buchhaltung ein Mail das angeblich von einem Sicherheitsfragen und hat in diesem Zusam- der Manager kommt und um dringende menhang eine Studie "CyberInsecurity: The vertrauliche Zahlungen bittet. Die Schäden die Cost of Monopoly" herausgegeben. Ein ande- dabei entstehen sind sehr oft in Millionenhöhe res Projekt ist die Open Source and Industry (Deutschland 2015 – 2018 mind. 165 Mio Alliance (OSAIA). http://www.ccianet.org/ Euro, weltweit in 2018 mehr als 1 Milliarde CCITT: (Comité Consultatif International Télé- USD). Siehe Deepfake phonique et Télégraphique) Unterorganisation CERT: (Computer Emergency Response der ITU, die sich um Standardisierungen Team) die ursprüngliche Organisation ist jetzt kümmert. Sie ist z.B. zuständig für die „V.xxx..“ umbenannt in US-CERT, da jetzt Teil von Standards der Modems oder die “X.xxx“ DHS. CERT bezeichnet Sicherheitsorgani- Standards sationen, die sich zum Ziel gesetzt haben, CCMP: (Counter Mode with Cipher Block Betreibern von Computernetzwerken oder - Chaining Message Authentication Code systemen bei der Abwehr von Angriffen zu Protocol) Teil von WPA, sicherer als TKIP, helfen. Sie sind Warnungs- und Ansprech- verwendet AES stellen. Es gibt CERT-Organisationen die für Länder zuständig sind, z.B. cert.at, oder für CCTV: (closed-circuit television) engl. Bezeich- einzelne Behörden, z.B. govcert.at oder auch nung für Videoüberwachung. In englischen nur für eine Firma. Es gibt auch spezialisierte Städten sehr verbreitet zur Überwachung CERTs wie ICS-CERT, spezialisiert auf des öffentlichen Raumes. In England ist bei Industrial Control Systems, und CERT-EU für der Bevölkerung ein Gewöhnungseffekt einge- die Einrichtungen, und Behörden der EU. treten. Die Wirksamkeit bei der Verhinderung Siehe auch http://www.cert.org/ von Verbrechen konnte nicht gezeigt werden, lediglich eine Verschiebung der Orte. Siehe Certificate Authority: CA Videoüberwachung. Ein spezieller Fall sind Certificate Authority Authorisation: (CAA) die smart doorbells von Amazon und Vorgeschlagenes Verfahren gegen Man-in- Google, die von Privaten betrieben werden the-Middle Angriffe mit gefälschten SSL- aber ebenfalls Videos mit Nachbarn und/oder Zertifikaten. Dabei wird ein spezieller DNS- Polizei austauschen record genutzt, damit der Betreiber einer cDc: cult of the dead cow Website welche CA berechtigt ist, SSL- Zertifikate für seine Website auszustellen. CDMA: (Code Division Multiplex Access) Alternative Verfahren sind HPKP, OCSP modernes Verfahren zur drahtlosen Über- und Certificate Transparency tragung von mehreren Datenströmen auf der- selben Frequenz ohne Nutzung von Zeit- Certificate Pinning: Da seit ca. 2011 zahlrei- scheiben. Siehe 3G che CAs kompromititiert wurden und zwar auch solche, die in Browsern und Be- CDN: (Content Delivery Network), bekannt ist triebssystemen als „trusted“ integriert sind wird Akamai, Cloudflare, Amazon Cloudfront und für Smartphone Apps und andere viele andere. CDNs werden von Website- Programme die nicht wie ein Browser mit Betreibern eingesetzt, um statische Elemente vielen Gegenstellen kommunizieren müssen, wie z.B. Bilder (aber auch viel genutzte sondern einen festen Server als Gegenstelle JavaScript Bibliotheken wie Jquery) haben, dass diese nur dem 1 Server „trusten“ möglichst nah am Endkunden zu platzieren und die vor-integrierten Zertfikate ignorieren und auf diese Weise bei der eigenen Internet- sollen. Google verwendet diese Technik im Anbindung zu sparen. Zu den CDN Kunden Web-Browser Chrome bei allen Zugriffen gehören alle großen Portalbetreiber, wie z.B. zu Google-Diensten. Auf diese Weise wurde auch Google und Facebook, vor allem 2011 die Fälschung von Zertifikaten bei dem aber auch Streaming-Dienste. Bei CDN niederländischen CA DigiNotar entdeckt Betreibern fallen durch den Abruf der Dateien durch die Browser der Benutzer Certificate Practice Statement: (CPS) ver- große Mengen von Benutzerdaten an (z.B. bindliches Dokument eines Anbieters sicherer welcher Browsertyp auf welchem Zertifikate ( Certificate Authority), in dem das Betriebssystem aus welchem Land unm Vorgehen bei Zertifizierungen sowie tech- welche Uhrzeit auf welcher Website welche nische und organisatorische Anforderungen an Inhalte abgerufen hat), d.h. sie sind ein Einheiten der Zertifizierungshierarchie definiert wichtiger Bestandteil der Tracking sind. http://www.ietf.org/rfc/rfc3647.txt Infrastruktur. Wenn Javascript Komponenten Certificate Revocation List: (CRL, Wider- auf einem CDN-Cache geändert werden, so rufsliste) veröffentlichte Liste auf der die Num- können damit andere Websites beeinflusst mern aller gesperrten (suspendierten) und werden widerrufenen (revocated) Zertifikate seitens CEO Betrug: (BEC = Business E-Mail des Zertifikatsanbieters veröffentlicht werden. Compromise) Begriff der eine spezielle Form Weitgehend durch OCSP ersetzt, aber auch von Phishing beschreibt. Dabei bekommt der dieses funktioniert nicht wirklich. Neuere
Version 11.1 Seite 32 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Vorschläge sind Certificate Transparency zesse die notwendig sind, um Veränderungen und Certificate Authority Authentication. an Systemen oder Prozeduren in geregelter http://www.ietf.org/rfc/rfc3280.txt Weise durchführen zu können. Eng verknüpft Certificate Transparency: (CT) Initiative, u.a. mit Configuration Management und Re- von Google, bei Websites die SSL- lease Management Zertifikate nutzen deren Details im Netz an in Change Request: RfC mehreren entsprechenden Logs verfügbar Chaos Computer Club: 1981 in Berlin ge- machen sollen, so dass ein Browser prüfen gründete „galaktische Gemeinschaft von Lebe- kann, ob das Zertifikat das von der Website wesen, unabhängig von Alter, Geschlecht und präsentiert wird, wirklich das ist, das die Rasse sowie gesellschaftlicher Stellung, die Website verwendet oder ob das Zertifikat sich grenzüberschreitend für Informationsfrei- durch einen Man-in-the-Middle Angriff heit einsetzt“, Vereinigung von Hackern und verändert wurde (wie das zum Abhören anderen Interessierten an Informationssicher- durch Regierungsstellen wie die NSA oder heit, die früher durch spektakuläre Aktionen auf den iranischen Geheimdienst der Fall ist). Die Schwachstellen von Computer-Sicher- Notwendigkeit ergibt sich daraus, dass den heitssystemen aufmerksam machten und Certificate Authorities leider nicht mehr heute vor allem Öffentlichkeitsarbeit betreiben getraut werden kann. Alternative Verfahren und jährlich einen sehr breit besuchten sind HPKP, Certificate Authority Authenti- Kongress veranstalten (letzte Woche des cation und HPKP. Die früheren Verfahren Jahres). http://www.ccc.de . Wiener Zweigstelle wie OCSP und CRL gelten als gescheitert ist https://c3w.at/ Cfengine: open-source Programm zum Chaos macht Schule: (CmS) Initiative des Configuration Management auf Unix CCC in Deutschland und Österreich, bei der Systemen. Configuration Management ist eine AktivistInnen ( Hacker) in Schulen gehen und der Komponenten zum sicheren Betrieb von dort über Themen wie Privatsphäre, Rechnern Tracking, Hacking, Passworte, etc. auf- CGI: klären. Die Mitglieder sind mehrheitlich der 1. (Computer-generated imagery) Erzeugung Meinung, dass das derzeitige Schulsystem von graphischen Darstellungen mittels solche Themen nicht ausreichend und qualif- Computer-Algorithmen, entweder für 2D ziert behandelt. Anderseits ist den Aktivitsten Darstellungen (Bilder) oder auch in 3D für bewusst, dass solche Privat-Initiativen nur ein Spiele ( Games) oder Filme. 2019 auf eine ‚Tropfen auf den heißen Stein‘ sein können. neue Stufe gebracht einmal durch die sog. Zu finden auf Deepfakes auf der Grundlage von Deep https://projekte.c3w.at/chaos_macht_schule Learning AI-Systemen, aber auch durch die oder https://www.ccc.de/de/schule neue Idee, animierte Versionen von CHAP: (Challenge Handshake Authentication verstorbenen Schauspielern in neuen Filmen Protocol) Methode, um eine sichere Daten- einzusetzen verbindung aufzubauen und ein “Replay“ eines 2.(Common Gateway Interface) historisch abgehörten Passworts zu verhindern. Bei der erste Methode, um dynamische Web-Inhalte Verbindungsanfrage schickt der Server eine auf einer Website anzubieten. Dabei wird Nachricht (Challenge) an den Client. Dieser der HTML Code der zum Webbrowser übermittelt dann den Benutzernamen und die übertragen wird, von einem Programm (z.B. Response, die über ein Hash-Verfahren aus nach Abfrage einer Datenbank) des dem übermittelten Challenge berechnet wird. Webservers dynamisch erzeugt. Leider Wenn diese Rückmeldung mit dem vom Server stellen Implementierungsfehler eine häufige berechneten Wert übereinstimmt, wird der Schwachstelle dar Zugang erlaubt, ansonsten wird der Benutzer abgewiesen. Ein anderer Schutz gegen einen CGMS-A: (Copy Generation Management Replay-Angriff ist das OTP System–Analog) Kopierschutz für analoge Videosignale, verwendet in vielen Geräten, Chargeback: Rückgängigmachen einer kann mit VEIL kombiniert werden Zahlung per Kreditkarte in dem der Kunde den Geschäftsvorgang bestreitet. Der Händler CGNAT, CGN : ( Carrier-grade NAT) muss den Beweis der Transaktion erbringen, Challenge-Response: Verfahren, bei denen was bei Internet-Transaktionen sehr schwer eine Authentisierung nicht auf einem ist. Auf diese Weise kann mit (gestohlenen) einfachen Senden eines Textstrings beruht, Kreditkarten-Daten Schaden angerichtet sondern auf einem Dialog, der für einen An- werden greifer keine Informationen liefert, die er für Chat: Austausch von Nachrichten mit einem einen Angriff ausnützen könnte. Siehe oder mehreren Personen. Implementiert als CHAP Chatroom oder Messaging wie z.B. Challenge Handshake Authentication Pro- WhatsApp tocol: CHAP Chatbot: Bot-Implementierung auf der Change Management : nach ITIL die Pro- Grundlage von AI mit dem Ziel der Auto-
Version 11.1 Seite 33 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ matisierung von Chatroom Dialogen. Es wird Chief Privacy Officer (CPO): englische behauptet, dass bis zu 85% der Teilnehmer in Rollenbezeichnung vergleichbar mit dem Yahoo-Chatrooms bereits bots sind. Der deutschen „Datenschutzbeauftragten“ Einsatz von Chatbots geschieht entweder mit Chief Information Security Officer (CISO) : dem Ziel der Kosteneinsparung, z.B. bei Führungskraft, die für den Bereich der Informa- Kundenberatungen, aber auch zu kriminellen tion Security verantwortlich ist Zwecken wie Betrug oder pädophilen Chief Knowledge Officer (CKO): führender Kontakten. Als Gegenmaßnahme wird ver- Mitarbeiter, dessen Aufgabe es ist, das in sucht, solche Chatbots zu erkennen einem Unternehmen vorhandene Wissen zu Chat Room: Website, die eine gleichzeitige sammeln, zu strukturieren und den Mit- Kommunikation mehrerer Teilnehmer mitein- arbeitern zugänglich zu machen ander mittels Texteingaben ermöglicht. Ist Chief Marketing Officer (CMO): offizielle heute Teil vieler Social Nertworks, Mes- Bezeichnung für den Vorstand der Marketing- saging Dienste, aber auch Webmail- Implementierungen. Wird auch oft für Kunden- abteilung eines Unternehmens anfragen eingesetzt, entweder automatisiert Chief Operating Officer (COO): Leiter des oder mit Personen besetzt. Wird im kriminellen operativen Geschäftes, eine Funktion, die in Bereich für die Verteilung von Spam oder den meisten Unternehmen vom CEO wahr- Schadsoftware verwendet, aber auch für genommen wird. Gibt es einen COO, ist dieser Betrug und im Bereich Pädophilie. Siehe unter dem CEO angesiedelt und kümmert sich Chatten, Chatbot um das laufende Geschäft, während der 'CEO' für die Visionen und Strategien zuständig ist Chatten: die Kommunikation von zwei oder mehreren Personen über Web Anwendungen Chief Technology Officer (CTO): der Leiter in sog. Chat Rooms oder auch Social der Abteilung für technische Entwicklung, wird Networks, bzw. als Teil von MMORPGs, fast manchmal auch für den Leiter der internen IT immer durch Eintippen von Texten, oft stark vewendet verkürzt in Jargon wie LOL u.ä. Hierbei können Chip: Kurzform von Computer-Chip. Integrier- auch Dateien ausgetauscht werden, bzw. ter Schaltkreis, der beliebige Funktionalitäten URLs vermittelt, dies kann für die Infektion haben kann ( Prozessor, Arbeitsspeicher, eines Rechners durch Malware genutzt etc.). Der Begriff wird heute sehr oft verwendet werden. Siehe auch Messaging Dienste für Schaltkreise die in Smartcards integriert Cheat: Bei Computerspielen ( Games) Hilfe- sind (cryptochip), z.B. bei Bankomat- oder stellungen, entweder in der Form von verbalen Kreditkarten, SIMs oder USIMs in Tipps, speziellen „Codes“ die die Entwickler für Handys oder RFID oder NFC Chips in das Austesten des Spieles eingebaut haben, Ausweisen, Pässen oder Bezahlsystemen aber z.Teil auch Programme, die z.B. bei Chipkarte: anderer Begriff für Smartcard. MMORPGs wie World of Warcraft, als Bot Aktionen für den Benutzer ausführen, die Beispiele für Chipkarten sind Bankomat- und das Spiel halb-automatisiert ablaufen lassen. Kreditkarten wenn sie wie in Europa üblich, In solchen Cheats ist oft auch Schadcode einen Chip enthalten, aber auch Karten für enthalten Zutrittssysteme, elektronische Karten öffent- liche Verkehrsmittel und viele andere. Sie Checksum: (engl. Prüfsumme) redundante können kontaktbehaftet oder kontaktlos sein, Prüfinformation, die die Integrität von Daten sicherstellen soll. Siehe Hash, im letzteren Fall nutzen sie dann meist NFC Luhn, CRC, ECC, IBAN Chip-n-PIN: im angelsächsischen Sprachraum Chief Content Officer (CCO): Führungskraft, der Begriff der für Bankomat- (und andere) die sich in einem Unternehmen um die Inhalte Karten mit EMV-Protokoll (implementiert in der Website kümmert. Siehe Chief einem Secure Element) verwendet wird. Soll Information Officer in den USA in 2015 eingeführt werden, Grund sind die riesigen Mengen von gestohlenen Chief Executive Officer (CEO): oberster Manager eines Unternehmens. Oftmals als Kreditkarten-Daten in den USA in 2012-14 'Vorstandsvorsitzender' oder 'Geschäftsführer' (z.B. Home Depot 56 Mio, Target 100 Mio, 8 bezeichnet Firmen in 2012 zusammen 160 Mio) Chief Financial Officer (CFO): diejenige Per- Choice Architecture: Theorie, die beschreibt, son einer Unternehmensleitung, die sich um wie Menschen und ihre Entscheidungen die Finanzplanung kümmert ('Finanzvorstand') dadurch beeinflusst werden können, wie man Chief Information Officer (CIO): Führungs- ihnen die Optionen anbietet und darstellt, z.B. kraft, die für die interne Kommunikation, die Opt-In vs. Opt-Out. Das Beeinflussen von verschiedenen Informationssysteme sowie für Menschen ohne dass sie es merken wird auch den Internet-Auftritt eines Unternehmens unter dem Begriff „ Nudge“ beschrieben. verantwortlich ist. Nicht sehr häufig. Siehe Relevant ist dies alles bei Werbung und um Chief Content Officer Kaufentscheidungen zu erreichen, aber auch
Version 11.1 Seite 34 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Gesellschaften zu „lenken“ (was die ursprüng- nach richterlichem Durchsuchungsbefehl ein- liche Bedeutung von Social Engineering ist) gesetzte Forensic Software, Funktionsum- ChoicePoint: US data-aggregator, bekannt fang nicht ganz klar, entspricht wohl dem von u.a. wegen "Verlusten" von personenbezo- anderen Spyware-Programmen, wird als genen Daten und riesigen Datensammlungen. Trojaner auf den Zielrechner gebracht. http://sicherheitskultur.at/privacy_loss.htm#privat Entspricht wohl dem Bundestrojaner. Siehe RFS Choke Point: zentrale Resource, die eine leichtere Kontrolle von Zugängen oder Zu- CISC: (Complex instruction set computer) griffen ermöglicht, z.B. Firewall oder CPU-Architekturkonzept, heute z.B. umge- Proxy, gleichzeitig potentieller Single Point setzt in der x86-Architektur) das erst nach- of Failure träglich so benannt wurde um es vom RISC- Konzpet abzugrenzen. Während ganz frühe Chrome: Webbrowser von Google bei Rechner nur sehr wenige Befehle imple- dem einige neue Sicherheitstechniken imple- mentiert hatten gab es ab ca. 1960 z.B. in den mentiert wurden oder geplant sind: certifi- Großrechnern von IBM mehr und mehr cate pinning, channel binding (siehe OAuth Instruktionen um auch die komplexen und SSL). Seit ca. 202 ist dies der Speicher-Move und BCD-Befehle in Cobol meistgenutzte Webbrowser als Hardware zu implementieren. Die RISC- Chromebook: seit 2011 Laptops die das Architektur hat dann aber gezeigt, dass ein Betriebssystem Chrome OS nutzen, das auf Implementieren mittels einer Befehlsfolge Linux basiert. Anwendungsprogramme einfacherer Befehle schneller sein kann laufen dort üblicherweise direkt im Chrome CISO: (Chief information security officer) Webbrowser, Daten werden dann nicht lokal auf dem Gerät, sondern in Cloud- CISP: (Cardholder Information Security Pro- Systemen gespeichert. So werden für Office- gram) Sicherheitsprogramm der Visa-Kredit- Anwendungen üblicherweise Programme karten-Organisation. Beruhend auf PCI der G Suite, z.B. Google Docs genutzt Security Standard (single-page Application). 2020 werden Citizen Lab: Organisation mit Nähe zur sogar Spiele auf diese Weise angeboten Universität von Toronto die mit anderen in aller (Streaming). Welt zusammenarbeitet und vor allem Durch die Cloud-Basierung sind die Geräte elektronische Überwachungsaktivitäten leicht austauschbar, weil sie keine lokalen gegen Journalisten und Oppositionelle Daten und Einstellungen haben. Sie brauchen aufdeckt daher immer einen Internetzugang. Aus Citrix: ICA Datenschutz-Sicht ist die enge Verknüpfung C-ITS: Regeln für kooperative intelligente mit einem Google-Konto natürlich negativ zu Transportsysteme, verabschiedet durch die bewerten. Eine Kompatibilität der ETSI. Unterschieden werden V2V (vehicle to Anwendungen mit Android Apps wird vehicle), V2I (vehicle to infrastructure), zu- angestrebt. sammengefasst als V2X. Bevorzugte tech- Chrome OS: Chromebook nische Lösung für die Übertragung ist DSRC (Dedicated Short Range Communication) mit Chromium: Open-Source Webbrowser einer Reichweite von ca. 300 Metern. Car2Car auf der Basis von Google Chrome. Die ist ein Konsortium aus interessierten europä- Softwarebasis von Chromium wird auch von ischen Firmen. Im Zusammenhang mit Microsoft Ege und Opera genutzt autonomen Fahrzeugen wird sehr oft auch chroot: (change root) Sandbox-Technologie die Vernetzung der Fahrzeuge untereinander unter Linux und Unix und mit der Infrastruktur gefordert. Siehe auch CIFS: (Common Internet File System) Proto- Auto und http://philipps- welt.info/autonom.htm#vernetz koll zum Zugriff auf entfernte Dateien und Dateisysteme, verbesserte Version des SMB Claims-based authorization: Autorisierung Protokolls von Windows analog zu NFS. {d.h. Ausstattung mit gewissen ( Zugriffs)- Erlaubt den Zugriff auch über Internet. Wenn Rechten } auf der Basis von Claims, d.h. Be- die entsprechenden Ports (139/tcp 445/tcp) hauptungen, die durch bei der Autorisierung durch die Firewall erreichbar sind, kann auf bestätigt werden. Z.B. sind in Ö Zigaretten erst diese Weise auch Schadsoftware angreifen. ab 18 Jahren käuflich. Um zu verifizieren, dass http://www.microsoft.com/mind/1196/cifs.asp jemand älter als 18 Jahre ist wird bei einer CIO: (Chief information officer) claims-based Autorisierung nicht das Geburts- datum weitergegeben, sondern nur das Fak- CIP: (Critical Infrastructure Protection) tum, dass die Person älter als 18 ist, d.h. dass CIPAV: (Computer and Internet Protocol die Behauptung stimmt Address Verifier) in den USA durch das FBI Clark-Wilson: Sicherheitsmodell zur Errei-
Version 11.1 Seite 35 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ chung von Integrität in Computersystemen. dadurch entsteht, dass Komponenten einer Wichtiges Designprinzip für Bankensoftware. Client-Server-Anwendung (z.B. Scripts oder Siehe Bell-LaPadula Konfigurationsdateien) durch den Benutzer Clean Desk Policy: Anweisung zum Aufräu- manipulierbar sind. Im Fall von web- men des Schreibtisches um das Risiko des browser-basierten Anwendungen können dies unberechtigten Zuganges oder Zugriffes zu z.B. JavaScript oder AJAX-Teile sein. Dies Informationen zu verringern und die Beschä- ist eine Verletzung von Trust boundaryies digung oder das Entwenden von Papieren und und stellt eine Herausforderungen von SaaS Datenträgern zu erschweren und Cloud computing dar. Clearnet: Begriff der den Gegensatz zum Clone, Cloning: Herstellung einer exakten Darknet aufzeigen soll und das typische Kopie eines Datenträgers, z.B. aus Gründen Internet mit einer über die im Protokoll der schnellen Wiederherstellung im Katastro- enthaltenen IP-Adressen nur sehr begrenz- phenfall, zur Sicherung von Beweisen im ten Benutzeranonymität und das von Rahmen von Forensics oder einen Angriff Suchmaschinen indiziert werden auf eine elektronische Identifierung ( EPC, RFID) durchzuführen. Siehe Disaster Click farm: manuelle oder automatisierte Recovery, Backup, EPC Methode um „clicks“ zu erzeugen, z.B. Facebook „Likes“, Twitter Follower oder Cloud: Cloud Computing Click fraud Cloud Access Security Broker: (CASB) Click fraud: Betrug im Bereich der Werbung Software die von Firmen eingesetzt wird im Web, z.B. durch das künstliche Erzeugen damit ihre Mitarbeiter sicher auf Cloud von Zugriffen bei Bezahlmodellen wie Dienste wie O365 oder Google Docs Pay-per-click (Werber zahlt nur für Besuche zugreifen können. Dabei werden die Cloud- auf seiner Website) statt Pay-per-view Dienste für diese Firmen so konfiguriert dass (Werber zahlt für das Zeigen der Anzeige). ein Zugriff nur über dieses Gateway Click-fraud wird zum Teil über Botnets und möglich ist. Ziel ist es, die Phishing automatisierte Klicks im Hintergrund ohne dass Angriffe gegen diese Mitarbeiterkonten der Benutzer dies sieht, implementiert deutlich zu erschweren. Zusätzlich können verschiedene Überwachungen zum Einsatz Clickjacking: Angriff, bei der „böse“ Inhalte, kommen, z.B. auch Data Leak Prevention z.B. in einem iFrame mittels JavaScript Inhalte einer Webpage so verändern, dass CLOUD Act: US-Gesetz das US-Firmen das Klicken eines Buttons einen anderen als zwingt, die Daten von nicht-US Bürgern auch den geplanten Effekt hat. Eine Variante davon dann an US Behörden zu übermitteln, wenn ist Click-fraud, eine andere SEO. Siehe diese nicht in den USA gespeichert sind DOM Cloud Computing: (auch Shadow IT Clickstream: Aufzeichnung aller Clicks eines genannt) Konzept bei dem IT-Dienste on- Benutzers, normalerweise auf einem Server, demand (d.h. flexibel bei Bedarf) angeboten bzw. bei einem ISP. Dies kann sich auf eine werden. Dies können Hardware- und/oder einzelne Website beziehen (und damit bei Software-Infrastrukturen sein (wie Amazons der Analyse der Usability / Benutzbarkeit EC2), oder auch fertige Anwendungen wie dienen) oder auch auf das Verhalten des bei SaaS (z.B. Webmail). OpenStack ist Benutzers über einen längeren Zeitraum. ein Framework für die Erstellung und Gerüchteweise werden solche Clickstream von Administration von öffentlichen oder privaten ISPs für 40 cents pro Benutzer pro Monat Cloud-Lösungen. Probleme bei der Nutzung angeboten von externen Clouds (im Gegensatz zu Private Clouds) für Firmen sind: Client: 1) (engl. Kunde) Abnehmer von Leistungen, auch intern - Lokalität - der Nutzer weiß nicht, auf wel- chem physischen System in welchem Land 2) im Client-Server Konzept Programm seine Anwendung und seine Daten verar- auf dem Rechner des Anwenders ( Desktop beitet und gespeichert werden. Dies ist oder Laptop), das über ein Protokoll mit problematisch u.a. für Datenschutz und einem entsprechenden Server-Programm Compliance. Europäisches Datenschutz- kommuniziert. Der Client übernimmt zumindest recht verlangt vom Data Owner, d.h. vom die Darstellung auf dem Bildschirm ( Thin Auftraggeber, dass er sicherstellt dass perso- Client, z.B. Citrix oder Webbrowser), oft nenbezogene Daten nur dort gespeichert und jedoch auch weitere lokale Verarbeitungs- verarbeitet werden, wo dies nach EU-Regeln aufgaben ( Fat Client). Siehe Client-side erlaubt ist. Ähnliche Probleme ergeben sich exposure aus dem Bankenrecht. Siehe Localization Client Puzzle Protocol: (CPP) - Geltendes Recht – US-Anbieter haben 2011 Client-side exposure: Verwundbarkeit die verkündet, dass sie auch bei einer
Version 11.1 Seite 36 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Speicherung in Europa sehr wohl US- zusammen mehr als die Hälfte des Umsatzes Gesetzen wie Patriot Act folgen müssen und Cloud Dienste: Systeme wie iOS, aber die Daten den US-Behörden zur Verfügung auch Windows 8 bieten sehr viele Dienste stellen – dies ergibt Probleme mit Datenschutz nur bei Nutzung von externen Servern, d.h. und Bankengesetzen. Wenn die Daten auf „in-the-cloud“ an. Vorteile sind die Verfüg- Grund eines NSL angefordert werden so darf barkeit der Daten auf mehreren Geräten, der Betreiber den Kunden nicht einmal über Nachteil ist der Verlust an Sicherheit, da die die Beschlagnahme informieren. Daten, um bequem verfügbar zu sein, - Verschlüsselungsimplementierung – die von i.d.Regel unverschlüsselt gespeichert werden Anbietern oft zitierte Verschlüsselung be- (siehe iCloud) Eine große Angriffsfläche steht fast immer darin, dass die Daten beim bieten alle Cloud Dienste durch Funktionali- Zugriff über das Internet mit https täten wie Passwort-Recovery, da speziell die verschlüsselt sind und dann auf den Servern kostenlosen Dienste sich keine komplexen eine symmetrische Verschlüsselung eingesetzt Prozeduren leisten können, d.h. Rücksetzen wird, bei denen die Schlüssel jedoch unter über E-Mail an einen anderen Account, der Kontrolle der Betreiber stehen ( SSE, z.B. evtl. bereits „geknackt ist. Siehe auch Amazon Webservice S3, im Gegensatz zum Shadow-IT AWS JDK for Java, das client-seitige Cloud file storage: Dienste die es erlauben, Verschlüsselung erlaubt). Vom Sicherheitsas- Dateien im Internet zu speichern um sie pekt akzeptabel sind lediglich solche entweder über andere Geräte zuzugreifen oder Implementierungen, wo die Schlüssel vom mit anderen Benutzern zu teilen. Diese Dienste Nutzer selbst verwaltet werden ( Spider Oak) verschlüsseln in der Regel die Daten auf - Sicherheitsimplementierung – die Qualität der dem Transport, haben jedoch Zugriff auf die Implementierung der Sicherheitsmaßnahmen Daten auf den Servern (sonst könnten die ist nur schwer nachprüfbar und gerade wegen Daten nicht über Webrowser direkt der Verfügbarkeit (zumeist) im Internet extra dargestellt werden). Dies betrifft z.B. auch kritisch. Möglichkeiten für eine Auditierung iCloud, Dropbox, Live Mesh, SugarSync. sind kaum gegeben, jedoch in einigen Alle US-Dienste stellen die Daten auch US- Bereichen wegen Compliance notwendig Behörden zur Verfügung. Sicherere Spei- - Mandantentrennung – solche Services cherdienstanbieter sind WUALA und sind nur dann kostengünstig wenn viele Nutzer SpiderOak. Sie nutzen, so wie das korrekt auf dem gleichen System „gehostet“ werden, ist, Schlüssel die nur auf den Endgeräten die Trennung der Nutzer ist unterschiedlich des Benutzers gespeichert sind. Dadurch gut. haben auch Administratoren keinen Zugriff. - Flexibilität bei Anbieterwechsel – solche Siehe auch Shadow-IT Services sind in der Regel mit „vendor-lock-in“ Cloud-Gaming: Spiele, die nicht implementiert verbunden, ein Abzug der Daten ist auf sehr sondern im Webbrowser gespielt werden, schwierig und damit teuer siehe Gaming - SLA – die Flexibilität der Anbieter bei Cluster : 1) Verbund gleichartiger Ressourcen. Verhandlungen bzgl. SLAs ist aus gutem Oft werden damit Gruppen von Rechnern Grund zumeist sehr begrenzt beschrieben, die gemeinsam eine Aufgabe er- Es ergeben sich bei Cloud Computing neue ledigen. Siehe Hochverfügbarkeit, Load Angriffsvarianten, z.B. Colocation Angriffe. Sharing, Hot Standby, Fail-over Anderseits nutzen vermehrt die Angreifer 2) interne Speichereinheit auf einer Magnet- virtuelle Server in der Cloud (bezahlt über platte, kleinste Speichereinheit für 1 Datei. Der Bitcoin oder andere anonyme Währungen) nicht verwendete Teil des Clusters wird File um kurzfristig große Rechenleistungen oder Slack genannt. Die jeweilige Größe eines schnelle Internetanbindungen zur Verfügung Clusters hängt von der Kapazität der zu haben, z.B. zum Cracken von Pass- Magnetplatte und von der Art des Datei- wort-Hashes oder für dDoS. systems ab (z.B. FAT oder NTFS). Die Rechenzentren die für die großen Cloud CME: (Common Malware Enumeration) Ver- Lösungen genutzt werden zeichnen sich i.d.R. einheitlichung der Bezeichnung von Schad- durch erheblich größere Energie-Effektivität software durch die US-CERT aus, als dies bei traditionellen Rechenzentren CMM: (Capability Maturity Model, auch CMMI, der Fall ist. Siehe Grid computing, SaaS, CMM Integration) Best Practise-Standard im Outsourcing Bereich Softwareentwicklung, entwickelt durch Der Markt für externe Cloud Lösungen ist das Software Engineering Institute (SEI) der geprägt durch eine starke Konzentrierung. 4 Carnegie Mellon University. Dabei wird jede Anbieter (Amazon Web Services AWS, Entwicklungsorganisation in eine von 5 Klas- Microsoft, IBM und Google) haben sen eingeteilt, abhängig davon, wie viele der
Version 11.1 Seite 37 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Best Practise-Regeln implementiert werden. ablaufen, z.B. Java Applets o.ä. Wird seit Derzeit (2006) sind ca. 75% auf der 1. Stufe. Anfang 2000 als Teilgebiet der Krypto- Siehe CobiT, ISO/IEC 21827, SMM graphie betrachtet, ohne dass dabei wirkliche CMMI: CMM Umsetzungen entstanden sind. Kann vermutlich auch nur in Spezialfällen wirklich CMS: (Content Management System) Soft- gelingen. ware zur Unterstützung einer Implementierung Wird von den Cyberkriminellen auch zum und Administration von Website-Inhalten. Ein Verbergen von „bösen“ JavaScripts vor solches System sollte z.B. den Genehmi- Malware-Schutz verwendet. In diesem Fall gungsfluss für neue Inhalte unterstützen und reicht das Spektrum von einfachem automatisch Code erzeugen, der gegen Scambling bis zu wirklicher Verschlüs- Angriffe wie XSS oder SQL-Injection selung des Codes und der Anforderungen des schützt. Siehe CSP dynamisch erzeugten Schlüssels mittels CNI: (critical national infrastructure) alle AJAX XMLHttpRequest. Siehe Dynamic Systeme und Einrichtungen, die für ein geord- Code Obfuscation netes Funktionieren eines Staats notwendig Code Signing: Nutzung einer digitalen sind. Neben Gesundheits-, Energie- und Signatur zur Sicherstellung der Authenti- Wasserversorgung gehört heute auch die IT- zität eines Programms. Setzt ein ver- Infrastruktur dazu. Europäische Initiativen dazu trauenswürdiges Programm für die Über- sind u.a.EPCIP und CIWIN. Siehe Cyber prüfung voraus. Siehe Trust Storm, IXP, Common mode failure Coding Styles: Code Audit CNP: (Card not Present) bei Kreditkarten die COI: Community of Interest Zahlung im Internet oder am Telefon, d.h. ohne dass der Händler die Karte sehen und die Cold Site: Rechnerraum für Cold Standby Unterschrift prüfen kann, bzw. die Karte durch Cold-Standby, Cold Site: Verfahren der einen geeigneten Leser führen kann. Für CNP- Hochverfügbarkeit, bei dem nur einer von 2 Betrug werden Kreditkartennummern ver- Rechnern aktiv in Produktion ist, der andere wendet, die mittels Cybercrime erlangt nach einer Umschaltzeit normalerweise im wurden. CNP-Nutzung stellt zwar (immer noch) Minutenbereich die Last übernehmen kann. Im nur einen geringen Teil der Kreditkarten- Gegensatz dazu Hot Standby, siehe Fail- nutzung dar, aber einen erheblichen Teil des over, Hochverfügbarkeit Kreditkartenbetrugs Collective Intelligence: Schlagwort für das CobiT: (Control Objectives for Information and Sammeln von Daten vieler Menschen durch related Technology) Zusammenführung von 41 automatisierte Überwachung (z.B. Auswer- nationalen und internationalen Standards aus tung von Standortinformation der Handys den Bereichen Sicherheit, Qualitätssiche- oder Anfragen in Suchmaschinen). Ziel ist rung und IT, durch das „IT Governance nicht nur Lernen über das Verhalten der Institute“ (ITGI, http://itgi.org ), propagiert und Einzelnen sondern auch die Interaktionen in genutzt durch die ISACA, sehr prozess- der Gruppe, verwandt mit Data Mining im orientiert, genutzt von IT-Auditoren und geht Bereich CRM. Problematisch sind die über Sicherheitsaspekte hinaus auch zu Auswirkungen auf die Privatsphäre, weil die Effizienz. Benutzt das CMM Maturity Modell. konsequente und sichere Anonymisierung http://www.isaca.org/cobit.htm der Daten sehr schwierig ist COCOMO: (CO nstructive CO st Mo del ) mathe- Collision: 1) bei Ethernet (oder anderen matische Methode zum Abschätzung von Bus-Systemen) wenn 2 Nachrichten gleich- Projektkosten und –fertigstellung auf der Basis zeitig auf einen Kanal gegeben werden. Hat von historischen Projektdaten und aktuellen lediglich Performance Probleme Projekt-Charakteristiken. Kann auch für IT- 2) beim IP-Protokoll wenn dem Endgerät Projekte genutzt werden einer Verbindung im Fall von Fragmentation Code Audit: Überprüfung eines Programms 2 Pakete mit gleicher Identifikation vorliegen. auf die Einhaltung von Programmierregeln Kann zum Umgehen von NIPS genutzt (Coding Styles) z.B. bzgl. Sicherheit. Siehe werden, siehe Evasion Audit, Walkthrough 3) bei Hash Algorithmen wenn unterschied- Code Obfuscation: (auch program obfus- liche Dateien den gleichen Hash-Wert cation) eine der Formen von Obfuscation. ergeben Beschreibt das Verändern von Programm- Colocation: Server mehrerer Firmen wer- code so, dass durch Analyse des Codes die den in 1 Data Center betrieben. Dabei muss Funktionalität im Detail nicht erkennbar ist. Ziel auf ausreichende Trennung geachtet werden, ist das Erschweren von Reverse Enginee- bei preiswerten Angeboten (viele Firmen in 1 ring (z.B. Verhindern von Raubkopien bei Rack oder auf 1 physikalischen Server, DRM- Verschlüsselungen). Wichtig immer Virtualisierung) sehr schwierig zu implemen- dann, wenn Programme nicth auf geschützten tieren. Extreme Form von Colocation ist Servern, sondern beim Kunden oder Nutzer
Version 11.1 Seite 38 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Cloud Services Stichpunkt auch Audit behandelt. Compliant zu Colocation Attack: Angriff der sein bedeutet aber nicht unbedingt, sicher zu Verwundbarkeiten ausnutzt, die sich aus sein. Siehe comply or explain gemeinsam genutzten Ressourcen ergeben, „Comply or Explain“: Prinzip bei Compliance speziell bei Cloud Services, bei denen Anforderungen. Es bedeutet, dass gegenüber Ressourcen dynamisch zugeordnet werden den Auditoren entweder nachgewiesen warden und z.B. auf neu zugewiesenen Magnet- muss, dass die Vorgaben eingehalten wurde plattenbereichen noch Daten von anderen oder warum die Vorgaben in diesem Fall nicht Firmen liegen können relevant sind. Für solche Erklärungen ist in der Combination Key: Möglichkeit des Link Regel eine Risikoanalyse erforderlich Keys bei der Herstellung eines Pairings zwi- Component Failure Impact Analysis: (CFIA) schen 2 Bluetooth-Geräten. Combination Analyse der Auswirkungen von Komponenten- Keys bleiben nicht permanent gespeichert. Sie ausfällen in Hardware oder Software, ein sind daher sicherer, aber auch unbequemer, Aspekt von Hochverfügbarkeit allerdings besteht während des Pairings auch Computer: (engl.Rechner) schwammig ge- eine erhöhte Mithörgefahr brauchter Begriff, zumeist Server oder PC Command and Control Server: (C&C Server) (Desktop, Laptop). Formal jedes Gerät, wichtiger Teil eines Botnets und bei APTs. das Informationen mit Hilfe von programmier- In beiden Fällen versuchen sich die infizierten baren Computerbefehlen verarbeiten kann. PCs auf den C&C Server zu verbinden um Dazu gehören heute auch Smartphones, von dort Instruktionen und weitere PDAs, aber eigentlich auch Handys und Programmteile zu laden, z.B. die Ziele von viele Embedded Systems, z.B. in konven- dDoS-Angriffen oder Spam-Mails. Dieser tionellen Maschinen. Alle Computer sind Datenverkehr wird oft über IRC-Kanäle ge- angreifbar, zumindest auf Grund kaum führt, zum Überwinden von Firewalls aber vermeidbarer Schwachstellen in den einge- häufig auch über http. Durch Unterbindung setzten Programmen, oft auch auf anderen dieser Kommunikation zum C&C Server, z.B. Wegen, z.B. Side Channel Angriffe durch IPS, können diese Infektionen Computerbefehl: Befehlssatz, erkannt und kann die Gefahr durch solche Programmcode, instruction Angriffe reduziert werden Computerkriminalität, Computer Crime: Common Criteria/ ISO 15408: die "Gemein- Cybercrime samen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik/ Com- Computernetz: Netz(werk) zur Kopplung von Computern zwecks Datenübertragung mon Criteria for Information Technology Secu- rity Evaluation (CC), Version 2.1", im August Siehe Datennetz, Netz 1999 fertig gestellt. Bewertungskriterien der Computervirus : Virus Sicherheit von Hardware und Software. Concurrent Copy: Mirroring Nachfolger des Orange Books TCSEC Configuration Management : systematische Common Mode Failure: Ausfälle trotz Verwaltung von Informationen über alle Redundanz, wenn mehrere Ressourcen eingesetzten Systemen, Teil des ITIL-Kon- gemeinsame Abhängigkeiten haben. Z.B. zeptes. Eng verknüpft mit Change Manage- unabhängige Internet-Anbindungen im glei- ment. Siehe cfengine chen Kabelschacht, gemeinsame Abhängigkeit Consistency Group: bei IBM Magnet- fast aller Ressourcen von der Stromver- plattenspeichern eine konsistente Kopie einer sorgung. Siehe Single point of failure, CNI Gruppe von Magnetplatten. Siehe Daten- Community of Interest: (COI) bei Data sicherung, BCV Mining die Menge der Kommunikationsteilneh- Consumer Profiling: (Benutzerprofil) mer, die mit einem bestimmen „Knoten“ Contact scraping: Technik von Social „verbunden“ sind (kommuniziert haben oder verlinkt sind). Siehe Hancock Networking Websites, bei denen ein Internet-Nutzer dazu gebracht wird, seine Compartmentalization: Sicherheitskonzept: Adressbücher (E-Mail-Kontaktliste) frei zu Auftrennung eines komplexen Systems in geben. Dann werden sehr oft im Namen des einzelne Teile mit Grenzen und wohl-definier- Nutzers Einladungen an alle seine Kontakte ten Übergängen, z.B. durch Schnittstellen verschickt, seinem Netzwerk beizutreten. Compiler: (to compile=zusammenstellen) Wenn die Kontakte dieser Datenübermittlung Siehe Assembler nicht vorher zugestimmt hatten, so stellt diese Compliance: in der Informationssicherheit: eine Verletzung des Datenschutzes durch gesetzes- und vorschriftstreues Handeln (z.B. den Nutzer durch. Bei einem Betritt des mit SOX, HIPAA, Gramm-Leach-Bliley, Kontaktes wird bei diesem der Vorgang PCI-DSS oder anderen Vorschriften oder fortgesetzt Gesetzen). Das Thema hat ein eigenes Kapitel Containervirtualisierung: Methode zur Virtu- in der ISO 27001. Dort wird unter diesem alisierung von Anwendungen die zwar
Version 11.1 Seite 39 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Einschränkungen gegenüber der Hypervisor book zieht mit ähnlichen Möglichkeiten seine Virtualisierung hat, dafür aber sehr resourcen- Friends zu ordnen, nach schonend ist da z.B. der System-kernel Contextual Computing: Schlagwort (2014) weiterhin geteilt wird. Diese Programme zur Bescheibung von Diensten wie Google werden dann z.B. von einer Software wie Now oder Cortana von Microsoft bei denen Kubernetes verwaltet (z.B. gestartet). Diese aus den Daten die ein einem Smartphone Programme implementieren in der Regel nur zur Verfügung stehen und gezielt gesammelt einfache Routinen – komplexe Anwendungen werden (typische Aufenthaltsorte oder Ortsver- nutzen dann viele unterschiedliche Container änderungen des Nutzers zu den jeweiligen für unterschiedliche Funktionen. Tageszeiten, Inhalte von E-Mails, z.B. mit Continuity Management: nach ITIL die Verabredungen oder Termine aus dem Kalen- Prozesse, die sicherstellen, dass die benötig- der in Verbindung mit externen Daten wie z.B. ten IT-Ressourcen auch im Katastrophenfall Wetter oder Verkehrszustand bei öffentlichen verfügbar sind oder in vorher vereinbarten Zeit- Verkehrsmitteln oder Staumeldungen) gezielte räumen wiederhergestellt werden können. persönliche Verhaltensvorschläge gemacht Siehe Business Continuity werden. Da auf diese Weise die Nutzer subtil Content: Inhalte, speziell im Internet, im gesteuert werden ( Nudge) kann dies auch Gegensatz z.B. zu Programmen. Die für Manipulationen missbraucht werden Erstellung von Content wurde noch 1995 als Contextual Discovery: beschreibt die Situa- die größte Herausforderung des Internets tion, wo ein Programm, typischerweise auf gesehen, daher kauften damals IT-Firmen einem Smartphone, selbständig Suchanfra- Media-Unternehmen wie Filmverlage oder gen stellt die sich aus dem Zusammenhang Medienkonzerne. Zur größten Überraschung (Uhrzeit, Ort des Benutzers, dem Inhalt des wurde dann dass die Erstellung von Content Kalenders für diesen Tag, Wetter, etc.) für ab ca. 2000 von den Benutzern selbst diesen Benutzer interessant sein könnten. So erledigt wurde, z.B. durch sog. Homepages, würden in fremden Städten abhängig vom d.h. privaten Websites, Blogs, Profile Interessentsprofil Sehenswürdigkeit vorge- auf Social Networks, aber auch Entwick- schlagen, Geschäfte und Restaurants, lungen wie Wikipedia. Content unterliegt i.d. alternative Verkehrswege auf Grund aktueller Regel dem Schutz durch Urheberrechte, Staus, etc. Vorschläge können von songs bis trotzdem werden Inhalte sehr oft (erlaubt oder soul mates reichen. unerlaubt) weiterverwendet. Weit verbreitete Um zu funktioneren setzt dies aber einen Regeln für die Nutzung von Inhalten sind in erheblichen Eingriff in die Privatsphäre den Creative Common Lizensen beschrie- voraus und öffnet Tür und Tor für Manipilation ben, diese stehen in gewissem Gegensatz durch meistbietende Werbetreibende zum Copyright. Siehe auch Chief Content Officer, Active Content, Content Blocking, Contingency Plan: Notfallplan, Desaster Recovery Plan Content Blocking: Content Filtering Control: in der Informationssicherheit: Content Delivery Network: (CDN), das Schutzmaßnahme (oft fälschlich mit bekannteste ist Akamai ‚Kontrolle’ übersetzt). Siehe CobiT Content Filtering: Analyse des Inhalts von Controller: (deutsch Auftraggeber) im E-Mails, Webseiten oder anderen Daten Datenschutz derjenige, der den Auftrag für aus dem Internet bezüglich Malicious eine Datenverarbeitung gibt und damit die Code, d.h. Viren, Würmer, etc. oder uner- Verantwortung für die Rechtmäßigkeit über- wünschten Inhalten. Dies kann im einfachsten nimmt. Sein Dienstleister muss durch ein Fall über das Erkennen von Schlüsselbegriffen SLA und regelmäßige Kontrollen zur oder über das Suchen von Datenpattern Einhaltung der Gesetze gebracht werden geschehen. Ein Spezialfall ist das Blockieren von Web-Adressen ( URL-Blocking), UAM Cookie: (engl: Keks, neuerdings http-Cookie) Datensatz, den ein Webserver auf dem Content Security Policy: ( CSP) Rechner eines Web-Nutzers temporär oder Content Vectoring Protocol: CVP permanent abspeichert. Besteht aus einem Context Collapse: Effekt auf Social Network Namen, einem Wert (String) und einem Websites dass Benutzer (im Gegensatz URL-Pfad für den dieser Datensatz später zum realen Leben) nur mit einer Identität wieder sichtbar ist. Außerdem hat ein Cookie auftreten und unterschiedliche Zielgruppen wie eine definierte Lebensdauer. Cookies sind den Freunde, Kollegen und Familie zumeist die Domainen zugeordnet die sie gesetzt haben. gleichen Informationen bekommen. Dies führt Wann immer der Benutzer später mit dieser zumeist zu einer Vermischung der Domain-Adresse kommuniziert, werden die „öffentlichen“ und der privaten Person und entsprechenden Cookie-Daten übertragen. Mit dann zu Verletzungen der Privatsphäre. Cookies kann ein Webserver feststellen, ob ein Google+ (heute obsolet) versuchte 2011 mit Web-Browser bereits früher mit ihm kommu- „circles“ dieses Problem zu lindern, Face- niziert hat. Cookies helfen im positiven Fall die Benutzereinstellungen beizubehalten, können
Version 11.1 Seite 40 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ aber auch datenschutzrechtliche Relevanz Anwendung der Regeln für ethisches Verhalten haben. Die Art.29 Behörde der EU postuliert, in der Geschäftswelt, z.B. durch dass durch das Setzen des Cookies auf dem Berücksichtigung aller Stakeholder (ISO Rechner des Benutzers eine Datenvearbeitung 26000). Siehe Nachhaltigkeit innerhalb der EU stattfindet, weswegen EU- COPPA: (Children's Online Privacy Protection Recht zur Anwendung kommt. Act) US-Gesetz zum Schutz der Privat- Man unterscheidet zwischen 1st party cookies, sphäre von Kindern (<13 Jahre), das US- wenn diese von der Website stammen von Websites einhalten müssen bei denen der auch die Inhalte kommen und 3rd party persönliche Daten anfallen und dass cookies die von anderen Websites stammen, dadurch auch für uns relevant ist. Kern des z.B. um Tracking Informationen zu Problems ist die Online-Altersfeststellung gewinnen. Dazu wird z.B. eine 1x1 pixel (age verification). Die Kinder nach dem Graphik angefordert ( Web bug). Wenn diese Geburtstag zu fragen ist nicht unbedingt Graphik vom Webserver geliefert wird so geeignet, daher wird oft eine Zustimmung der können Tracking Daten an diese Website Eltern verlangt („Verifiable Parental Consent“). (= Domaine) geliefert werden und von dieser Dies wird zum Teil über die Eingabe einer Domaine auch ein Cookie gesetzt werden. Kreditkarten-Nummer oder über Brief oder Weil (speziell 3rd Party)-Cookies immer öfter Fax implementiert. Wenn das Kind unter 13 blockiert oder gesetzlich eingeschränkt werden ist, so haben die Eltern Einsichts- und arbeiten Tracking Firmen zunehmend mit Löschungsrechte, wenn die Eltern >12 be- Techniken wie Device Fingerprints und sog. stätigen so hat das Kind Schutz der Evercookies. Siehe Flash Cookie, DOM Privatsphäre auch gegenüber den Eltern. Eine Storage. 2014 kommt neu Canvas Studie zeigt 2011, dass viele Eltern ihren Fingerprinting als alternative Tracking Methode Kindern bei der Registrierung für Facebook dazu. (FB) helfen indem sie auch 12-jährigen Da die DSGVO Einschränkungen, bzw. Zu- bestätigen, dass sie bereits 13 sind, da auf FB stimmungsverpflichtungen bzgl. Cookies nur Kinder >12 mitmachen können. Durch enthält haben sich seit ca. 2020 Cookie diese falsche Altersangabe wird der vom Walls verbreitet Gesetzgeber beabsichtigte Schutz der Minderjährigen verhindert, denn Daten von Cookie Wall: eine von Dark Pattern Technik Kindern <13 unterliegen einem verschärften bei denen Benutzer einer Website entweder Datenschutz und dürfen z.B. nicht für explizit oder implizit durch ein sehr kom- Werbezwecke verwendet werden. pliziertes Verfahren zum Vermeiden von http://www.coppa.org/ Cookies zu Akzeptieren von Cookies „gezwungen“ werden falls sie auf die Website Copyleft: Schutzverfahren für freie Software zugreifen wollen. Dies ist eigentlich nicht im ( Open Source) und andere Inhalte, das Sinne der DSGVO. Die ePrivacy Regulation einen bestimmten Aspekt des Copyrights will/sollte hier eingreifen. Der Begriff wurde (bzw. Urheberrechts) in sein Gegenteil zu analog zu Paywall geprägt verkehren versucht. Copyleft erzwingt die Frei- heit von Weiterbearbeitungen und Weiterent- CORBA: (Common Object Request Broker wicklungen eines freien Ur-Werkes, um Architecture) objekt-orientierte Methode um dadurch die unfreie Vereinnahmung freier Anwendungen auf verschiedenen inkom- Werke zu verhindern. Siehe Lizenz, patiblen Systemen zu integrieren. Enthält Creative Commons, Public Domain APIs, Kommunikationsprotokolle, Objekt- und Servicebeschreibungen. Stellt eine Copyright: bezeichnet im angloamerikani- standardisierte Methode eines rpc dar schen Rechtskreis das Recht, eine Sache bzw. ein Werk zu vervielfältigen, ähnlich zu, aber Corporate Culture: Unternehmenskultur; Phi- nicht identisch mit dem deutschen Lizenz-, losophie einer Firma, die folgende Punkte um- Urheberrecht. Wird durch DRM einge- fasst: Ziele, die über die rein wirtschaftlichen schränkt. In D. und Ö. gibt es ein Recht auf Aspekte hinausgehen, externe Kommunikation Privatkopie, jedoch eingeschränkt, wenn des Unternehmensbildes ( Corporate Iden- Kopierschutz eingesetzt wird. Siehe tity), Umgang mit den Mitarbeitern, etc. Copyleft, intellectual property, Creative Unternehmenskultur, Businessethik Commons, Upload-Filter Corporate Identity (CI): inneres und äußeres Core: (engl. Kern) einzelner Prozessor eines Erscheinungsbild eines Unternehmens. CI um- Multicore-Chips. Zum Teil werden Resourcen fasst die gesamte Unternehmenskommunika- wie L2 oder L3 cachen dabei geteilt, ansonsten tion, also Marketing, Werbung, Presse- und entspricht ein Core einer CPU und wird PR-Arbeit, außerdem die Darstellung des lizenztechnisch bei Software-Lizenzen Unternehmens durch ein einheitliches Logo zumeist auch so bewertet und Design. Sie spiegelt die Corporate Cul- ture wieder und ist darauf ausgerichtet, das Corona Apps: während der Covid-19 Image des Unternehmens zu verbessern Pandemie in 2020, 2021 wurden eine ganze Reihe von Smartphone Apps entwickelt Corporate Social Responsibility: (CSR)
Version 11.1 Seite 41 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ die oft sehr unterschiedliche Funktionen oft mittels ‘QR-Code einscannen‘ umgesetzt aufwiesen, z.B. Corona Warn Apps, Tracing (als Ersatz für die in D eingesetzten Zettel, oft Apps, Impf-Apps, Immunitätsausweis, Kontakt- falsch ausgefüllt und auch prompt durch die Tagebuch, Quarantäne-Tagebuch, etc.). Polizei missbraucht). Wie diese Aufzählung zeigt, wurden für viele Vorgeschlagen werden auch Apps die eine Funktionalitäten Apps vorschlagen oder Impfung und/oder überstandene Krankheit entwickelt. Dabei gibt es fast immer Konflikte dokumentieren um daran Privilegien wie freies zwischen dem Nutzen für den Einzelnen oder Reisen zu knüpfen (elektronischer Impfpass, der Allgemeinheit und dem Datenschutz elektronischer Immunitätsnachweis). Da dies (weswegen von einigen Politikern der Wunsch i.d.Regel zentrale Speicherung voraussetzt (in nach weniger Datenschutz geäußert wurde). Ö Zugriff auf ELGA) ist dies aus vielfälltigen Bei den Warn-Apps geht es darum, dass eine Gründen problematisch – trotzdem wird es App die Nähe von anderen Personen solche Implementierungen sicher geben feststellen soll, die Dauer der Nähe und Cortana: Service auf (mittlerweile obsoleten) betroffene Kontakt-Personen im Fall einer Windows-Smartphones der Benutzern auf Erkrankung warnen soll. Dabei wurde zuerst Grund von gesammelten Daten persönliche das Protokoll PEPP-PT vorgeschlagen, das Ratschläge für ihr Verhalten gibt ( personal eine zentrale pseudonyme Speicherung aller assistant), Fragen beantwortet und einfache Kontakte gebracht hätte. Gegen diese Aufgaben erledigt. Wird meist über Implementierung gab es Proteste aus der Sprachsteuerung genutzt. Zur Problematik Zivilgesellschaft (z.B. CCC oder epicenter siehe Contextual Computing works) die als Alternative DP-3T vor- COS: (Card Operating System) Betriebs- schlugen, bei dem alle Kontakte lokale ge- speichert werden und eine pseudonyme system, das auf einer Smartcard mit Krypto- Benachrichtigung erst bei einer Erkrankung processor implementiert ist (im Gegensatz zu passiert. Die zentrale Lösung hätte Vorteile für reinen Speicherkarten). Beispiele sind: ISO die Bewertung der Wirksamkeit von „Lock- 7816 Norm (95% Weltmarkt): CardOS down“-Maßnahmen gebracht. Entschieden hat (Siemens), StarCOS, StarPOS (Gieseke & letztendlich eine Kooperation von Google Devrient), MCOS, MPCOS, MPCOS-EMV und Apple, die sich für DP-3T entschieden (Gemplus), PayFlex, CryptoFlex (Schlumber- und dafür eine gemeinsames API ent- ger), TCOS (Telesec–Deutsche Telekom), wickelten (ohne die eine Umsetzung aus Micardo (ORGA), ca. 20 weitere Hersteller. mehreren technischen Gründen nicht möglich Java (3% Weltmarkt): Cyberflex (Schlum- gewesen wäre). Diese API soll nach Ende von berger), GemXpresso (Gemplus), Open Platt- form (VISA). Andere Typen (2% Weltmarkt): Covid-19 aus Datenschutzgründen auch zentral de-aktiviert werden. Die Feststellung Windows for Smartcards ( Microsoft), Multos der Nähe läuft in der API über Bluetooth LE (Maosco) (Low Energy) – was ziemlich aktuelle Geräte COSO: (Committee of Sponsoring Organiza- voraussetzt. tions, “Treadway Commission“) 1985 gegrün- dete private Initiative zur Stärkung von Das Datenschutzkonzept sieht so aus: Dezentrale Speicherung von Random-Kontakt- Governance im Unternehmen durch Risi- komanagement und systematische Kontrollen. Token im Gerät, bei Infektion Hochladen der Token zum zentralen Server und Versand der Veröffentlichte „Internal Integrated Control , SOX Token an alle Geräte. Um einen Missbrauch Framework“. http://www.coso.org durch falsche Infektionsmeldungen zu CO-TRAVELLER: NSA-Aktivität, die die verhindern muss beim Setzen des täglich gesammelten Milliarden von Handy Infektionsstatus eine Identifizierung der Standortdaten auswertet und daraus Person durch Verknüpfung mit dem QR- Erkenntnisse über Verbindungen und Aktivitä- Code des positiven Tests gesichert werden. ten von Personen gewinnt Der Qellcode der App ist Open-Source. Die COTS: (Commercial off-the-shelf software or Akzeptanz ist zum Teil begrenzt, die hardware) Verwendung von fertigen Lösungen Downloadzahlen sind für D: >24 Mio, Ö: >1,3 im Gegensatz zur Entwicklung “in-house”. Mio., CH: > 2 Mio. Höhere Downloadzahlen Hauptsächlich zum Einsparen von Kosten ver- würden eine höhere Effektivität bedeuten, wendet, kann aber auch sicherheitsrelevant anderseits sind viele Tausend Warnungen sein, da Standard-Sicherheitslösungen oft bes- versendet worden. Andere Implementierungen ser sind als „Selbstgeschneidertes“ z.B. in Korea oder Singapur auf anderer CPP: (Client Puzzle Protocol) siehe proof-of- technischer Grundlage greifen z.B. sehr tief in work den Datenschutz der Bürger ein. CPS: 1) Certificate Practice Statement Weitere Typen von Apps werden (vor allem in anderen Ländern mit geringerem Datenschutz- 2) Cyber-physical System Niveau) rund um Covid-19 eingesetzt und noch CPU: (central processing unit) „Herz“ eines eingesetzt werden. So wird die Registrierung Rechners, die logischen Schaltkreise, die die von Besuchen in Restaurants oder Geschäften Computerbefehle „exekutieren“. Heute fast
Version 11.1 Seite 42 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ immer als Multi-Core Chip realisiert. Credential Stuffing: Passworte aus Pass- Zusammen mit Speicher die Haupt- wort-Leaks werden für Login-Versuche bei komponente eines Rechners anderen Webservern oder Diensten verwen- CPU-Architektur: Definition von Befehls- det. Dies gelingt leider recht oft, weil Nutzer satz, Darstellung von Zahlen ( integer, das kompromittierte Passwort bei mehr als real), Byte-Reihenfolge, etc.. Dabei einer Website verwendet hat. Daher ist die werden verschiedene Konstruktionsprinzipien Wiederverwendung von Passworten eine der unterschieden, zB. RISC (ein Beispiel ist größten Bedrohungen für Accounts im ARM) oder CISC (mit dem Beispiel x86) Internet, noch größer als die Ntzung von mittelschwachen Passworten Crash: Absturz Credit freeze: Schutzmöglichkeit in den USA Crack: Knacken eines Kopierschutzes bei gegen Identity Theft: verhindern dass für Software (Programmen, Betriebssystem), diese Person (man selbst) eine Kreditauskunft Musik oder Videos. Die von Herstellern erteilt wird oder ein Kredit vergeben kostenlos verbreiteten, 30 Tage lauffähigen Testversionen von Programmen sind häufig als Critical Infrastructure Protection: (CIP) 'gecrackte' voll lauffähige Software im Internet Schlagwort das den Schutz von technischen zu finden, z.B. Systemen beschreibt, die für das Überleben http://www.geocities.com/TimesSquare/Lair/7602/c einer modernen Gesellschaft notwendig sind. rack.html . Diese illegalen Versionen können mit Dies ist vor allem Stromversorgung, die jedoch Malware infiziert sein. Siehe Password wiederum vom Funktionieren einer digitalen Recovery Kommunikation abhängt. Dazu zählt auch die Versorgung mit Lebensmitteln, die wiederum Cracker: 'Computerfachleute', die sich illegal verfügbare Transportmittel und –wege Zutritt zu fremden Computernetzen ver- voraussetzt, sowie auch Bargeldversorgung. schaffen und dort Daten und Informationen Der Schutz kritischer Infrastruktur wurde seit sammeln, abziehen, manipulieren oder zer- ca. 2010 sehr stark zum Thema, auch bei der stören. Siehe Hacker, Computer- EU. Ereignisse wie Stuxnet und viele kriminalität andere Angriffe gegen SCADA Systeme Cracking: Umgehen eines Schutzes, oft durch haben gezeigt, dass die Elemente der Re-Engineering. Ziel ist sehr oft die kritischen Infrastruktur Angriffsziele für Gegner Erstellung von Raubkopien. Ein weiteres Ziel eines Staates sein können und dass sie durch kann es sein, unbefugt auf Daten oder ihre Vernetzung im Internet auch sehr Dienste zuzugreifen, z.B. durch Cracken der angreifbar sind. Siehe Cyber-physical Verschlüsselung einer DVD ( AACS, System CSS) oder der Codes eines Satelliten- Critical Records: Geschäftsdokumente (elek- empfängers. tronisch oder in anderer Form) deren Verlust CrashPlan: Cloud service, siehe Dropbox oder Veränderung ernste Auswirkungen hätte. Crawler: automatisches Programm, welches Solche Dokumente müssen identifiziert und das Internet nach bestimmten Kriterien sorgfältig archiviert werden. Siehe durchsucht, z.B. als Bot einer Such- Archivierung maschine, oder auch um Websites mit CRL: Certificate Revocation List verwertbaren Inhalten zu finden (legal oder Cross-Origin Resource Sharing: Feature in illegal). Siehe ACAP HTML5 die es erlaubt, vom Browser auf CRC: (cyclic redundancy check) Methode zur Browser-Objekte zuzugreifen, die von anderen Erstellung einer Prüfsumme zur Entdeckung Domains geladen wurde. Dies verhindert in von Fehlern in Übertragungen. Nicht HTML4 die Same Origin Policy. Dies geeignet für kryptographische Verfahren wurde nun aufgeweicht um zu ermöglichen, (Hash) dass Funktionalitäten von anderen Websites Creative Commons: Form des Urheber- leichter eingebunden werden können. rechts, bzw. Copyrights ( intellectual pro- Problematisch ist, dass der Benutzer nicht perty, IP) von Werken, das eine flexible gefragt wird und diese Anfragen im Context Gestaltung durch den Urheber erlaubt. Von bereits bestehender Sitzungen mit allen vollkommen freier Verwendung („no rights Rechten dieses Benutzers ausgeführt werden reserverd“) bis zu spezifisch eingeschränkten Cross-site scripting: XSS Verwendungen („some rights reserved“). Für Cross-site request forgery: CSRF Software wird oft GPL verwendet Crowdturfing: Manipulation von Meinungen Credentials: Bescheinigung einer Fähigkeit zu Politik oder Produkten durch bezahlte oder eine Berechtigung, in der IT oft Aktivitäten in Social Networks, Blogs und Benutzername und Passwort, bzw. auf Websites die Kommentare erlauben. OTP-Token Wenn damit eine einzelne Firma beauftragt Creditial Leak: Passwort Leak wird, so läuft das unter Astroturfing Credential Spraying: Passwort Spraying Crowdsourcing: Vergeben von kleinen
Version 11.1 Seite 43 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ schlecht bezahlten Aufträgen die nur durch scheint zuzustimmen, das FBI möchte einfach Menschen erledigt werden können (z.B. das abhören können. Seit ca. 2018 gibt es starke Beurteilen von Fotos) an Internetnutzer, oft in Bemühungen, auch innerhalb der EU, end- Entwicklungsländern. Ein großer Anteil dient to-end Verschlüsselung zu verbieten. Als bösartigen Zwecken, siehe Crowdturfing. Gründe werden Terrorismus und Gewalt- Crowdturfing: bösartige Nutzung von gegen-Kinder (fälschlich „Kinderpornographie“) Crowdsourcing. Ein Beispiel ist das CSIRT: (Computer Security Incident Response „Knacken“ von CAPTCHAs, aber auch das Team) untersucht Vorfälle der Informa- Anlegen von Accounts in Social tionssicherheit. Siehe Incident Management Networking Dienste für Spam, Manipulation CSI: 1) (Computer Security Institute) US- von Auktionen. Diese kommerziellen Dienste Organisation von Security Professionals, gibt die in großem Umfang zur Verfügung stehen jährliche Report auf der Basis von Umfragen hebeln das Sicherheitskonzept aus, das davon heraus ausgeht, dass böswillige Aktionen nicht 2) (Crime Scene Investigation) forensische gleichzeitig von einer großen Zahl von Menschen ausgeführt werden können. Ein Arbeiten auch im Fall von Computercrime anderer Aspekt ist das Manipulieren von CSI-Stick : kleines Gerät, das Speicher von Meinungen durch viele Beiträge in Blog- Handies auslesen kann um SMS, letzte Websites, Astroturfing genannt Anrufe, Telefonbuch, etc. zu analysieren Crypting: bezeichnet einen Service für CSP: Anbieter von Schadsoftware, bei dem eine 1) (Cryptographic Service Provider) Software solche Software gegen die heute installierte (basierend auf dem MS CryptoAPI), die in Schutzsoftware gestestet wird. Wenn die Verbindung mit einem kryptographischen Schutzsoftware Alarm gibt, so wendet der Gerät kryptographische Algorithmen imple- Service spezielle Obfuscation Software an mentiert. Wird z.B. in Verbindung mit bis die Schadsoftware nicht mehr als solche Smartcards eingesetzt und dann vom erkannt wird. Dies wird FUD (fully un- jeweiligen Anbieter für ein spezifisches detectable) genannt COS bereit gestellt CryptoParty: Treffen von Menschen mit dem 2) (Content Security Policy) neuer Versuch Ziel, sich gegenseitig grundlegende Verschlüs- 2011 gegen XSS. Über neue http- selungstechniken (zum Beispiel Tor, VPN, Header kann ein Website-Entwickler ver- PGP, Festplattenverschlüsselung und hindern, dass mittels präparierter URL sichere Messaging Dienste beizubringen. Zu oder HTML-Injektion in den Inhalt einge- finden z.B. auf https://cryptoparty.at fügter Javascript Code ausgeführt wird. Crypto Wars: als 1. Crypto War werden die Durch die Nutzung von CSP wird die Bemühungen der US-Behörden bezeichnet, Same Origin Policy deaktiviert. Java- den Export von Verschlüsselungssoftware script kann dann nur noch gezielt von (oder -hardware) dem Handel mit Waffen dafür freigegebenen Quellen nachgeladen gleichzusetzen. Das ging so weit, dass Web- werden kann. Auch Events wie on-click browser wie Netscape in der „international müssen explizit freigegeben werden. edition“ nur 56-bit Verschlüsselung einsetzen Ineffektiv ist dieser Schutz, wenn ein durften (um eine leichteres Entschlüsseln Man-in-the-Middle oder Man-in-the- durch die NSA zu ermöglichen). Erst 1996 Browser diesen HTML-Tag entfernt oder wurde Software von den Regeln für Waffen- wenn dem Angreifer ein persistent XSS handel ausgenommen. 1991 war die Phil gelingt, d.h. der Schadcode in das CMS Zimmermanns PGP sichere Kryptographie einfügen kann. CSP ist 2013 in den weltweit verfügbar. Browsern Chrome und teilweise Firefox und Safari unterstützt und muss auf jeder Ebenfalls unter Crypto War werden die Aktivi- einzelnen Website aktiv (mühsam) einge- täten der NSA verstanden, die Verschlüs- baut werden. Letzteres kann dadurch selungen in GSM A5/1 bewusst unsicher zu machen und die Aktivitäten rund um das erleichtert werden dass CMS dies automatisieren können BULLRUN Programm. Dies wird zum Teil als 2. Crypto War bezeichnet. Crypter: Begriff aus dem Bereich Als 3. Crypto War wird zum Teil bezeichnet, Schadsoftware. Software, die Schadpro- gramme so verschlüsselt, dass sie von dass in 2015 nach den Terroranschlägen in Malware-Schutz nicht erkannt werden. Dabei Paris die Sicherheitsbehörden der westlichen kommt ein Crypter Stub zum Einsatz, ein Ländern ein Verbot der sicheren Verschlüsse- kleiner Programmteil der ausführbar ist und lung fordern, bzw. nur Verschlüsselung den Rest der Software entschlüsselt erlauben wollen, wenn die Schlüssel staatlich hinterlegt sind. Dies wird in 2015 heftig und Cryptochip : spezielle Form eines Microchips kontrovers diskutiert und ist ein Beispiel für der für kryptographische Operation und die IGL. Alle wichtigen Krypto-Experten sind für sichere Speicherung von Schlüsseln ver- eine starke Verschlüsselung, die NSA wendet wird, integriert in HSMs, aber auch
Version 11.1 Seite 44 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Bankomatkarten und ähnliches. Siehe manchmal als Ersatz für die Directory einer Chip PKI dar. Die Webbrowser enthalten eine Cryptocurrency: virtuelle Währungen deren Liste von „trusted CAs“ deren Zertifkate ohne Sicherheit auf kryptografischen Operationen Rückfrage beim Benutzer akzeptiert werden. beruht. Beispiele sind Bitcoin, Dash, Dies stellt für diese CA einen erheblichen Ethereum und weitere. Siehe Geschäftsvorteil da, da solche Rückfragen oft https://en.wikipedia.org/wiki/List_of_cryptocurr zur Verunsicherung des Benutzers beitragen encies cult of the dead cow (cDc): legendäres Cryptocurrencies werden derzeit (2019) vor Hackerkollektiv, gegründet 1984 in Texas. allem für Spekulationen und kriminelle Berühmt/berüchtigt durch die Fernwartungs- Aktivitäten genutzt, z.B. Ransomware. Sie software Back Orifice, die auch illegal sind üblicherweise pseudonym, aber NICHT eingesetzt wurde. Sie gelten als einer der anonym. D.h. Polizeibehörden haben (mit Begründer des Hacktivismus einigem Aufwand) sehr wohl Möglichkeiten an cURL: (Client for URLs oder Curl URL die Identitäten der Nutzer zu kommen. Áb Request Library) Programmbibliothek und ca. 2019 wird aber auch über sog. command line Tool ( Shell) zum Abruf von Stablecoins nachgedacht. Dies sind Webseiten durch Eingabe der URL. Dabei kryptographische Währungen die an andere können sogar mittels POST-request Daten Währungen oder Währungskörbe gebunden an die Webseite übertragen werden. Die sind. So arbeitet die chinesische Zentralbank Antwort erfolgt als HTML-Text, das im Web- schon eine Weile an einer Cryptowährung. Browser übliche Rendering findet nicht statt Auch die von Facebook geplante Libra wäre CURL: Programmiersprache für interaktive ein Stablecoin. Auch andere Zentralbanken Internetanwendungen, nicht sehr weit genutzt. erwägen solche Zahlungsoptionen ("Central Weitgehend durch Javascript-basierte Bank Digital Currencies" (CBDC)). Jede Programmierungen ersetzt Abschaffung von Bargeld würde jedoch eine CVE: (Common Vulnerability and Exposure) deutliche Erhöhung der Überwachungs- Verfahren für die eindeutige Identifizierung von möglichkeiten bedeuten entdeckten Schwachstellen. Wird von den An- Cryptolocker: eine der Implementierungen bietern von IDS Systemen und Vulnera- von Ransomware bility Scannern verwendet, verwaltet durch Cryptowährung: Cryptocurrency MITRE CSR: Corporate Social Responsibility CVP: (Content Vectoring Protocol) Verfahren CSRF: (Cross Site Request Forgery) Angriff, zum Austausch von Daten zwischen einer bei dem Inhalte einer Website Zugriffe auf Firewall und einem Malware-Schutz eine andere Website realisieren die z.B. in CVSS: (Common Vulnerability Scoring einem E-Mail verlinkt wird oder zur gleichen System) Initiative der FIRST, um den Zeit im Browser offen ist, z.B. über HTML- Schwachstellen, die mittels CVE katalo- IMG-Tag. Dieser Zugriff kann für den Benutzer gisiert werden, ein Rating bzgl. ihrer Gefähr- unsichtbar eine Formular-Eingabe simulieren lichkeit zuzuordnen. Dabei wird die lokale oder und damit Benutzereingaben vortäuschen die entfernte Wirksamkeit, die Schwere der im Account des Benutzers, z.B. im e- Auswirkungen eines Angriffs und andere Banking durchgeführt werden. Nicht zu Parameter berücksichtigt. Der Wert 10 ist das verwechseln mit XSS. Gut erkärt auf Maximum und 9,8 kommt immer wieder mal https://www.troyhunt.com/promiscuous- vor cookies-and-their-impending-death-via-the- CVV: (card verification value) von VISA samesite-policy/ Siehe auch SOP, SSRF verwendeter Begriff (Mastercard verwendet CSS: CVC, card verification code) für Technologie 1) (Cascading Style Sheet) Sprache, die For- zur Reduktion von Kreditkarten-Betrug. matierungen für HTML, XHTML und CVV1 ist auf der Magnetspur enthalten und für XML definiert. Siehe DHTML, DOM Online-Bezahlung verwendet („card present“), CVV2 3 Ziffern auf der Rückseite aufgedruckt 2) (Content Scrambling System) Kopier- und beim Bezahlen auf Websites verwendet schutz auf DVD-Medien. Seit 1999 gibt es („card not present“). CVV dürfen nach den das Programm DeCSS, mit dem sich der PCI-DSS-Regeln nicht vom Händler Schutz umgehen lässt. Siehe DRM gespeichert werden 3) (Cross-site scripting) XSS Cyberattack: vom Militär verwendeter Fachbe- CT: Certificate Transparency griff für den Angriffsaspekt von Cyberwar: to CTF: Capture the Flag deliberate actions to alter, disrupt, deceive, CTL: (certificate trust list) Liste von digitalen degrade, or destroy computer systems or Zertifikaten oder CAs, deren Zertifikate networks or the information and/or programs ohne Rückfrage von einem Clientrechner resident in or transiting these systems or akzeptiert werden. Solche Listen werden networks. Spionageaktivitäten wie das Ein-
Version 11.1 Seite 45 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ dringen in fremde Computersysteme fallen direkten Umfeld statt und nicht überwiegend nicht unter diese Definition nach Anbahnung im Internet Cyber Bullying: auch Cyber Mobbing , Cyber-physical System: (CPS) jede Kom- Nutzung moderner Kommunikationsmittel (z.B. bination von IT-Komponenten mit physischen dem Internet) um anderen Menschen durch Elementen die physische Veränderungen üble Nachrede, (anonyme) Drohungen, hervorrufen können, z.B. die Steuerung von Stalking, zu schaden, oft unter Ausnutzung Industrieanlagen mittels SCADA und ICS der (vermeintlichen) Anonymität. Siehe auch Technologien. Viele dieser Systeme gehören in Doxing, SWATting, Revenche-Porn, der Bereich Critical Infrastructure (siehe Sexting CIP). Weitere Themen sind Smart grid, Cybercrime: ungenau definierter Begriff, 1) Home Automation, Internet of Things, C- Angriffe gegen Rechner, d.h. Eindringen in ein IST (z.B. V2V, V2I), aber auch e-Health. IT-System, Datenveränderung oder -diebstahl, Diese System zeichnen sich dadurch aus, bzw. (fälschlich) 2) Verbrechen, die mittels dass sie auf Grund ihrer IT-Komponenten (die Computer begangen werden. Siehe meist auch vernetzt sind) leicht angreifbar sind Cybercrime Economy, eCrime, Money und auf Grund der physischen Komponenten Mule, Meldestelle, EU Schäden IRL (in real live) erzeugen können Cybercrime Convention: (CCC) 2001 vom Cyberspionage: Industriespionage imit Europarat in Budapest verabschiedet. Ziel ist Mittelns des Internets. D.h. Erlangen von die Bereitstellung von Gesetzen und Vorge- vertraulichen Informationen durch Eindrin- hensweisen zur Bekämpfung "verschiedener gen in fremde Computernetze oder Computer- Arten kriminellen Verhaltens gegen Com- systeme. Ein wichtiges Mittel dabei sind puter Systeme, Netzwerke und Daten". Zero Day Attacken um damit den Mal- Die Mitgliedsstaaten stellen unter Strafe: wareschutz des Unternehemens zu unterlau- widerrechtlicher Zugriff auf Computersysteme, fen. Eine weitere wichtige Angriffsmethode ist Abfangen von Daten, Störung der Funk- dabei Social Engineering. Solche Angriffe tionsfähigkeit, Missbrauch von Programmen werden auch als APT bezeichnet und sind, oder Zugangsdaten, Datenfälschung. Straf- da gezielt und oft hartnäckig, auf die Dauer barkeit (je nach Land) meist nur bei Absicht kaum zu verhindern. Daher wird in diesem einer Straftat oder um sich einen Vorteil oder Zusammenhang heute immer öfter eine anderen einen Nachteil zu verschaffen effiziente Entdeckung der Infiltration des internen Netzes und der internen Systeme Cybercrime Economy: Summe aller Cyber- gefordert, z.B, durch IPS. Siehe auch crime Aktivitäten (im Sinne der 2. Definition) Bundestrojaner, Flame, FinFisher/ und den Beteiligten. Zeichnet sich durch sehr FinSpy, Attribution weitgehende Arbeitsteilung und hohe Professionalisierung aus. Beteiligt sind z.B. Cybersquatting: Domainnamen-Piraterie Hacker, Spammer, Bullet-proof Web- Cyber Storm: Codename für eine Übung des hoster, Botnetz-Betreiber und Teile der US-DHS zur Simulation von Angriffen auf die organisierten Kriminalität, Paysafecard Infrastruktur mittels IT ( CNI). Teilnehmer u.a. Cyberfraud: Betrug beim Einkaufen im US-CERT und viele andere Organisationen Internet. Die häufigste Form ist der Kredit- Cyberterror: falsches Schlagwort, das den kartenbetrug, die Bestellung mit gestohlenen Begriff Terrorismus entwertet. Besser oder erfundenen Kartennummern. Außerdem Cybercrime, bzw. Cyberwar kommt es vor, dass bezahlte Produkte z. B. Cyberwar: (Cyber warfare - Krieg im Cyber- nach einer Online-Auktion nicht geliefert wer- space) Kriegsführung, die darauf abzielt, den. Siehe eBay, Fraud-Detection Informationsnetze und -systeme des Gegners Cybergrooming: Versuch von Erwachsenen zu überwachen, zu manipulieren (z.B. durch im Internet (z.B. Chatroom, Social Desinformation), zu stören oder auszuschal- Networks wie Snapchat, Instagram oder ten. Beinhaltet Angriffe auf staatliche oder TikTok), Chat-Funktionen in Online- private Computernetze oder IT-Systeme Spielen oder virtual world Plattformen wie von Staaten, entweder um Druck auf diese Second Life oder Habbo Hotel) illegitime Staaten auszuüben oder um konventionelle Kontakte mit Kindern und Jugendlichen herzu- Kriegshandlungen zu unterstützen. Dabei ist stellen und entweder einen offline-Kontakt zu relativ unumstritten, dass die bisherigen Re- verabreden oder die Opfer zu Sexting zu geln der Kriegsführung weiter gelten, so z.B. überreden. Eine große Herausforderung ist die die Forderung nach militärischer Notwendigkeit Altersverifikation, d.h. Erwachsene haben es einer bestimmten Kriegshandlung, der Propor- leicht, sich als Kinder auszugeben. Es wird tionalität der Aktionen und der Minimierung von versucht, dieses Problem durch Beobachtung Kollateralschäden. Und auch das Recht auf der Interaktionen zu behandeln, entweder Selbstverteidigung eines Landes wird allge- durch menschliche Moderatoren oder auch mein anerkannt. mittels AI ( Chatbot). Kindesmissbrauch Gemessen“ werden Angriffe im Cyberspace findet aber vor allem in der Familie und im mit vergleichbaren kinetischen Waffen,
Version 11.1 Seite 46 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ obwohl im Cyberwar andere „Waffen“ genutzt den, dass vor dem Aufbau einer Verbindung zu werden, z.B. durch dDoS oder Blockieren einem Server die Identität des Servers der Internetverbindungen durch Störung von geprüft werden kann. Diese Prüfung müsste Routing oder DNS-Servern oder Schad- beim web-browsen im Browser passieren, software, die gezielt Rechner und Infra- bei der Verbindung zwischen Mail-Servern vor struktursysteme mit bestimmten Länder- und dem Aufbau der SMTP-Verbindung. Eigent- Zeitzoneneinstellungen angreift. Kritisch in lich gute Idee, als problematisch wird gesehen, diesem Zusammenhang ist die starke dass es auf der hierarchischen Struktur des Verwundbarkeit der SCADA- und ICS- DNS-Konzepts mit ICANN an der Spitze Systeme als Teil der sog. „kritischen Infra- beruht und auch für DNS-Amplification struktur“ (einschließlich der extremen Angriffe genutzt werden könnte. DANE mit Verwundbarkeit und Angriffsbarkeit der Strom- TLS in Verbindung mit DNSSEC bilden die und Wasserversorgung von den IT-Systemen, Grundlage der BSI Richtlnie TR-03108 zu die heute zumeist mit dem Internet sicherem E-Mail, nicht jedoch die bisherige verbunden sind). Implementierung von EmiG Im Rahmen der Diskussion zu Cyberwar wird Darknet: Bezeichnung für ein Netz, das durch unterschieden zwischen strategischen Einsät- Verschlüsselung und Technologien wie zen (gegen alle Ziele, auch Wirtschaft und TOR versucht, die Identität der Teilnehmer Öffentlichkeit), taktischen (gegen militärische geheim zu halten. Die 2 wichtigesten Ziele) und operationellen (spezifisch zur Unter- Implementierungen sind auf der Basis von stützung einer einzelnen Operation). Angriffe P2P oder mittels TOR. Wird von auf IT-Systeme sind, wie auch bei Cyber- politischen Aktivisten mit der Zielsetzung spionage, von kriminellen Aktivitäten oder propagiert, politische Unterdrückung zu Hacktivismus meist nicht zu unterscheiden unterlaufen, kann auch für Filesharing zum und könnten schlimmstenfalls mangels einer Unterlaufen von Copyright verwendet klaren Identifizierung des Angreifers ( attri- werden, ebenso wie für illegale Aktivitäten wie bution) zu einer Eskalation zu konventioneller Drogenhandel. Siehe Darknet market (DNM) Kriegsführung münden. Heute wird oft OIO In P2P-Netzen ist dieTeilnahme an Aktivitäten oder Cyberattack verwendet. Manchmal wird oft nur durch Einladung möglich. Es entstehen Stuxnet als erster Einsatz von Mitteln eines dann geschlossene Benutzergruppen. Cyberwars bezeichnet, da dort mit großem Aufwand ein politisches Ziel verfolgt wurde. Darknet market (DNM: e-Commerce websites die als TOR hidden service Die Nutzung des Schlagworts Cyberwar ist implementiert sind und für illegale Aktivitäten umstritten, da die herkömliche Definition von verwendet werden. Ursprünge kann man in Krieg: „2 identifizierte Gegner bekämpfen sich den 70igern im Cannabis Handel im frühen aktiv um ein politisches Ziel zu erreichen“ hier ARPANET sehen. In den 80igern gab es fast nie erfüllt ist. Der Angreifer ist zumeist ähnliche Aktivitäten in newsgroups. 2006 nicht identifiziert und das politische Ziel ist oft war dann The Farmer's Market eine der frühen nicht klar. Die oft als Cyberwar genannten Handelswebsite, ab 2010 auch als TOR Beispiele wie Stuxnet oder Flame waren Hidden Service. Silk Road war nach der einseitige Angriffe für die Cyber terror Schließung von Farmer’s Market durch LE treffender ist. Viele andere angebliche ein wichtiger Nachfolger. Die Nutzung von Beispiele sind eher Cyberspionage, bzw. TOR und Bitcoin und Feedback Systeme APT. ergaben den Standard für andere. Silk Road 2015 wird bekannt, dass es auch seit vielen wurde 2013 geschlossen. Danach entstanden Jahren Offensive-Planungen bei der NSA zahlreiche ähnliche Services wie Silk Road gibt, mit dem Ziel sog. D Weapons im Krieg 2.0, das aber 2014 auch bereits geschlossen einzusetzen um durch großflächiges Zerstören wurde. 2014 begannen auch die Aktivitäten an der IT-Infrastruktur des Gegners ein Land zu OpenBazaar. 2017 wurden die großen lähmen. Siehe auch Brick Märkte Hansa und AlphaBay zuerst von LE http://sicherheitskultur.at/Angreifer_im_Internet.ht übernommen, deren Kunden überwacht und m#cyberwar dann vom Netz genommen. Viele Details auf https://en.wikipedia.org/wiki/Darknet_market DAC: (Discretionary access control) Zugriffs- kontrolle in TCSEC und Vista, Win7. Dark Pattern: Begriff der die (Psycho-)Tricks Zugriff wird erlaubt auf der Basis der Rechte bezeichnet, die verwendet werden um die sog. des Benutzers und den Gruppen, denen er stickyness einer App (oder seltener angehört. Zumeist implementiert mittels Website) zu erreichen, d.h. lange vor dem Owner-Konzept, der Zugriffsrechte für sein Bildschirm zu verweilen, Online-Käufe zu Objekt definieren kann. MULTICS tätigen (z.B. indem ständig angezeigt wird, dass das Angebot knapp wird und Zeitdruck DANE: Technologie zur Verifizierung von erzeugt wird oder fälschliche Discounts gezeigt Zertifikaten auf der Basis von DNSSEC. werden) oder persönliche Informationen Dabei sollen mittels eines signierten TLSA- preiszugeben (z.B. durch Cookie Wall die die Records im DNS-Eintrag sichergestellt wer-
Version 11.1 Seite 47 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Nutzung ohne „freiwillige“ Zustimmung Journals). Siehe RMAN verhindert). Data Breach: der Verlust von Daten, i.d. Eine Möglichkeit gegen so etwas juristisch Regel durch einen Angriff von innen oder vorzugehen könnten Gesetze gegen den außen. Zumeist bleiben die Daten dabei dem unlauteren Wettbewerb sein, jedoch wird auch Data Owner erhalten, aber andere Personen regulatorischer Handlungsbedarf gesehen. Die können ebenfalls über diese Daten verfügen. geplante ePrivacy Regulation könnte hier Für diesen Angriff wird üblicherweise eine auch helfen. Hier eine Analyse dazu Sicherheitslücke ausgenutzt, diese besteht https://www.tab-beim- aber sehr oft in Fehlkonfigurationen von bundestag.de/de/pdf/publikationen/themenprofi Systemen (z.B. Cloud Systeme), erfolg- le/Themenkurzprofil-030.pdf reichen Phishing Angriffen untersützt durch Dash: Implementierung einer Cryptocur- fehlende Absicherungen der Zugriffe, z.B. rency. Wird bei Ransomware genutzt über 2 Faktor Authentisierung. Wenn per- sonenbezogene Daten betroffen sind so Dashboard: (engl. Armaturenbrett eines müssen EU-Firmen alle Data Breaches an die Autos) in der IT Visualisierungssoftware, die Behörden melden Betriebszustände (auch Sicherheitsstatus), aber auch allgemeine Statusinformationen Data Broker: Data Aggregator eines Unternehmens, z.B. bez. Personal- Data Center: Ort auf dem viele Server fragen, Verkaufsumsätze, Kundenzufrieden- aufgestellt sind. Im Fall von Colocation auch heit, o.ä. in graphischer Form anzeigt. Siehe Server unterschiedlicher Firmen. Die Sicher- KPI, Balanced Score Card heit eines Data Centers hängt von der r DASD: (Direct Access Storage Device) äumlichen, der personellen und logischen Magnetplatten bei IBM Mainframes Sicherheit ab. Bei Cloud Anbietern werden viele Data Center über die ganze Welt verteilt. Data: (engl. Daten) Der (eigentlich interne) Datenverkehr zur Data Aggregator: (Datensammler) Firmen wie Synchronisierung der Daten auf den Servern ChoicePoint, LexisNexis, Acxiom, wird über Lichtleiter geführt, die entweder Epsilon, Equifax, Harte-Hanks, Merkle, Intelius, mit anderen Firmen geteilt werden (z.B. als Teil Meredith Corp. oder in Ö LifeStyle und der Internet-Backbones) oder dediziert sind. 123people, die durch das systematische 2013 wird bekannt, dass die NSA diese Ankaufen von personenbezogenen Daten Verbindungen abhört und damit an die internen umfassende Datensammlungen für Marketing-, Daten vieler Cloud Anbieter kommt. Diese aber auch Kreditauskunft und andere reagieren mit verstärkter Verschlüsselung Reputation-Dienste anlegen. Datenquellen der Verbindungen. Siehe Localization sind in den USA z.B Freedom of Information Data Cleaning: in einer Datenbank aufräu- Act, aber auch die Datensammlungen die beim men und z. B. „Karteileichen“, falsche Adres- Zugriff auf die Smartphone-Daten bei der sen, widersprüchliche oder unvollständige Installation von Smartphone-Apps entstehen Datensätze bereinigen („ permissioned data“, da die Benutzer bei der Installation der App der Datensammlung Data Controller: Data owner zustimmen). Auswertung z.B. durch Data Data Leak: (auch data leakage) Mining. Siehe Privatsphäre, Kundenkarte, unautorisiertes Entfernen von Daten aus Big Brother einem Unternehmen, z.B. durch Hacker, http://sicherheitskultur.at/privacy_loss.htm#privat Unachtsamkeit (verlorenes Notebook oder Smartphone), Fahrlässigkeit (mangelnde Database: (engl. Datenbank) strukturierte Verschlüsselung) oder kriminelle Mitarbeiter. Sammlung von vielen Informationen in einer Siehe DLP, Identity Theft, muss nach der gemeinsamen Einheit, Zugriff findet über ein DSGVO nach spätestens 72 Std. an die spezielles Programm statt, oft auf einem sepa- Datenschutzbehörde gemeldet werden raten Rechner (Datenbankserver), oft aus Gründen der Verfügbarkeit auf einem Data Leak Prevention: (DLP) Produkte, die Cluster. Große Sammlungen von vertrauli- als Folge des California Security Breach chen, z.B. personenbezogenen Daten in sol- Information Act entwickelt wurden. Es geht chen Datenbanken haben einen hohen darum, einen Vertraulichkeitsverlust von Schutzbedarf bzgl. Vertraulichkeit. Siehe sensiblen Daten zu verhindern, z.B. durch Wallet, TDE Kontrolle von USB-Ports und E-Mail-Ver- kehr. Dies erfordert entweder eine generelle Die Datensicherung von Daten in Daten- Blockierung von Datentransfer-Möglichkeiten banken erfordert spezielle Software, da oder eine Datenklassifizierung. Diese kann Datenbanken zumeist ständig aktiv (offen) sind optimalerweise bereits bei der Erstellung jedes und offene Dateien wegen der Nutzung von Datenobjekts durch den Data Owner Cache keinem konsistenten Zustand erfolgen, was jedoch fast nirgendwo der Fall aufweisen. Es sind verschiedene Strategien ist. Alternativ findet eine automatisierte möglich, z.B. offline („herunterfahren“), über Klassifizierung statt (z.B. durch erkennen der Exports oder Online (mittels Transaction Logs, Struktur von Kreditkarten- oder Konto-
Version 11.1 Seite 48 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ nummern), entweder flächendeckend oder erst IIS, Behaviour-based pricing, Neural bei versuchtem Datentransfer. Zum Teil soll Network DRM für DLP eingesetzt werden. Siehe http://sicherheitskultur.at/data_mining.htm XPS Data Owner: (deutsch Dateneigner) ab 2013 Data Localization: Localization zumeist Data Controller genannt, der Data Management Platform: (DMP) Verantwortliche für die Sicherheit und Software die für Werbung im Internet Korrektheit von Daten. Diese Rolle sollte fast eingesetzt wird. Dabei führen Firmen wie immer im „Business“ angesiedelt sein, im Nielsen, Salesforce, Oracle und SAP die Daten Fachbereich, auf keinen Fall beim die über Internetnutzer (zumeist in Dienstleister, der die Datenverarbeitung im pseudonymer Form) unter verschiedenen Auftrag (nach Vorgabe eines SLAs) Pseudonymen (wie Advertising ID oder durchführt. Eine Ausnahme bildet die Situation verschiedenen Cookie IDs) vorliegen wie z.B. im Rahmen von Social Networks, zusammen und helfen auf diese Weise beim wo die „Kontrolle“ über die Daten zwischen Real-time Bidding dem Benutzer der Daten einstellt und dem Dienstleister, der weitere Nutzungsdaten Data Minimization: Konzept aus dem Da- sammelt, aufgeteilt ist (siehe Tracking) tenschutz: es darf immer nur die kleinste Menge von Daten verarbeitet werden, die für Data Protection Directive: ( Directive 95/46/ den definierten Zweck benötigt wird. Das EC) ursprüngliche Grundlage aller Konzept kann grundsätzlich bei Sicherheits- Datenschutzgesetze in der EU. Eng themen zu einer Reduzierung der An- verknüft mit Artikel 8 der European Convention griffsflächen und damit der Bedrohungen on Human Rights (ECHR), dem Schutz der führen Privatsphäre, Familie, Wohnung und Kommunikation. 2018 abgelöst durch die Data Mining: (ab 2011 auch Big Data genannt) Datenschutzgrundverordnung statistische Modelle und Verfahren der künstlichen Intelligenz mit deren Hilfe ent- Data Recovery Services: Unternehmen, die scheidungsrelevante Informationen aus Daten- logisch (z.B. durch Löschen) oder physikalisch banken extrahiert werden können. Wird sehr (z.B. durch Wasser, Feuer) zerstörte erfolgreich im Bereich CRM (Customer Daten von Datenträgern, wie Festplatten, Relationship Management) eingesetzt und CDs oder Magnetbänder, wiederherstellen kann dort zur Erstellung von Kundenprofilen versuchen. Durch spezielle Hardware und (Benutzerprofil) verwendet werden ( Such- Software können z.T. Daten auch nach maschinen). Die kommerzielle Nutzung liegt in Überschreiben oder Formatieren wiederher- targeted advertising ( behavioural adverti- gestellt werden. Wird bei Desaster Recovery sing). oder in der Forensic eingesetzt Von staatlichen Behörden wird Data Mining zur Data Retention: generell Aufbewahrung von Überwachung von unerwünschten Aktivitäten Daten, z.B. um den Auflagen bezüglich eingesetzt. Dabei ist zu unterscheiden Archivierung zu erfüllen. In der heutigen Dis- zwischen der Analyse der Kommunikation kussion (2005/06) meist die Fristen für die Auf- einzelner Personen ( Überwachung) und der bewahrung der Verkehrs- und Standort- generellen Suche nach auffälligem Verhalten, daten von Telefon und Internet. Europäische z.B. durch Auswertung eines Social Graphs Anbieter wehren sich gegen eine zu lange durch mathematische Methoden (was u.ä. sehr Aufbewahrung, da dies Kosten verursacht. viele False positive bringt und zu einem Datenschützer wehren sich gegen die Aufbe- Präventionsstaat führen kann. Kommerzielle wahrung, weil auch Verbindungdaten eine Implementierung: Recorded Future. Wichtige Einschränkung der Privatsphäre darstellen. Tools sind Hadoop, MapReduce und Siehe Vorratsdatenspeicherung sog. NoSQL databases. Gemeinsam haben Data Science: seit ca. 2018 neues Schlag- quasi alle diese Tools, dass Performance über wort, Nachfolger von Big Data. Es beinhaltet allem steht, d.h. Sicherheitsfeatures wie alle statistischen Methoden von data mining, Logging, Authentisierung, Autorisierung schließt aber auch den Einsatz von AI- von Zugriffen u.ä. werden typischerweise Methoden wie Deep Learning ein. Der alle geopfert. Dies ist besonders proble- Einsatz kann problematisch sein und zu matisch, wenn diese Datenbanken direkt im ethischen Verletzungen führen, siehe Internet erreichbar sind, was 2015 im Fall von Algorithmenethik MongoDB und anderen dramatisch gezeigt Data Shadow: (engl. für ‘Datenschatten’) Spur wurde. Aber auch SQL Injection-Angriffe an Informationen die man hinterlässt, wenn (bzw. alternative Methoden über Eingabefelder man z.B. mit Kreditkarte oder Banko- auf Webpages) sind gegen NoSQL matkarte zahlt, online einkauft, eine Kunden- Datenbanken sehr oft möglich karte verwendet oder E-Mails verschickt. Siehe auch Web beacon, Collective Intelli- Privatsphäre gence, Rasterfahndung, Privatsphäre, Data subject: im Datenschutz der von der LI, NIMD, Hancock, COI, CBIR, Datenverarbeitung betroffenen, deutsch
Version 11.1 Seite 49 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
„Betroffener“ schen Bundesregierung 2018 eingesetztes Datei: (engl. file) „Sammlung“ von Daten auf Gremium das ethische Standards für die einer Magnetplatte, CD-ROM oder ande- Nutzen von Big Data, Algorithmen und rem Speichermedium, der unter einem Namen AI-Systemen erarbeitet hat. 2019 wurden angesprochen werden kann. Im Gegensatz entsprechende Vorschläge unterbreitet die dazu Datenbank auch als Grundlage für die für 2020 geplante Implementierung einer Regelung auf EU- Dateisystem: (engl. file system) Ebene dienen könnten. In anderen Daten: (engl. data) Plural von Datum, das europäischen Ländern gibt es ähnliche Gegebene (auch noch deutlich im Franz- Initiativen. Inhaltliche Details siehe Algo- ösischen données) eigentlich „Fakten“, rithmenethik „Angaben“. Daten sind schriftlich, akustisch Datengeheimnis : Vertraulichkeit oder bildlich ausgedrückte, wirkliche oder gedachte Sachverhalte. Daten bestehen aus Datenintegrität: Integrität Zeichen-, Signal- und Reizfolgen. Sie sind Datenklassifizierung: (Teil von Asset Klas- objektiv wahrnehmbar und verwertbar, unter- sifizierung) Einteilung von Daten nach scheiden sich aber von Informationen. In der Vertraulichkeits-, Integritäts- und Verfüg- IT werden Daten als Bytefolgen dargestellt. barkeitsbedarf. Wichtige Aufgabe, meistens Siehe auch personen-bezogene Daten, jedoch vernachlässigt. Siehe Risiko sensible Daten, Data Owner, Datei Management, DLP Daten-Aggregatoren: Data Aggregator Datennetz: Einrichtung für eine Datenüber- Datenaustausch: Transfer von Daten tragung, heute bestehend z.B. aus Routern, (Datenübertragung) über Datennetze, Repeatern, Verkabelung, wie z.B. Fibre früher oft dedizierte Datenverbindungen, heute Optics, Standleitungen, Technologien wie zumeist via Internet. Siehe Datenträger- ATM, ADSL, etc. austausch Datenportabilität: eines der Betroffenen- Datenbank: Database rechte aus der DSGVO. Es bezeichnet, dass der Dienstleister die Daten des Nutzers Datendiebstahl: Entwenden von Daten zur auf Anfrage in maschinenlesbarer Form zur unautorisierten Veröffentlichung oder zum Verfügung stellen muss. Ziel ist, dass diese Verkauf im kriminellen Untergrund ( Cyber- Daten dann von einem anderen Dienstleister crime). Möglich ist auch ein Verkauf an im gleichen Funktionssegment, z.B. social Behörden ( Liechtenstein-CD), bzw. Ver- networking leicht übernommen werden öffentlichung aus politischen Gründen können. Dies soll die Konkurrenz stärken, hat (Hacktivismus, WikiLeaks, Ransom- aber bisher nicht diesen Erfolg. Wurde von den ware) großen Firmen wie Google, Amazon, http://sicherheitskultur.at/notizen_1_10.htm#diebsta Apple, Facebook sehr zügig implemen- hl tiert, kleinere Unternehmen tun sich deutlich Dateneigentum: unter diesem Schlagwort schwerer damit wird diskutiert, ob wegen des steigenden Datenrettung: technische Verfahren um zer- ökonomischen Werts digitaler Daten eine störte Daten, speziell auf Magnetplatten gesetzliche Regelung von Nutzungs- und oder Magnetbändern wiederherzustellen. Verwertungsrechten erfolgen soll. Nach Dabei geht es um Daten, die durch logische geltendem europäischem Recht ist „Eigentum“ oder mechanische Fehler oder höhere Gewalt an körperliche Gegenstände gebunden. Daher gelöscht oder zerstört wurden können bei Daten nur Nutzungsrechte, Zugriffsrechte u.ä. bestehen. Daten zeichnen Datensafe: Schutz elektronischer Datenträ- sich vor allem durch sog. „Nicht-Rivalität“, d.h. ger gegen Feuer, (Lösch)- Wasser, unbe- die Verwendung durch eine Person behindert fugten Zugriff, Strahlen und Erdbeben. Dabei nicht die gleichzeitige Verwendung durch müssen Normen wie z.B. EN 1047-1, S120 andere. Der Begriff wird auch manchmal im DIS bzgl. Brandschutz oder EN 1143-1 Zusammenhang mit Intellectual Property (IP) (Widerstandsgrad II) gegen Einbruch erfüllt verwendet. Der Begriff entstand nicht rund um werden Datenschutz, sondern auf Initiative der Datenschutz: Schutz des allgemeinen Per- deutschen Automobilindustrie die damit z.B. sönlichkeitsrechts, insbesondere den Anspruch einen Anspruch auf die von Sensoren in auf Achtung der Privatsphäre von einem modernen Auto erzeugten natürlichen Personen (Menschen, im Gesetz Datenmengen herleiten möchte. Betroffene, engl. data subject) (zumeist Nicht zu verwechseln mit dem Dateneigener auch juristischer Personen) vor einer miss- des Datenschutzrechts bräuchlichen Verwendung, Verarbeitung, Speicherung, Übermittlung, Löschung ihrer Dateneigner: Data Owner personenbezogenen Daten. Die Verantwortung Datenethik: Siehe Algorithmenethik liegt immer beim Auftraggeber (engl. Datenethikkommission: (DEK) von der deut- Controller, Data owner) und i.d.Regel nicht
Version 11.1 Seite 50 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ bei einem evtl. mit der Durchführung Datenschutzrichtlinie: (europäische D.) 1995 beauftragten Dienstleister (service provider). erlassene Richtlinie der EU (95/46/EG) zum Eine etwas andere Situation liebt vor, wenn die Schutz der Privatsphäre von natürlichen Datenverarbeitung durch einen Dienstean- Personen bei der Verarbeitung von personen- bieter wie den Betreiber eiens Social Networks bezogenen Daten. Sie war in lokale Gesetze durchgeführt wird. umzusetzen. Sie wurde durch die DSGVO Wichtig: ein Dienstleister hat die Verantwor- abgelöst. tung nur im Rahmen des von ihm unterzeich- Datensicherung: (engl: Backup) neten SLAs und es gibt kein Konzern- Datenspiegelung : automatisches Kopieren privileg, d.h. eine Datenübermittlung von eines Datenbestandes mit Hilfe von geeigneter personen-bezogenen Daten innerhalb eines Hardware oder Software. Siehe Hochverfüg- Konzerns bedarf einer offiziellen Genehmigung barkeit, Desaster Recovery und ebenso eine Datenüberlassung an Dienstleister. Ein wichtiger Aspekt ist Data Datenträger: physikalisches Medium, auf dem Minimization. Daten aufbewahrt werden können. Beispiele sind Disketten (Floppies), Lochkarten (histo- Siehe sensible Daten, Selbstbestimmung, risch), Magnetbänder, CD, DVD, Papier für personen-bezogene Daten Druckausgabe, heute oft USB-Speicher Datenschutzbeauftragter: (DSB) Position in Datenträgeraustausch: früher vor allem von einem Unternehmen oder Behörde, verant- Banken genutzter physischer Transport von wortlich für alle Fragen des Datenschutzes, in maschinell lesbaren Datenaufzeichnungen, D. Pflicht wenn personenbezogene Daten er- z.B. von Disketten oder Magnetbändern. Dabei hoben, verarbeitet oder genutzt werden (in § 4f kann es zu Verletzungen von Vertraulichkeit, und § 4g des Bundesdatenschutzgesetzes Integrität und Verfügbarkeit kommen (BDSG) geregelt). In Ö. optional Datenüberlassung: wenn Daten einem Datenschutzbehörde: Seit 2014 die österrei- Dienstleister für die Durchführung der chische Behörde, die für den Datenschutz Datenverarbeitung im Auftrag des Data zuständig ist und das DVR betreibt. Das owners überlassen werden. Erfordert i.d.Regel Register ist jetzt für jeden einsehbar und zeigt, eine Dienstleistervereinbarung und ein SLA welche Datenverarbeitungen durch Firmen eingemeldet wurden. Datenübermittlung: Weitergabe von Daten an eine anderes Unternehmen (evtl. im gemein- Datenschutzerkärung: (engl. Privacy State- samen Konzern) für eigene Zwecke, Bedarf bei ment) Text auf einer Website in der der Be- personen-bezogenen Daten immer der treiber erklärt, wie er mit personenbezogenen Zustimmung des Betroffenen Daten oder E-Mail-Adressen umgeht. Datenübertragung : technisches Versenden Relevant für jede Website, da immer die von Daten über Datennetze. Möglicher Nutzungsdaten protokolliert werden. Siehe Google Analytics, P3P Punkt für einen Angriff auf die Informationssicherheit Datenschutzgesetz (DSG 2000): früheres österreichisches Datenschutzgesetz, setzte die Datenverarbeitungssystem : frühere Bezeich- Rahmenbedingungen für den Umgang mit nung für IT-System (EDV-System); Computer, Personendaten. Im §1 wird der Datenschutz in DV-Anlage, Datenverarbeitungsanlage, DV- verfassungsmäßigen Rang erhoben. Dieses System, Rechenanlage, Rechensystem, Rech- Grundrecht auf Datenschutz bewirkt einen ner. Alle diese Worte bezeichnen eine heute Anspruch auf Geheimhaltung personenbezo- ausschließlich elektronisch arbeitende Einheit, die mittels gespeicherter Programme automa- gegner Daten. Darunter sind der Schutz vor tisch Daten verarbeiten, also mathematische, Ermittlung dieser Daten, sowie der Schutz vor umformende, übertragende und speichernde deren Weitergabe zu verstehen. In Deutsch- land Bundesdatenschutzgesetz Operationen durchführen kann Datenverkehr: Datenübertragung Datenschutzgrundverordnung (DSGVO), engl. GDPR (General Data Protection dDoS: (distributed Denial of Service) Denial Regulation. Seit Mai 2918 in Kraft. Sie hält an of Service Angriff den Grundsätzen der früheren Datenschutz- DD-WRT: Firmware für WLAN- Router die richtlinie fest (Zweckbindung der Verarbeitung, unter GPL angeboten wird und durch notwendige Rechtsgrundlage für die Verarbei- Verwundbarkeiten ermöglicht, dass diese tung, Rechte der Betroffenen wie Auskunft, Geräte in Botnets integriert werden Löschung, Datenportabilität, etc.). Neu sind De-Anonymisierung: Bearbeitung anony- die deutlich höheren Maximalstrafen, die mer oder pseudonymisierter Daten derge- bisher noch nicht wirklich ausgereizt wurden. stalt, dass danach die Zuordnung zu 1 Person Überschießendes Ergebnis ist eine Flut von möglich ist ( PII). Dies geschieht z.B. durch Datenschutzerklärungen und expliziten Kombinieren der Daten aus verschiedenen Zustimmsersuchen, die zum Teil nicht Quellen, z.B. die zusätzliche Nutzung von notwendig, zum Teil nicht rechtsgültig sind Daten von einer Social Networking Website, (wenn sie z.B. nicht auf Freiwilligkeit beruhen)
Version 11.1 Seite 51 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ bei der der Benutzer unter vollem Namen Ton- und oder Video-Aufnahmen bei denen mit auftritt. Dies stellt dann zumeist eine Hilfe von Deep Learning (Generative Verletzung der Privatsphäre dar. Siehe Adversarial Networks =GAN) Personen falsche http://sicherheitskultur.at/Glaeserner_Mensch.htm# Texte oder Taten unterstellt werden. So werden deanom die Köpfe von prominenten Personen in Debit Card: Variante der „Geldkarte“, bei der Pornofilme montiert oder Politikern falsche das Konto sofort belastet wird, z.B. eine Inhalte „in den Mund gelegt“. In 2019 zeigt eine Bankomatkarte. Im Gegensatz dazu Studie, dass in 96% aller Fälle Frauen davon Kreditkarte. Damit mit Debitkarten auch im betroffen sind. Für den Laien sind solche Internet gezahlt werden kann wird die Fälschungen schwer zu erkennen. Ton- Kartennummer auf die Länge und das Format Deepfakes werden auch für CEO Betrug der Kreditkartennummer gebracht. Dies eingesetzt, indem der Angreifer mit der geschieht in Österreich ab 2018. Debit- und Stimme des Chefs anruft. Siehe CGI Kreditkarten können „tokenisiert“ werden. Dies Deep Learning: Teil des Konzepts von geschieht beim Enrollment für einen Machine Learning, was wiederum ein Zahlungsdienst wie Apple Pay oder HCE Untergebiet von Artificial Intelligence (AI) ist. bei der Implementierung von Google Pay Bei Deep Learning werden sog. künstliche Debugging: Fachbegriff in der IT für neuronale Netze eingesetzt. Diese Systeme Fehlersuche. Leider zu wenig und zu un- haben das Gebiet der AI weit vorangebracht, systematisch eingesetzt, dadurch bleiben viele vor allem auf Gebieten wie Sprach- und Programmierfehler in den Programmen Bilderkennung, Übersetzung, Analyse und und bilden so die Quelle der Schwach- Filterung in Social Networks und auch stellen. Für die Fehlersuche werden oft zusätz- Brettspielen wie z.B. Go, Diese Systeme liche Logs eingesetzt, die manchmal Quelle werden auch bei den Sensoren in von Vertraulichkeitsverletzungen sein kön- autonomen Fahrzeugen eingesetzt. Sehr nen, wenn z.B. Passworte im Klartext in problematisch ist bei diesen Systemen, dass Logfiles abgelegt werden diese (derzeit) keine Möglichkeit haben, ihre „Entscheidungen“ zu erklären. Dafür brauchte decompression bomb: Angriff gegen es „Explainable AI“ (explainability). Dieses Virenschutzsoftware, bei dem mittels E- Forschungsgebiet ist erst am Anfang. Das Mail-Anhängen Dateien verschickt werden, Nicht-Erklären-Können ist z.B. bei der Unfall- die komprimierte Archive in zip- oder rar- Analyse ein großes Problem, ebenso wenn Format enthalten. Dafür wird eine Datei mit Algorithmen Entscheidungen über Menschen sehr vielen gleichen Zeichen (im 100 MB- fällen diese aber nicht erklären können. Ein Bereich) mehrfach in ein solches kom- Beispiel für den Einsatz von Deep Learning für primiertes Archiv eingebracht. Wenn der Angriffe sind Deepfakes für CEO Betrug. Malware-Schutz die einzelnen Dateien über- Der Einsatz von Artificial Intelligence bei Angriff prüfen will, so muss er alle diese Dateien und Verteidigung in Bezug auf IT-Security wird dekomprimieren und verbraucht dabei evtl. seit ca. 2018 viel diskutiert mehr Plattenplatz, als der Server zur Ver- fügung hat, was zu einem DoS führen kann DeepMind: 2010 in London gegründete Firma, die 2014 von Google aufgekauft wurde, DeCSS: DVD führend bei der Entwicklung von Machine DECT: (Digital Enhanced Cordless Telecom- Learning Systemen. DeepMind wurde vor munications) Standard für Schnurlos-Telefone allem bekannt durch den Sieg von AlphaGo in Firmenumgebungen mit Betriebserlaubnis gegen den Weltmeister und die Weiterent- bis mindestens 2013. Es gibt strahlungsarme wicklung AlphaZero. Dieses System lernt (fast) DECT-Telefone deren Sendeleistung variabel beliebige Spiele (z.B. Schach, Go, Shogi) ist, für die Sicherheit werden Authentifi- indem es gegen sich selbst spielt. Die dabei zierung und (optionale) Verschlüsselung entstehenden, zum Teil ungewöhnlichen Stra- verwendet. In Verbindung mit VoIP- tegien kann das System nicht ‚artikulieren‘ Implementierungen können DECT-Gateways (fehlende Explainability). 2020 wurde oder die Nachfolge VoWLAN eingesetzt AlphaFold für Proteinfaltung eingesetzt, ein werden. Ende 2008 lassen die Gespräche bisher nicht gelöstes IT-Problem. DeepMind leicht mit einer Zusatzkarte im PC abhören arbeitet auch an einem Konzept „Neural Turing Deduplication: Verfahren um zu verhindern, machine“, das Deep Learning mit einer dass identische Datenblöcke mehrfach ge- Turing Machine verbinden soll speichert werden, z.B. indem ein Mailserver Deep packet inspection: (DPI) Vorgang, bei erkennt, dass der gleiche Anhang bereits der ein Gerät in einer Datenübertragungskette anderweitig gespeichert ist oder indem ein nicht nur die Header-Informationen der IP- Filesystem gleiche Datenblöcke erkennt und Pakete auswertet, sondern die Applications- intern verlinkt. Kann bei falscher Implemen- inhalte inspiziert, analysiert und wahlweise tierung für Angriffe genutzt werden. Siehe aufzeichnet. Dies kann auch dann geschehen Dropbox wenn die Pakete verschlüsselt sind, da Deepfake: Täuschend echte Fälschungen von bestimmte Protokolle u.a. an typischer Länge
Version 11.1 Seite 52 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ der Pakete erkannt werden oder an typischen korea und Südkorea aufgestellt wurde, die Textstrings im Zuge der Schlüsselvereinba- ihrem Krieg in den frühen fünfziger Jahren rung. Auf diese Weise wird z.B. P2P folgte Filesharing auch bei verschlüsselten Pro- Deniability: Möglichkeit zur glaubhaften tokollen erkannt und von ISPs zum Teil Leugnung einer Behauptung, Gegensatz zu gedrosselt oder blockiert. Ziel kann die non-repudiation. Siehe OTR, Truecrypt, Erkennung von Spam, Schadsoftware, Steganographie. Gegensatz: Non-Repu- Priorisierung von Datentypen wie VoIP, aber diation auch Data Mining, Überwachung der Deniable File System: DFS Kommunikation und Zensur sein. Dies wird u.a. als Gegenmaßnahme zu Copyright- Deniable Operating System: Technik, bei der Verletzungen vorgeschlagen, aber auch heftig die Existenz eines (virtuellen) Betriebs- kritisiert. Wenn ein ISP auf diese Weise systems auf einem Rechner nicht nachge- Kenntnis von Inhalten bekommt kann dies wiesen werden kann. Siehe TrueCrypt auch komplexe Haftungsauswirkungen Denial of Service: (DoS-Attacke, bzw. dDoS, haben. Dies ist eine verschärfte Ausprägung Distributed Denial of Service). Lahmlegen von von LI. Geheimdienste wünschen sich immer Rechnern, bzw. Diensten. wieder diese Funktionalität, bzw. in den USA In IP-Netzen ein Angriff, bei dem ein ist dies mittels NARUS-Geräten bereits Rechner durch eine große Zahl von Anfragen implementiert (z.B. synflood oder HTTPflood) einen Deep Web: a) Begriff für die Webseiten, die Angriff auf Rechner oder Netzwerke durch- nicht von Suchmaschinen indiziert werden. führt. Die verwendeten Anfragen können 2012 gibt es geschätzte 190 Mio Websites mit entweder legitim oder illegitim sein. Einen 8,42 Milliarden Webseiten die indiziert werden. gewissen Schutz bietet ein IDS oder IDP Das Deep Web wird auf 500mal so groß System. Bei einem distributed denial of service geschätzt. Dies sind z.B. Webseiten die sich (dDoS) Angriff werden zahlreiche, von dem nur über Suchanfragen öffnen und nicht direkt Hacker bereits unter Kontrolle gebrachte verlinkt sind, Websites die nur nach Eingabe Rechner ( Zombienetz) zu einem koordi- einer Benutzerkennung erreichbar sind, Inhalte nierten Angriff auf das gleiche Ziel verwendet die nur mittels Flash oder ähnlicher Dienste („Drohnen“, „Zombies“). Ziel ist heute zugänglich sind, oder Webseiten auf die meist das Erpressen von Geld, aber auch nirgendwo verlinkt wird sehr oft Hacktivismus. Firmen wie b) auch genutzt für Websites, die im CloudFlare bieten Services an um große DNS- öffentlichen Internet erreichbar sind, da sie Angriffe abzuwehren. Sie verwenden innerhalb des TOR-Netzwerks gehostet sind, NetFlow zum beobachten der Datenflüsse TOR Hidden Service und RSVP (Flowspec) für deren Änderung um Angriffen „auszuweichen“. Siehe DEF CON: Sicherheitskonferenz in Las Vegas, amplification, Reflector Attack, DNS mehr oder weniger parallel mit Black Hat amplification, Downtime, LOIC. Defacement: Eindringen in eine Website mit http://sicherheitskultur.at/spam.htm#zusammen dem Ziel, den Inhalt zu verändern, ohne 2013 gibt dDoS-as-a-service: sog. Booter finanzielle Motive. Entweder eine Form des Hacktivismus, oder „for the LULZ“ oder Stresser bieten für geringe Gebühren eine IP-Adresse für die Dauer von 1 Minute Defender: (Windows Defender) Anti-Spy- (für 10 USD) oder auch länger im Netz nicht ware Tool von Microsoft, das früher kostenlos erreichbar zu machen. Solche Dienste werden erhältlich war, heute nur noch in Vista z.B. gegen Privatleute eingesetzt, z.B. von enthalten ist Gamern, die damit den Internet-Anschluss Defense in Depth: Sicherheitskonzept das eines Kontrahenten für 1 Minute lahm legen in besagt dass man sich nie auf eine einzelne der sie den Avatar dieses Gamers besiegen Schutzmaßnahme verlassen darf, weil jede können. Ebenso können Skype- und andere Versagen kann ( Murphys Law). Die VoIP-Verbindungen, aber auch reguläre Maßnahmen sollten die Verhinderung und die POT-Telefonverbindungen gezielt überlastet Entdeckung eines Angriffs abdecken, aber werden, z.B. um eine Benachrichtigung zu auch den Fall abdecken, dass ein Angriff verhindern. Oder Opfer von Phishing werden erfolgreich war daran gehindert, die Website oder den DEK: Datenethikkommission Helpdesk der Bank zu erreichen. De-Mail: Bürgerportale Denial of Service ist aber z.B. auch durch Jamming von drahtlosen Übertragungen wie Deming Kreis, Deming Circle: PDCA- GSM, UMTS oder LTE möglich und Zyklus verhindert auf diese Weise die Kommunikation Demilitarized Zone: (DMZ) separates Netz Department of Homeland Security: (DHS) einer Firewall, in dem Rechner mit Außen- nach 9/11 etablierte US-Behörde, die frühere kontakten platziert werden. Die Bezeichnung Sicherheitsbehörden vereinigt. Sie enthält u.a. kommt von der Pufferzone, die zwischen Nord-
Version 11.1 Seite 53 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Coast Guard, Secret Service, TSA, Immi- Device Fingerprint: Sammeln von Informa- gration and Customs, NCSD. Siehe tionen die das Tracking eines Nutzers im Automated Targeting System, Secure Internet erlaubt. Bei einem Webbrowser Flight, TIA (z.B. implementiert mittels Javascript). Dazu DEP: (Data Execution Prevention) Verhindern gehören z.B. Systemversion, Bildschirmauf- der Code-Ausführung in Datenbereichen im ösung, Sprache, Zeitzone, installierte Fonts, Speicher, implementiert in Mac OS, installierte Plugins, etc.). Speziell Font Windows XP SP2 aufwärts auf geeigneten Detection (mittels Javascript oder Flash) Prozessoren (AMD NX-bit oder Intel XD-Bit ergibt 17 bit Entropie und ergibt eine fast Funktion auf Page-Basis). Traditionell eindeutige Identifizierung eines Rechners im unterstützen x86-Prozessoren non- Internet auch ohne die Nutzung von executable Speicher nur in der Form von Cookies. Gegenmaßnahmen wie Nutzung Segmenten, die wiederum in den des TOR-Browsers oder No-Script erhö- Betriebssystemen nicht unterstützt werden. hen auf Grund ihrer geringen Nutzung die Soll Buffer-Overflow Angriffe verhindern Identifizierungsrate. Viele der Daten sind browser-unabhängig und erlauben browser- De-perimeterisation: Jericho Forum unabhängiges Tracking, selbst im Private- Depersonalization: Pseudonomisierung Browsing Modus. Nutzung 2013 bereits ca. 1% DER: (direct-recording electronic) Wahlma- der Alexa-Websites. 2014 kommt Canvas schinen zur sofortigen Erfassung von Wähler- Fingerprint dazu stimmen. Sehr sicherheitsrelevant, da die Mit gewissen Einschränkungen lässt sich eine Vertraulichkeit der Wahlentscheidung trotz weitgehende Identifizierung von Nutzern sogar der Notwendigkeit gegeben sein muss, sicher ganz ohne Mitwirkung des Geräts des Nutzers zu stellen, dass jeder Wähler nur einmal wählt. erreichen, z.B. über geringe Anomalien der Oft wird wegen dem Wunsch der Möglichkeit internen Uhren, die von Webservern ausge- einer Zählung „per Hand“ auch eine Proto- wertet werden können. Anonymität im kollierungsmöglichkeit implementiert. Gleich- Internet ist nicht wirklich möglich zeitig muss sichergestellt sein, dass die Soft- DFS: ware nicht manipuliert wurde. Siehe e-Voting 1) (Distributed File System) Dateien sind DES: (data encryption standard) symmetri- über mehr als 1 physiche Magnetplatte scher Verschlüsselungsalgorithmus. Von verteilt. Verfügbarkeit muss durch entspre- IBM entwickelt und 1974 veröffentlicht. Es war chende Spiegelungen sichergestellt sein bis 2002 der offizielle Standard der ameri- 2) (Deniable File System) Funktionalität, bei kanischen NIST (National Institute for Stan- der die Existenz des Filesystem geleugnet dards and Technology). Es handelt sich um ein werden kann, da es keine erkennbaren Spuren symmetrisches Schlüsselverfahren. Auf Grund hinterlässt. Soll verhindern, dass jemand durch der beschränkten Schlüssellänge von nur 56- Zwang zur Preisgabe eines Schlüssels ge- bit gilt das Verfahren heute nicht mehr als zwungen werden kann. Führt jedoch dazu, sicher und wird heute meist durch 3DES dass auch niemand die Nicht-Existenz eines oder andere Verfahren ersetzt. Die NIST hat DFS beweisen kann, was in Fällen wo der 2002 einen neuen Standard erlassen: AES Angreifer den Schlüssel durch Gewalt Desaster Recovery: (DR) leicht inkorrekte erzwingen will für jemand ohne DFS sehr Bezeichnung, da Mischung aus deutsch unangenehm ist. Implementiert von (Desaster) und englisch (recovery). Korrekt TrueCrypt als Hidden Volumes disaster recovery DGA: Domain Generation Algorithmus Desinformation: Erzeugen und Verbreiten von DHCP: (Dynamic Host Configuration Protocol) falschen Informationen, eine Verletzung der Standard bei IPv4 zur dynamischen Vergabe Integrität von Informationen. Siehe OIO, von IP-Adressen zu Rechnern. Wird haupt- Information Warfare sächlich in LANs und für Workstations, aber Desktop: Rechner ( PC), zumeist mit auch von ISPs und für GPRS und separatem Bildschirm, Tastatur und UMTS eingesetzt. Implementierungsfehler in Maus, auf dem entweder lokale Anwen- den entsprechenden Servern oder das Vor- dungen ausgeführt werden oder im Client- spiegeln eines falschen Servers können zu Server Modus Ergebnisse von zentralen Sicherheitsproblemen führen. Wird bei IPv6 Anwendungen präsentiert werden, z.B. durch ICMPv6 oder DHCPv6 ersetzt Webseiten oder mittels Terminalserver. Im DHCPv6: eine der Methoden unter IPv6 zur Gegensatz dazu als mobile Variante Laptop, Vergabe von IP Adressen. Eine andere Tablett oder Smartphone Methode ist ICMPv6 Desktop Security: Konzept zur lokalen DHE: (manchmal auch EDH genannt) Diffie- Absicherung des Rechners eines Anwen- Hellman Ephemeral. Auf dem Diffie-Hellman ders, z.B. durch Virenschutz und restriktive Key Exchange beruhende Variation, die PFS Benutzerrechte. Siehe Network Security, implementiert Application Security
Version 11.1 Seite 54 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
DHS: Department of Homeland Security Protokoll allein keine Authentisierung der DHTML: (Dynamic HTML) Kombination aus Kommunikationspartner abbildet. Wird als HTML, CSS und DOM, die mittels DHE eingesetzt um PFS zu erreichen. JavaScript das Aussehen der Webseite Siehe ZRTP, PSK, SRP dynamisch verändern kann, ähnlich zu Digital Collection System: Carnivore AJAX, aber älter Digitale Gewalt: bezeichnet die Situation wo Diaspora: eine Form von föderiertem Social ein Partner oder Ex-Partner in einer Beziehung Network, beruht auf dem gleichnamigen digitale Methoden verwendet um den anderen Protokoll. D.h. unterschiedliche Instanzen von Partner zu überwachen oder zu terrorisieren. Diaspora können untereinander Daten Dabei wird z.B. eine Überwachungssoftware austauschen ohne dass es eine zentrale auf einem PC oder eine Spy-App auf Benutzerverwaltung wie bei walled gardens einem Smartphone installiert. Dadurch kann wie Facebook oder Twitter der Fall ist der Angreifer mehr oder weniger vollständig Dictionary Attack : am Leben des Opfers teilnehmen. Eine weitere Form der digitalen Gewalt gibt es rund um 1) Technik um Passworte zu knacken, indem IoT und Smart Home, Home Automation. gängige Worte, auch mit angehängten Zahlen, Ein Ex-Partner der weiterhin Zugang zum als Passworte ausprobiert werden. Zumeist WLAN der früheren Wohnung und weiteren werden dabei Begriffe ausprobiert, die Systemen hat kann damit tief in das Leben des entweder in Wörterbüchern verschiedener anderen Partners eindringen, wenn er oder sie Sprachen zu finden sind, oder aber bei einem z.B. Zugriff auf Kameras oder Türschlös- der vielen Passwort-Diebstählen erbeutet ser hat wurden, oft werden dabei auch 2 Worte kombiniert und mit Zahlen im Ende ergänzt. Digital Market Act: (DMA) Ende 2020 wurden Beim Berechnen der Hashes kommen oft von der EU 2 Entwürfe für Verordnungen auch GPUs zum Einsatz. Siehe Rainbow (Regulation) veröffentlicht (die 2. Ist ‚Digital Tables Services Act‘). Neben dem Umgang mit unzulässigen oder rechtswidrigen Inhalten geht 2) Methode um durch die Kombination von es dabei auch um Einschränkung der Möglich- Vor- und Nachnamen, bzw. Abkürzungen der- keiten für sog. Gatekeeper. Das sind Be- selben (auch mit angehängten Zahlen) E- treiber von digitalen Plattformen, speziell Mail-Adressen für Spam-Zwecke zu finden Konzerne mit monopolartiger Macht. Ihnen Diensteanbieter: nicht nur ISPs, sondern sollen einige "unfaire Praktiken" verboten auch wer z.B. im Internet auf einer werden, die sie auf Grund ihrer Mono- Website Texte oder Bilder veröffentlicht, egal polstellung ausüben. Zu den Gatekeepern ob selbst erstellt oder von den Nutzern dieses gehören Intermediation Services, d.h. Markt- Dienstes, z.B eines Blogs oder Social plätze wie Amazon, Airbnb, Booking.com, Networks. Es können daraus Haftungen Reise-, Energie- und Taxi-Plattformen, entstehen. In Ö definiert in § 3 ECG. Siehe Suchmaschinen, Social Networks, auch Dienstleister Videosharing, number-independent inter- Dienstleister: Firma, die (i.d.Regel im Auftrag) personal electronic communication services eine Datenverarbeitung durchführt. Diese (d.h. Messaging Dienste, die nicht direkt an Beauftragung sollte in Form eines SLAs Telefonnummern gebunden sind, d.h. erfolgen. Über dieses SLA hinaus hat der Whatsapp, Signal, Skype, etc.), Dienstleister nur sehr begrenzte juristische Betriebssysteme (speziell im Blick iOS Verpflichtungen. Anders wird die Situation und Android), Cloud-Dienste und wenn der Dienstleister (als Diensteanbieter), Werbenetzwerke. wie z.B. als Betreiber eines Social Networks Es geht z.B. um vorinstallierte Apps, das oder Blogs seine Dienste direkt den Verhalten von Amazon gegenüber seinen Benutzern anbietet. Dann ist der Benutzer Händlern, Regeln die z.B. Verbieten, dass für seine Inhalte und der Dienstleister für die Hotels oder Geschäfte vor Ort billiger sein bei der Nutzung dieser Inhalte gesammelten dürfen als auf booking.com oder Amazon, und Daten (z.B. Tracking) verantwortlich. Es vieles Es geht aber auch darum, dass alle gelten für Dienstleister auf jeden Fall die Social Networks und Messaging Dienste Verpflichtungen nach den Telekommunika- kompatibel werden sollen. Das entspricht der tionsgesetzen, aber auch weitere Verpflich- Idee des Fediverse, das dies bereits seit tungen, siehe Diensteanbieter 2008 bietet, geeignete Protokolle für diese Diffie-Hellman Key Exchange: (D-H) Interoperabilität liegen vor, teilweise sogar als Protokoll aus dem Bereich der Kryptographie Standards. zur Erzeugung, bzw. Austausch eines gehei- Digital Rights Management: DRM men Schlüssels zwischen zwei Kommunika- Digital Services Act: (DSA) Digital Market tionspartnern den nur diese beiden kennen. Act Ohne zusätzliche Maßnahmen anfällig gegen Man-in-the-Middle Angriffe da dieses Digital Signage: Plakat
Version 11.1 Seite 55 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Digitale Signatur: verwendet zur Feststellung Discounting: Abwerten von zukünftigen Schä- der Authentizität von elektronischen Nach- den gegenüber augenblicklichen Vorteilen oder richten oder Dokumenten. (Nachweis, dass gegenwärtigen Gewinnen gegenüber höheren das Dokument nicht verändert wurde und zukünftigen Gewinnen bei der Betrachtung von wirklich vom angegebenen Autor stammt). Risiken oder anderen Entscheidungen in Digitale Signaturen beruhen in der Regel auf Bezug auf Sicherheit. So ist wird die asymmetrischen Kryptoalgorithmen, wie bei- Möglichkeit eines zukünftigen Schadens durch spielsweise dem RSA-Algorithmus. Dabei wird fehlende Datensicherung geringer bewertet ein sog. Hash-Wert über das Dokument mit als die augenblickliche Bequemlichkeit keine dem privaten Schlüssel des Autors ver- Sicherung zu machen. Oder die augenblick- schlüsselt. Die Rechtswirksamkeit einer digita- liche Bequemlichkeit eines einfachen Pass- len Signatur wird in Ö. durch das Signatur- worts wird wichtiger eingeschätzt als die gesetz festgelegt. Verwirrend ist die Vielfalt mit Vermeidung eines möglicherweise eintre- unterschiedlichen Einsatzgebieten, in D: tenden Nachteils in der Zukunft. Siehe einfache Signatur, fortgeschrittene Signatur Sicherheitspsychologie und qualifizierte Signatur, in Ö: einfache DISHFIRE: NSA Aktivität zum Abfangen von Signatur, fortgeschrittene Signatur und SMS-Nachrichten, vor allem „entgangene sichere Signatur, die im Wesentlichen der Anrufe“, „roaming Hinweise“, Benachrichti- qualifizierten Signatur in D. entspricht. Dane- gungen über Kreditkartenrechnungen und ben in Ö Verwaltungssignatur gemäß § 25 des andere Banknachrichtungen, z.B. Zahlungen E-Government-Gesetzes und auch die mTAN SMS die Hinweise auf Digital Watermark: elektronisches Wasser- Zahlungen und damit Vernetzungen bieten zeichen Disk: Magnetplatte Digitales Zertifikat: Zertifikat Disk Encryption: Festplattenverschlüsse- DIME: (Dark Internet Mail Environment) Initia- lung tive von Phil Zimmermann ( PGP), Ladar Disk Mirroring: Mirror Levison ( Lavabit) und anderen für eine end- to-end Verschüsselung von E-Mail, die Disruption: „disruptive innovation“ Schlagwort einfacher zu nutzen ist als PGP geprägt durch Clayton M.Christensen 1997 in „The Innvator’s Dilemma“. Umstrittenes Kon- DIN: (Deutsches Institut für Normung e.V.) zept, das besagt dass Startups mit eigentlich deutsche Normungsbehörde hat zahlreiche schlechteren (aber billigeren) Produkten die sicherheitsrelevante Standards erlassen. Siehe herkömmlichen Industrien oder Systeme ANSI, öNorm ablösen. Beispiele sind Uber gegen Taxis, Directive: EU-Directive. Eine Richtlinie der MOOC, Blogs gegen Journalismus, EU, die erst in das jeweilige nationale Recht AirBNB gegen Hotels, Billigflüge gegen Full- umgesetzt werden muss. Z.B. Data Service, Reisebüros gegen Travel-Websites, Protection Directive, E-Privacy Directive. PCs gegen Mainframes. Die Behauptung, Siehe Regulation dass solche „disruption“ nur durch Startups Directory: in der IT: passieren kann ist kaum belegt Verzeichnisdienst Distributed DOS-Attacken (dDoS): Denial of Service. anderer Name für Verzeichnisstruktur von Dateien, auch Folder, Catalog DKIM: (Domain Keys Identified Mail) von Yahoo und Cisco entwickeltes Verfahren zur Disaster Recovery: (DR) alle Prozesse und Vermeidung von Spam und Phishing. Vorkehrungen für eine schnelle Wiederauf- Dabei werden alle ausgehenden Mails mit dem nahme der Geschäftsprozesse nach einer Private Key der Domain signiert. Auf diese Katastrophe (Naturkatastrophe, Unfall, Weise kann die Integrität und Authentizität Feuer, Wasser, Terrorismus, etc.). Dies gesichert werden. Die Domaine des E-Mail- geschieht entweder in vollem Umfang oder als Absenders muss mit der Domain überein- eingeschränkter, aber angemessener Notbe- stimmen, deren digitale Signatur verwendet trieb. Details der Planung werden im Kata- wurde. Soll 2012 durch DMARC erweitert strophenplan ( Notfallplan) festgelegt. Dazu werden gehören z.B. Backup-Rechenzentren an anderen Orten. Siehe RTO, RPO, Da- DLL-Injection: Process injection tenrettung, Business Continuity, Backup DLP: data leak prevention Disclosure: in der IT-Security das Veröffent- DMA: 1) (Direct Memory Access) Zugriff lichen von Schwachstellen (zum Teil zu- (lesend oder schreibend) auf Hauptspeicher sammen mit Exploits). „Responsible D.“ ohne Beteiligung der CPU. Wird genutzt um bezeichnet, wenn der Hersteller zuerst eine hohe Übertragungsraten zu implementieren Frist für die Erstellung eines Patches erhält, ohne parallele Rechenoperationen zu behin- „full and immediate D.“ eine sofortige breite dern. Kann genutzt werden um z.B. die Veröffentlichung. Siehe auch bug bounty digitalen Schlüssel einer Festplattenver- schlüsselung oder die Passworte für
Version 11.1 Seite 56 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Betriebssystemzugriff auszulesen. Dies setzt zusätzliche DNS-records eingeführt die dem aber voraus, dass der Angreifer Zugriff auf ein Empfängersystem sagen, was bei einer laufendes System mit einer entsprechenden negativen Verifizierung mit dem E-Mail Feature hat, z.B. PCMCIA, Firewire, passieren soll. Das Absendesystem kann auch USB 3 vorgeben, ob und wie es über die Nicht- 2) Direct Market Act Verifizierung informiert werden möchte, hierdurch ist Debugging der Spam- DMCA: (Digital Millennium Copyright Act) um- Erkennung möglich. http://dmarc.org/ strittenes Gesetz in den USA, das so weit geht, nicht nur Verletzungen des Copyright unter DMCA: (Digital Millennium Copyright Act Strafe zu stellen, sondern auch die Herstellung 1998) US-Gesetz das 2 Verträge der World und den Vertrieb von Produkten mit denen Intellectual Property Organization (WIPO) Kopierschutz umgangen werden kann. DRM umsetzt und nicht nur Raubkopien selbst illegal macht, sondern auch Technologien, die DMZ: Demilitarized Zone bei der Erstellung eingesetzt werden können. DNA: Abfolge von sog. Basen (A, C, G, T) in In der EU wurden die beiden Verträge als einem DNA Molekül, der Erbsubstanz. DNA Copyright Directive (EUCD) umgesetzt. Die Moleküle bilden Gene, d.h. Stränge auf einem Verträge geben Immunität für ISPs, die für Chromosom, das für ein bestimmtes Eiweiß Copyright-Verletzungen über ihre Netze nicht codiert. DNA ist für die Sicherheit auf mehreren verantwortlich sind, ebenso für Websites Gebieten relevant: (wie Youtube) wenn sie von den Raubkopien 1) DNA Analyse kann Informationen über ge- nicht profitieren und bei Benachrichtung netische Herkunft oder statistische Anfällig- unverzüglich entfernen. Siehe ACTA, PRO- keiten für Krankheiten geben. Die so gewon- IP nen Informationen sind extrem sensibel und DNM: darknet market könnten zur Diskriminierung (z.B. Verhindern DNS: (Domain Name System) Schema, mit des Zugangs zu Versicherungsschutz) dem Domain Names in 4-teillige numerische genutzt werden. Sie müssen entsprechend IP-Adressen umgewandelt werden, Grund- geschützt werden. Siehe auch Privatsphäre, lage der Adressierung im Internet. Imple- PGP, 23andMe) mentiert durch viele DNS Server. Diese 2) als biometrisches Merkmal . Nicht-codie- Server sind auch beliebte Angriffsziele, da mit rende DNA Sequenzen werden für die ihrer Hilfe DoS, dDoS, Phishing und Identifizierung eingesetzt, derzeit noch andere Angriffe ausgeführt werden können hauptsächlich in der Forensic. Nicht-codie- (z.B. DNS Cache Poisoning oder DNS rende DNA Sequenzen haben größere Amplification mittels open DNS resolvers). Variabilität und damit Trennschärfe. Das Ver- Siehe Reverse DNS Lookup, DNSSEC, fahren ist besser zum Ausschluss von DNS over TLS, IDN , ICANN Verdächtigen geeignet als für eine Anklage DNSBL: Blacklist, die sich über das DNS- (Gefahr von False Positives, z.B. durch Protokoll abfragen lässt Rückenmarkspende oder evtl. nicht bekannte Verwandschaft) DNS Amplification: Angriff bei dem „open DNS resolvers“ dazu gebracht werden, dass 3) Vollständige DNA Sequenzen die anonym sie Antworten auf vorgebliche DNS Anfragen zu Forschungszwecken veröffentlicht wurden (mit gefälschter IP-Adresse) an das Opfer wurden 2013 in DNA Datenbanken wieder senden. Auf diese Weise kann im Rahmen erkannt, die zum Zweck der Genealogie eines dDoS eine vielfach größere Daten- (Ahnenforschung) aufgebaut wurden. Die menge erzeugt werden als das angreifende Erkenntnis ist, dass vollständige DNA Botnet selbst senden könnte. Open DNS Sequenzen nie sicher anonym bleiben können resolver sind solche, die auch Anfragen 4) DNA soll auch für „forensic phenotyping“ beantworten, die nicht aus ihrem „Service eingesetzt werden. Dabei geht es darum, aus Gebiet“ stammen. Dies ist spezifiziert als einer Analyse von Genen auf äußere Faktoren BCP38 wie Hautfarbe, Haarfarbe und ethnische DNS Cache Poisoning: Verfahren für Man- Zugehörigkeit (ethnic inference) zu schließen. in-the-Middle Angriffe über Manipulation von 2014 noch mit sehr großen Unsicherheiten DNS-Servern verbunden, daher problematisch, in D. verboten DNS over TLS: (DoT) Seit 2019 verfügbares Verfahren, bei dem die DNS Abfragen über DMARC: 2012 Vorschlag zur Verbesserung TLS verschlüsselt gesendet werden. der Spamerkennung. Die bisher genutzten Problematisch ist dabei, dass diese Provider Verfahren SPF und DKIM leiden darunter, im Webbrowser konfiguriert werden müssen dass das Empfängersystem beim Fehlen einer und bei Beibehaltung des Defaults 1 Provider positiven Identifizierung sehr oft im Zweifelsfall alle DNS-Abfragen einer großen Zahl von trotzdem das E-Mail zustellt, da auch Nutzern bekommen (in denen durchaus reputable Unternehmen oft schlampig beim sensible Informationen stecken). Angeboten E-Mailversand sind. Durch DMARC werden haben ich 2019 Google, Cloudflare und
Version 11.1 Seite 57 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ andere. Nutzer müssen aktiv einen Anbieter Domainnamen-Piraterie, Domain Squatting, ihres Vertrauens auswählen Cybersquatting: Registrieren von Domain DNSSEC: (Domain Name System Security Namen mit dem Ziel, sie später mit Gewinn zu Extensions) Erweiterung zum DNS-Protokoll, verkaufen (z.B. an ein Unternehmen oder eine um Angriffe auf und über das DNS-System prominente Person gleichen Namens) oder für zu erschweren. Es nutzt Authentifizierung PPC zu nutzen (bezahlte Werbung, zumeist und digitale Signaturen, kann aber nur durch für die Konkurrenz des Unternehmens). gemeinsame und koordinierte Aktion vieler Streitigkeiten um Domainnamen sollen über Parteien eingeführt werden, unterstützt auf UDRP gelöst werden. Siehe Domain Client-Seite erst in Windows 7 oder Windows Parking, Traffic Diversion Server 2008 R2 Domain Generation Algorithmus: (DGA) in DNS Server: Rechner, der das DNS Sche- Botnetzen genutzte Technik um nach ma implementiert. Firmen mit Webauftritt Ausschalten der zentralen C&C Server oder unterhalten meist eigene DNS Server, meist nach sinkholing weiterhin die Kontrolle über sogar redundant. Ein Ausfall des DNS Servers die infizierten Rechner zu behalten. Dabei legt meist alle Internetfunktionen lahm, d.h. werden über diesen „gut versteckten“ Algo- kein Websurfen, kein E-Mail mehr rithmus Domain Namen als Zufallsketten erzeugt, die dann im Bedarfsfall von den DNT: ( Do-not-track Header) Betreibern des Botnets registriert werden. Dokument: Datenträger und die aufge- Wenn solche Netze „lahm gelegt“ werden zeichneten Daten, die normalerweise dauer- sollen so müssen vorher auch diese Domains haft und von einem Menschen oder einer unter die Kontrolle der Sicherheitsaktivisten Maschine gelesen werden können [ISO gebracht werden 2382/4] Domain Parking: Registrierung von Domain DOM: (Document Object Model) API und Namen die Ähnlichkeiten zu bekannten logische Repräsentierung von HTML und Domänen aufweisen und auf der Werbeinhalte XML-Inhalten (üblicherweise einer Web- zusammen mit „geklauten“ Inhalten legitimer seite in einem Webbrowser). JavaScript Websites angeboten werden. Diese werden und ähnliche Sprachen erlauben eine leider auch von Suchmaschinen indiziert und Manipulation des gesamten DOMs, d.h. erzeugen auf diese Weise Werbeeinnahmen, BHOs oder in einer Webseite eingebundene direkt oder über Search Arbitrage. Benutzer iFrames können andere Teile des DOMs kommen auch bei fehlerhafter Eingabe auf verändern, z.B. URLs. Dies kann für diese Seiten, daher auch Typosquatting. Für Angriffe genutzt werden, z.B. Clickjacking. die Top 2000 Domänen gibt es ca. 80 000 Siehe DHTML Namensvariationen. Eignet sich auch für DOM Storage: (auch Web Storage, HTML5 Phishing oder Abfangen von vertippten E- Speicher oder Supercookies) neue Technik Mails damit eine Website Informationen in einem Dongle: 1) zu Sicherheitszwecken genutztes Browser speichern kann. Neu in HTML5 kleines Gerät, das in die serielle, die parallele und ersetzt die bisherigen Cookies. Kann oder USB-Schnittstelle eingesetzt wird und wie diese auch für Tracking der Benutzer z.B. sicherstellen kann, dass nur eine be- genutzt werden. Bei Verwendung vieler solcher stimmte Anzahl von Anwendern eine lizen- Speichermöglichkeiten (Cookie, HTML 5 sierte Software benutzen kann. Zum Teil sind Store, Flash Cookie) wird es für den die Geräte „transparent“ konzipiert, d.h. das Benutzer fast unmöglich, alle Tracking- ursprüngliche Gerät an dieser Schnittstelle Elemente zu entfernen kann immer noch genutzt werden Domain: 1) Namensstruktur im Internet. 2) Anhängsel an einem Ethernet-Adapter Top-Level Domain sind entweder Länderken- (z.B. PCMCIA) in einem Notebook, in das nungen (.at: Österreich, .de: Deutschland, ...) das Netzwerkkabel eingesteckt wird oder andere Kategorien (edu education com Do-not-track Header: (DNT) Funktionalität in commercial org organization mil military). Die modernen Webbrowsern bei denen der vollständige Domäne ( Domain Name) Browser jeder Website kommuniziert, dass besteht aus einem Begriff oder Namen plus der Benutzer nicht wünscht, dass sein der top level Domain (z.B. orf.at). Siehe Verhalten einem Tracking unterliegen soll. NXDOMAIN Unklar ist bisher, wie die Websites dies 2) lokaler Sicherheitsbereich mit zentraler umsetzen, bzw. umsetzen sollten/müssen. So Verwaltung der Ressourcen in einem Netz wäre zu klären, ob bereits jegliche Statistiken mit Windows-Rechnern. Siehe PDC, eines Webserver als Tracking zu betrachten Active Directory sind, oder nur wenn die Logs Personen Domain Controller: PDC zugeordnet werden (oder werden können). Domain Name: Internetadresse einer Organi- Wird 2013 fast vollständig ignoriert sation im Internet, z.B. sicherheitskultur.at. Doorbell: Smart Doorbell (Türklingeln) IoT- Domaine Geräte von Amazon (Markenname Ring)
Version 11.1 Seite 58 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ oder von Google (Markenname Nest). Diese Mobbings Klingelsysteme sind mit Videokameras DP-3T: (Decentralised Privacy-Preserving Pro- verbunden die nicht nur ein Betrachten des ximity Tracing) Protokoll zur Orten anderer Eingangs vom Türöffner ermöglichen, sondern Apps in unmittelbarer Nähe, siehe Corona die Bilder auch in die jeweilige Cloud Apps streamen (bei Ring optional). Problematisch DPA: 1) (data protection act) britisches ist, dass diese Kameras auch den öffentlichen Datenschutz-Gesetz von 1988 Raum abdecken und Polizeibehörden Zugriff auf diese Videos durch einfache Erlaubnis des 2) (Differential power analysis) side channel Wohnungs- oder Hausbesitzers bekommt statt Angriff durch Genehmigung durch einen Staatsanwalt. 3) (Dynamic passcode authentication), siehe Für Ring gibt es eine Social Networking App CAP („Neighbors“) mit deren Hilfe Inhalte mit DPAPI: (Data Protection API) API in Nachbarn und/oder der Polizei geteilt werden. Windows ab Windows2000 zum Ver- In einigen Gemeinden, auch in Europa werden schlüsseln hauptsächlich von symmetrischen Geräte bezuschusst wenn die Nutzer bereit Schlüsseln. Die große Herausforderung dabei sind, der Polizei Zugriff zu geben. ist, dass diese verschlüsselt gespeichert sein Der Ring-Geräte gelten als recht unsicher, sollten, die würde jedoch wieder einen neuen Account Details vieler Geräte sind im Schlüssel erforden. DPAPI löst dieses Problem Internet verfügbar, es gibt spezielle indem der Master Key mit dem ‚user logon Hacker Tools. Die Kameras sind zum Teil mit secret’ (i.d.R. das Passwort) generiert wird. einer smarten Türöffnung verbunden, die Mit diesem Master Key werden dann alle Hackern ein Öffnen der Türen ermöglichen Daten verschlüsselt. Auf dem Domain kann. Solche Kameras können nach einer Controller wird ein ‚backup’ abgelegt, z.B. für Trennung vom Partner zu digitaler Gewalt Fälle wenn das Passwort zentral zurückgesetzt genutzt werden. Daher ist nach einer Trennung wird ein Zurücksetzen aller Passworte wichtig DPI: Deep packet inspection DoS: Denial of Service DR: (Disaster Recovery) Double-Opt-In: Technik des Permision DRAM: (Dynamic random access memory) Marketing, bei der der Kunde auf einer Halbleiter- Speicher, der flüchtig ist ( Rema- Website seine Zustimmung (z.B. zum Erhalt nence) (im Gegensatz zu SRAM) und daher von Werbemails) bestätigen muss, dann eine ständig „refreshed“ wird. Beispiel für DRAM ist E-Mail erhält und noch einmal bestätigen „DDR SDRAM“ muss. So soll verhindert werden, dass jemand Drive-by-Infektion: heute dominierender ohne seine Zustimmung teilnimmt. Siehe Opt-In Angriff über präparierte Website bei der Malware ohne Interaktion mit dem Downgrading: Akzeptieren älterer Konventio- Anwender installiert wird (Infektion über nen und Standards, kann zum Sicherheitsrisiko Software wie z.B. NeoSploit). Verwendet werden, wenn z.B. statt SSL3 auch SSL2 Verwundbarkeiten in Anwendungen und akzeptiert wird Active Content. Vorteil für den Angreifer ist, Download : (engl. herunterladen) Daten und dass kein Eindringen in das Zielnetz und den Dateien aus dem Internet holen, z.B. Pro- Ziel-Rechner notwendig ist, der Benutzer ruft gramme, Texte, Bilder, Musikstücke, Videos, (unwissentlich) die Malware selbst ab. Siehe Filme. Da in Programmen und anderen Ob- iFrame, Malware-Schutz jekten Malicious Code enthalten sein kann Driver: 1) Software im Betriebssystem, die nicht immer ungefährlich. Schutz dagegen für die Kommunikation mit einem spezifischen bieten aktualisierter Virenschutz und Gerät zuständig ist. Gefährlicher Angriffs- aktualisierte Software punkt, wenn z.B. ein modifizierter Driver Downtime: Ausfall eines Systems, z.B. installiert wird, der zusätzliche Aktionen tut Computer oder Netzwerks mit verminderter (z.B. weiterleiten von Daten, unterdrücken von Verfügbarkeit. Kann Folge von technischen Informationen). Letzteres wird z.B. bei einem Fehlern oder Denial of Service Angriffen sein Root Kit verwendet, der die Dateien der Doxing: Hacker-Slang: die (persönlichen) Infektion für andere Programme, z.B. auch Daten einer fremden Person (oder einer Virenschutz, ausblendet.Daher kann wirk- Firma) veröffentlichen um dem Opfer zu liche Sicherheit nur für ein Gesamtsystem schaden, z.B. der Angriff 2014 gegen Sony zertifiziert werden, nicht durch die Zertifizie- oder HBGary Federal oder die Veröffent- rung von Einzelkomponenten. Siehe TOE lichung von persönlichen Daten oder Fotos von 2) Ursache, z.B. cost driver als Faktor der die Prominenten. Dies wird jedoch auch oft als Kosten beinflusst. Die Analyse von Drivern ist Form des Cyber Bullying (Cyber Mobbing) ein Punkt einer tiefer gehenden Sicherheits- gegen beliebige Personen eingesetzt, oft in der analyse, denn viele Probleme können nur Gamer-Szene, sehr oft gegen Frauen. Siehe durch Behebung der eigentlichen Ursachen, auch SWATting als Steigerungsform des
Version 11.1 Seite 59 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ z.B. zu geringe Qualifikation oder Sicherheits- DRP: (Disaster Recovery Plan) Wiederherstel- kenntnisse der Beteiligten behoben werden lungskonzept, Disaster Recovery DRM: (Digital Rights Management) Techno- Druckausgaben: oft ein Sicherheitsrisiko, z.B. logien um die Verwendung und vor allem das wenn vertrauliche Informationen im Drucker Duplizieren von elektronischen Dokumenten verbleiben. Siehe Multifunktionsprinter, und Dateien, z.B. Texte, Filme oder Musik Fax, Postkästen (mp3) zu beschränken. Hierunter fallen z.B. Drucker: Multifunktionsprinter alle Kopierschutztechnologien, aber auch weiterführende Technologien, die z.B. ein- DSB: Datenschutzbeauftragter, in Österreich auch Datenschutzbehörde, der Nachfolger schränken, wie oft ein Musikstück gehört werden kann. Gegen Profis weitestgehend der Datenschutzkomission wirkunglos, für normale Nutzung oft sehr DSE: (Desktop Search Engine) Sammelbegriff behindernd. Siehe DCMA, AACS. DRM für Programme wie Google Desktop, die wird auch als Weg zu DLP vorgeschlagen, Dateien in einer lokalen Speicherumgebung setzt dann aber flächendeckende Bewertung genauso indizieren wie Seiten im Internet. alles Daten voraus ( Dateien und Datenbank- Sicherheitsrelevant, da viele dieser Program- Inhalte) ( Asset Classification) me Suchanfragen auch an den Anbieter der Drohne: unbemannte Flugzeuge die Software weiterleiten, sofern dies nicht bei der militärisch für direkte physische Angriffe, Konfiguration verhindert wird aber auch für Surveillance eingesetzt wer- DSig: XML DSig den (mehr zu diesem Aspekt unter UAV DSIN: (Deutschland sicher im Internet) wegen unmanned areal vehicle). starker Industrienähe umstrittene Aufklärungs- Immer kleinere und billigere Modelle sind 2013 kampagne zu Internet-Sicherheit. auch für Private leistbar und über https://www.sicher-im-netz.de/ Smartphones leicht zu steuern. Dies eröffnet DSK: (Datenschutzkomission) neue Möglichkeiten für Stalking DSL: (Digital Subscriber Line) gemeinsamer Dropbox: Cloud Service zur Synchronisie- Name für verschiedene Techniken für eine rung von Dateien zwischen Rechnern (und schnelle Datenverbindung über das Telefon- Smartphones). Bequem zu nutzen, aber netz. Eine weit verbreitete Technik ist ADSL problematische Sicherheit da kein Passwort DSP: (digital signal processing) hardware- für den Zugriff notwendig ist, sondern nur Konzept der Signalverarbeitung, bei dem eine Config-Datei, die falls auf einem anderen analoge Signale (Ton oder auch Funkfrequen- Rechner installiert, vollen Zugriff ermöglicht. zen) zuerst digitalisiert werden und dann Verwendet Deduplication über SHA-256 mittels sehr schneller Spezialprozessoren Hashes, was bei Manipulationen den Zugriff verarbeitet werden. DSP ist die Grundlage der auf fremde Dateien ermöglichen kann. heutigen Handys, aber auch von Techno- Außerdem lassen sich auf diese Weise auch logien wie Stimmerkennung und auch Dateien auf Dropbox speichern ohne dass sie Erkennung von Emotionen aus der Stimme mit einem Account verknüpft sind (z.B. mit (Privatsphäre). Siehe auch Software- illegalen Inhalten). Dateien werden zwar nach defined Radio dem Transport im Data Center verschlüsselt, die Schlüssel liegen jedoch unter Kontrolle DTD: (Document Type Definition) des Betreibers und sind für alle Benutzer 1) Definition der in einem XML Dokument einheitlich. Siehe auch Shadow-IT verwendeten “Tags”, Alternative Angebote wie SpiderOak und 2) in HTML 4 verwendeter Standard zur Wuala unterstützen automatische Ver- Darstellung von Formatierungsregeln im Web- schlüsselung mit Kontrolle der Schlüssel browser durch den Benutzer, was jedoch eine Wieder- DSRC: (Dedicated Short Range Communica- herstellung nach Schlüsselverlust verhindert. tion) mit einer Reichweite von ca. 300 Metern, Live Mesh, SugarSync bieten diese Sicherheit geplant für den Einsatz bei C-ITS nicht. CrashPlan bietet lokale Verschlüs- DTO: (Disruptive Technology Office) ARDA selung mit Key Escrow Dual control: 4-Augen-Prinzip DropMyRights: Programm unter Win- dows um Anwendungen wie E-Mail oder DuckduckGo: Suchmaschine, eine der Webbrowser ohne Privilegien ablaufen, Alternativen zu der dominierenden von obwohl der Benutzer „Admin-Rechte“ hat. Google. DuckduckGo bietet im Gegensatz Siehe Safer, root jail dazu keine personalisierten Suchergebnisse, da sie keine Daten der Nutzer sammeln. Dropzone: Server im Internet, in den DuckduckGo sucht seine Ergebnisse aus 400 Keylogger und andere Schadsoftware auf Quellen, z.B. aus Wikipedia, aber auch einem infizierten PC die gestohlenen anderen Suchmaschinen wie z.B. Bing, Yahoo! Daten ablegen. Durch Analyse der Daten in und Yandex. Sie verwenden auch einen diesen Servern gewinnt man Informationen eigenen crawler über die Cybercrime Economy
Version 11.1 Seite 60 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Dumpster Diving: Durchsuchen von Müll- und Verändern des Programmcodes einer Altpapierbehältern nach Informationen z.B. zur Schadsoftware mit dem Ziel, die Pattern- Vorbereitung von Social Engineering (Tele- erkennung eines Malware-Schutzes zu über- fonlisten, Aktennotizen u.ä.) und Wirtschafts- listen. Siehe Code Obfuscation, Poly- spionage morphismus Dunbar Number: Zahl der Personen, mit de- Dynamic DNS: spezielle Form von DNS, bei nen Menschen eine nähere Beziehung haben der die IP-Adresse, die einer Internet- können, wird zwischen 100 und 250 ange- Domäne zugeordnet ist, wechseln kann. geben, oft wird 150 angenommen. Bezeich- Dies ist z.b. notwendig, wenn der betreffende nend ist, dass die durchschnittliche Zahl von Rechner über einen ISP angeschlossen ist, friends auf Social Networks wie Face- der bei jeder Verbindung eine neue Adresse book sehr weit darüber liegt. Als Grund wird vergibt (was bei xDSL oft der Fall ist). Solche oftmals FoMo genannt. 2013 gibt es Social Tricks werden auch für Angriffe im Internet Networks, die bewusst die Zahl der Kontakte eingesetzt, wenn z.B. Trojaner den Kontakt sehr niedrig halten mit dem Steuerungsrechner über schnell DVB-H: (Digital Video Broadcasting–Hand- wechselnde dynamische DNS-Einträge helds) digitale Übertragung von Multimedia- herstellen diensten an mobile Geräte mit geringer Dynamic Host Configuration Protocol: Auflösung und hoher Kompression (nicht als DHCP aktiver download sondern zeitgleich an alle E2EE: End-to-end Encryption Geräte). Gesendet wird über UHF-, VHF-oder EAC: (Extended Access Control) verbesserte L-Band Kanäle, d.h. die Geräte brauchen Verschlüsselung für den ePass (wegen Kritik entsprechende Empfangseinrichtungen an BAC). Jedoch nicht von der ICAO stan- DVB-T: (Digital Video Broadcasting Terrestrial) dardisiert und nur für spezielle Daten digitale Übertragung von Fernsehbildern über (Fingerabdruck) vorgesehen UHF- und VHF-Kanäle e-Administration: e-Government DVD: (Digital Video Disk) digitales Speicher- EAM: (Enterprise Application Integration) medium ähnlich einer CD-ROM, aber mit höher Messaging Kapazität (zwischen 4,7 und 8,5 GB) die es auch als beschreibbare Variante gibt. DVDs EAN: (European Article Numbering) 8-14- sind auf Grund ihrer hohen Kapazität mehr stelliges Barcode-System zur Markierung von noch als CD-ROMs sicherheitsrelevant, da mit Produkten in Läden. Als EAN·UCC heute auch ihrer Hilfe große Datenmenge über die Unter- in den USA im Einsatz. Wird heute meist durch nehmensgrenzen hinweg transportiert werden EPC ( RFID) abgelöst, eine Ausnahme ist können. Als Kopierschutz wurden für kom- aber z.B. der Zahlungsanbieter Bluecode der merzielle Filme auf DVDs 8 Regional Playback auf der Grundlage ein Bezahlen an Control (RPC)-Codes eingeführt. Damit soll Bankomatkassen erfolgreich anbietet aber in verhindert werden, dass eine in Asien oder Zukunft wohl auf QR Code wie er in China USA gekaufte DVD in Europa gespielt werden für solche Zahlungen genutzt wird umsteigen kann. Es sind jedoch entsprechende Frei- wird schaltcodes für alle Abspielgeräte im Internet EAP: (Extensible Authentication Protocol, RFC zu finden ( http://www.dvd-sucht.de/codefree.php ). 2284) Teil von IEEE 802.1x, eingesetzt für Zum weiteren Schutz sind die meisten die Authentifizierung in LAN Switches. In kommerziellen DVDs mit dem Content Wireless Networks in IEEE 802.11i und Scrambling System ( CSS) verschlüsselt. WPA verwendet. Es schließt einige Sicher- Das Open-Source-Programms DeCSS heitslücken in WEP. Es wurde ursprünglich kann die Verschlüsselung umgehen. Siehe für PPP entwickelt und gilt für drahtlose auch Tails Verbindungen als unsicher. EAP ist nur ein DVP: (Digital Video Broadcasting) technischer generelles Framework, es liegen zahlreiche Standard für die Übertragung von Rundfunk inkompatible Implementierungen vor, z.B. und Fernsehen in digitaler Form. Unterstützt EAP-MD5, PEAP, EAP-TLS, EAP- auch die Verschlüsselung des Signals für TTLS, EAP-IKEv2, EAP-FAST, LEAP. Pay-TV EAP-SIM und EAP-AKE für Handys DVR: (Datenverarbeitungsregister) zentrale EAP-FAST: Cisco-Implementierung zur Ver- Meldestelle für österreichische Unternehmen, besserung von LEAP, gilt auch als unsicher die personenbezogene Daten verarbeiten. Es und schwer zu implementieren wird betrieben von der Datenschutzbehörde EAP-IKEv2: EAP-Variante auf der Basis von und wurde durch eine Verordnung basierend IKE mit Client- und Server-Zertifikaten auf dem österreichischen DSG2000 einge- EAP-MD5: EAP-Variante auf der Basis von richtet. Das Register ist seit 2014 für jeden MD5, gilt es sehr unsicher einsehbar und zeigt, welche Datenverarbei- tungen durch Firmen eingemeldet wurden EAP-TLS: EAP-Variante auf der Basis von TLS und Client Zertifikaten, was die Imple- Dynamic Code Obfuscation: automatisiertes
Version 11.1 Seite 61 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ mentierung aufwendiger gestaltet Einfluss auf den Handel allgemein, sie ver- EAP-TTLS: EAP-Variante auf der Basis von wischen die Grenzen zwischen Privatver- Server Zertifikaten käufen und kommerziellen Firmen. In Bezug auf Sicherheit relevant wegen dem Rating- EAS: (Electronic Article Surveyance) elek- System und weil auch viele Kriminelle die Mög- tronische Diebstahlsicherung. Diese Tags ent- lichkeiten von eBay für sich entdeckt haben. halten im Gegensatz zu EPCs keine Daten. Siehe http://sicherheitskultur.at/PC-tipps.htm#11 . Kein Standard, inkompatible Systeme im Markt Deutliche Sicherheitskritik bzgl. eBay (z.B. EasyPass: System an deutschen Flughäfen, fehlende Authentisierung der Anbieter) findet bei denen die Passagiere vollautomatisch sich in http://de.wikipedia.org/wiki/Ebay mittels ePass (oder in Zukunft ePerso) und e-Billing: Versand von elektronischen Rech- automatischer Gesichtserkennung abgefer- nungen. Um Betrug, z.B. Vorsteuerbetrug, zu tigt werden vermeiden ist dabei eine digitale Signatur e-Banking: (Electronic Banking) selbständiger vorgeschrieben. Die Rechnungen selbst kön- Bankverkehr von (Privat-)Kunden über das nen entweder in einem Format sein, das eine Internet. Dabei werden entweder Web- automatische Weiterverarbeitung in der IT er- browser eingesetzt (zumeist für Privatkunden, möglicht ( EDI, EDIFACT, XML) oder in dann zumeist Internet-Baking genannt) oder einem für Menschen lesbaren Format (z.B. spezielle Clientprogramme z.B. nach dem PDF). Die Erfüllung der gesetzlichen Vor- MBS, EBICS oder HBCI. Erfunden 1983 schriften aus Steuergesetzen und Buchhal- durch die Nottingham Building Society. Es war tungsvorschriften können die gesetzes- in den USA bereits 1980 eingeführt worden, konforme Umsetzung aufwendig machen wurde aber 1983 wieder eingestellt. 1998 ist es eBook: Inhalte von Büchern in elektronischen in den USA bei den meisten Banken im Formaten zur Wiedergabe auf PCs, Einsatz. Heute werden bei e-Banking sehr oft Smartphones oder speziellen Lesegeräten single-page applications eingesetzt. (im Prinzip Smartphones). Wichtige Format Alle Daten müssen bei e-banking verschlüsselt sind das offene EPUB (das auf XML, CSS übertragen werden, zu diesem Zweck wird bei und SVG basiert), bzw. firmen-eigene Browser-Lösungen in der Regel SSL (bzw. Format wie bei Amazon (dessen Lesegeräte heute TLS) eingesetzt. Phisher nutzen aus aber ebenfalls EPUB unterstützen). Diese dass es sehr leicht ist, eine Bankenwebsite zu Formate erlauben eine dynamische Anpassung imitieren und dadurch Kunden zur Preisgabe der Seitenumbrüche, im Gegensatz zu PDF, ihrer Passworte oder PINs und von das zwar von allen diesen Apps dargestellt TANs zu verleiten. werden kann, dessen A4-Format auf kleinen Schutz gegen solche Angriffe soll durch den Bildschirmen sehr mühsam ist. Problema- Einsatz eines 2. Kanals, z.B. mTAN über tisch ist an eBooks (wie auch beim SMS für die Autorisierung der Transak- Streaming), dass die Inhalte nicht gekauft tionen erreicht werden. Andere Verfahren werden, sondern es wird nur ein Nutzungs- nutzen digitale Zertifikate (bzw. Schlüssel) recht erworben, das aber (i.d.Regel) nicht auf Smartcards die über einen Smartcard- weitergegeben werden kann. Trotzdem werden Reader an einen PC angeschlossen werden eBooks auch in Leihbibliotheken angeboten, oder über spezielle Geräte die das Zertifikat spezielle Lizenzen und spezielle Software einer Bankomatkarte einlesen können. Für regeln die Anzahl von Kopien die jeweils die Berechnung des Sicherheitscodes den der verliehen werden können. Viele eBooks Kunde für die Autorisierung eingibt muss der werden mit Kopierschutz implementiert, was Kunde entweder selbst die Zielkontonummer zusätzliche Einschränkungen für Leser eingeben oder die Transaktionsinformationen bedeuten kann (ohne Kopierschutz ist oft ein werden über einen sog. chipTAN Flickercode lokales Speichern weiterhin technisch möglich) automatisiert übertragen. Aus diesen Werten ebXML: Message Service Protocol, auf XML berechnet dann das Gerät auf Grundlage des basierendes Verfahren zum Austausch von Schlüssels der Smartcord einen Hash-Wert Informationen zwischen Anwendungen, mit dem der Benutzer die Überweisung unabhängig von Protokoll oder Inhalt der autorisiert. (Siehe CAP, CardTAN). Auch Message (kann traditionelle EDI Formate solche Systeme lassen sich durch Social unterstützen) Engineering austricksen, z.B. indem der EBICS: Kommunikationsverfahren für den e- Benutzer vorgegaukelt wird, es würde jetzt ein Banking zwischen Firmen und Banken. Dabei Test durchgeführt, für den er bestimmte wird ein spezielles Clientprogramm einge- Aufgaben erledigen muss, die dann für die setzt. Die Kommunikation erfolgt verschlüsselt Angreifer zu der nötigen Sicherheitszahl und die Transaktionen sind signiert führen. EC2: (Amazon Elastic Compute Cloud) ist ein eBay: bekannteste Website für private Ver- zentraler Bestandteil des Amazon Web steigerungen. Daneben gibt es jede Menge Services (A.W.S.) Angebots. Es ist ein Cloud regionale und/oder spezialisierte Websites. Service bei dem virtuelle Server sehr eBay und ähnliche Sites haben einen großen
Version 11.1 Seite 62 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ kurzfristig (z.B. für wenige Stunden) zur in Social networks bei denen sich ähnlich Verfügung gestellt werden. Wird zum Teil auch denkende in Gruppen zusammenfinden und für kriminelle Aktivitäten wie Password- gegenseitig ihre Positionen verstärken. Dann Cracking genutzt. EC2 bietet serverseitige gibt es den Filterblasen-Effekt (filter bubble) Verschlüsselung (SSE), die sicherheits- der durch Algorithmen (z.B. Suchmaschi- konzeptionell nicht wirklich akzeptabel ist, aber nen oder Vorschlagsalgorithmen in Social auch ein API für client-seitige Verschlüs- Networks oder auf Youtube) entsteht, wenn selung. Solche cloud-basierte Dienste sind Vorschläge für Inhalte oder Suchergebnisse sind eine Weiterentwicklung von Housing auf der Basis früherer Aktivitäten getroffen und Outsourcing. Siehe auch Shadow-IT werden. Dadurch werden die Nutzer immer Bei AWS implementieren viele bekannte wieder zu den gleichen Inhalten geführt Firmen (speziell Startups) ihre Internetdienste, Echokammer: Echo chamber z.B. Airbnb, Pinterest, Spotify, Dropbox. Andere e-Commerce: (electronic commerce) Durch- Firmen bieten spezielle Dienste, z.B im führung von kommerziellen Transaktionen über Bereich data mining. Siehe Kubernetes Kommunikationsnetze (heute meist das EC3: Cybercrime Unit von Europol. Siehe Internet) und mit Hilfe von Computern. EU Konkret ist dies meist das Kaufen und eCall: Europäisches System, das ab 2018 Verkaufen von Waren oder Dienstleistungen verpflichtend in Neuwagen eingebaut sein und die Durchführung von finanziellen muss und das bei einem Zusammenstoß im Transaktionen. Mangelnde Sicherheit, bzw. Straßenverkehr oder vergleichbaren Un- das subjektive Empfinden mangelnder glücken nach dem Auslösen der Airbags Sicherheit, wird dabei oft als eines der automatisch die einheitliche europäische Not- Hemmnisse des e-Commerce genannt. Auch rufnummer 112 anwählt und dort die mittels die Darknet markets fallen unter e- GPS ermittelten Koordinaten und die Art des Commerce Treibstoffs übermittelt. Edge: 1) (Enhanced Data Rates for GSM e-card: ersetzt in Ö den Papierkrankenschein Evolution) bezeichnet eine Technik zur und enthält derzeit (2011) lediglich Name, Erhöhung der Datenrate in GSM -Mobilfunk- Geburtsdatum, Sozialversicherungsnummer. netzen durch effizientere Modulationsverfahren Technisch könnten auf dem Chip auch 2) (engl. Kante) Zugangspunkt zu einem Gesundheitsdaten verschlüsselt gespeichert Netz (zB Firmennetz), implementiert z.B. als werden, dies wird aus Datenschutzgründen Firewall, Proxy, etc. aber nicht durchgeführt. Der verwendete Chip 3) bei einem Social Graph die Verbindung unterstützt auch die digitale Signatur. e- zwischen 2 Knoten der einen Kontakt abbildet. Health, ELGA Kann gerichtet sein oder weitere Eigen- ECC: 1. Error Correction Code schaften haben 2. Elliptic Curve Cryptography Edge Server: Begriff für Systeme, die einen ECG: (E-Commerce-Gesetz) Gesetz zu Zugang zu einem Netz ermöglichen, Fragen des e-Commerce in Ö. Regelt u.a. verwendetz.B. von Microsoft, Oracle oder die Haftung von Diensteanbietern IBM WebSphere ECHELON: Abhörsystem, das von den USA EDI: (Electronic Data Interchange) frühe Form (NSA), Großbritannien ( GCHQ), Kanada des e-Commerce, seit den 80iger Jahren und Australien seit den 60iger Jahren standardisiert. Der Austausch von Geschäfts- betrieben wird. Früher auf den Funk- und dokumenten jeglicher Art (z.B. Rechnungen, Telefonverkehr des Ostblocks ausgerichtet, Angebote, Zollerklärungen, Lieferscheine, etc.) werden heute vor allem Telefongespräche, unter Verwendung vorgegebener Forma- Fax und E-Mails abgefangen. Echelon tierungsstandards. Traditionelles Format ist die steht im Verdacht, zur Wirtschaftsspionage US-amerikanische Norm X.12, eine euro- benutzt zu werden, was die Betreiber päische Antwort darauf ist UN/ EDIFACT. In bestreiten. Verliert seit ca. 2008 immer mehr Teilmärkten haben sich z.T. andere Normen an Bedeutung gegenüber der Internet- durchgesetzt, so z.B. HL7 im Gesundheits- Überwachung. Siehe Edward Snowden, wesen und Odette im Automobilbau. Heute Semantic Forest. Siehe auch werden oft neue Formate genutzt, die auf http://de.wikipedia.org/wiki/Echelon XML-Technologie beruhen. Eine Standardi- Echo chamber, bzw. Filterblase: beschreibt sierung für viele verschiedene Fachgebiete die Situation, bei der Menschen immer nur den findet z.B. unter RosettaNet statt. Traditionell Meinungen, Positionen und Informationen werden EDI-Dokumente unverschlüsselt und ausgesetzt sind, die sie eh schon haben (so ohne digitale Signatur übertragen. Die Übertra- wie bei einem Stammtisch unter Gleichge- gung fand traditionell über VANs statt. sinnten). Dadurch wurde eine gewisse Sicherheit er- Dies kann im Internet auf 2 Arten auftreten. reicht. Heute werden EDI-Dokumente oft über Zum einen haben wir den Echokammer-Effekt das Internet versandt. Dafür werden die Dokumente heute oft verschlüsselt und
Version 11.1 Seite 63 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ signiert. Abgegrenzt von Messaging mitarbeiter seine Texte vor der Veröffentlichung EDIFACT: (eigentlich UN/EDIFACT) Internatio- hätte genehmigen lassen müssen. naler EDI-Standard, sollte eigentlich X.12 Ein zweifelloser Erfolg seiner Aktivitäten ist, ablösen, hat dies jedoch wegen der hohen dass bis dahin die NSA die damals noch Umstellungskosten bestehender Anwendungen unverschlüsselten Datenströme zwischen den nie geschafft. Unterstützt in der Originalform Rechenzentren z.B. von Google mitge- weder Signatur noch Verschlüsselung schnitten hat. Google hat sehr schnell auf EDIINT: (EDI over the Internet) Arbeitsgruppe flächendende interne Verschlüsselung der Internet Engineering Task Force IETF. umgestellt und durch Druck auf Website- Erarbeitet Standards für den Austausch von Betreiber dafür gesorgt, dass nun auch (fast) Geschäftsdokumenten ( EDI) über das alle Websites HTTS nutzen. Dabei hat die Internet Initiative von Let’s Encrypt sehr geholfen. e-Discovery: ursprünglich US-Gesetzesände- EEA: (European Economic Area) Wirtschafts- rung (Federal Rules of Civil Procedure), die raum der größer ist als die EU, da er auch die besagt, dass Firmen für Informationen, die evtl. ehemligen EFTA Länder enthält, mit Schweiz Beweis vor Gericht sein könnten, wissen als Sonderfall müssen, ob diese verfügbar sind und falls ja, EEG: (Elektroenzephalogramm) P300 wo (einschließlich Backup-Medien) und sie EES: Escrow Encryption Standard müssen die Informationen auf Anfrage fristgerecht zur Verfügung stellen können. EFI: ( Extensible Firmware Interface) Firmen können Data Retention Regeln EFS: (Encrypting File System) Verschlüs- erstellen die zu einer fristgerechten Löschung selung von Verzeichnissen und Dateien auf führen, müssen diese jedoch strikt einhalten. Windows Rechnern. Auf Desktop Geräten E-Discovery schließt auch Daten wie ab Windows 2000 standardmäßig, kann zur Chat-Protokolle, Voicemail, Social Verschlüsselung von Dateien herangezogen Media Aktivitäten wie Blogs, Social werden. Siehe BitLocker Networks, etc. ein. Diese Regeln gelten EFS basiert auf einem Verschlüsselungs- mittlerweile auch in einigen anderen Ländern verfahren unter Verwendung von zwei krypto- als der USA. In Microsoft Exchange sind geeignete Funktionaliäten enthalten und grafischen Schlüsseln. Der symmetrische Schlüssel wird zur Verschlüsselung der können natürlich auch in anderen Ländern eingesetzt werden (mögliche Einschränkungen Daten verwendet, das asymmetrische durch Datenschutz sind natürlich möglich). Schlüsselpaar dient der Verschlüsselung des Siehe Legal Technology symmetrischen Schlüssels. Bei richtiger Implementierung gilt diese Art der eDonkey: (eDonkey2000) Tauschbörse im Internet. 2005 erreichte die RIAA die Datenverschlüsselung als ziemlich sicher. Einstellung. Siehe P2P, Overnet Es ist jedoch zu beachten, dass EFS „nur“ edu-card: Smartcard für Schüler und Lehrer Dateien auf einem Datenträger verschlüs- in Ö, derzeit noch im Pilotversuch. Kann ein selt. Wenn dieser Datenträger (z.B. diese Zertifkat enthalten und auch zum Öffnen von Serverplatte) über Netzwerk erreichbar ist, Türen verwendet werden, was ziemlich dann ist die Übertragung der Daten über zwangsläufig zu einer Protokollierung führt dieses Netz NICHT gesichert. EDVIRSP: umstrittene franz. Polizeidatenbank In Windows XP (und Nachfolgern) Profes- in der Personen ab 13 Jahre Alter gespeichert sional können auch „Offline Dateien“ mit EFS werden sollen. Im ersten Entwurf alle, bei verschlüsselt werden denen der Verdacht besteht, dass sie in der eGK: (elektronische Gesundheitskarte) soll ab Zukunft evtl. gegen die „öffentliche Ordnung“ 2007 in Deutschland die Krankenversicher- verstoßen könnten, jetzt geändert auf ungskarte (eine reine Speicherkarte) ersetzen. „öffentliche Sicherheit“. Siehe Präventions- Enthält im administrativen Pflichtteil die Ver- staat sicherungsdaten, im freiwilligen Teil Ge- Edward Snowden: Whistleblower der als sundheitsinformationen, z.B. Notfallsdaten und Mitarbeiter einer US-Sicherheitsfirma Zugriff eine elektronische Krankenakte. Die Karte ist auf geheime NSA-Papiere bekam, diese aus Datenschutzgründen umstritten. 2019 2013 veröffentlichte und einige Aufregung wurden viele Verwundbarkeiten, speziell bei auslöste, weil damit das Ausmaß der Über- der Registrierung von Karten für Ärzte, wachung des Internet-Datenverkehrs aufgezeigt, mit deren Hilfe ein Angreifer auf öffentlich wurde. Siehe PRISM, Patientendaten in der elektronischen XKeyscore, Tempora, Bullrun, GCHQ. Patientenakte ( ePA) zugreifen könnte. Siehe 2019 veröffentlichte er seine Erinnerungen als e-Health Buch. Die US-Regierung hat erfolgreich die Egress Filtering: Filtern von Daten auf dem Einnahmen aus dieser Veröffentlichungen ein- Weg nach außen, z.B. um zu verhindern, dass klagen können, da er als Ex-Geheimdienst- ein intern installierter Trojaner mit der
Version 11.1 Seite 64 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Außenwelt Kontakt aufnimmt. Siehe ingress - Aufwand und Kosten für Angreifer (z.B. ob filtering Tools für den Angriff vorliegen, Automati- e-Geld: Sammelbezeichnung für karten- und sierungsmöglichkeiten) software-basiertes Geld ( Kartengeld, - erwarteter Gewinn der Angreifer Netzgeld) e-Justice: oft synonym mit elektronischem Beispiele für Kartengeld sind die deutsche Rechtsverkehr, Einsatz von IT zwischen Judi- GeldKarte oder die (jetzt obsolete) kative, Bürgern und Unternehmen österreichische Quick-Karte, bei der in Electromagnetic Analysis: Side Channel einem Chip ein Geldbetrag „gespeichert“ Angriff durch Analyse der elektromagnetischen wurde, der bei Automaten und in Geschäften Abstrahlung entweder während der Ausführung genutzt werden konnte. von Computerbefehlen oder bei der Beispiele für Netzgeld sind z.B. PayPal als Übertragung oder Darstellung von Ergebnis- „electronic money“ (auch paysafecard, M- sen. Siehe Van Eck Strahlung PESA, WebMoney, Perfect Money, Liberty Electronic Vaulting: Sichern von Daten für Reserve (geschlossen in 2013 durch US- Backup- oder Archivierungszwecke über Behörden), Robbokassa, CashU, Upay, Ukash, eine Datenleitung, oft als Service angeboten die oft/zumeist anonymes Bezahlen ermöglichen und für Kriminelle wichtig sind, Elektronische Rechung: e-Billing- Geldwäsche) oder virtual currencies wie Elektronischer Rechtsverkehr: (ELRV) Vor- Bitcoin, Facebook Credits, Nintendo nahme von Rechtsgeschäften auf elektroni- Points oder Linden Dollar in Second Life. schem Weg, sitzt zumindest digitale Signa- turen voraus, um Authentizität zu erzeugen. Kreditkarten (im engeren Sinne) gehören nicht zu e-Geld, da diese eine Verknüpfung mit Siehe e-Justice, e-Administration einem realen Konto darstellen. Siehe Elektronisches Wasserzeichen: Markierung Bargeld in elektronischen Dokumenten, mit denen sich e-Government: Einsatz von IT für Dokumente auch nach starken Veränderungen identifizieren lassen. Im Gegensatz dazu die Informationspräsentation, Kommunikation und Transaktionen von Regierung und Verwaltung, digitale Signatur, wo auch minimale intern und mit Bürgern und Unternehmen Veränderungen erkannt werden e-Health: neues Schlagwort für Konzepte wie ELGA: (elektronischer Gesundheitsakt) in Ö Telemedizin, Vernetzung im Gesundheits- geplante und nicht unumstrittene Infrastruktur, wesen oder für öffentliches Anbieten von durch die Gesundheitsdiensteanbieter (GDA) mittels eines Dokumentenregisters Gesundheitsinformationen. Umstritten, wenn Aspekte des Datenschutzes berührt werden ( registry) auf dezentral gespeicherte Kran- und die Implementierungen mehr oder weniger kenakten zugreifen können, die bei anderen GDAs gespeichert sind. Offen sind u.a. Details große Schwachstellen aufweisen. Siehe eGK, e-Card, ELGA, ePA beim Datenschutz EICAR: (European Institute for Computer Elliptic Curve Cryptography: (ECC) Ver- Antivirus Research) bekannt vor allem durch schlüsselung mittels eines alternativen mathe- matischen Verfahrens zu anderen Public die EICAR-Testdatei, die zum Testen der Funktion von Antivirensoftware eingesetzt Key Algorithmen wie RSA. ECC kommt mit wird, der sog. EICAR-Virus kürzeren Schlüssellängen aus, wird daher oft auf Smartcards eingesetzt. Auf dieser Basis eID: a) Sammelbegriff für elektronische Aus- sind auch digitale Signaturen (ECDSA) und weise, die in den EU-Ländern eingeführt Schlüsselaustausch (ECMQV) möglich. werden. Siehe ePass, ePerso http://arstechnica.com/security/2013/10/a- b) eine Funktionalität des deutschen ePerso relatively-easy-to-understand-primer-on-elliptic- bei der sich Privatstellen berechtigen lassen curve-cryptography/ können auf nicht-hoheitliche Datenelemente Embedded System: Software, die in einem des Chips zuzugreifen Gerät, bzw. Maschine oder Fahrzeug enthalten Einmalpasswort : engl. OTP, One-time– ist, oft in der Form eines EPROMs. Alle password, Passwort Software ist inhärent fehlerbehaftet und damit Eintrittswahrscheinlichkeit: in der Risiko- eine Quelle für Fehler und Schwachstellen. analyse ein wichtiger, aber oft nur schwer Heute ist ein großer Anteil der Probleme mit bestimmbarer Faktor. Negative Ereignisse mit Autos software-generiert. Es sind auch gezielte einer hohen Eintrittswahrscheinlichkeit stellen Angriffe gegen solche Geräte möglich, so ein hohes Risiko dar. Als Basis können dienen: hat 2011 ein Forscher drahtlos gesteuerte - interne oder externe Statistiken Insulinpumpen zur Abgabe einer tödlichen Dosis bringen können. Ein Riesenproblem ist - Informationen aus Presse bei diesen Systemen, dass es zumeist nicht - Effektivität der eigenen Schutzmaßnahmen möglich ist, nachträglich Fehlerkorrekturen zu - Motivationsgrad möglicher Angreifer machen, d.h. Verwundbarkeiten bleiben bis zum Wegwerfen des Geräts erhalten. Diese
Version 11.1 Seite 65 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Verwundbarkeiten liegen manchmal nicht in im Gegensatz zu EmiG auf DANE mit TLS der eigentlichen Software, sondern in in Verbindung mit DNSSEC setzt Bibliotheken die genutzt werden und selbst EME: (Encrypted Media Extension) Fehler enthalten EmiG: (E-Mail made in Germany) E-Mail: Kurzform von ‚electronic mail‘, bezeichnet den Austausch von Nachrichten eMoney: e-Geld nach dem Store-and-Forward Prinzip, d.h. die Emotionserkennung: die Analyse von audio- Nachricht wird in einem standardisierten visuellen und anderen Signalen (z.B. Texten) Format ( MIME, S/MIME) zwischen ver- zur Erkennung des Gefühlszustandes einer schiedenen Mailservern weitergereicht, bis sie Person. Dieser Bereich der Forschung wird vor den Endpunkt erreicht. Dort wird sie in einer allem von den großen US-Firmen wie Mailbox für den Abruf durch den Empfänger Google, Amazon, Facebook betrieben. bereitgehalten. Verwendete Protokolle waren Ziel ist es, durch Kenntnis des augenblick- früher oft X.400, heute fast nur noch SMTP. lichen Gefühlszustandes noch präziser SMTP-basierendes E-Mail wird leider heute oft Werbung zu schalten und z.B. augenblickliche für Angriffe durch Malicious Code und Empfindsamkeiten ausnutzen zu können um Phishing verwendet, da es keinerlei Sicher- sogar in gewissem Maße eine Steuerung der heitsvorkehrungen, z.B. Authentifizierung Menschen zu erreichen des Absenders oder des Rechners des EMRK: (Europaische Menschenrechts- Absenders erlaubt. Durch die Verwendung von konvention) digitalen Signaturen und Verschlüsselung EMSCB: (European Multilateral Secure Com- im S/MIME Format kann eine erhöhte, aber puting Base) open-source Alternative zu doch noch unzureichende Sicherheit bzgl. NGSCB, die eine Software ( Turaya) zur Integrität, Vertraulichkeit und Zurechen- Nutzung von TPM herausbringt barkeit erreicht werden. Seit den Ver- öffentlichungen von Edward Snowden EMV: (Europay, Master, Visa) Standard für die werden die Mails zwischen den Mailservern Implementierung von Smartcards auf Ban- fast nur noch verschlüsselt übertragen, und komat- und Kredikarten im Einsatz bei zwar mit TLS/SMTP. Auch der Abruf über POS-Terminals als sicherer Ersatz für Mag- POP3 oder IMAP wird seitdem fast immer netstreifen. Damit soll Skimming verhindert verschlüsselt. E-Mail wurde oft totgesagt, seine werden. In den USA und vielen anderen Län- Stärke ist die Kompatibilität. Egal welche E- dern (noch) nicht implementiert, daher fallen Mail-Software oder welchen Anbieter ein dort die Karten in den Magnetstreifenmodus Nutzer verwendet, die Nachricht wird trotzdem mit seinen Schwachstellen zurück. In (mit überschaubaren Kompatibilitätsproble- England wird die Implementierung Chip-n- men, z.B. bei Umlauten) zugestellt und kann PIN genannt, Chip-n-PIN soll in den USA in beantwortet werden. Dies soll bei Messaging 2015 eingeführt werden. Diensten erst mittels Digital Market Act erreicht werden. Siehe MTA, E-Mail-Flood EMV unterstützt für die Nutzung z.B. in Parkhäusern Fallback zu „no authentication“, E-Mail-Flood: Form des Denial of Service d.h. nicht abgesichert. EMV verlangt in der Angriffs bei dem eine Mailbox mit einer großen Zahl von E-Mails gefüllt wird, so dass Variante „SDA: Static Data Authentication“ (im die legitimen Mails darin untergehen. Solche Gegensatz zu „DDA: Dynamic Data Authen- Angriffe sind kommerziell günstig zu haben: tication“) keine verschlüsselte Kommunikation 100 000 E-Mail für 70 $. Wird z.B. (in zwischen PIN-Eingabe-Tastatur und Chip, Verbindung mit DoS gegen die Telefonlei- daher können in diesem Fall auf dem tungen) genutzt um in Verbindung mit einem Prozessorboard des Eingabegeräts die PIN anderen Angriff zu verhindern, dass z.B. und die Kontoinformationen in Klartext ausge- eine Beschwerdestelle oder Helpdesk z.B. lesen werden und dann für eine gefälschte während eines Phishing-Angriffs erreichbar Magnetstreifenkarte verwendet werden. Das ist EMV-Protokoll unterstützt auch chip-basierte E-Mail made in Germany: (EmiG) leicht Kreditkarten. 2012 wurden Schwächen in den umstrittene Initiative von einigen deutschen Anforderungen für die Generierung einer Serviceprovidern die als Antwort auf die „unpredictable number“ ( random number) Edward Snowden Veröffentlichungen ihren aufgezeigt. Marktanteil stärken wollen indem sie 2013 wird EMC auch drahtlos mittels NFC untereinander nur noch verschlüsselt und nur eingesetzt, was die Angriffsmöglichkeiten er- mittels Verbindungen im Schengen-Raum höht. Ebenfalls problematisch ist, dass das kommunizieren wollen. Kritisiert werden, dass eigentlich nur für mechanische Kontakte die Teilnehmer sehr strenge Aufnahmekriterien zwischen Chip und Lesegerät gedachte haben und nicht auf der Basis von weit Protokoll ab 3013 auch für NFC, d.h. draht- verbreiteten Standards arbeiten wollen, los genutzt wird. Auf diese Weise kann ein sondern eigene Konzepte haben. Das BSI Angreifer wenn er in der Nähe der Karte ist hat 2015 die Richtline TR-03108 erlassen, die
Version 11.1 Seite 66 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
(z.B. U-Bahn) einige Statistik- und Identitäts- dem die Daten vom Initiator einer Verbin- daten des Chips auslesen und bis zur Betrags- dung bis zur Gegenstelle so verschlüsselt sind, grenze bei der eine PIN-Bestätigung notwen- dass nur die jeweiligen Endstellen die Daten dig wird, auch Geld abbuchen. Allerdings entschlüsseln können. Im Gegensatz dazu z.B. braucht der Angreifer dafür eine Händler-ID Verschlüsselung auf Teilstrecken, z.B. zwi- von einem Kreditkartenunternehmen. Er wird schen 2 Routern die die Verbindung über ein daher nicht leicht anonym an das Geld öffentliches Netz bilden. End-to-end bietet die kommen. Siehe Geldkarte, Quick, CAP höhere Sicherheit, verlagert aber das Key EMV Cap: siehe CAP handling in die Endgeräte (z.B. Smart- phones). End-to-End Verschlüsselung setzt Encapsulating Security Payload (ESP): sich seit den Snowden-Veröffentlichungen IPSec-Header zur Verschlüsselung des immer stärker durch. 2020 wird es von fast Inhalts eines IP-Pakets. Bestandteil von allen Messaging Diensten oder Apps IPv6 unterstützt. End-to-End Verschlüsselung wird Encrypted Media Extension: (EME) Ko- durch die Behörden seit spätestens 2018 stark pierschutz für Streaming Inhalte durch bekämpft weil dadurch Messaging-Systeme Erweiterung des HTML5 Standards. Wird nicht in der Lage sind, die Inhalte die Benutzer jetzt (2014, nach viel Druck ) in allen austauschen an Behörden zu liefern ( Crypto Browsern implementiert. Dabei werden die Wars). kommerziell erworbenen Inhalte mit dem Gerät Als Hauptargument wird dabei sehr oft verknüpft Kindesmissbrauch verwendet, so wie Apple Encryption: Verschlüsselung 2021 eine Implementierung der Überwachung Endianness: bezeichnet die Byte-Reihenfolge auf den Endgeräten selbst vorschlägt. Dieses in einem Wort eines Computer speichers Thema wird oft als Startpunkt für Vorschläge oder bei einer Datenübertragung. Üblicher- zur Schwächung von Sicherheit verwendet weise ist die technische Speichereinheit in ENISA: (Europäische Agentur für Netz- und einem Computer (z.B. wenn Daten aus Informationssicherheit) 2004 von der EU einem Speicher in ein CPU-Register geladen gegründete Einrichtung mit dem Ziel der werden) nicht das Byte sondern ein Wort Beratung und Koordination der Mitgliedsstaa- (z.B. 32 bit = 4 Byte). Wenn ein Text, be- ten beim Aufbau kompatibler IT-Sicher- stehend aus 4 Zeichen, in 1 Wort gespeichert heitsstandards für IKT-Systeme. Arbeitet eng wird, so könnte das 1. Zeichen entweder mit den europäischen CERTs zusammen. rechts oder links im Wort abgelegt werden. http://www.enisa.europa.eu/ . Siehe EMRK, Dabei bezeichnet ‚big-endian‘ die bei uns Art.29 übliche Richtung von links nach rechts, ‚little- ENLETS: (European Network of Law endian‘ von rechts nach links. Dies gilt auch für Enforcement Services) ist eine Untergruppe Datenübertragungen. Bei bitweisen seriellen der Law Enforcement Working Party des Übertragungen wie z.B. RS-232 muss auch Europäischen Rats. Die wichtigsten Projekte noch die Reihenfolge der Bits definiert ab 2014 sind: Nummernschilderkennung werden (RS-232 ist ‚little-endian‘) ANPR, das Durchsetzen einer Technologie Endpoint Security: (EPS) Begriff für alle zum Anhalten von Fahrzeugen, Video- Sicherheitsfragestellungen, die Kommunika- überwachung und auch Open Source Intelli- tionsendpunkte wie PCs, PDAs, etc. be- gence und Signal Intelligence ( SIGINT) treffen. Oft befinden sich diese Geräte außer- durch geeignete Sensoren, d.h. Über- halb der Firmenumgebung. EPS betrifft den wachungsgeräte. Gerade die letzten Punkte Schutz der Geräte selbst, z.B. durch Perso- zählen traditionellerweise nicht zu den Auf- nal Firewall und Virenschutz, aber auch den gaben von Polizei, sondern von Geheim- Schutz der Netze vor möglicherweise infizier- diensten ten Geräten. Dies erfordert die automatisierte Entdeckung: eine der 3 Aufgaben des Sicher- Überprüfung des Sicherheitszustands des Ge- heitsmanagements: durch Monitoring, rätes und differenzierte Zugriffskontrolle, Alarmierung u.ä. möglichst schnell merken, möglicherweise Quarantäne und Aktualisie- dass ein Incident passiert ist. Die anderen rung von Patchzustand und Virenschutz. Aufgaben sind Prävention und Reaktion IDC Definition: „centralized control of security Enterprise Storage System: Überbegriff für policies on the client level [laptops, PDAs], and zentrale Speichersysteme, die für mehrere for network access points [internal desktops, Rechner gemeinsam eingesetzt werden. Dies kiosks and remote servers]”. Siehe TCP, kann sowohl Plattensysteme wie auch Band- NAC, NAP. Andere Anbieter sind laufwerke und Roboter enthalten. Wird oft mit Checkpoint, Symantec, Juniper, Qualys, dem Ziel der Hochverfügbarkeit eingesetzt. 3Com, ISS, McAfee Siehe SAN, Virtualisierung End-to-end: Verschlüsselungskonzept, bei
Version 11.1 Seite 67 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Enrollment: Wichtiger Sicherheitsvorgang mit schungssicherheit ist nicht gegeben, da derzeit dem ein Service aktiviert wird, z.B. die (2008) nur 5 von 45 Ländern die dafür Verknüpfung einer Kredit-, Debit- oder notwendige Public Key Directory ( PKD) Bankomatkarte mit einem Smartphone für einsetzen. Siehe FIDIS, RFIDIOt, die Nutzung in Apple Pay oder Google MRTD, e-Perso Pay. Wenn diese Verknüpfung gut EPC: (Electronic Product Code) Nachfolger kryptographisch (z.B. über Schlüssel die des EAN zum Identifizieren von Waren zur sicher auf dem Gerät gespeichert werden) Erleichterung des Supply Chains (Kette vom geschieht so stellt diese Verknüpfung einen Hersteller zum Kunden). Benutzt RFID- wichtigen Sicherheitsfaktor dar. Damit kann Technologie, aber mit deutlich höherer das so verknüpfte Gerät als 1 Faktor bei der Frequenz und erlaubt Auslesen über viele 2 Faktor Authentisierung gerechnet werden Meter. Mit 96-bit Länge können nicht nur = Besitz). Ein 2. Faktor entsteht wenn der Produkte, sondern auch einzelne Waren Nutzer das Gerät vor der Nutzung entsperren bezeichnet werden. EPC verwendet die Num- muss, entweder über PIN, d.h. Wissen oder merierung des GTIN. Wenn beim Kauf der Biometrie, d.h. „sein“ Chip nicht zerstört wird (KILL-command), kann Entropy: In der Informationswissenschaft der der Käufer des Artikels drahtlos weiterverfolgt Informationsgehalt eines Datenelements, wich- oder wiedererkannt werden. Dies berührt tig bei der verlustfreien Datenkompression Aspekte der Privatsphäre. Das Design ent- (z.B. Zip, GIF, PNG) und bei der Qualität hält eine TID (tag ID), die Cloning erschwe- von Passworten ren könnte, jedoch nicht verwendet wird und Enumeration: Angriffsmethode bei der z.B. enthält keine Authentifizierung oder Ver- über systematisches Hochzählen Zugangs- schlüsselung. EPC wird trotzdem für US- informationen zu elektronischen Diensten ge- Passcard und elektronische Führerscheine in wonnen werden, z.B. durch Ausprobieren aller den USA eingesetzt und ist über bis zu 50 numerisch möglichen Telefonummern um Meter auslesbar. Siehe ONS SMS-Empfänger zu finden. Dies liefert aber ePerso: deutscher Personalausweis in erst mal „nur“ die Benutzerkennung, Scheckkartengröße mit RFID, digitalem Zugang zu den Diensten sollte eigentlich erst Photo und optionalen digitalen Fingerab- nach einer Authentisierung möglich sein. drücken. Enthält ein Zertifikat für „einfache“ Dies ist eine Schwachstelle wenn z.B. die digitale Signatur, kann für „qualifizierte“ Authentisierung aber z.B. durch einen nach- Signatur nach dem Signaturgesetz freige- folgenden Social Engineering Angriff aus- schaltet werden. Siehe PACE, gehebelt werden kann, bzw. durch Einrichtung http://www.personalausweisportal.de/ eines weiteren Accounts mit dieser e-Person: umstrittenes Konzept einer Kennung, z.B. in einigen Messaging (zukünftigen) weitgehend autonom agierenden Diensten Maschine für die ein eigener Rechtstatus mit ELENA: (elektronischer Einkommensnach- Rechten, Pflichten (z.B. Steuerzahlung) und weis, früher JobCard) umstrittenes deut- Verantwortung (d.h. Haftung) geschaffen sches Projekt zur zentralen Speicherung der werden soll (analog zu juristischen Personen). Einkommensdaten aller Firmenmitarbeiter und Dies wird u.a. bei der Haftung von Unfällen von Vorgänge bei Arbeitsagenturen sowie Wohn- autonomen Fahrzeugen relevant. Bei der und Elterngeldstellen bei der Pensionsver- Umsetzung einer e-Person wären sicherung. Bürger können bei Besitz einer Programmierer und Hersteller aus der entsprechenden Chipkarte und Lesers Verantwortung. Die Versicherungsindustrie zugreifen. Mittlerweile (2011) gestoppt sieht hier neue Geschäftsfelder. 2017 hat sich ePass, ePass(port), e-passport: teilweise das EU-Parlament damit beschäftigt, es gibt verwendete Bezeichnung für den biometri- aber (zum Glück) erhebliche Widerstände schen Reisepass, der mittels RFID ausge- gegen ein solches Konzept. Dies ist zu lesen werden kann und ein Bild des Ausweis- unterscheiden von artificial personas, unter inhabers und in D. (auf freiwilliger Basis) auch denen meist Bot-Systeme verstanden Fingerprints auf einem Chip gespeichert werden. Bei diesen liegt die Problematik eher enthält. Auf Grund von Protesten wurde eine darin, dass sie sich als non-human zu Verschlüsselung der drahtlosen Kommunika- erkennen geben sollten tion eingeführt ( Basic Access Control). Die ePHI: (Electronic Protected Health Information) Nutzung weiterer biometrischer Merkmale ist schützenswerte Gesundheitsdaten in digitaler geplant und aus Gründen des möglichen Miss- Form. Siehe PHI, eHealth, HIPPA brauchs umstritten. Aus der Wirtschaft wird EPROM: (Erasable Programmable Read-Only bereits vorgeschlagen, die Datenbanken mit Memory) Technologie, bei der Software in den biometrischen Daten auch für andere einem Chip gespeichert werden, der ein spä- Zwecke zu nutzen. Die angebliche Fäl-
Version 11.1 Seite 68 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ teres Überschreiben des Programms erlaubt. ESB: (Enterprise Service Bus) Abstraktions- Im Gegensatz zum normalen Speicherchip schicht einer Service Oriented Architecture bleiben im EPROM die Daten auch im ausge- (SOA), implementiert z.B. mittels JMS. schalteten Zustand erhalten und kann im Siehe Messaging, Bus Normalbetrieb nicht überschrieben werden ESCON: (Enterprise System Connection) (read-only). Für die Löschung wird oft UV-Licht Serielle IO-Technik (Lesen und Schreiben von verwendet. Danach kann der Chip neu be- Daten) für Großrechner schrieben werden. EPROMs werden z.B. für Escrow: Nutzung einer neutralen Instanz im das BIOS verwendet. Heute werden jedoch Rahmen eines Geschäftsvorganges, z.B. für dafür auch oft (E)PROM in einem Flash- den Austausch Geld gegen Ware. In der IT Speicher-Chip verwendet, die jederzeit eine verwendet für Neu-Programmierung erlauben 1) Key Escrow (Wiederherstellung des Erpressung: Geschäftsmodell einiger Zugriffs auf verschlüsselte Inhalte ohne Hacker (oft in Verbindung mit der den korrekten Schlüssels, z.B. nach organisierten Kriminalität). Gegen Firmen Ausscheiden des Mitarbeiters und häufig über DoS-Angriffe, gegen Private auch durch Verschlüsselung von Dateien 2) für die Hinterlegung von Quellcode von oder „Entführung“ von E-Mails in Webmail- Programmen, so dass dieser auch nach einer Accounts (RansomWare) evt. Auflösung des Software-Herstellers noch verfügbar ist ePrivacy Regulation: geplante (Stand 2021) EU-Verordnung die die seite 2002 gültige Escrow Encryption Standard: (EES) Stan- ePrivacy Directive ablösen soll. Dabei werden dard für Schlüsselhinterlegungsverfahren. in Ergänzung zur DSGVO viele Details gere- Siehe Key Escrow gelt, z.B. Cookie Handling oder die Bedeu- ESMTP: Erweiterungen von SMTP, auch in tung von Metadata. Der 2021 vorgelegte Richtung Verschlüsselung durch die Nutzung Kompromiss wird sowohl von Seiten der von TLS Industrie wie auch der Datenschutz-NGOs ESP: Encapsulating Security Payload kritisiert ESS: (Embedded Security System) TPM ePA: (elektronische Patientenakte) soll ab Chip von IBM, siehe TCG. Die Client Soft- 2021 nicht nur die Gesundheitsdaten von 73 ware dazu heißt CSS (Client Security System) Millionen Patienten in Deutschland zentral verwalten sondern auch zur sicheren Ether: Geldeinheit bei der virtuellen Währung Kommunikation der Praxen und Kliniken Ethereum. Siehe Cryptocurrency untereinander dienen. 2019 wurden viele Ethereal: open-source Tool zum Analysieren Verwundbarkeiten aufgezeigt. So wurde in von Übertragungsprotokollen und zum Auf- Kernkomponenten für den Aufbau und die listen der Inhalte ( Protocol Analyzer). Wird Absicherung des Gesamtnetzes stark veraltete für Angriffe und Penetration Tests genutzt, Software identifziiert. In dem Design des heute Wireshark Systems liegt offenbar der grundlegende Ethereum : Project, das auf Blockchain- Fehler vor, dass die Kompromitierung 1 Arztpraxis das Gesamtsystem bedroht. Denn Technologie neben Zahlungen auch Smart wenn ein Angreifer in 1 Praxisnetz eindringt Contracts implementieren will, die „ Turing so kann der von dort in das Gesamtsystem Complete“ sind, d.h. beliebige (Rechen-) Aufgaben lösen können. (Die Scripting E-Privacy Directive: Directive on Privacy Language von Bitcoin ist hingegen nur and Electronic Communications, auch eingeschränkt.) Ethereum ist deswegen 2016 Cookie Directive genannt, beschäftigt sich mit nach Bitcoin das Blockchain-Projekt mit der confidentiality of information, treatment of höchsten Marktkapitalisierung, noch vor den traffic data, spam und cookies. Bei etablierteren Währungen wie Litecoin und letzteren wird ein Opt-in gefordert Ripple. Die Währungseinheit von Ethereum ist EPS: (Electronic Payment Standard) Ether Schnittstelle in die Online-Zahlungssysteme Ethernet: Architektur für LANs, 1976 von der österreichischen Banken. Ermöglicht Xerox entwickelt und von der IEEE als IEEE Zahlungsservices durch Dritt-Anbieter ohne 802.3 standardisiert. Ursprünglich maximal 10 dass dieser die PINs oder TANs oder den Mbps, heute auch als 1000 Mbps und 1 Gbps Kontostand des Kunden weiß verfügbar Error Correction Code: (ECC) Verfahren bei Ethical Hacker: 'guter' Hacker, der in ein dem durch zusätzliche Daten eine Fehlerkor- System eindringt, um dessen Schwach- rektur bei der Datenübertragung oder stellen kennen zu lernen („White Hat“, im Datenspeicherung möglich ist. Verfahren zur Gegensatz zum „Black Hat“). Anschließend Sicherung von Daten-Integrität informiert er die Betreiber über seine Aktion,
Version 11.1 Seite 69 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ damit sie ihr System verbessern (respon- Antiviren-Software ignoriert sible disclosure). Umstrittenes Vorgehen wenn Europäische Menschenrechtskonvention: dafür unautorisiert in fremde Systeme (EMRK) §8 regelt den Recht auf Achtung des eingedrungen wurde, anstatt per Auftrag oder Privat- und Familienlebens, inkl. Telekommuni- durch testen der Software in eigenen kationsgeheimnis und ist daher Grundlage des Systemen) Datenschutz in Europa. Siehe Art.29 Ethik: ein System von Normen das besagt, European Data Protection Board (EDPB): welches Verhalten „richtig“ ist. Ethik geht über gesetzes-konform hinaus – nicht alles was Nachfolger der Article 29 Data Protection legal ist, ist auch ethisch. jedoch erlaubt Working Party ethisches Verhalten nur dann Gesetzes- EuroSOX: (8.EU-Richtlinie) Umschreibung für übertretungen wenn deutlich ist, dass die Richtlinien der Europäischen Kommission, die Gesetze unethisch sind. Ethische Fragen sind an die SOX-Gesetzgebung angelehnt sind. z.B. im Bereich von responsible disclosure Korrekt: Richtlinie 2006/43/EG des Europä- ein großes Thema ( ethical hacker), aber ischen Parlaments und des Rates vom 17. Mai auch im Bereich Überwachung und AI 2006 über Abschlussprüfungen von Jahresab- können IT-Entwickler immer wieder mit schlüssen und konsolidierten Abschlüssen, zur ethischen Fragen konfrontiert sein. Siehe auch Änderung der Richtlinien 78/660/EWG und Businessethik, autonomous car, 83/349/EWG des Rates und zur Aufhebung der Algorithmenethik Richtlinie 84/253/EWG des Rates ETSI: (European Telecommunications Stan- EUROSTAT: europäische Statistikbehörde, die dards Institute) Non-profit Normungsorganisa- sich auch um IT Sicherheits-Benchmarking tion der Telekommunikationsanbieter. Verant- bemüht wortlich für Standards wie GSM, UMTS und NGN, aber auch den Abhörstandard ES Evasion: auch AET (Advanced Evasion Tech- 201 671 und den Regeln für kooperative niques) Tricks auf IP-Ebene mit deren Hilfe intelligente Transportsysteme ( C-ITS) Angreifer die Erkennung ihres Datenver- kehrs zur IPS/IDS oder in Firewalls EU: (European Union) bei vielen Themen aus verhindern. Beispiele sind z.B. Paket Fragmen- diesem Text relevant, Z.B. EMKR, ENISA, tation kombiniert mit Manipulationen der DEA (Digital Agenda for Europe) Grundlage in Pakete auf anderen Ebenen des ISO- Bezug auf Trust und Sicherheit für die Modells Europe 2020 Strategy. EPCIP (=European Programme for Critical Infrastructure Protec- e-Vaulting: Electronic Vaulting tion, CIP). EC3 (=European Cybercrime EV-DO: (Evolution-Data Optimised, auch Center), Teil von EUROPOL. Wichtig ist der 1xEV-DO) Datenübertragungsstandard der 3. Unterschied Directive vs. Regulation. In Generation (wie UMTS) im Wirelessbereich, beiden wird oft Bezug genommen auf ICT im Einsatz außerhalb von Europa. Gehört zur (=Information and Communication Technology) Klasse der CDMA2000 High Rate Packet Data und NIS (=Network and Information Security) Air Interface Protokolle. ( CDMA) Verwendet eUICC: embedded UICC. SIM-Karte die eine 42-bit Pseudo-noise (PN) Sequence und auch remote provisioining unterstützt, d.h. ein einen CAVE-Algorithmus (Cellular Authentica- oder mehrere Mobilfunkanbieter können ihre tion and Voice Encryption) zur Generierung Authentisierungsinformationen in der Karte eines 128-bit Shared Secret Data (SSD) ablegen. Das würde z.B. ermöglichen, dass Schlüssels und verwendet dann AES. Gilt es Tablets oder Autos in jedem Land einen sehr sicher lokalen Mobilfunkanbieter nutzen können Event: sicherheitsrelevantes Ereignis, oft EULA: (End User Licence Agreement) bei der gemeldet im Rahmen von Security Installation von Software entweder durch Monitoring, kann Incident Management Öffnen der Packung („Shrinkwrap-Agreement“) triggern oder durch einen Accept-Button („Clickwrap- e-Voting: Verfahren zur elektronischen Stimm- Agreement“) getroffene Vereinbarung. Die abgabe. Problematisch ist dabei die Implemen- Rechtswirksamkeit solcher Verträge wird tierung der Anforderungen an Wahlen: allge- zumindest in Europa zum Teil bestritten. Diese mein, unmittelbar, gleich, persönlich, frei und Agreements sind G.rundlage für den Streit geheim. Allgemein bedeutet, dass jeder zwischen Adware-Firmen und Anti-Spyware- wählen kann, auch bei Behinderungen und Anbietern. Die Adware-Firmen sagen, dass ohne Notwendigkeit des Besitzes von spe- ihre Programme (die als „Beipackung“ bei ziellen Geräten. Gleich und persönlich bedeu- anderer Software mitinstalliert werden) keine tet, dass die Wähler sicher identifiziert werden illegale Spyware sind, weil der Benutzer ja und ihr Wahlrecht gegen eine Wählerliste die EULA akzeptiert habe. Daher wird manche verifiziert werden muss, z.B. durch eine der Adware von kommerziellen Anbietern von Bürgerkarte. Gleich bedeutet, dass jeder nur
Version 11.1 Seite 70 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ einmal wählen darf. Die Identifizierung bringt Fehler bei der Bilderkennung sind nicht leicht Probleme für die geheime Wahl. Es darf keine zu vermeiden, was z.B. bei autonomen Möglichkeit bestehen, den Inhalt der Stimm- Fahrzeugen sehr problematisch ist abgabe auf die Person zurückzuführen. Ander- Exploit: in der IT: Software, die eine seits soll die Wahl auditierbar sein, d.h. bei Schwachstelle ausnutzt und daher für einen einer Anfechtung soll eine nachträgliche Angriff eingesetzt werden kann. Exploits Kontrolle möglich sein. Persönlich bedeutet werden in der Regel einige Zeit nach der Ver- auch, dass verhindert wird, dass ein Wähler öffentlichung einer Schwachstelle von seine Stimme verkaufen kann, z.B. indem er Hackern im Internet veröffentlicht. Durch einen Beweis für seine Stimmabgabe erbringt immer bessere Zusammenarbeit und Arbeits- (dies ist auch bei Briefwahl problematisch). teilung bei den Hackern verkürzt sich diese Auch soll eine Wahl unter Zwang verhindert Zeitspanne immer mehr. Siehe Zero-Day- werden. Die Manipulation des Prozesses, die Exploit, Vulnerability, CVE Speicherung und die Auszählung darf nicht Exploit Bundle: bei Schadsoftware die manipulierbar sein. Das System muss für den Kombination meherer Exploits zu einem Paket. gesamten Wahltag zur Verfügung stehen Wenn der Benutzer die Datei öffnet oder die EV Certificate: (extended validation SSL Website besucht, so werden verschiedene Certificate) spezielles SSL- Zertifikate mit Exploits „durchprobiert“. strengeren Prüfungsanforderungen beim Kauf Intelligent Bundles prüfen dabei zuerst die des Zertifikats von der Zertifizierungsstelle, Betriebssystemversion und welche andere daher sicherer als die traditionellen SSL- verwundbare Software installiert ist und führen Zertifikate. EV Zertifikate werden in der URL dann gezielt einen passenden Exploit aus. Adresszeile des Browser in grün angezeigt. Unintelligent Bundles sind billiger und Seit dem Erfolg von Let’s Encrypt mit exekutieren einfach alle Exploits, was nicht kostenlosen, von allen Browsern akzep- immer zum erwünschten Erfolg führt tierten Zertifikaten die sich automatisiert installieren und aktualisieren lassen werden Extended Validation SSL Certificate: EV diese EV Certificates fast nur noch von Banken Certificate eingesetzt Extensible Firmware Interface: Nachfolger Evercookies: neuer Begriff für Cookies die von BIOS, die zentrale Schnittstelle ein Benutzer nicht (mehr) Löschen kann. Die zwischen der Firmware, den einzelnen Techniken bestehen i.d.Regel aus einer Komponenten eines Rechners und dem Kombination von „regulären“ http-Cookies, Betriebssystem Flash-Cookies, Silverlight-Cookies und Extension (File Extension): im Unix oder MS HTML5-„local storage“. Der Trick besteht darin, Windows System die letzten 3 oder 4 Buch- dass auf Lösch-Aktivitäten des Nutzers staben des Dateinamens, abgetrennt durch reagiert wird, indem die gerade gelöschten einen „ . “ (Punkt). Die Extension bestimmt, Cookies eines Typs aus den Informationen der welches Programm von MS Windows gestartet anderen Cookies wiederhergestellt werden. wird. Da MS Windows so eingestellt werden Zusätzlich kommen sogar spezielle PNG- kann, dass diese Extensions nicht gezeigt Graphiken im Cache des Browser zum werden, ist es möglich, Benutzern ausführbare Einsatz. Siehe Dateien (.exe, .vbs, etc.) unterzuschieben, https://en.wikipedia.org/wiki/Evercookie ohne dass sie dies erkennen können (z.B. Exchange: 1) jegliche Art von Datenaustausch ihre_Daten.txt.vbs , wobei .vbs vom System evtl. nicht gezeigt wird). Auf Apple-Systemen 2) Internet-Exchange, siehe IXP wird die Zuordnung einer Datei zu einem EXIF: Standard für die Kodierung der Programm als Teil der Datei selbst gespeichert Seriennummer und Kameraeinstellungen einer (Resource Fork). Extensions sind dort nicht digitalen Kamera in JPEG- und TIFF- nötig, bzw. haben keine funktionale Bedeutung Bildern. Wie alle Metadaten können sie Externalität: wenn Kosten für irgendwas nicht ungewollt Informationen preisgeben [Namen vom Verursacher getragen werden sondern von fotografierten Personen ( face recog- von einem Externen. Die Kosten bei den nition), GPS-Location, Datum der Auf- Externen sind sehr oft ein Vielfaches vom nahme]. Siehe Fingerprinting, Image Tag Gewinn den der Versursacher machen kann. Explainability: Eine der Forderungen an AI- So entstehen beim Versenden von Spam Systeme – sie sollen in der Lage sein, ihre erhebliche externe Kosten durch Nutzung der Entscheidungen erklären zu können. Gerade Bandbreite, Arbeit für die Entwicklung von bei Entscheidungen die auf der Grundlage von Spam-Filtern, Arbeit beim Nutzer durch Lö- Deep Learning oder Machine Learning schen des Spams die alle nicht vom Spammer getroffen werden ist dies derzeit nicht der Fall. getragen werden. Beim Spamversand kommt D.h. die zum Teil für uns Menschen absurden oft noch hinzu, dass dafür Rechner von
Version 11.1 Seite 71 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Internetnutzern infiziert werden ( Botnet), Farmen, d.h. manuelle oder automatisierte deren Bereinigung für den Betroffenen wie- Betriebe die falsche Profile („fake profile“) derum ein Vielfaches von dem kostet, was der erstellen und damit einen großen Erfolg im Angreifer dafür lukrieren konnte. Ebenso Publikum vorspielen. Grund ist, dass Popu- sprechen wir von Externaliltäten wenn eine larität heute oft in Likes auf Facebook oder Entscheidung, z.B. für die Nutzung einer be- Followern auf Twitter gemessen werden. stimmten Technologie, Auswirkungen auf an- Daher kaufen Firmen, Musiker und Politiker dere Menschen hat, die sich gar nicht für diese Fans und Likes. Solchen falschen Likes Technologie entschieden haben. Ein Beispiel verwirren die Algorithmen von Facebook, dafür ist Face Recognition. Auch Personen, denn außer diesem Like macht der falsche die nicht in Facebook (oder anderswo) aktiv Benutzer keine weiteren Interaktionen, was sind werden nachdem sie von friends ge- wiederum auf vermeintliche Unattraktivität der taggt worden sind, ab dann von ent- Postings deutet. 2015 bestätigte Facebook, sprechenden Programmen erkannt dass 7% der 1,39 Milliard. Accounts „fake“ e-Voting: Durchführung von Wahlen mittels sind und 28 Mio „undesirable“, z.B. elektronischer Verfahren, entweder direkt ( Spammer. Facebook unternimmt große DER) oder über Papier und OCR-Erfassung Anstrengungen, falsche Accounts zu finden und zu schließen. So verlieren bei solchen exFAT: neues File System von Microsoft Aktionen Firmen und Prominente oft einen für Flash Drives. Behebt viele Probleme von sehr großen Teil ihrer Fans. FAT, ist aber nur unter Vista verfügbar Wie bei allen kommerziell betriebenen Social FA: (Front End Adapter) Anschluss eines Networks wird problematisiert, dass stark Enterprise Storage Systems an ein SAN emotionalisierende und radikalisierende Fabber: Technoslang für 3D Drucker Postings zu längerer Verweildauer führen und Fabric: Hardware und Software, die Enter- daher von den Auswahl-Algorithmen prise Storage Systeme mit Rechnern verbin- bevorzugt werden. Seit verstärkt rechtsradikale det. Als Fabric bezeichnet man eine Fibre oder rassistische Inhalte zu Sperrungen führen Channnel Architektur, bei der die Geräte netz- weichen diese Nutzer auf Gab oder Parler artig miteinander verbunden sind. Dies steht im aus. Gegensatz zum Ring und der Point-to-Point Zu den Datensammlungen gehört auch das Architektur Sammeln von Fotos, die mittels Face Facebook: derzeit (2021) populärste Social Recognition automatisch Personen zugeordnet Networking Plattform. Da das primäre Ge- werden. FB-Benutzer können sich miittels schäftsmodell aller kommerziell betriebenen Einstellungen daegegen wehren, automatisch Plattformen auf dem Aufbau von Be- auf Fotos markiert zu werden ( tagging), wer nutzerprofilen beruht und den zugeordneten aber gar nicht auf FB vertreten ist und von Datensammlungen, mit deren Hilfe Werbung einem anderen Benutzer markiert wird, wird effektiv (abhängig von Eigenschaften und darüber nicht informiert. Interessen des Betroffenen) platziert werden FB hat eine lange Tradition, neue Funktionen kann, führt dies zwangsläufig dazu, dass einzubauen, die als Voreinstellung weitere Datensammlungen entstehen die (direkt oder Profil-Informationen öffentlich zugänglich indirekt) Werbetreibenden zur Verfügung machen und vom Benutzer aktiv wieder auf gestellt werden. Diese Profile bestehen nicht „privat“ zurückgesetzt werden müssen. Außer- nur aus den Daten, die der Benutzer selbst dem besteht das Problem des context eingibt, sondern auch aus dem was der collapse durch Vermischung von unterschied- Benutzer sonst noch im Web tut. Dies wird lichen Rollen und Zielgruppen. Diese Proble- über Like-Button auf den anderen Web- matik wollte Google+ als Angriffspunkt sites erhoben, die auch dann Daten sammeln gegen Facebook verwenden. 2012 wird von wenn der Benutzer gar nicht darauf klickt und Datenschützern die Timeline-Feature kriti- selbst dann, wenn der Benutzer gar nicht bei siert, die für alle zwingend eingeführt wird. FB angemeldet ist. 2012 kauft Facebook die wachsende Seit ca. 2014 hat Facebook sein Ge- Konkurrenz Instagram, 2014 den damals schäftsmodell immer wieder leicht geändert. stark wachsenden Messaging Dienst Firmenaccounts konten zu Beginn kostenlos WhatsApp. alle erreichen, die über „Like“ ihr Interesse Zur Problematik des „Teilens“ siehe Share bekundet hatten. Jetzt werden reguläre und zur Problematik der News Feed siehe Postings auf Firmenaccounts nur noch einem Zuckerberg’s Law. kleinen Prozentsatz der „Fans“ zugestellt, Facebook wird auch gern als Open Source außer es wird als Werbung bezahlt. Research bei Social Engineering und auch Dieses Geschäftsmodell von Facebook wird für Angriffe genutzt. Geknackte Facebook- ausgenutzt und ausgehebelt durch Click
Version 11.1 Seite 72 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Accounts bringen fast so viel wie Internet- cation). Bereits verfügbar ist automatisiertes Banking-Accounts. Tagging von Personen auf Gesichertern auf Siehe auch friend, friend-request, Like- Facebook. Dadurch dass alle Facebook- Jacking, Socialbots, Facebook Immune Profilebilder so analysiert werden und auch alle sonstwie hochgeladenen Fotos ist bei FB System, Facebook Insights, CDN, Big eine riesige Sammlung von Gesichts-Profilen Five entstanden, die auch in anderen Anwen- Facebook Connect: AP, mit dem andere dungen, z.B. Google Glass genutzt werden Websites es ihren Benutzern ermöglichen können. Siehe 3D Face. Viele Algorithmen können, sich über ihre Facebook ID auf dieser in http://face-rec.org/algorithms/ Website anzumelden und Daten zwischen Manchmal werden auch andere Algorithmen ihren Accounts auf den beiden Websites als Face Recognition bezeichnet, z.B. das auszutauschen. Für das Login wird OAuth „Entdecken“ eines Gesichts auf einem Bild, genutzt bzw. seine Zentrierung oder das automatische Facebook Immune System: Schutzkonzept Erkennen von Alter und Geschlecht von Perso- von Facebook, das auf AI beruht und nen zu Werbezwecken, z.B. durch intelligente versucht auf der Basis von adversial learning „Plakate“ mit integrierter Kamera ( targeted Angriffe (wie Spam-, Socialbots, Mal- advertising) wareverteilung, Phishing, und auch „gestoh- FACTA: (Fair and Accurate Credit Transac- lene“ Accounts und falsche Identitäten, tions Act) US-Gesetz (2003) regelt einige aber auch Kettenbriefe) automatisiert zu Datenschutzaspekte bzgl. den Kreditschutz- erkennen und ebenso automatisiert Gegen- organisationen Equifax, Experian and Trans- maßnahmen zu implementieren, die diesen Union, z.B. können Bürger 1x im Jahr einen Angriff so erschweren, dass er unprofitabel kostenlosen Report anfordern. Siehe Red Flag Rules, Schufa – nicht zu verwechseln wird. Gegenmaßnahmen sind das Sperren von Eingaben (z.B. URLs zu Phishing Web- mit FATCA sites oder Malware), die Anforderung von Factory Reset: Vorgang bei dem ein digitales zusätzlichen Authentisierungen oder das Gerät wieder auf seinen ursprünglichen Sperren von Accounts Zustand zurückgesetzt wird. Alle Daten und Programme die zwischenzeitlich installiert Facebook Insights: spezieller Service für die wurden werden gelöscht. Dies ist bei infizierten Betreiber von sog. „Fansites“ auf FB. Dies sind Smartphones oft die einzige sichere FB-Auftritte von Firmen oder Organisationen. Methode der Bereinigung, auch bei Spy- Wenn jemand „Fan“ einer Firma wird, so kann Apps die ein (Ex-)Partner) (evt.) auf dem Gerät diese ab dann alle Daten sehen, die für installiert hat „friends“ freigegeben sind. Mit Hilfe von FB Fahrlässigkeit: grobe Fahrlässigkeit (oder Insights kann das Unternehmen weitgehende Vorsatz) zieht üblicherweise eine zivilrechtliche Statistiken und Analysen über die Besucher Haftung nach sich. Fahrlässigkeit wird als ihrer Fansite durchführen, bis herunter auf das Außer-Acht-lassen der gewöhnlich erfor- einzelne Benutzer, deren FB-Namen ebenfalls derlichen Sorgfalt verstanden und stellt damit bekannt sind. Diese personen-bezogene eine Pflichtverletzung dar. Die Sorgfalt wird Datenverarbeitung wird jedoch in den i.d.Regel am Stand-der-Technik gemessen, Nutzungsbedingungen von FB den Benutzern dieser wiederum an Normen, Standards und gar nicht mitgeteilt Best-Practise Dokumenten Face ID: Von Apple entwickeltes Verfahren Fail-safe: Sicherheitskonzept, bei dem beim für biometrisches Entsperrens bei iPhone X. Ausfall eines Gerätes oder Services ein Dabei wird eine Infrarot-Kamera genutzt, die sicherer Zustand erreicht wird. Beispiel: das Gesicht in Datenpunkte übersetzt, die Firewall-Ausfall sperrt den Datenverkehr gegen die internen Datenpunkte verglichen vollständig, statt vollständig zu öffnen werden. Die Sicherheit dieses Verfahrens wird Fail-over: Konzept im Bereich Hochverfüg- in 2017/18 intensiv getestet werden. Es kann barkeit. Bei Ausfall eines Systems wird auf das pro Gerät (derzeit) immer nur 1 Person „enrollt“ Ersatzsystem umgeschaltet. Siehe Hot- sein. Dies steht im Gegensatz zu Touch ID , Standby, Cold-Standby der Fingerabdruck-Erkennung bei früheren FairPlay: DRM-Verfahren von Apple zur Geräten. Siehe auch Face recognition Absicherung der über iTunes verkauften Musik Face recognition: (Gesichtserkennung) Form für den iPOD, 2011 nicht mehr im Einsatz der Biometrie, bei der die Details eines Fair use: Nutzungskonzept im amerikanischen Gesichts zur Identifizierung einer Person Copyright-Recht, das bestimmte nicht auto- genutzt wird. Im Falle der Suche einer Person risierte Nutzungen von geschütztem Material unter vielen Personen derzeit noch sehr zugesteht, sofern sie der Förderung von fehlerbehaftet, soll jedoch zur Überwachung "Progress of Science and useful Arts" dienen. eingesetzt werden ( Next Generation Identifi- Dabei geht es vor allem um sog. Derivate, d.h.
Version 11.1 Seite 73 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ neue Werke, die auf dem ursprünglichen Mate- durch sich ständig ändernde DNS-Einträge rial beruhen. „Fair use“ ist nicht „vertragsfest“, selbst organisieren können ohne dass ein d.h. kann durch Lizenzvertrag entzogen zentrales Command-and-Control Zentrum werden. Kontinentaleuropäische Entsprechung einen angreifbaren Schwachpunkt bilden ist das sog. Schrankenrecht im Ur- würde heberrecht, das jedoch „vertragsfest“ ist FAT: (File Allocation Table) MS-DOS File Fallback: häufige konzeptionelle Sicherheits- System, das in den frühen MS Windows schwachstelle, wenn aus Gründen der Versionen (z.B. Win 98) verwendet wurde. An- Rückwärtskompatibilität schwächere Sicher- fällig für Datenverluste. Siehe NTFS, heitsverfahren ebenfalls unterstützt werden, exFAT z.B. SSL mit kürzeren Schlüsseln, alte FATCA: (Foreign Account Tax Compliance Act) Versionen von SSH, Magnetstreifen statt US-Gesetz, das nicht-US Banken zwingt, die EMV-Chips auf Bankomatkarten Daten ihrer US-Kunden an die US- Fälschungssicherheit: Sicherstellen der Steuerbehörde zu melden (sofern der Kunde Authentizität von Dokumenten, entweder zustimmt) oder aber eine pauschale 30% über geeignete Write-only Medien ( WORM) Steuer auf alle ihre US-Einkünfte zu zahlen. oder digitale Signatur Achtung: Nicht verwechseln mit FACTA Fake: (Fälschung) Vortäuschen von falschen Fat client: heute weniger genutzte traditionelle Daten oder Websites (z.B. für Phishing), Methode im Client-Server-Konzept, bei der Raubkopien, Spoofing, Deepfake auf dem PC des Benutzers ein spezielles Fake News: Schlagwort das Nachrichten- Client Programm installiert wird, z.B. SAP- inhalte beschreibt, die den allgemein aner- Client. Alternativ dazu: Thin Client oder mehr kannten Tatsachen wiedersprechen, z.B. „flat- und mehr: Single-Page Application im earth“, Impfgegner-Nachrichten, Klimawandel- Webbrowser leugner, Mondlandungsleugner, etc. Fault-injection: Testmethode, um durch das Mit diesem Schlagwort werden aber auch als Einfügen von fehlerhaftem Input Fehler zu korrekt anerkannte Nachrichteninhalte als provozieren. Genutzt für Angriff gegen falsch denunziert. Fake-News sollen die Wahl Webserver durch Manipulation einer Web- von Trump in den USA und die Brexit- seite, z.B. durch SQL-Injection oder unter Abstimmung stark beeinflusst haben. Fake Ausnutzung von JavaScript in Eingabe- News haben ab 2018 zu Lynchmorden geführt feldern. Siehe OWASP (es wurden Nachrichten über angebliche Fax: (Telefax) 1980 – ca.2000 eine der wichtig- Kindesmorde und ähnliches verbreitet). Dabei sten Kommunikationsmethoden für geschäft- wurde speziell Facebook stark dafür liche Zwecke. Dabei wurden Papierdokumente angegriffen, zu langsam solche eingescannt und mittels eines geeigneten aufhetzerischen Inhalte zu löschen. Siehe Protocols von Telefon zu Telefon übertragen. Deepfake Löste den Fernschreiber ab (da nicht nur für False Negative, False Rejection: wenn bei reine Texte geeignet) und wurde dann durch biometrischen Verfahren eine Person abge- Internet-Kommunikation wie E-mail (mit lehnt wird, obwohl mit ihrem Template ver- Dokumenten im Anhang) abgelöst. War oft ein glichen wird Sicherheitsrisiko, z.B. wenn vertrauliche False Positive, False Acceptance: wenn bei Informationen im Gerät verbleiben. Siehe biometrischen Verfahren eine Person ak- Postkästen, Druckausgaben zeptiert wird, obwohl sie nicht mit ihrem FC: Fibre Channel Template verglichen wird. Über Parameter FCP: (Fibre Channel Protocol) lässt sich das Verhältnis der beiden Fehler FC-SP: Fibre Channel - Security Protocol, einstellen, z.B. weniger false positive und gleichzeitig dafür mehr false negative ein Framework für Sicherheitsfeatures für Fibre Channel-Umgebungen. Es enhält unterschied- Faraday Käfig: (engl. F. cage) elektromagneti- liche Technologien, z.B. Authentisierung der sche Abschirmung zum Schutz gegen Gerät im SAN und Verschlüsselung der Angriffe gegen RFID Chips (passives Mithö- Daten während der Übertragung im SAN. Zu ren oder aktive Kommunikation, ePass) oder den Techniken gehört z.B. LUN-Masking passives Mithören von elektromagnetischen oder SAN-Zoning. Ein Projekt des Technical Abstrahlungen, wie z.B. alten Röhren bild- Committee T11 of the InterNational Committee schirmen oder auch Kabeln zu Flach- for Information Technology Standards bildschirmen ( Tempest, Van-Eck-Strah- (INCITS), http://www.sansecurity.com/faq/fc-sp- lung) fibre-channel-security-protocol.shtml FarmVille: 2009-2020 online Spiel als exte- Feature Phone: engl. Begriff zur Abgrenzung rnes Angebot in Facebook, zu spielen im zwischen Smartphones und ihren Vorgän- Webbrowser. War damals der Durchbruch germodellen deren Kommunikationsfunktionen für längeres Verweilen in Facebook sich auf Telefonieren (über 2G) und SMS Fast flux: DNS-Technik, mit der Botnetze beschränk(t)en. Prominente Hersteller waren
Version 11.1 Seite 74 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ z.B. Nokia und Siemens. Modelle der letzten gefüttert werden um Objekte zu erzugen. Generation enthielten zum Teil auch (sehr Derzeit meist Plastik-Granulat, Kunstharz, begrenzte) Kameras Keramik, Metall oder auch Beton. Es wird Federal Spyware: US-Version des dabei nur 1 Werkstoff oder auch mehrere Bundestrojaners mit dem Namen CIPAV gleichzeitig verwendet Federation, Federated Identity, Federation Fehler: bei menschlichen Fehlern kann Services: Dabei bestätigt ein Identity Provi- zwischen „mistake“ (Entscheidung für eine der (IdP) gegenüber einem Resource oder Aktion, die nicht zum richtigen Ergebnis führen Service Provider (SP) mittels Austausch kann), „lapse“ (die richtige Entscheidung, aber gewisser Token (z.B. signierte Datenpakete) bei der Durchführung wird ein Schritt ausge- entweder die Identität einer Person oder lassen) oder „slip“ (die richtige Entscheidung, eines Systems, oder auch nur einer Behaup- aber bei der Durchführung tritt eine falsche tung (assertion) ( claims-based authentica- Handlung auf) unterschieden werden. Zu tion). Dies beruht auf einem expliziten Trust Fehlern in Programmen siehe Bug zwischen den Service Providern und den Fehlerbaumanalyse: Methode, um in kom- Identity Providern, oft sogar zwischen ver- plexen Systemen Schwachstellen und schiedenen Organisationen (dadurch entsteht Ausfallwahrscheinlichkeiten zu bestimmen. ein Single Sign-on). Siehe SAML, Wird auch im Qualitätsmanagement einge- OpenID, Liberty Alliance, Passport, setzt CardSpace, Higgins, PRIME, AD FS, Fernschreiber: Endgerät in einem Telex- WS FS Netz Fediverse: (federated universe, siehe Fernseher: ab 2014 zumeist im Internet https://fediverse.network/) bezeichnet ein online und kann dadurch zu einer Gefährdung alternatives Netzwerk föderierter, voneinander der Privatsphäre werden. So wird immer unabhängiger Social Networks, Mikro- wieder bekannt, dass Geräte die Liste der blogging-Diensten (alternativ zu Twitter) und angesehen Sendungen übertragen, bzw. im Webseiten für Online-Publikation oder Daten- Fall von Sprachsteuerung (statt Fernbedie- Hosting. 2016 wurde das Konzept durch due nung) auch die gesprochenen Worte im Software Mastodon populär. Als Kommuni- Wohnzimmer auswerten – und oft auch über- kationsprotokoll wird bei Mastodon das seit tragen muss). Dies ist ähnlich zur Problematik 2018 standardisierte ActivityPub verwendet. der Xbox Andere Protokolle sind DFRN, Diaspora, OStatus. Ziel des Fediverse ist, aus den sog. Fernwartung: Herausforderung für die IT- Sicherheit, da von fremden Rechnern und Walled Gardens auszubrechen und so wie bei den Diensten Web-Browsing und E- Netzen auf die eigenen Systeme zugegriffen wird. Der Durchgriff über Modem oder Mail mit standardisierten Protokollen wie HTTP(S) und SMTP eine Vielfalt von VPN ist unsicher, besser sind Konzepte auf der Basis von Terminalserver. Siehe Client- und Serverimplementierungen beliebig miteinander kombinieren zu können. Housing D.h. wer auf einem der Dienste eines dieser Festplatte: Magnetplatte Server angemeldet ist, dessen Beiträge Festplattenverschlüsselung: Verfahren, das werden auch von Menschen gesehen, die auf einzelne Dateien, Folders, oder ein Volume einem der anderen föderierten Dienste aktiv verschlüsselt. Letzteres wird oft als ‚full disk sind. Das ist so als wenn Nutzer der 'Walled encryption‘ bezeichnet. Dies ist nicht korrekt, Garden' Dienste wie Twitter, Facebook, denn es werden nie ganze Magnetplatten, Instagram, Snapchat, Weibo, WeChat, sondern nur maximal ein Volume ver- Xing, LinkedIn, TikTok, etc. jeweils die schlüsselt. Solche Verschlüsselungen sind Postings aller dieser Dienste abonieren speziell bei Laptops notwendig, da diese könnten. Ein Überblick über die jeweil leicht in falsche Hände fallen. Wichtige verwendeten Protokolle ist auf Aspekte sind dabei die Möglichkeit der Key https://en.wikipedia.org/wiki/Fediverse#Fediver Recovery und PBA. Ein Angriff ist leicht, se_software_platforms wenn der Laptop zum Zeitpunkt des illegalen Voraussetzung für den Austausch zwischen Zugriffs „unter Strom“ ist, z.B. „suspended“ den Instanzen ist jedoch, dass die Admins des oder nur „locked“. Beispiele für Festplatten- "Heim-Instanz" bei dem man registriert ist der verschlüsselungen sind Bitlocker, FileVault anderen Instanz "vertraut". Da es keine 2, TrueCrypt. TCG standardisiert eine zentralen Regeln gibt sondern jeweils lokale Festplattenverschlüsselung, die bereits in der Regeln gelten so gibt es auch Implemen- Hardware aller zukünftigen Festplatten tierungen mit "unerwünschten" Inhalten wie integriert sein soll z.B. Rassenhass. Europäische Instanzen sind Feuer: häufigste Quelle von Katastrophen in jedoch mit solchen Instanzen (i.d.R.) nicht Rechnerräumen (40%), zumeist ausgelöst verknüpft durch Brandquellen in der Umgebung des Feedstock: Material, mit dem 3D-Drucker Rechnerraums. Siehe Brandschutz
Version 11.1 Seite 75 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
FHE: (Fully Homomorphic Encryption) (Volume einer Magnetplatte, CD-ROM, Fibre Optics: (Lichtwellenleiter) Glasfaserka- Flash-Speicher, Smartcard), bzw. als beln zur Datenübertragung, oft genutzt bei virtuelles File System (z.B. Lustre, NFS der Kopplung von 2 Rechnerräumen zum oder AFS) Zugriffsmethode auf Dateien Platten Mirroring für Hochverfügbarkeit und in einer verteilten Speicherumgebung. Aber Business Continuity. 2013 wird durch auch Verschlüsselungssoftware wie z.B. Edward Snowden bekannt, dass der Truecrypt oder Veracrypt stellen ein britische Geheimdienst GCHQ, zusammen Filesystem dar. Beispiele für reguläre mit der NSA, die Lichtleiter über die sowohl Dateisysteme: NTFS, FAT, exFAT, der Internet-Backbone Verkehr wie auch die HFS, HDFS, ZFS Verbindungen zwischen Rechenzentren FileVault: Technologie in MacOS zum (Data Center) läuft, systematisch abhört. Verschlüsseln von Daten auf Magnetplat- Siehe Fibre Channel ten. FileVault verschlüsselte nur den „home Fibre Channel: (FC) Lichtwellenleiter-basie- folder“, FileVault 2 verschlüselt Volumes. Siehe Festplattenverschlüsselung, rende Technologie ( Fibre Optics) die für http://eprint.iacr.org/2012/374.pdf Speicher- und Datennetze genutzt wird. Sie benutzt das Fibre Channel Protokoll (FCP). Filterblase: Filter Bubble Eine der dabei genutzten Architekturen ist das Filter Bubble: siehe Echo Chamber Fabric FIM: (File Integrity Monitoring) Technologie um FIDIS: (Future of Identity in the Information jegliche Veränderungen an Dateien automa- Society) Projekt im Rahmen des 6. EU - tisch zu entdecken. Siehe Pitbull Forschungs-Rahmenprogramms zur Untersu- Finance Management for IT Services: Nach chung um die europäische Forschung hinsicht- ITIL die kostenwirksame Verwaltung der IT- lich von Identitäts- und Identifizierungs- Komponenten und der finanziellen Ressour- technologien zu integrieren. Das Projekt cen, die für die Erbringung von IT Services ein- beschäftigt sich mit den damit verbundenen gesetzt werden Sicherheits- und Datenschutzaspekten. Siehe Finanzmanager: euphemistische Berufsbe- MRTD, ePass. http://www.fidis.net/ zeichnung für Personen, die Gelder aus FIDO Alliance: (Fast IDentity Online) Alliance Phishing durch Bargeldüberweisung an den – Seit 2013 Industrie Consortium das sich um Betrüger transferieren. Siehe Geldwäsche Interoperabilität bei Geräten für starke Fingerabdruck: Fingerprint Authentisierung bemüht. Eine der Techniken Fingerprint: ist Universal 2nd Factor (U2F) von Google, eine andere das Universal 1) der Fingerabdruck der Menschen kann für Authentication Framework (UAF) biometrische Authentifizierung eingesetzt werden ( AFIS). Leider gibt es eine Reihe File: 1) Datei von Möglichkeiten zum Fälschen von Finger- 2) (als Verb, to file) ablegen eines Dokumentes abdrücken da sie nicht vertraulich sind, Filesharing : (auch Tauschbörse) heute sondern von Menschen überall in der Umwelt meist verwendet im Sinne von Austausch von hinterlassen werden. Der Chaos Computer Musik, Videos und anderen Dokumenten. Mal Club hat mehrfach die Schwächen der Technik abgesehen von der Frage der Legalität können aufgezeigt. Fingerabdrücke haben auch den Nachteil, dass sie nicht geändert werden durch Ausnutzen von Schwachstellen in den können, wenn sie in falsche Hände fallen (im Abspielprogrammen, z.B. in MP3- oder Gegensatz zum Passwort) und sind bei Video-Dateien oder Bildschirmschoner wird älteren Menschen oft nicht mehr deutlich Malicious Code verteilt werden. Viele der für genug. Apple setzt bei den neuen Modellen P2P verwendeten Client-Programme instal- Touch ID troztdem zur Authentisierung des lieren Trojaner als Form der Finanzierung Besitzers und Autorisierung von Apple Pay der Software. Weiteres Risiko sind Fehl- Zahlungen ein konfigurationen, die dazu führen, dass eine 2) Textstring mit einem HashCode eines große Zahl von Geschäftsdokumenten verse- ( SSL)- Zertifikats, dessen Vergleich über hentlich auch im Internet publiziert wird. einen weiteren Kanal, z.B. Telefon die Korrekt- Mehr technische Details unter P2P. Ab 2010 heit eines SSL-Zertifikats beweist ( out-of- dominiert auf diesem Gebiet BitTorrent. band) Siehe auch RIAA, Freenet, Copyright, Fingerprinting: in der IT alle Techniken, die Privatkopie, Urheberrecht, eDonkey, Identitäten feststellen, z.B. von Geräten. So HADOPI, Napster, KaZaa kann z.B. über die Gang-Ungenauigkeiten der File System: (Dateisystem) logische Anord- internen Uhren von PCs deren Identität auch nung von Dateien und Verzeichnissen und nach einer Anonymisierung noch festgestellt den für ihr Auffinden notwendigen Index- werden. Farblaserdrucker kodieren ihre Informationen auf einem Datenspeicher Seriennummer in jedes gedruckte Bild, CD-
Version 11.1 Seite 76 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ und DVD-Brenner kodieren ebenfalls ihre Content Filtering kann sie auch für Viren- Seriennummer ( RID, Recorder Identification schutz verwendet werden. Für PCs außerhalb Code), digitale Kameras speichern im EXIF- von Firmennetzen sollten Personal Firewalls Format nicht nur Blende und Belichtung, eingesetzt werden. Siehe Web Application sondern auch die Seriennummer der Kamera. Firewall. Siehe Mental Model, NGFW, Zusätzlich lassen sich Kameras auch am sog. WAF sensor noise, d.h. leichten Fehlern im Firewire: (IEEE 1394) 1986 von Apple ent- Aufnahmechip erkennen. Handys senden wickelte Datenschnittstelle für PCs. Sicher- mit der IMEI ihre Seriennummer bei jedem heitsrelevant, da über sie, ebenso wie über Gespräch, Rechnernetzwerkkarten ihre (aller- USB, Firmendaten leicht das Unternehmen dings änderbare) MAC-Adresse. Der Begriff verlassen können, bzw. Schadsoftware ein- wird auch benutzt, um Angriffspattern zu geschleust werden kann. Im Gegensatz zu beschreiben, z.B. haben sich ISPs in einer USB 2 kann Firewire aber direkt in den Haupt- „Fingerprint Sharing Alliance“ zusammenge- speicher eines Rechners schreiben, d.h. bei schlossen, um gemeinsam Würmer und einem unbeaufsichtigten gesperrten Rechner dDoS-Angriffe schneller erkennen zu lässt sich z.B. die Authentisierung ausschal- können. Siehe RID, Device Fingerprint ten. PCs ohne Firewire-Schnittstelle lassen FinFisher/FinSpy: kommerzielle Software für sich über PCMCIA-Karten mit Firewire (o.ä.) Cyberspionage, die von einer deutsch/ angreifen britischen Firma Gamma Software vertrieben Firmware: Software die in Chips eingebettet wird und für Lawful Intercept eingesetzt wer- ist, z.B. Embedded Systems, aber auch im den soll ( Bundestrojaner). Diese Software BIOS, UEFI oder EFI, in der Regel wurde jedoch 2012 vor allem auf den Rech- wegen der Beschränkung auf winzige nern von Oppositionellen von diktatorischen Speichergrößen in Assembler programmiert. Regimen gefunden, d.h. sie wird zum Aus- Fehler beim Update von Firmware können zu spähen von Oppositoinellen verwendet. Siehe einem Brick führen, kann als Angriff im auch BackTrack, Vupen, Hacking Team, Cyberwar genutzt werden. 2015 wird Black hat bekannt, dass die NSA die Firmware von Fintech: Schlagwort für Firmen (meist Magnetplatten modfizieren und für ihre Startups) die im Finanzbereich mit neuen Zwecke verwenden kann. Technologien die Dominanz der herkömm- https://sicherheitskultur.at/notizen_1_15.htm#fir lichen Banken angreifen, z.B. indem neue m Zahlungsmethoden angeboten werden. Dabei FIPS-140: US-Standard für die Zertifizierung werden typischerweise Smartphones als von kryptographischen Komponenten (Hard- Benutzerinterface eingesetzt. Blockchain ist ware und Software). Setzt voraus, dass das eine Technologie die dabei in einigen Betriebssystem nach TCSEC zertifiziert Bereichen angedacht wird (als in Form von ist. Wird für die Bewertung von HSM und Smart Contracts). Banken versuchen mit Smartcards verwendet diesem Trend umzugehen, indem sie mit FIRST: (Forum of Incident Response and solchen Firmen kooperieren Security Teams) Organisation, die das CVSS FinTS: (Financial Transaction Services) entwickelt hat deutscher Standard für e-Banking, Nach- FISA: (Foreign Intelligence Surveyance Act, folger von HBCI. Unterstützt Smartcards 1978) gesetzliche Grundlage in den USA für für gegenseitige Authentisierung das Abhören von Telefonaten durch die FIPS-140: Federal Information Processing Geheimdienste. Erforderte (usprünglich) einen Standard (US-Norm) 140. “Security Require- Gerichtsbeschluss im Einzelfall und wurde da- ments for Cryptographic Modules”. Normungs- her 2008 erweitert, um nach einem Beschluss vorgaben für Verschlüsselungsgeräte und – in einem geheimen FISC-Court auch Daten software in größerem Umfang sammeln und auswerten FireBug : Plug-in zu Firefox zum Testen von zu können. 2013 wird aufgedeckt, dass es eine Webseiten und Web-Applications, auch Kooperation der NSA mit Microsoft, unter Sicherheitsgesichtspunkten Google, Facebook, Apple, Youtube, Firewall: (die, engl. Brandschutzmauer) Skype, Paltalk, AOL und Yahoo gibt, die Sicherheitssoftware oder –gerät ( Appliance) einen direkten Zugriff ohne Gerichtsbe- zum Schutz des eigenen Netzwerkes oder schluss ermöglicht. Siehe auch NIMD, Rechners. Sie kontrolliert durch Filterung PRISM (Paketfilter) sämtlicher eingehenden Daten, FISMA: (Federal Information Security Manage- um das Netzwerk vor unerlaubten Zugriffen zu ment Act of 2002) US-Gesetz zur Verbes- schützen. Die Filterung basiert auf der serung der Informationssicherheit bei Bun- Selektion von Port Nummern. In Verbindung desbehörden vom Stateful Inspection können auch kompli- FIX: (Financial Information eXchange) Proto- ziertere Protokolle, wie z.B. FTP implemen- koll für den Austausch von Finanzdaten (vor tiert werden. In Verbindung mit zusätzlichem allem im Wertpapierhandel) in automatisierter
Version 11.1 Seite 77 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Form. Es wurde als moderne Alternative zur können. Siehe auch exFAT kostenpflichtigen Alternative SWIFT ent- Flash Cookie: Technologie um bei Internet- wickelt, das erhebliche Vertraulichkeitsproble- Nutzern Daten auf ihrem PC zu speichern me hat. FIX beruht auf TCP/IP und analog und später abzurufen. Es dient dem Profiling zum Internet beruht es auf einer Peer-to- der Nutzer, zumeist zu Werbezwecken. Peer ( P2P) Architektur ohne zentrale Server Technisch handelt es sich um Local Shared Flame: (Flame/SkyWiper) Begriff für ein Objects ( LSO), die vom Adobe Flash Cyberspionage-Programm das vor allem in Player erstellt werden. Sie können über die Nahen Osten eingesetzt wurde und das sehr Browser-Einstellungen nicht kontrolliert gezielt Daten gestohlen hat, aber auch Ge- werden. Siehe Cookie spräche abgehört und Bildschirminhalte Flex: Entwicklungs- und Server-Plattform für übertragen. Es wurde jahrelang von den gängi- Flash-Anwendungen. Wird sicherheitstech- gen Antiviren-Programmen nicht erkannt. nisch gut bewertet (wenn die Anwendungen Flame wird oft (fälschlicherweise) als Beispiel unter Ausnutzung der Sicherheitsfeatures für Cyberwar angeführt. Das Programm hat implementiert werden) vergleichbare Fähigkeiten mit staatlicher Flickercode: optische Kommunikation durch Überwachungssoftware wie dem Bundestro- Darstellung eines flickernden Bildes auf einem janer. Siehe APT Bildschirm zur Übertragung von Flash: 1) proprietäre Entwicklungsumgebung Überweisungsdaten von der Bank zu einem (von Macromedia, heute Adobe) zur nicht verbundenen Gerät, wird genutzt für die Erzeugung von Flash-„Filmen“ im SWF-Format Autorisierung von Überweissungen im e- zur Darstellung im Webbrowser. Probleme Banking sind Schwachstellen in älteren Versionen und die vielfältigen Möglichkeiten von Flash Floating Point: (Gleitkommazahl) Zahlen- darstellung auf Dateien, Microfon und Videokamera zuzugreifen, d.h. gut geeignet für Schad- Flooding: in der IT E-Mail-Flood, SMS- software. Wird auch für Device Fingerprin- Flood, Phone Flood, Synflood, ting verwendet. Flash Browser-Plugin sind HttpFlood nicht-kompatibel mit ASLR. Wird Ende 2020 Flow: NetFlow eingestellt. Siehe Silverlight, SVG, Flowspec: NetFlow Quicktime, AIR, Flex, FarmVille FMEA: (failure mode effect analysis) 2) Flash-Speicher: (Flash-EEPROM) werden analytische Methode der Zuverlässigkeitstech- zur Speicherung von digitalen Informationen nik, um im Rahmen des Qualitätsmanage- auf kleinstem Raum, z.B. DiskOnChip, USB- ments bzw. Sicherheitsmanagements poten- Sticks, Speicherkarten für Digitalkameras, zielle Schwachstellen zu finden. Siehe Mobiltelefone, Handhelds, MP3-Player, TQM SSD-„Platten“ in teueren Laptops verwendet. Alle beweglichen Flash-Speicher können eine FOAF: (friend of a friend) Teil des seman- Bedrohung der Informationssicherheit dar- tischen Webs, Datendefinition um Verknüp- stellen, wenn auf diese Weise Informationen fungen in social networks formal darzustel- aus einem Unternehmen entfernt werden oder len. Sicherheitsrelevant, da auf diese Weise Schadsoftware eingeschleppt wird, siehe eine automatische Auswertung dieser Ver- Stuxnet, SSD knüpfungen möglich ist und dies möglicher- weise die Privatsphäre berührt. Siehe Flash-Speichermedien verfügen alle über NIMD, Socialbot Wear Leveling . Dies ist eine Schutzmechanis- mus gegen die Tatsache, dass das Schreiben Folksonomy: Begriff für die Klassifizierung von Inhalten ( Websites, Bilder, etc.) durch von Daten ein Vorgang ist, der im Gegensatz zu Magnetplatten nicht beliebig oft viele Benutzer (z.B. die tags auf Flickr.com). ausgeführt werden kann ohne diese Speicher- Alternative zu Konzepten wie Semantic Web stelle zu zerstören. Daher wird beim Über- FoMo: (fear of missing out, die Angst, etwas schreiben einer Speicherstelle der neue Inhalt zu versäumen) in der Soziologie die Angst die an eine andere Stelle geschrieben und der alte heute vor allem durch Social Networks er- Inhalt als „leer“ markiert. Falls im Rahmen zeugt wird: Falls wir nicht jederzeit online sind, einer Forensic-Untersuchung auf einem so könnten wir etwas versäumen. Die stän- Flash-Speicher Beweise vermutet werden die digen Vergleiche mit den Erfolgen anderer gelöscht wurden so werden spezielle Pro- führt zur fixen Idee, dass andere mehr Spaß gramme genutzt, die diese durch Zugriff auf und mehr Erfolg haben als wir selbst. FoMo die „leeren“ Speicherbereiche wieder herstel- wird als Grund dafür genannt, dass es den len. Um bei einer Entsorgung eines Geräts mit meisten Menschen extrem schwer fällt, eine Flash-Speicher, z.B. Smartphone, keine ver- längere Zeit auf E-Mail, SMS, traulichen Daten weiter zu geben müssen spe- Messaging und/oder Social Networks zu zielle Wipe-Programme eingesetzt werden, verzichten, siehe Suchtcharakter, die trotz Wear Leveling Daten sicher löschen Stickyness
Version 11.1 Seite 78 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Forced Browsing: Angriffstechnik gegen wenn die Daten einer Datei nicht zusam- Websites, z.B. durch Erraten einer nicht ver- menhängend gespeichert sind, hat nur linkten URL, nutzt sog. Business Logic Performance-Nachteile Flaws aus 2) bei IP-Paketen wenn ein Datenpaket von Forefront: kommerzielle Sicherheissoftware einer Zwischenstelle im Netz in mehrere von Microsoft fü Unternehmen, analog zu Pakete zerteilt wird. Die Notwendigkeit der OneCare Zusammenführung an der Endstelle kann zu Forensics: Techniken, die nach einem Ver- DoS-Angriffen genutzt werden und dies brechen oder Sicherheitsvorfall (Security bietet auch Möglichkeiten, an einem NIPS Incident) zur Beweisgewinnung und -sicherung vorbei zu kommen eingesetzt werden. In der IT entweder nach Frame Relay: Datenübertragungsmethode, Angriffen auf die IT selbst ( Virenbefall, bei der verschiedene Sitzungen über einen Installation eines root kits) oder bei anderen gemeinsamen Übertragungskanal gesendet Vergehen (z.B. unberechtigter Zugriff), um werden. Die Geschwindigkeit liegt dabei unter Beweise auf IT-Geräten zu sichern ( E-Mail, der für ATM. Es kann eine minimale Fotos). Dabei werden oft Tools wie enCase Datenübertragungsrate garantiert werden. oder osTriage eingesezt, die Abbilder von QoS Hauptspeicher und Datenträgern (z.B. Mag- Fraud Alert: in den USA selbst-erzeugter Ein- netplatten) in gerichtsverwertbarer, d.h. be- trag in Kreditschutzdatenbanken dass mög- weissicherer Form machen. Wenn es darum licherweise Identity Theft vorliegt. Siehe geht, bereits gelöschte Dateien zu sichern credit freeze so werden zusätzlich oft Data Recovery Fraud-Detection: Konzept der Kreditkarten- Services eingesetzt. Siehe RFS, MAC- Times, CSI, DANN Organisationen zum Entdecken um Betrug während einer Kreditkarten-Transaktion. Wich- Fork : (engl. Gabelung) bei Open Source tiger Spezialfall ist CNP (Card not Present) Projekten wenn jemand einen bestimmten Fraud, d.h. die Zahlung im Internet oder am Stand des Quellcodes nimmt und diesen Telefon. Zum Schutz wird CVV oder getrennt von dem Rest der Community Systeme wie 3-D Secure verwendet weiterentwickelt. Forks führen zu einer http://sicherheitskultur.at/haftung.htm#ccbetrug Zerklüftung von Open Source Programmen, die ein einheitliches Patch Management Freedom of Information Act: US-Gesetz um schwierig machen kann, z.B. bei Android, den Bürgern besser zu erlauben, den Staat zu vom dem es 2014 19000 Varianten im Einsatz kontrollieren. Es bestimmt, dass alle Behör- gab denakte öffentlich zugänglich sein müssen, wird heute von Daten-Aggregatoren für Form-grabbing: Trojaner, die nach einer Datensammlungen über Personen genutzt Infektion eines Rechners die Inhalte aller Freemailer: kostenloser E-Mail-Service, meist Web Formulare, z.B. Benutzernamen, Passworte und PINs an den Angreifer über Webinterface ( Webmail). Finanziert versenden. Verwendet für Phishing, Key- über Bannerwerbung, populäre Beispiele sind logger hotmail.com, yahoo.com, web.de, gmx. Free- mailer werden gern für Spam verwendet, Forward Recovery: Wiederherstellung einer daher wird dort heute oft ein Turing Test bei Datenbank auf der Basis einer älteren Kopie der Anmeldung durchgeführt ( Captcha) und der nachfolgenden Journals Freenet: ein Projekt für eine Kommunikations- FPGA: (Field Programmable Gate Array) platform die gegen zensurmaßnahmen Chips die z.B. für Image Processing in Plasma gehärtet ist, entwickelt seit 2000. Dabei Fernsehbildschirmen eingesetzt werden, werden alle Inhalte dezentral gespeichert, es lassen sich auch als sehr schnelle Passwort gibt daher keine Möglichkeit, das System Cracker verwenden. Diese Chips werden aber zentral zu zerstören auch in vielen anderen Systemen eingesetzt Freeware: Software, die ohne Kosten im (industrial control, Sicherheitsfunktionen und militärische Lösungen) und haben eine JTAG- Internet verfügbar ist. Leider wird diese Soft- ware oft über die bei der Installation ebenfalls Schnittstelle (Joint Test Action Group) die für Debugging genutzt wird, aber auch installierten Trojaner finanziert. Es gibt jedoch auch kommerzielle Programme, wie Angriffsflächen bietet. Da diese in Hardware implementiert sind lässt sich dies im Feld kaum z.B. PGP, Ad-Aware, Zonealarm, die für reparieren den Privatgebrauch kostenlos zur Verfügung gestellt werden, um für die kommerzielle Fractal: Messaging Software die das Version zu werben Matrix Protokoll nutzt und mit allen anderen Instanzen kommunizieren kann die Frictionless sharing: Schlagwort von Face- auch dieses Protokoll unterstützen (föderierte book das das Ziel beschreibt, dass Aktivitäten Umgebung) und Daten vollautomatisch mit den Kontakten in Social Networks geteilt werden. Dies Fragmentierung: 1) auf einer Magnetplatten geschieht z.B. wenn die Kamera (oder das
Version 11.1 Seite 79 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Smartphone) alle Fotos automatisch im gespielt werden ( MMORPG) bieten viele Internet abspeichert und frei gibt. So eine Angriffspunkte durch Übernahme des Welt in der Lifelogging mit frictionless Accounts des Spielers. Dies kann zu einem sharing kombiniert ist wird im Buch „The Diebstahl von virtuellem Geld / Gold, Aus- Circle“ perfekt beschrieben stattungen wie Waffen und des gesamten Friend: unglücklicher Begriffe für Kontakte in Avatars führen. 2020 werden Spiele auch als einigen Social Networks, sehr oft auch Single-Page Application im Rahmen von genutzt für Personen ohne Kontakt im „realen“ Streaming (Cloud-Gaming, z.B. Dienste wie Leben. An diesen Status sind zumeist Google Stadia, Microsoft xCloud, erweiterte Zugriffsrechte auf private Amazon Luna, Onlive oder Gaikai) angeboten Informationen verbunden, bzw. diese Friends und sind dann z.B. auch auf Chromebooks werden automatisiert über Änderungen in verfügbar, können aber natürlich nicht die Profilen informiert. Auf Grund der Leistung von Graphikkarten von High-End Zugriffsrechte ist der Friend-Status auch für Gaming- PCs bieten, die mittels GPU Angriffe wie das Verteilen von Malware Graphikleistungen bieten, wie sie in den 80iger interessant (z.B. durch Socialbots). Auch als Jahren noch speziellen Graphikcomputern wie Verb genutzt: „to friends s.b“ oder „to de-friend z.B. von SGI vorbehalten waren. 2020 können s.b“. Letzteres ist für beide Beteiligten mit innerhalb von Spielen auch reale Veran- sozialem Stress verbunden. Die Kontakte von staltungen, z.B. Konzerte, realisiert werden. Firmenseiten werden als „Fans“ bezeichnet. Im Siehe auch virtual currency, LARP, RPG, Rahmen von Astroturfing werden 10000 ARG, „Friends“ oder Fans für 35000 Euro Gamification: Schlagwort das beschreibt, angeboten. Siehe auch FOAF, Social dass Nutzer zu einer längeren oder intensi- Graph, FoMo, Dunbar Number veren Nutzung eines Dienstes gebracht Friendica: föderiertes Social Network, Teil werden sollen, indem die Nutzung als Spiel, des Fediverse. Da Friendica eine sehr große d.h. als Wettbewerb, implementiert wird, z.B. Zahl von Protokollen unterstützt können durch High-Score für denjenigen, der die deren Nutzer sehr weitreichend kommuni- meisten Beiträge in einem Forum postet und zieren, es gibt sogar ein Interface zu Twitter, zu höheren Statuswerten oder “Reputation WordPress, Tumblr und RSS Points“ führt Friend-request: Anfrage in Social Networks, GAN: ( Generic Access Network) die Profile zu verlinken. Untersuchungen Gatekeeper: zeigen, dass friend requests von 1)Funktion von Mac OS X, das Unbekannten sehr leicht angenommen werden Schadsoftware erkennt und die Ausführung wenn deren Profil eine ausreichende verhindert. Hat gegenüber den Malware- Attraktivität hat (bis zu 20% Akzeptanz). Dies schutzprogrammen auf Windows sehr wird oft für Social Engineering, zum begrenzte Funktionalitäten Ausspähen von Informationen ( Data Mining) und zur Verteilung von Schadsoftware 2) große Internet- Plattformen, siehe Digital Market Act genutzt ( Socialbot) Gateway: generischer Begriff für ein Gerät, FriendFinder: Beispiel eines Geolocation Dienstes, bei dem Mitglieder einer Gruppe sich das z.B. Daten empfängt und weiterleitet. Dabei wird der Datenstrom oft in irgendeiner gegenseitig lokalisieren können Form verändert ( Proxy für die Umsetzung FTC: (Federal Trade Commission) US- von IP-Adressen, Media Gateway). Gate- Behörde, die über den Hebel des fairen ways können auch Zugriff auf dahinter- Wettbewerbs und des Konsumentenschutzes liegende Dienste bieten ohne dass eine direkte auch in Problemstellungen der Informations- Datenweiterleitung stattfindet, z.B. Citrix, sicherheit aktiv wird, z.B. im Bereich Spam Cloud Access Security Broker und bei der Einhaltung von Privacy GCHQ: (Government Communications Head- Statements. quarters) Teil des britischen Geheimdiensts, FTP: (File Transfer Protocol) auf dem der mit technologischer Hilfe durch die NSA, TCP/IP-Protokoll basierendes Verfahren viele der Internet-Backbone Verbindungen zum Austausch von Dateien in beide auf Lichtleiter-Basis abhört. Bekannt wurde Richtungen. Auf Grund der Möglichkeit des dies 2013 durch Edward Snowden anonymen Zugriffs und Fehlern in der Konfigu- ration ein manchmal nicht sehr sicheres GDA: (Gesundheitsdiensteanbieter) in Ö: lt. Verfahren. Auf Grund einer komplizierten Gesundheitstelematikgesetz Teilnehmer am elektronischen Datenaustausch, z.B. Ärzte, Kli- Games: (Spiele) Computerspiele, ob am PC niken, Krankenkassen, etc. Nach der oder Smartphone, sind auf Grund ihrer Umsetzung von ELGA müssen diese ihre Popularität auch ein Angriffspunkt für Angrei- Krankenakten den anderen GDAs zugänglich fer. Dies geschieht z.B. entweder über das machen, verwaltet über eine Registry und Angebot von Raubkopien, oder auch über können selbst auf andere zugreifen sog. Cheats. Spiele, die über das Internet
Version 11.1 Seite 80 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
GDPR: General Data Protection Regulation. überwachte Person, z.B. Kind oder Partner mit Seit Mai 2918 in Kraft. Siehe Handy oder zu Hausarrest verurteilter Ver- Datenschutzgrundverordnung brecher wird ein Bereich definiert, bei dessen GDPS: (Geographically Dispersed Parallel Überschreitung ein Alarm ausgelöst wird. In Sysplex) Konzept und Technologien von IBM der Regeln implementiert über eine Fußfessel für Disaster Recovery im Mainframe- oder eine App auf einem Smartphone. Bereich. Beinhaltet das Konzept, dass die Erfordert juristisch die Zustimmung der Person, aktiven Produktionssysteme am entfernten wird aber oft heimlich zu Stalking Zwecken Standort stehen sollen (schnellere Wiederher- gemacht stellung) Geolocation: Festellung des geographischen Gefällt mir: Like-Button Aufenthaltsorts einer Person (entweder durch die Person selbst oder durch Fremde), z.B. Gegner: Adversary mittels Ortung eines Handys (silent SMS GeldKarte: deutsche Implementierung des oder SS7-Kommandos), über GPS in e-Geld mit einer bargeldlosen Bezahlung Kameras, Smartphones, Autos (Diebstahl- kleiner Beträge ohne Eingabe einer PIN. Sie schutz, Fleet Managment), ANPR, Sec- ist auch ohne Bindung an ein Konto möglich. tion Control oder Navigationsgeräten. Oder Nach der Bezahlung findet ein Abgleich bei über die IP-Adresse bei einem Rechner im einer Verrechnungsstelle statt, daher ist trotz Internet. So kann Überwachung statt- „Anonymität“ eine Wiederherstellung bei finden, aber auch Dienste wie FriendFinder, zerstörten Chip ( Smartcard) auf der Karte lokal fokusierte Werbung, etc. angeboten möglich. Siehe EMV werden. Geldwäsche: Einschleusen illegaler Erlöse Tödlich wirkt Geolocation wenn es eingesetzt aus Straftaten (zum Beispiel aus Drogen- wird, um Ziele für die US-Drohnen ( UAV, handel, Erpressung, Phishing) in den unmanned areal vehicle) zu identifizieren. legalen Finanz- und Wirtschaftskreislauf. Dabei wird getötet, wer in der Nähe des Eingesetzt u.a. nach Erpressung mit dDoS Handys ist (bzw. der jeweiligen SIM-Karte die oder Phishing. Bei Verdacht auf Geldwäsche eine bestimmte Telefonnummer [ IMSI] reprä- muss die Polizei die „Vortat“ beweisen, was oft sentiert), auch wenn das Gerät weiterverborgt schwierig ist. Siehe „Finanzmanager“, wurde. Einige UAVs können auch „virtual Western Union, e-Geld, KYC base station“ enthalten. Dort meldet sich das Generic Access Network: (GAN) Handy der Zielperson an und kann entweder Unlicensed Mobile Access über die SIM oder die IMEI erkannt werden Genetic Algorithm: Verfahren beim dem ( GILGAMESH) . Im Programm Mittels der Simulation von Mutationen versucht VICTORYDANCE werden auch WLAN-Verbin- wird, sich einem gewünschten Endzustand dungen vom UAV identifiziert. anzunähern. Wurde beim Angriff auf Iris- Siehe auch Standortdaten, Skype erkennung genutzt. Voraussetzung dafür ist, Geschäftsprozess: Grundlage jeder Planung dass es eine Bewertungsfunktion gibt, die die zu Informationssicherheit ist die Unterstützung ‚Nähe‘ zum gewünschten Ergebnis bewerten und Absicherung von Geschäftsprozessen. kann Speziell bei Business Continuity Planungen Geneva: Open-Identity-Plattform von steht dies im Mittelpunk Microsoft. Siehe Cardspace Gesichtserkennung: Face Recognition Geoblocking: Sperren von Diensten in Gesundheitsapp: Smartphone Apps die bestimmten geographischen Gebieten. Z.B. ab mittels Sensoren und/oder Eingaben der 2015 das Sperren von Bankomatkarten für Nutzer Daten über Gesundheitsparameter nicht-europäische Länder in denen noch die der Nutzer sammeln und in aller Regel zentral Magnetstreifen statt der Chipkarten genutzt in der Cloud des Anbieters speichern. Auch werden. Der Kunde mus vor einem Urlaub die diese App-Anbieter leben fast immer von anderen Regionen gezielt freischalten. Dies Werbung, d.h. sie vermarkten die zum Teil soll Skimming für die Betrüger uninteressant recht sensiblen Daten großzügig (z.B. machen. Wird von Streaming Diensten wie Menstruations-App die auch Details der Netflix eingesetzt wenn sie die sexuellen Aktivitäten tracken). So wurde Urheberrechte für ein bestimmtes Gebiet nicht nachgewiesen dass viele der Apps die Daten haben. In diesen Fällen wird der Ort des an die großen Werbenetze wie z.B. Nutzers über die IP-Adresse ermittelt. Facebook weitergeben. Dies geschieht oft VPN-Dienste werden dann oft eingesetzt, indirekt durch die Einbundung von SDKs die wenn diese Blockierung umgangen werden Facebook zur Verfügung stellt. Die Nutzer soll. Geoblocking wird auch im stimmen durch Akzeptieren der (ungelesenen) Glücksspielbereich eingesetzt wenn die AGBs zu. Trotzdem kann sich in einigen Fällen notwendigen Lizensen fehlen nicht nur eine Verletzung von Ethikregeln, Geofencing: Erweiterung von Geolocation. sondern auch dem Datenschutzgesetz Für eine in Bezug auf den Aufenthaltsort vorliegen
Version 11.1 Seite 81 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Ghost: (oder Ghost Image) Erstellung einer Netze unter Kontrolle hat speziellen Kopie des Inhalts einer Magnet- Globus Toolkit: von der Global Alliance Orga- platte, die eine leichte Wiederherstellung im nisation standardisierte Software für Grid Rahmen von Disaster Recovery ermöglicht Computing. Dabei wird nicht nur der Daten- Ghostery: Blocking Tool zur Verhinderung austausch abgehandelt, sondern über die Grid von Tracking durch Advertising Networks. Security Infrastructure (GSI) auch Sicherheits- Zeigt dem Benutzer an, wer ihn tracken will aspekte wie Authentisierung und erlaubt gezieltes Blockieren der Tracking Gmail: kostenloser Webmail-Dienst von Elemente Google der über Werbung finanziert wird. GIF: Datenformat für Bilder im Internet, Zum Aufbau eines Benutzerprofils wertet wichtige andere sind JPEG und PNG. In Google dafür die Inhalte der E-Mails aus GIF-Dateien selbst kann Malicious Code GN: (Group Ad-Hoc Network) Netz aus versteckt sein (z.B. in der Form von PHP- Bluetooth-Geräten. Siehe PAN Scripts), zusätzlich wird solcher manchmal im GNU project: 1983 von Richard Stallman vom E-Mail als GIF getarnt. Mit Hilfe von Ste- MIT ins Leben gerufen Bewegung zum ganographie können auch Nachrichten in Erstellen von (hauptsächlich) public-domain diesen Bildern versteckt werden. Im GIF- Format lassen sich auch Strichzeichnungen Software die dann unter der GNU GPL Lizenz genutzt werden kann mit weißem Hintergrund sauber darstellen (im Gegensatz zu JPEG, das eher für Fotos GNU Radio: public-domain Software zur geeignet ist) Simulation von Systemen die (hoch)frequente Wellen nutzen und traditionell analoge GILGAMESH : Project, bei dem UAVs mit Systeme durch digitale Signalverarbeitung „virtual base stations“ ausgerüstet werden ersetzen. Als Hardware wird dabei Software- damit die Handys der Zielpersonen sich dort defined Radio eingesetzt. Wird oft für die automatisch anmelden, was eine hohe Demonstration von Angriffen und Protokollver- Präzision bei der Geolocation erlaubt wundbarkeiten verwendet, z.B. RFID, elek- GINA: (Graphical Identification and Authentica- tronische Pässe, drathlose Türöffner, etc. Wird tion) Login-Fenster für alle Windows Systeme. im Zusammenhang mit USRP genutzt Alternative Authentifizierungsmethoden und SSO-Software muss sich damit “einigen” GoB: Grundsätze ordnungsmäßiger Buch- führung (z.B. in Form einer GINA-Chain) Going Dark: Lawful Intercept GitHub: von Microsoft übernommenes Unternehmen das ein Cloud-System für Google: Gegründet 1998. Seit 2015 Quellcode-Verwaltung betreibt. Ab 2019 ist umbenannt in Alphabet mit Google als einer es das wohl meistgenutzte System, durch die der Tochterfirmen. Seit 2003 die Internet- Cloud-Implementierung sehr gut für die Suchmaschine mit einem überaus domi- Kooperation zwischen verteilt arbeitenden nierenden Marktanteil. Bietet unter dem Entwicklern geeignet. Enthält auch Funktio- Konzernnamen Alphabet sehr viele zumeist nalitäten für die Kommunikation zwischen für die Nutzer kostenlose Dienste an, z.B. Entwicklern (z.B. Feature Requests, Bitte um Gmail, Android, Google Glass, Hilfestellung). Dabei kommt es leider durch Google Play, Google Maps, Google Nachlässigkeit auch immer wieder dazu, dass Translate, Google Docs, Google Cloud, Entwickler sensible Teile des Programm- Sidewalk Labs. Google finanziert sich primär codes (z.B. Schlüssel u.ä.) in der Anfrage durch Werbung, die sie auf Grund der veröffentlichen und damit Sicherheitsrisiken extremen Kenntnisse die sie über alle Nutzer darstellen im Internet (plus alle Android-Nutzer, zusätzliche Daten gewinnen sie auch Glass: Google Glass Sidewalk Labs) gewinnen können sehr GLBA: Gramm-Leach-Bliley Act präzise platzieren können, siehe targeted Gleitkomma: (floating point) Zahlendar- advertising ( behavioural advertising). Siehe stellung auch Adwords. Mittels AI können rechts Global Adversary: Spezialfall des Adver- detaillierte Persönlichkeitsanalysen durchge- sary. Ein Gegner, der global agieren kann. führt werden. Google gilt als Erfinder des Paradebeispiel ist die NSA. Ein Schutz Überwachungskapitalismus. Durch den gegen einen solchen Gegner ist sehr extremen Marktanteil in vielen Bereichen schwierig. So ist z.B. das Konzept des TOR entsteht quasi ein Monopol. Wer als Betreiber Anonymisierungsnetzwerks nicht dafür ausge- einer Website nicht auf der 1. Seite der legt vor einem global adversary zu schützen, Suchergebnisse gelistet wird, hat mit seinem der den Datenverkehr beim Eintritt und dem Unternehmen sehr oft existentielle Probleme. Austritt aus dem Netzwerk kontrollieren kann Dabei kann Google durch geschicktes und dadurch zeitliche Korrelationen herstellen. Verschieben der Werbegewinne in Steuer- TOR ist konzipiert zum Schutz gegen eine oasen wie Luxemburg, Niederlande oder Irland Organisation, die nur im eigenen Land die ein Bezahlen von Steuern weitgehend
Version 11.1 Seite 82 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ vermeiden. innerhalb und außerhalb von Google bereits http://sicherheitskultur.at/notizen_1_06.htm#go an Versionen auf der Basis von Kontaktlinsen ogle gearbeitet, andere Geräte auf Basis einer Brille sind auch verfügbar. Google+: Social Network (2011 bis 2019) das über die Funktion circles eine leichtere Die eingebaute Kamera kann alles aufnehmen Strukturierung der Friends von Benutzern was um den Glass-Nutzer herum passiert und ermöglichen wollte, damit der context speichern. Dadurch werden Aufzeichnungen collapse der Vermischung unterschiedlicher von Personen gemacht, die sich dagegen nicht Zielgruppen vermindert wird. Facebook wehren können. Dies führt dazu, dass Men- versuchte, mit ähnlichen Funktionalitäten schen ständig damit rechnen müssen, dass ihr nachzuziehen. Google Plus war auch ohne die Verhalten aufgezeichnet wird große Zahl der aktiven Nutzer wie bei Da diese Daten auch in der Cloud abge- Facebook ein Vorteil für Google da dort (mit speichert werden können sie dort auch mittels Zustimmung der G+ Account Nutzer) alle speech zu text auswertbar gemacht werden. anderen Google Daten zusammenflossen: Siehe auch Lifebits die Suchanfragen, Google Maps Anfragen, Google Maps: Kartendienst von Google. Youtube-Aktivitäten, die Kontakte in Gmail, Siehe Google Streetview und vor allem die Informationen über Google Meet: Videokommunikationsdienst, Website-Besuche über das Google Ads- der 2020 als Videokonferenzsystem Network und vermutlich auch die Android angeboten wird. Vor allem interessant für Aktivitäten Firmen, bei denen G Suite im Einsatz ist Google Analytics: sehr häufig eingesetzter Google Now: Service auf Android der Be- kostenloser Service für Website-Betreiber nutzern auf Grund von gesammelten Daten um detaillierte Benutzer-Statistiken zu erhalten. persönliche Ratschläge für ihr Verhalten gibt Dafür werden jedoch die Nutzungsdaten der (personal assistant, virtual assistant), Besucher an die Google-Server gesendet und dort verarbeitet. Google verlangt, dass Fragen beantwortet und einfache Aufgaben erledigt. Wird meist über Sprachsteuerung dies in den Datenschutzerklärungen der Websites verkündet wird, dies ist jedoch zu- genutzt. Zur Problematik siehe Contextual meist nicht der Fall. Seit 2010 bietet Google Computing eine Version, bei der die IP-Adressen bereits Google Pay: NFC Zahlungsdienst auf auf der Website anonymisiert werden kön- Android Geräten auf der Basis der HCE nen. Dies muss der Web-Programmierer aber Architektur (früher Google Wallet oder Android bewusst aktivieren. Besser sind andere Pay). Erlaubt das Bezahlen mittels kostenlose Tools, die direkt auf der Website Smartphone an Bankomatkassen. Dabei selbst ablaufen, bzw. Anbieter innerhalb der wird die 2 Faktor Authentisierung mittels EU ‚Besitz des Smartphones“ plus einem weiteren Google Authenticator: Authentisierungs- Faktor zum Entsperren des Geräts abgebildet (PIN oder Fingerprint). Benutzer können lösung die HOTP und TOTP unterstützt. Die entsprechende App generiert ein One- die selbe Kreditkarte nutzen, die auch für Google Play hinterlegt ist. Ähnlich wie bei time password das von der Software oder der Website geprüft und bei Erfolg akzeptiert Apple Pay wird aber nicht die hinterlegte wird Kartennummer an den Händler übertragen sondern eine generierte virtuelle Nummer. D.h. Google Cloud Messaging: (GCM) Dienst für der Händler erfährt nicht die Bankverbindung Android Smartphones damit ein Server des Kunden. Im Gegensatz zu Apple erlaubt Nachrichten an eine App schicken kann Google auch anderen App Entwicklern den ohne dass diese im Foreground läuft (und die Zugriff auf die NFC Schnittstelle des Batterie belastet). Entspricht Apple Push Smartphones. Daher gibt es auch alternative Notification Zahlungsapps wie z.B. Samsung Pay oder LG Google Docs: Textverarbeitung in der G Pay die aber in Deutschland keine Rolle Suite spielen. WeChat Pay und Alipay nutzen Google Glass: problematisches Projekt bei nicht NFC sondern QR Codes der in eine Brille eine Kamera, Mikrofon und Google Play: App Store für Android- Display eingebaut wird. Dem Träger können Smartphones. Dort wird ein Programm auf diese Weise vor seinen Augen Infor- zum Aufspüren von bösartigen Apps mationen eingeblendet werden, z.B. könnten eingesetzt: Bouncer. Seine Effektivität ist über Face recognition die Facebook umstritten. Außerdem stehen für Android- Profile der Menschen um ihn herum Geräte Apps auch von vielen anderen (zum eingeblendet werden (dies wird derzeit (noch) Teil dubiosen) Markets zur Verfügung nicht implementiert). Der Überbegriff für das Google Streetview: umstrittener Service, bei Einblenden von zusätzlichen Informationen in der zusätzlich zu den Karten und Satel- das Blickfeld von Menschen nennt man litenfotos auf Google Maps auch Fotos Augmented Reality (AR). 2013 wird
Version 11.1 Seite 83 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ beider Straßenseiten gezeigt werden. Da auf Eine zusätzliche Absicherung des Datenver- diesen Fotos auch Personen, Autokennzeichen kehrs ist mittels VPN möglich. Siehe 2G u.ä. zu sehen sind, entstehen Da- GPS: (global positioning system) System das tenschutzprobleme. Mittlerweile werden in mit Hilfe einer großen Zahl von Satelliten und vielen Ländern Gesichter und Autokenn- entsprechenden Empfängern den geographi- zeichen automatisiert verpixelt ( Pixelation). schen Ort, Höhe und Geschwindigkeit Ähnliche Dienste stehen von vielen Anbietern bestimmen können. Diese Funktionalität wird zur Verfügung, zum Teil von innerhalb der EU, in mehr und mehr Geräte (z.B. Smart- die jedoch fast nie Verpixelungen durchführen. phones, Autos, etc.) eingebaut und kann Im Rahmen von der Foto-Aktivitäten wurden dort in Verbindung mit entsprechenden von Google auch die SSIDs von WLAN- Anwendungen zu Verletzungen von Vertrau- Netzen aufgezeichnet. Diese sollen der lichkeit führen. Siehe Geolocation, A-GPS Standortbestimmung in Android Smart- GPS Jammer: illegale Geräte, die den Em- phones dienen. Dabei wurden aber auch pfang von GPS-Signalen verhindern und z.B. andere private Daten aufgezeichnet, aus von LKW-Fahrern eingesetzt werden um GPS- Versehen, wie Google erklärte basierte Fuhrparküberwachung auszuschalten. Google Workspace: (auch G Suite genannt) Auf Grund der immer stärkeren Abhängigkeit Kombination von Software die vor allem an von Systemen wie Antennen-Ausrichtung, Firmen vermarktet wird, Konkurrenz zu Synchronisation der Handy-Masten zwecks O365 von Microsoft vor allem bei kleineren Gesprächsweiterleitung, Synchronisierung der Unternehmen. In beiden Fällen wird die Elektrizitätsnetze, Navigation von Flugzeugen, gesammte Software cloud-basiert Zügen und den PKWs der Rettungsdienste angeboten und genutzt, es sind keine eigenen kann dies zu ernsthaften Folgen führen. Die Server mehr notwendig um eine Firmen-IT nächste Stufe sind dann GPS Spoofer , die aufzubauen GPS-Daten empfangen, leicht verändern und GoP: Grundsätze ordnungsmäßiger Buch- mit höherer Feldstärke wieder aussenden und führung damit anderen Geräten falsche Standorte vor- spielen. Als Gegenmaßnahme wird u.a. GOPHERSET: Programm der NSA zur „Receiver autonomous Integrity Monitoring“ Manipulation von SIM-Karten eingesetzt Governance: (lat. Steuerung) Prozesse und GPU: (Graphics processing unit) spezieller Mechanismen zur Steuerung und Kontrolle Prozessor, in allen modernen Graphikkar- einer Organisation. IT-Governance ist der Teil- ten, Spielkonsolen und Smartphones, der bereich, der sich mit Informationsverarbeitung sehr schnell Informationen über Bilder (auch befasst. Instrumente sind z.B. Basel II, z.B. in 3D) (oder Filme) in die flache 2-D SOX, COSO (siehe IT-Governance Darstellungen umrechnen kann. Dabei finden Institute, http://itgi.org ) viele parallele Rechenoperationen statt GPL: (GNU General Public License) Schema (sowohl Gleitkomma- wie auch Festkomma- zur Lizensierung von Open Source Software, (Integer-)Operationen). Daher können diese (weiter)entwickelt durch die Open Software Prozessoren auch für andere rechenintensive Foundation. Wichtiger Punkt ist, dass bei Operationen verwendet werden, z.B. Verwendung dieses Programmcodes alle Passwort-Cracking, im „ Mining“ von daraus entstandenen Programme (Derivate) Cryptocurrencies oder in Supercomputern. ebenfalls unter diese Lizenz fallen. Siehe Dabei kommen zum Teil mehrere GPUs pro Copyleft, Lizenz PC bis hin zu extrem hohen Zahlen von GPUs GPO: (Group Policy Object) Group Policies zum Einsatz. Siehe auch Graphikkarte GPRS: (General Packet Radio Service) Ver- Gramm-Leach-Bliley Act: (GLBA, Financial fahren für die Übertragung von Daten über Services Modernization Act, 1999) US-Gesetz, Mobilfunkstrecken. Durch die gleichzeitige das für Finanzinstitutionen (im weitesten Nutzung mehrerer GSM-Kanäle können Sinne) Maßnahmen zum Schutz von Daten höhere Datenraten erzielt werden. GPRS ist bzgl. Integrität und Vertraulichkeit als „always-on“ Mechanismus implementiert. vorschreibt. Das Verfahren wird zur Anbindung von PDAs http://www.ffiec.gov/ffiecinfobase/resources/manag und von Laptops (über GPRS Handies ement/con-15usc_6801_6805- oder spezielle GSM/GPRS-Karten in gramm_leach_bliley_act.pdf Laptops) verwendet. Dabei wird dem Endgerät Graphikkarte: Komponente eines Rechners über das DHCP-Protocol eine IP-Adresse der die Bildschirmanbindung herstellt. Früher zugewiesen. Diese Adresse ist in der Regel im sehr einfache Komponenten, heute können Internet sichtbar. Obwohl die Funkstrecke diese Geräte mittels GPU sehr schnell hoch der Verbindung verschlüsselt ist, stellt die aufgelöste 3D-Objekte auf die 2D-Bildschirme Sichtbarkeit im Internet ein Sicherheitsproblem „mappen“. Sie benötigen dafür eine sehr hohe dar, das durch den Einsatz einer spezialisierte Rechenleistung. Diese Rechen- Personal Firewall reduziert werden kann. leistung kann durch entsprechende Driver
Version 11.1 Seite 84 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ auch für andere Aufgaben, z.B. im Bereich der Grundsätze ordnungsmäßiger Buchfüh- Kryptographie genutzt werden. Beliebt ist die rung: (GoB) teils geschriebene, teils unge- Nutzung von solchen Graphikkarten für das schriebene Regeln zur Buchführung und „Knacken“ von Passwort-Hashes durch Bilanzierung, die sich aus Wissenschaft und Brute Force Angriffe auf gestohlene Praxis, der Rechtsprechung sowie Empfeh- Hashes oder das „Minen“ von Bitcoins lungen von Wirtschaftsverbänden ergeben. GRC: (Governance, risk & Compliance) Heute, u.a. durch SOX und die 8.EU- Zusammenfassung der Anforderungen von Richtlinie ( EuroSOX) eng verknüpft mit IT- SOX. Entsprechende Software-Module Sicherheit. Siehe IFRS decken Benutzermanagement, Autorisie- Grundschutz: minimale Schutzmaßnahmen, rungsmanagement, Zugriffsmanagement die auf jeden Fall erfüllt sein müssen und Logging ab Grundschutzhandbuch: (GSH) vom bundes- Greeting Cards: (engl. Grußkarten) oft deutschen BSI herausgegebenes umfang- kostenlose Möglichkeit, per E-Mail (oft reiches Werk zur Beschreibung einer Vorge- animierte) Bilder mit einem Grußtext zu hensweise zur Informationssicherheit für versenden (bzw. einen Link auf eine Systeme mittleren Schutzbedarfs ohne vorhe- Website, auf der die Karte dann eingesehen rige spezifische Risikoanalyse. Der Name werden kann). Es mehren sich Berichte, dass impliziert, dass die dargestellten Maßnah- das implizite Vertrauen des Empfängers in den men als Minimum betrachtet werden. ihm bekannten Absender für die Installation Grundschutz. Siehe von Malware auf dem Rechner des http://sicherheitskultur.at/best_practise.htm Empfängers genutzt wird. Wird seit dem Grußkarten: (Greeting Cards) Siegeszug von Messaging Apps wie Whatsapp kaum noch verwendet GSM: 2G GSM Jammer: Geräte, die den Betrieb von Greylist: Konzept der automatisierten Spam-Bekämpfung bei E-Mails. Der Mail- GSM- Handys stören. Sie sind in Europa verboten (aber erhältlich), werden von server verweigert die Annahme des E-Mails von einer bisher unbekannten Kombination von Bankräubern eingesetzt um Tracking durch GSM-Geräte zu verhindern, die in Absender und Empfänger und wartet darauf, dass der Sender noch einen Versuch startet. Bankomaten einbaut werden Dieser wird dann akzeptiert. Erhöht den GSS: (Generic Security Services) API zur Datenverkehr weiter und blockiert Ressourcen Implementierung von starken Authentisie- beim Sender. Falls es sich durchsetzt, werden rungen im Internet. Siehe RFC 1508, die Spammer ebenfalls zweimal senden 1509, 2078 Grid Computing: modernes Konzept, bei der G Suite: Google Workspace eine große Zahl von Rechnern, verbunden GTIM: (Global Trade Identification Number) im durch Datennetze wie z.B. das Internet, Rahmen von EPC zur Identifizierung von gemeinsam an einer Aufgabe arbeiten. Bei- Waren eingesetzt. Siehe RFID spiel ist z.B. SETI, die Suche nach Spuren von außerirdischer Intelligenz in Radiosignalen. GUI: (Graphical User Interface) Bedienungs- Zum Teil wird dabei eine standardisierte Soft- oberfläche bei der die Information auf einem ware eingesetzt, z.B. der Globus Access graphischen Gerät dargestellt werden und bei Grid Toolkit der Global Alliance Organisation. der die Bedienung über Maus und Keyboard In dieser Software wird nicht nur der Daten- (Tastatur) erfolgt austausch abgehandelt, sondern auch Sicher- H.323: Signalling Empfehlung der ITU für heitsaspekte wie Authentisierung. Bisherige audiovisuelle Kommunikation, z.B. VoIP. Die Entwicklungen benutzen z.B. XrML (Extensible Übertragung ist verschlüsselt. Es scheint sich Rights Markup Language), XACML (Extensible jedoch außer für Videokonferenzen SIP Access Control Markup Language) und durchzusetzen SAML (Security Assertion Markup Habbo Hotel: eine von vielen virtual worlds Language). Siehe Cloud Computing für Kinder, problematisch wegen der Versuche Group Policies: Konzept, nach dem auf der von Pädophilen, diese Plattform zur Basis von Active Directory an zentraler Stelle Anbahnung von Kontakten zu nutzen viele Einstellungen von Windows-Systemen, (Cybergrooming) u.a. auch wichtige Sicherheitseinstellungen HACCP: (Hazard Analysis and Critical Control leicht geändert werden können Points) Risikomanagement-Methode in der Group Pressure: (engl. Gruppenzwang) oft Lebensmittelindustrie, heute auch oft in ein Grund, warum Nutzer bei Diensten wie Pharmazie und anderen Bereichen genutzt. Im Social Networks mitmachen die zu einer Zentrum steht die Identifizierung der Punkte, in Aufweichung ihrer Privatsphäre führen. Kann denen kontinuierliche Messungen die Sicher- auch zu Effekten wie Cyber Bullying führen. heit der Produktion sicherstellen Siehe auch Gamification, Reputation Hacker: ursprünglich war Hacker ein positiv System
Version 11.1 Seite 85 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ besetzter Begriff der für Programmierer ver- den USA durch private Vereinbarung zwischen wendet wurden, der beim Entwurf, Eingabe Musikindustrie und ISPs etabliert und Ausführung eines Programms die Haftung: komplexer juristischer Begriff, zum größtmögliche Effizienz anstrebte. Hacker wird Teil synonym mit Schuld verwendet. Relevant heute allgemein für Personen verwendet, die über den zivilrechtlichen Schadenersatz im sich unberechtigt Zugang zu einem tech- Zusammenhang mit Vorsatz oder Fahr- nischen Informationssystemverschaffen, heute lässigkeit. Eine Haftung für IT-Manager gegen- oft im Dienst der organisierten Kriminalität. über dem Unternehmen oder Kunden kann Siehe auch Cybercrime, Cyberwar, sich aus der Nicht-Einhaltung von Gesetzen, Cyberterrorismus, Shell, VX, Black aber auch aus mangelnder Sorgfalt, z.B. durch Hat= Cracker, White Hat = Ethical Ignorieren des Stand der Technik ergeben. Hacker, L0pht Eine Haftung für Diensteanbieter leitet sich in HackerOne: (auch The Internet Bug Bounty) Ö aus §3 ECG her (z.B. auch für Betreiber Initiative von Facebook und Microsoft um einer privaten Website). Es kann sich z.B. Bug Bountys für Schwachstellen in ein Unterlassungsanspruch ergeben. Siehe Programmen anzubieten, die nicht direkt 1 DPI Hersteller zugeordnet sind, z.B. in Open Hacking Team: italienisches Unternehmen Source Software wie php, Python, Ruby on das Software zum Abhören von PCs an Rails, Perl, OpenSSL, Apache, aber auch in beliebige Regierungen verkauft, auch an grundsätzlichen Konzepten wie Sandboxes Diktatoren die es zum Auffinden von Dissi- von Browsern und Betriebssystemen. denten verwenden. Wurde im Sommer 2015 Außerdem bietet die Platform für Hersteller gehackt und 400 GB Mails und Unterlagen eine Fehlersuche als Crowdsourcing an, d.h. veröffentlicht. Dadurch konnten Firmen im Firmen können eine Belohnung für Bugs in Bereich Malware-Schutz ihre Produkte so ihrer Software ausloben. Im Rahmen von verbessern, dass sie diese Schadsoftware HackerOne wurde auch Heartbleed entdeckt erkennen, Vergleichbare Firmen sind Hacktivismus: Kunstwort aus Hacker und FinFisher, Vupen. Siehe Black hat Aktivismus. Nutzung von Angriffen (Ge- Hailstorm: Security Scanner für Web-App- setzesverletzungen) im Internet auf Netze ications. Siehe Penentration Test, AJAX oder Systeme durch Private für politische Zwecke. Dabei wird DoS verglichen mit Hamming: Theoretiker, Entwickler des Ham- Sitzstreik, Wesite-Defacing mit Spraypain- ming Codes zur Fehlerkorrektur ting. Auch Methoden der Cyberspionage Hamming distance und Hamming weight : werden eingesetzt um z.B. an Informationen beim Vergleich von 2 gleich langen String- über die Gegner zu kommen oder etwas oder Bit-Folgen die Zahl der Korrekturen um aufzudecken. Ethisch bedenklich wird es, aus dem einen Wert den anderen zu bekom- wenn Unbeteiligte zu Schaden kommen, z.B. men. Wird beim Knacken von Verschlüs- durch die Veröffentlichung ihrer Passworte. selungen genutzt, z.B. bei side channel Beispiele sind anonymous, 4chan, attacks oder bei der Iriserkennung LULZSEC, cult of the dead cow, Chaos HAN: (Home Area Network) Konzept der Computer Club. Siehe Cyberwar, Vernetzung von Haushaltsgeräten und Slacktivism Haustechnik. Gedacht ist dabei an Com- http://sicherheitskultur.at/Angreifer_im_Internet.ht puter, Fernseher, Video-Recorder, aber auch m#hacktivism Haushaltsgeräte und Alarmanlagen. Dieses Netz wird i.d.R. mit dem Internet verbunden Hadoop: spezielle Datenbank die für sehr sein so dass von einem Smartphone von große Mengen von von unstrukturierten Daten überall auf die Geräte zugegriffen werden (Petabytes = 1000 Terabytes = 1 Mio Gigabytes) eingesetzt wird, genutzt für Data kann. Teile des Netzes werden drahtlos aufgebaut werden, z.B. mit WLAN oder Mining. Hadoop wurde 2012 durch Impala Zigbee. Siehe auch M2M, HNAP ergänzt, das SQL-Abfragen gegen die unstrukturierten Daten erlaubt. Benutzt das Hancock: von AT&T 2002 patentierte spezielle Dateisystem HDFS und oft auch Programmiersprache für Data Mining und PIG. zum Ausforschen von Communities of Interest. Siehe LI, IIS Hadopi: durch ein umstrittenes französisches Gesetz 2009 eingesetzte Behörde, die nach Handy: im Deutschen umgangssprachig für einem " Three-strike-Verfahren" gegen Ur- Mobiltelefon (engl: mobile). Durch die fort- heberrechtsverletzungen im Internet vorge- schreitende Integration mit der Funktionalität hen soll. Der Verdächtigte wird zunächst zwei- von PDAs und der Möglichkeit der Nutzung mal verwarnt, beim 3. Mal wird ein vereinfach- von WAP-, GPRS- und UMTS-Diensten tes Gerichtsverfahren eingeleitet, bei dem werden Sicherheitsfragen immer relevanter. Geldstrafen und die zeitweilige Sperrung des Systembedingt muss der Aufenthaltsort jedes Internetzugangs ausgesprochen werden eingeschalteten Geräts dem Netzprovider können. Ein ähnliches Verfahren wurde 2011 in bekannt sein ( Geolocation). Als Teil der
Version 11.1 Seite 86 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Verkehrsdaten sind diese Informationen für juristische Bekämpfung ist oft schwierig, u.a. Überwachungsmaßnahmen sehr begehrt. weil die Identität des Posters in vielen Fällen Geräte mit A-GPS unterstützen solche nicht sicher festgestellt werden kann. Aber Funktionalitäten noch besser. Siehe MDA, auch weil z.B. in Ö der Tatbestand der Semacode, IMEI, IMSI, MSISDN Beleidigung eine Äußerung in einer größeren Handy-Strahlung : Mögliche Gesundheits- „Öffentlichkeit“ voraussetzt. Solche Äußerun- schäden durch die elektromagnetische Strah- gen können bis zu Morddrohungen reichen lung die in unserer Umwelt mehr und mehr und haben in anderen Ländern mittels präsent ist (nicht nur durch die Handys und Facebook-Postings auch bereits Progrome ihre Funkmasten, sondern z.B. auch die ausgelöst (siehe z.B. die Rohingya in WLAN-Router in jedem Haushalt). Im Myanmar). Von Politikern wird als Gegen- Zusammenhang mit der Einführung von 5G- maßnahme oft ein Klarnamenszwang gefor- Technologie spricht die WHO von „potentiell dert, der aber ebenfalls problematisch ist. gesundheitsgefährdend“. Es gibt derzeit keine Siehe Netzwerkdurchsetzungsgesetz, Hinweise dass für elektro-magnetische Klarnamenszwang Strahlung im Gegensatz zu ionisierender Hauptspeicher: Speicher, Arbeitsspeicher Strahlen (Alpha-, Beta-, Gamma-Strahlung) Haushaltsgeräte: im Rahmen von M2M kein Wirkmechanismus in Richtung DNA- werden mehr und mehr vernetzte Haushalts- Veränderungen kennt. Grundsätzlich hat geräte angeboten, die mittels HAN mitein- elektro-magnetische Strahlung bei ander verbunden sind, aber auch mit den ausreichender Leistung eine Wärmewirkung (siehe Mikrowelle). Fakt ist, dass elektro- Smartphones auch über beliebige Entfer- magnetische Strahlung mit dem Quadrat der nung gesteuert oder automatisiert werden Entfernung abnimmt. D.h. ein Handy am Ohr können, z.B. Einschalten der Kaffeemaschine hat bei gleicher Leistung eine vielfach höhere durch den Wecker oder aus der Ferne. Da in Wirkung als Handymasten in einiger solchen einfachen Geräten Authentisierun- Entfernung. Schwierig bei der Bewertung ist, gen fast nie sauber implementiert werden sind dass digitale Handynetze erst seit ca. 1991 im viele neue Angriffsmöglichkeiten zu erwar- Einsatz sind ( 2G) und dass bei neueren ten. Siehe auch Haustechnik Technologien andere Effekte auftreten Haustechnik: Zusätzlich zu den Haushalts- könnten, d.h. es liegen keine geräten werden auch Steuerungen wie Ther- Langzeiterfahrungen vor. mostate, Rauchmelder, Lampen über HAN Hardware: physische Implementierung eines miteinander und mit dem Internet vernetzt. IT-Geräts, die heute jedoch sehr oft in Form Google hat 2014 die Firma Nest übernom- von virtuellen Geräten implementiert werden, men, die auf Thermostate spezialisiert ist. natürlich letztendlich auch wieder auf einer Google erwartet sich aus den Daten der Hardware Haustechnik noch viel mehr Informationen Härten: bei einem Betriebssystem das Ent- über die Menschen, die dann für gezielte Wer- fernen aller nicht benötigten Dienste und bung eingesetzt werden kann. Zugpferd für Software diese intelligenten Automatisierungen ist die Hash-Funktion: generiert aus einer beliebigen Bequemlichkeit der Steuerung über Smart- Datenmenge einen kurzen Extrakt (ähnlich wie phone Apps. Siehe auch M2M „checksum“, Hash-Wert ) und zwar derart, HBA: (Host Bus Adapter) Adapter-Karte in dass aus dem Extrakt die ursprüngliche Datei einem Server. Beispiele sind Fibre Channel nicht rekonstruierbar und es zudem extrem Adapter, SCSI- oder iSCSI-Karten. Siehe aufwendig ist, eine Datei anderen Inhalts zu Bus erzeugen, die denselben Hash-Wert liefert (Kollision). Bei der digitalen Signatur wird HBCI: (Homebanking Computer Interface) in D. standardisiertes Interface, das ein der Hash-Wert einer Nachricht, z.B. einer E- Mail, mit dem privaten Schlüssel des sichereres Homebanking mittels eines spe- ziellen Clients erlaubt, bei dem z.B. die gegen- Absenders verschlüsselt, um die E-Mail mit einer digitalen Signatur zu versehen. seitige Authentisierung durch Smartcard Fortschritte der Kryptographie haben 2005 die abgesichert werden kann. Weiterentwickelt zu FinTS. Könnte jetzt im Prinzip durch die Sicherheit der häufig eingesetzten Hash- Algorithmen MD5 und SHA-1 langfristig in Schnittstellen nach PSD2 abgelöst werden, Frage gestellt. Neuere Algorithmen werden die (im Gegensatz zu FinTS oder HBCI) von gesucht: MD 160 ( RIPE). Siehe MAC, allen Banken in Europa unterstützt werden HMAC, Salz, Fuzzy Hashing müssen Hassposting: Äußerungen im Internet, HBGary Federal: US Sicherheitsfirma die u.a. typischerweise in Social Media, die zu zum für Regierungsbehörden arbeitete und auch Hass gegen andere Personen aufrufen, oft auf vor unethischen bis illegalen Aktivitäten nicht Grund von Rasse, Sexualität, Herkunft, oder zurückschreckte. Nach der Ankündigung des wegen anderen politischen Positionen. Die CEO Aaron Barr in 2010 dass er Mitglieder von
Version 11.1 Seite 87 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Anonymous enttarnen werde hat Anony- logische Sitzungen auch bei Inaktivität aufrecht mous die Server von HBGary mittels einer zu erhalten) ausgenutzt werden konnte um Kombination von SQL-Injektion und Social 64KB Speicher von Webservern auszulesen, Engineering übernommen und alle Daten in denen sich Dateninhalte der letzten und E-Mails des Unternehmens Übertragungen und unter Umständen auch die veröffentlicht. privaten SSL-Schlüssel befinden können. http://sicherheitskultur.at/notizen_1_11.htm#hbgary Damit waren auf 1 Schlag 2/3 aller Webserver HCE: Host Card Emulation verwundbar. Es musste nicht nur die Software aktualisiert werden (was unterschiedlich HDCP: (High-bandwidth Digital Content schnell umgesetzt wurde), sondern es mussten Protection) DRM-Verfahren für digitale auch neu SSL- Zertifikate bestellt und Videoausgänge von PCs, DVD-Spieler u.a. installiert werden, eine erhebliche Anforderung z.B. DVI- oder HDMI-Ausgänge. Implemen- an die CAs. Heartbleed wird als GAU des tiert z.B. in neuen MacBooks und in Vista. Internets betrachtet. Es betrifft auch viele Content der von HDCP geschützt ist wird nur andere Komponenten, wie z.b. TOR, VPN- nach Schlüsselaustausch und Verschlüs- Produkte und vieles andere mehr. In selung zu einem entsprechenden Wiedergabe- Embedded Systems lässt sich so ein Fehler rät übertragen. Okt.2010: es wird berichtet, kaum beheben, viele Geräte werden für immer dass der Masterkey im Internet veröffentlicht verwundbar bleiben. Der Fehler war seit 2 wurde, 2013 wird berichtet, dass jemand einen Jahren in der Software, es ist nicht ganz klar, Kabel-Adapter entwickelt hat, der gültige ob er nicht in dieser Zeit auch heimlich Schlüssel offen legt ausgenutzt wurde HDFS: (Hadoop Distributed File System) Heuristics: Verfahren der Malware-Schutz, spezielles Dateisystem für sehr große bei dem nicht wie sonst üblich nach Infor- unstrukturierte Daten die mittels Hadoop mationspattern (Mustern) gesucht wird, analysiert werden sollen. Die Daten werden sondern durch Simulation der Programm- über viele Knoten verteilt ausführung analysiert wird, ob das betreffende HDMI: (High-Definition Multimedia Interface) Programm sich wie Malware verhält Standard (Hardware und Software) für die HFNetChk: Command Line Tool zum Scannen Verbindung digitaler Abspiel und Wiedergabe- von Client PCs in Windows-Netzen, agent- geräte für Filme in hoher Auflösung. Der less, d.h. braucht keine Software auf dem Standard enthält High-bandwidth Digital Con- Client tent Protection ( HDCP), ein Verfahren mit dem eine hochauflösende DVD (Blueray HFS: (Hierarchical File System) für MacOS oder HD DVD) das HDMI-Gerät mittels "image oder (Hi Performance FileSystem) für HP-UX. constraint token" (ICT) zum Downgrade der Siehe File System Auflösung veranlassen kann, wenn Geräte HFT: High Frequency Trading angeschlossen werden, die als „untrusted“ Hidden File: Datei, die über ein Attribut betrachtet werden. Dies soll die Nutzung von „unsichtbar“ gemacht wird, d.h. für den Raubkopien einschränken ( DRM), da die- „normalen“ Anwender nicht sichtbar ist. Auf se Geräte mit einem Kopierschutz ausge- diese Weise soll eine versehentliche Beschä- stattet sein sollen. Da aber derzeit kaum digung vermieden werden. Wird jedoch auch HDMI-lizensierte Geräte zur Verfügung stehen von Malware benutzt um der Entdeckung zu hat sich die Industrie darauf geeinigt, dass die entgehen. Siehe Obfuscation Content-Anbieter diese Feature frühestens Hidden Volume: unsichtbares Dateisystem. 2010 aktivieren, siehe AACS Siehe TrueCrypt, Deniability Headset: Kombination aus Kopfhörer und Higgins Trust Framework: Open Source Mikrophone, in 2020 stark nachgefragt wegen Initiative zu federated identity. Siehe dem Boom an Webkonferenzen da die SAML Qualität eines Headsets deutlich über der von eingebauten Mikrophonen in Laptops liegt. High Availability (HA): Hochverfügbarkeit Die Geräte werden mit USB-Kabel oder mit High Freqency Trading: (HFT) automatisier- Bluetooth-Anbindung angeboten. Eine ter Handel an Börsen. Dafür sind extrem weitere optionale Feature ist ANC. Für direkte Anbindungen an die Rechner einer Apple-Geräte können auch AirPods Börse notwendig, am besten im gleichen genutzt werden Gebäude oder mit einer direkten Lichtleiter- Heap Overflow: Variation des Buffer Over- Verbindung. Entscheidend ist nicht die flows. Überlauf eines Speicherbereiches im Bandbreite, sondern die Latency, d.h. die Arbeitsspeicher eines Computers, in Mal- Verzögerung bis das erste Byte ankommt. ware genutzt für Angriffe. Heap bezeichnet Dabei werden Kauf- oder Verkaufsangebote einen dynamischen Speicherbereich in nur für wenige Millisekunden angeboten und Programmen sofort wieder zurückgenommen. Ziel ist es, minimale Kursunterschiede die nur für kurze Heartbleed: Bug in OpenSSL bei eine wenig genutzt Heartbeat-Funktionalität (im Zeit bestehen, auszunutzen. Dabei kommt es
Version 11.1 Seite 88 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ zu sog.flash crashes, bei denen für Zeit- und Output-Elemente und kann bei schlechtem spannen im Sekundenbereich riesige Kursein- Design ( Usability) Ursprung von Fehlbe- brüche oder –sprünge passieren können, da dienungen und Fehleinschätzungen sein andere Rechner ebenso schnell auf Kursver- HNAP: Home Network Administration änderungen reagieren und sich so leicht Protocol hochschaukeln. Die Kurse stabilisieren sich Hoax: (engl. Streich, blinder Alarm) Falsch- entweder automatisch nach einiger Zeit oder meldung, häufig in Form einer Warnung vor die Börsenaufsicht unterbricht den Handel. einem angeblichen, aber nicht wirklich existie- Diese Handelsaktivitäten sind umstritten. renden Virus, häufig in Form einer Ketten- Bereits 2010 machte High-Frequency Trading Mail verbreitet, in der vor bestimmten Program- bereits 70% der Umsätze von US-Börsen aus. 2012 verlor ein High-Frequency Trader (Knight men, Dateien, ja selbst vor E-Mails gewarnt wird Capital) innerhalb von 40 Minuten 400 Mio. $, da es einen Fehler im Algorithmus gab und der Hochverfügbarkeit: (High Availability) Einsatz Rechner aus unbekannten Gründen nicht von redundanten Systemen, die eine weitere gestoppt werden konnte. 2014 bekommt das Verfügbarkeit einer Anwendung, auch nach Thema durch das Buch „Flash Boys“ erhöhte Ausfall eines Systembestandteils, ermöglicht. Aufmerksamkeit. Es geht dabei auch um Beispiele sind Clustersysteme, Load Aktivitäten von solchen Händlern, die „orders“ Sharing, RAID-Platten, Enterprise Storage von menschlichen Händlern zu „überholen“ Systeme und Stand-By Rechner) und vorher den Titel zu kaufen und dann zu HOIC: (High Orbit Ion Cannon) gefährlichere einem veränderten Preis wieder anzubieten. Variation des LOIC, verwendet für dDoSD- Dabei lassen sich z.B. Gewinnspannen von Angriffe. Ein open source Werkzeug, der 0,5% erzielen, was jedoch bei Milliardenum- Angreifer muss nur die URL des Ziels sätzen pro Tag sehr viele Millionen ergibt eingeben HIPERLAN: Standard einer alternativen Tech- Home Automation: (Heimautomation, auch nologie zum WLAN-Standard, um Funknetze Smart Home) Umstellung von Haushaltsgerä- zwischen Rechnern aufzubauen. Die Stan- ten wie Licht, Heizung, Warnanlagen, Küchen- dards haben sich auf dem Markt nicht geräten, Fernseher auf Vernetzung und durchsetzen können, obwohl sie technisch Automatisierung. Verwendet werden dabei u.a. interessante Konzepte enthalten HAN mit Protokollen wie Z-Wave oder HIPPA: (Health Insurance Portability and ZigBee. Dies ist Teil des Internet of Things Accountability Act) US-Gesetz, das u.a. und hat alle die Probleme, die dort entstehen. Datenschutzregeln für den Umgang mit Es konnte 2014 gezeigt werden, dass ein gesundheitsbezogenen Daten vorschreibt. Das solche Geräte extrem unsicher sind und sehr Gesetz betrifft auch alle Firmen, die für ihre leicht angreifbar. Dies liegt u.a. daran, dass die Mitarbeiter Krankenversicherungen anbieten. Geräte sehr einfach bedienbar sein sollen, d.h. Siehe eHealth, PHI, ePH, ELGA, sich selbständig neue Firmware-Updates eGK aus dem Internet nachladen, was leicht von HIPS: (Host Intrusion Prevention) neue Tech- Angreifern ausgenutzt werden kann. Aber nik bei Windows Vista, die den Kern des auch ohne direkte Angriffe entsteht auf der Betriebssystems ( kernel) vor Angriffen Grund der fast immer üblichen Cloud- schützen soll. Siehe IPS, NIPS Implementierung (die „Intelligenz“ ensteht History: Datei eines Webbrowsers eine weitgehend erst dadurch, dass die Messungen und Events des einzelnen Hauses zusam- Liste der besuchten Websites gespeichert mengeführt und zentral mittels Big Data wird. Wenn Vertraulichkeit gewünscht wird, Techniken ausgewertet werden) immer eine muss sichergestellt werden, dass diese Datei regelmäßig gelöscht wird. Siehe Private Verletzungen der Vertraulichkeit. „My Home is my Castle“ kann für das Smart Home nicht Browsing, Forensics gesagt werden. Wenn nur der Ex-Partner HL7: (Health Level Seven) EDI-Standard für Zugang zu diesen Geräten und dem das Gesundheitswesen WLAN-Zugang hat weil z.B. nur er oder sie HLM: (home location register) die Passworte kennen, so stellt dies eine HMAC: (keyed-hash message authentication Form der digitalen Gewalt dar, entweder code) Message Authentication Code der über Zugriffe auf Kameras oder durch durch die Nutzung von kryptographischen unautorisierte Manipulation von Licht oder Verfahren plus einem Schlüssel erzeugt Türschlössern wird. Beispiele: HMAC-SHA-1, HMAC- Homebanking: e-Banking MD5 Home location register: (HLR) Datenbank HMI: (human machine interface) Schnittstelle die jeder Handy-Netzbetreiber haben für die Interaktion von Menschen mit muss, in der für jede SIM-Karte 1 Eintrag Maschinen, z.B. Computern und komplexen liegt. Dort wird eingetragen, in welcher Base Systemen, z.B. SCADA. Beinhaltet Input- station sich ein Handy gerade eingebucht hat,
Version 11.1 Seite 89 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ d.h. auch in welchem Land. Auf diese Weise Fall sind auch alle anderen Operationen wird Roaming ermöglicht, der Provider im möglich. Ein Anwendungsbeispiel wären z.B. Heimatland weiß, in welches andere Netz er Smart Meter, die den Verbrauch aufaddieren eingehende Anrufe für dieses Gerät ohne ihn zu kennen. Siehe auch searchable weiterleiten muss. Dort ist dann bekannt, in Encryption, multi-party computation welcher Base Station das Handy gerade http://www.americanscientist.org/issues/pub/alice- angemeldet ist and-bob-in-cipherspace/1 Home Network Administration Protocol: Homepage: private Webseiten, die ab ca. (HNAP) von Cisco gekauftes high-level 1995 populär wurden und ab ca. 2004 Protokoll für die Identifikation, Konfigu- weitgehend durch Profile auf Social ration und Administration in einem Netzwerk. Networks abgelöst wurden. Siehe auch Beruht auf SOAP und sendet Daten Content zumeist in Klartext. Wird hauptsächlich für Honeypot: Testrechner im Internet mit „home“ Router genutzt, d.h. ISPs nutzen Standardprogrammen, dessen Sinn darin HNAP für die Administration der Geräte ihrer besteht, Hackerattacken zu provozieren, zu Kunden. Schwächen in der Implementierung erfassen und zu dokumentieren, um daraus haben 2010 und 2014 zahlreiche Angriffe Erfahrungen für Echtsysteme zu sammeln. gegen „home“ Router vieler Hersteller Auch in der Form von Honey-Clients, d.h. ermöglicht spezielle Webbrowser die auf Websites Home Office: Arbeiten „von zu Hause“, kam nach Schadsoftware suchen (Capture, 2020 zu einem Durchbruch als dies weit- Monkey Spider). Wird auch im ICS-Umfeld gehend „angeordnet“ wurde. Dies führte zu eingesetzt einem Boom an VPN-Implementierungen Hop: in IP-Netzen typischerweise ein (damit sich PCs und Laptops) in die Router, der Daten zum Ziel weiterleitet. Firmennetze verbinden können und dort die Der Abstand in IP-Netzen wird oft in Hops üblichen Anwendungen genutzt werden angegeben, da jeder Hop eine geringe Ver- können. Die andere Alternative sind zögerung ( „latency“) in eine Datenver- Desktop-Sharing Lösungen wie ICA, MS bindung einbringt (nicht zu verwechseln mit Terminal Server oder VNC. Bei beiden „Bandbreite“). Bei Angriffen im Internet Technologien können bei der Implementierung wird der Ursprung des Angriffs oft verschleiert, zahlreiche Fehler gemadcht werden. Wichtig indem Rechner unter der Kontrolle der ist z.B. auf jeden Fall 2 Faktor Angreifer als zusätzliche „hop points“ genutzt Authentisierung. Ein weiteres Ergebnis war der werden, so dass deren IP-Adresse dann als Durchbruch bei Webkonferenzsystemen, die Absender in den Logs des Opfers auftaucht die Bedeutung von Videokonferenzen auf um auf diese Weise die attribution des Hardwarebasis stark bedrängt haben. Angriffs, d.h. die Identifizierung des Es wird spekuliert, dass dabei auch Angreifers, zu erschweren Metcalfe’s Law relevant sein könnte. Vor Host: alter Name für Mainframe 2020 fanden Meetings nur ausnahmsweise über Webkonferenzsysteme statt, jedes Host Card Emulation: Software Architektur die es ermöglicht dass virtuelle Repräsentationen Arbeiten von zu Hause zwang alle anderen ebenfalls zur Nutzung des Systems und die von Identitätskarten, wie z.B. Kreditkarten für die Nutzung in tragbaren Geräten wie remote Nutzer waren nicht voll integriert. In 2020 wurde „remote“ zum Standard und dies Smartphones ohne sicheren Hardwares- peicher ( TPM) z.B. für Zahlungsdienste über machte es einfacher für den Einzelnen der zu Hause bleiben wollte. NFC genutzt werden können. Eingesetzt bei Google Pay. Bei Apple Pay nicht not- Falls es nach der Pandemie bei einem Anstieg wendig, da alle iOS Geräte auf einer des Home Office-Anteils gegenüber 2019 blei- einheitlichen Hardware beruhen die ben würde so hätte das wohl zahlreiche Aus- entsprechende Hardware-Elemente enthält wirkungen, z.B. bevorzugte Wohnorte, dadurch Miethöhen in den Städten vs. weiter entfernt. Hoster: Webhoster Ein Ausdünnen der Städte könnte zu einer Hosting: Form des Outsourcings bei der Reduktion des öffentlichen Verkehrsangebots eine Anwendung auf fremder Hardware führen, etc. genutzt wird (oft verwendet für Websites, Homomorphic Encryption: Verschlüsse- auch in der Form Virtual Host) oder als eine Form des Cloud Computings, wie bei EC2. lungsverfahren bei dem es möglich ist, mit den verschlüsselten Daten arithmetische Opera- Siehe 19-Zoll Rack tionen auszuführen. Dies ist notwendig wenn Hosts file: Datei in vielen Betriebssystemen, z.B. Daten in der Cloud gespeichert und ver- in dem eine Zuordnung zwischen Servern oder arbeitet werden, der Betreiber jedoch keinen Domainen und IP-Adressen vorgenom- Zugriff zu den Daten haben soll. Fully men wird. Wenn eine Domaine hier eingetra- homomorphic bedeutet dass sowohl Addition gen ist, so wird die IP-Adresse nicht über wie auch Multiplikation möglich sind, in diesem DNS ermittelt. Eine Modifikation des hosts-
Version 11.1 Seite 90 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ files erlaubt Phishing Angriffe Verfahren sind Certifikate Transparency und HOTP: (HMAC-based One-time Password Certificate Authority Authorisation Algorithm) Authentisierungsverfahren bei HR: (Human Resource, engl. für Personalab- dem ein Algorithmus auf der Basis von teilung) muss in die Informationssicherheit kryptografischen Elementen ein einmal zu einbezogen werden, siehe entspr. Kapitel in nutzendes Passwort generiert wird ( OTP). ISO 17799 Bei jeder Nutzung wird ein Zähler um 1 erhöht HSCSD: (High Speed Circuit Switched Data) und dadurch ein anderes Passwort gene- schnelleres Datenübertragungsverfahren auf riert. Es kann passieren, dass der Client-Zähler der Basis von GSM (ähnlich zu GPRS). höher ist als der des Servers (z.B. weil bei HSCSD wird zugunsten der paketorientierten einem anderen Server genutzt), daher muss Übertragung GPRS/ EDGE und UMTS/ eine Resynchronisierung implementiert HSDPA an Bedeutung verlieren werden. Siehe auch keyless system, TOTP HSDPA: (High Speed Downlink Packet Access) Verfahren zur Beschleunigung des Hot Site: Rechnerraum für Hot-Standby Datentransfers bei UMTS (von 380 kbit/s bei Hotspot: Einwählpunkt/Einwählbereich in ein UMTS auf die zehnfache Leistung) WLAN ( Access Point), bei dem ein Nutzer HSM: einen drahtlosen Zugang zum Internet erhalten 1) (High Security Modul) spezieller Hoch- kann. Mit Hotspots in Hotels, Restaurants, auf sicherheitsspeicher, i.d.R. zur Aufbewahrung öffentlichen Plätzen usw. kann man sich z.B. von privaten Schlüsseln von Banken oder mit einem Notebook oder Smartphone mit Zertifizierungsstellen. Zerstörung des Spei- Funkkarte ins Internet einwählen. Wegen cherinhaltes bei unberechtigtem Öffnen des möglicher Gefährdungen sollte dies nur mit gut Gerätes. Speicherinhalt sollte das Gerät nie geschützten Rechnern geschehen (z.B. Viren- verlassen, für Disaster Recovery ist jedoch schutz, Firewall, aktualisierte System- eine separate Aufbewahrung des Inhaltes versionen, Sicherheitspatches, etc.). Siehe notwendig. Entspricht von der Funktionalität Internetcafé her einer SmartCard und wird nach FIPS- Hot-Standy: Verfahren der Hochverfügbar- 140 bewertet keit, bei dem nur einer von 2 Rechnern aktiv in 2) (Hierarchical Storage Management) Aus- Produktion ist, der andere jedoch jederzeit lagerung von selten genutzten Daten auf innerhalb einer sehr kurzen Umschaltzeit die billigere Speichermedien Last übernehmen kann. Im Gegensatz dazu Cold Standby, Fail-over HSPD: (Homeland Security Presidential Direc- tive) US-Regierungsanweisungen im Rahmen Housing: Form des Outsourcing bei der von DHS. HSPD)-5 richtet ein National eigene oder fremde Hardware in einem Incident Management System (NIMS), das fremden Rechenzentrum betrieben wird von allen Bundesbehörden genutzt werden (Strom, Klima, räumliche Sicherheit werden muss. HSPD-12 bestimmt, dass bei Bundes- vom Housing-Anbieter bezogen). Erlaubt nur behörden ab Aug.2006 Smartcards mit sehr eingeschränkten Zugang zu den biometrischer Absicherung (nach dem Rechnern und erfordert Fernwartungs- Standard FIPS-201, Federal Identity Pro- software. Wurde weiterentwickelt zu cloud- cessing Standard) für die Authentisierung basierten Angeboten wie Amazon EC2, bei von Mitarbeitern für den Zugang zu der die Hardware nur „virtuell“ zur Verfügung Gebäuden und den Zugriff zu Daten steht und dadurch auch nur bei Bedarf genutzt werden müssen. Smartcards werden angemietet wird vor allem im Finanzbereich nach FIPS-140 HPKP: (HTTP Public Key Pinning) Verfahren bewertet zur Vermeidung von Man-in-the-Middle HSTS: (HTTP Strict Transport Security) neuer Angriffen bei HTTPS-Verbindungen zu Mechanismus mit dem eine Website signa- Webservern. Dabei übermittelt der Server an lisieren kann, dass sie nur über HTTPS den Webbrowser einmalig die Merkmale des kommuniziert. Ziel ist das Verhindern von Server-Zertifikats, das zukünftig genutzt MITM-Angriffen. Leider kann ein Angreifer werden soll. Der Browser speichert dieses und diese Nachricht unterdrücken. Daher müssen erlaubt zukünftig nur noch Verbindungen zu die Webbrowser bereits eine entsprechende dieser Website die mit diesem Zertifikat Liste beinhalten von Websites die nur über verbunden sind. Probleme entstehen wenn HTTPS kommunizieren möchten nach dieser ersten Übertragung der HTML: (Hypertext Markup Language) von Administrator der Website dieses Zertifikat SGML abgeleitete Sprache, die verwendet „verliert“ oder gestohlen bekommt. Dann ist wird, um den Inhalt von Webseiten zu keine Verbindung mehr möglich, der Fachbegriff ist „HPKP Suicide“. Dies könnte kodieren. Eine der wichtigsten Features ist der Hyperlink, mit dessen Hilfe von einer auch für Erpressung genutzt werden, wenn ein gegebenen Seite auf einer andere verknüpft Angreifer das Zertifikat unter seine Kontrolle werden kann. Siehe DHTML, WebDAV. bringen kann („RansomPKP“). alternative
Version 11.1 Seite 91 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Tutorial auf http://de.selfhtml.org/ unverschlüsselten http auf das verschlüsselte HTML5: Nachfolgeversion von HMTL4. Sie https umgestellt. Geholfen hat dabei, dass unterstützt neue Formen des lokalen Google damit gedroht hatte, diese Websites Speichers ( HMTL5 Storage statt Cookies), nicht mehr zu listen und/oder als unsicher zu dynamische 2D und 3D Graphiken und macht markieren. Siehe QUIC damit z.B. Flash unnötig. HTML5 bietet auf HTTPflood: Angriff auf Rechner ( DoS) bei Grund der erweiterten Funktionalitäten auch der durch das Anfordern einer sehr großen neue Möglichkeiten für Schwachstellen, Zahl von Elementen einer Website diese entweder in den Browser-Implementie- lahmgelegt wird. Siehe Denial of Service rungen, durch neue Funktionalitäten wie z.B. http referer: Tippfehler in der HTTP- neue Möglichkeiten, externe Quellen Dokumentation. Siehe Referrer einzubinden ( poster , srcdoc) oder Web sockets oder Web Messaging. Probleme kön- https: Variante des http-Protokolls, welches das Verschlüsselungsprotokoll SSL, bzw. nen aber auch entstehen wenn Entwickler von Websites im lokalen HTML5-Speicher TLS nutzt. Es wird für E-Banking und bei sensible Daten ablegen, die dann entweder E-Commerce eingesetzt, wenn vertrauliche durch Schadsoftware auf dem PC ausge- Daten übertragen werden sollen. Erkennbar ist der Einsatz durch die Buchstaben „https://..“ in lesen werden oder auf Grund von Imple- mentierungsfehlern auch anderen Websites der URL-Zeile des Webbrowsers und am zur Verfügung stehen. HTML5 bietet auch Vorhängeschloss-Symbol am Rande der Browseroberfläche. Benutzt Zertifikate um neue Möglichkeiten für XSS. Siehe auch Cross-Origin Resource Sharing die Identität des Webservers sicher zu dokumentieren. 2011 kam es zu zahlreichen HTML5 Storage: DOM Storage, wird für Sicherheitsverletzungen bei Certificate Tracking von Benutzern verwendet Authorities, daher wird 2012 ein neues HTML-Injection: Einfügen von HTML-code Verfahren, Sovereign Keys vorgeschlagen. in fremde Websites zum Zwecke eines Siehe auch HSTS. Angriffs, z.B. Phishing. Kann über MITM, http://sicherheitskultur.at/notizen_1_13.htm#https XSS oder auf dem PC des Nutzers Huawei: großes chinesisches Unternehmen im geschehen ( Schadsoftware) Bereich Router, Smartphones und Tech- HTTP: (Hypertext Transfer Protocol) auf dem nologien für Unterseekabel. Die USA werfen IP-Protokoll basierendes Verfahren mit des- der Firma Verbindungen zur PLA vor und sen Hilfe ein Web-Browser mit einem befürchtet, dass die Geräte Backdoors Webserver kommunizieren kann - nicht zu enthalten. 2014 wird bekannt, dass die NSA verwechseln mit HTML. Das http-Protokoll tief in die Netze von Huawei eingedrungen ist wird für beide Richtungen eingesetzt, vom und wohl auch Zugriff auf Quellcode und Webbrowser zur Website und dann die Technologien hat Antwort von der Website zum Webbrowser. Hub: Verkabelungstechnologie, bei der 2012 wird bekannt, dass einige Mobilfunkan- einzelne Geräte eines Datennetzes ( LAN) bieter die Identität der Nutzer (mittels IMSI oder ganze Datennetze an einem Port des oder MSISDN) in den http-Headern mitsen- Hubs angeschlossen sind. Im Gegensatz zum den. Zur Verschlüsselung von http- Switch erscheint der gesamte Datenverkehr Verbindungen wird https eingesetzt. aller angeschlossenen Netze auf jedem der 2015 kommt http 2.0 in Fahrt. Dabei geht es Ports darum, dass moderne Website auch bei Hubzilla: sehr vielseitiger Dienst mit Social schnellen Anbindungen ans Internet langsam network, Blogging und Micro blogging, laden, die schon eine simple Website heute Wiki, Image gallery, File hosting der die nach dem eigentlichen HTML-Object viele Protokolle ActivityPub, Diaspora und weitere, wie z.B. Style sheets ( CSS) oder OStatus unterstützt und dadurch Daten mit JavaScript Module nachlädt. In http 1 vielen anderen Diensten austauschen kann. erfordert dies jeweils neue logische Verbin- Siehe Fediverse dungen zum Webserver, deren Aufbau jeweils Human-in-the-Loop: (man-in-the-loop) eine beträchtliche Latency, d.h. Verzögerung beschreibt Situationen, bei denen eine bedeutet (und außerdem viele Netzwerkgerät Sicherheitsentscheidung erst dann gefällt wird die die Verbindung bearbeiten müssen, wie nachdem Menschen über Alerts, Status- Firewalls, Load Balancer, und den Anzeigen o.ä. auf eine Situation aufmerksam Webserver selbst, belasten. Daher werden in http 2 alle Datenobjecte die im Rahmen des gemacht wurden. Dies betrifft u.a. alle Warnungen, die von Webbrowsern Ladens 1 Page kommen von dem Webserver angezeigt werden. In der Praxis führt dies oft auf derselben logischen Verbindung über- zu schlechten Sicherheitsentscheidungen, z.B. tragen. Für die Sicherheit sollte sich nichts weil der Mensch die Kommunikation übersieht, ändern. Nach den Veröffentlichungen der missversteht oder aus anderen Gründen die NSA-Leaks durch Edward Snowden wurden nahezu alle Verbindungen vom falsche Entscheidung trifft. Daher sollte bei Sicherheitsdesign immer versucht werden, im
Version 11.1 Seite 92 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Programm selbst die bestmögliche Entschei- und für D. und Ö die an sich durch die BIC dung zu treffen. Siehe Fehler redundante Bankleitzahl und leider nicht ganz Auch Schlagwort bei autonomen Waffen, kompatiblen Ländercode (ISO 3166-1 alpha-2). das besagt, dass die entgültige Entscheidung Durch die Prüfsumme können Fehleingaben zum Töten immer einem Menschen überlassen oder Tippfehler schon bei der Eingabe erkannt sein muss. Dies ist die NATO-Doktrin in 2019. werden (wie auch bei Kreditkarten) – alle Es wird vermutet, dass diese Doktrin in dem kritischen nummerischen Identifikationen Augenblick fällt, wenn das erste autonome sollten solche Prüfungen enthalten. Verwaltet Waffensystem eines Gegners zu einer ernsthaften Bedrohung für die NATO führt. durch SWIFT Hintergrund ist, dass bei einem Man-in-the- IBE: (identity based encryption) ID-based Loop immer nennenswerte Reaktions- Cryptography verzögerungen entstehen (im Sekunden- iBeacon: von Apple entwickelte Technik für bereich). Dies könnte z.B. bei einem Luftkampf das Tracking von Geräten in Räumen. Dafür mit einem autonom gesteurten feindlichen Flugzeug ein Nachteil sein. Die Doktrin wird werden kleine Geräte platziert, die mittels BLE aufgeweicht indem sie nicht gilt, wenn das ( Bluetooth Low Energy) Signale aussenden, feindliche System zuerst angegriffen hat, die von entsprechenden Apps erkannt worunter auch Zielsuch-Radar verstanden wird werden. Auf diese Weise können z.B. HVAC: (heating, ventilation, and air condition- Geschäfte Nachrichten an Personen senden, ning) Lieferanten für moderne Systeme der die gerade das Geschäft betreten haben. Haustechnik brauchen üblicherweise heute Ebenso lassen sich aber auch Personen auf online Zugriff auf “ihre” Geräte. Dafür wird diese Weise innerhalb von entsprechend ihnen oft Zugang zum internen Netz ge- ausgerüsteten Gebäuden lokalisieren, z.B. geben. Dies ist ein Fehler, wie die Firma Target Mitarbeiter über ihre Firmen-Smartphones in den USA in 2014 bitter lernen musste: IBM: (International Business Machines Corpo- Angreifer drangen in das Netz der Wartungsfirma ein und gelangten von dort in ration) eine der wenigen noch existierenden das Target-Netz und konnten ca. 700 000 Firmen aus der Frühzeit der IT, gegründet 1911 Kreditkarten „entführen“ als Computing-Tabulating-Recording Company Hyperlink: eine der wichtigsten Features von (CTR) und 1924 umbenannt in "International HTML, erlaubt das direkte Verknüpfen von Business Machines". In den Anfängen ent- Textstellen in unterschiedlichen Dokumenten wickelte und verkaufte die Firma Lochkarten- auf unterschiedlichen Servern mit Hilfe einer maschinen, basierend auf den Patenten des URL. Da Anwender oft nicht überschauen Mitgründers Hollerith. Diese Lochkarten- können, wohin ein Link wirklich führt, können systeme wurden (über die IBM-Tochter diese über einen Link auf eine Website mit Dehomag) im 3. Reich zur Vearbeitung der Malicious Code geschickt werden, die durch Volkszählungsdaten (mit dem Datenfeld Vortäuschen des erwarteten Inhalts, z.B. der Rasse) und zur Verwaltung der KZs eingesetzt. Bank des Anwenders ( Spoofing) zu einem Phishing-Angriff ausgenutzt werden kann Im 2. Weltkrieg wurden elektro-mechanische Rechner gebaut und ab 1952 Rechner mit Hypervisor: uneinheitlich genutzter Begriff aus Vakuumröhren. IBM entwickelte sich in den dem Bereich Betriebssystem-Virtua- 60iger Jahren zum dominierenden Anbieter lisierung. Wichtig ist die Absicherung dieser von Rechnern für kommerzielle Zwecke Accounts, da ein ‚böser“ Administrator mit (Mainframes). Der Sager unter den Ein- diesen Zugriffsrechten sehr viele Maschinen käufern für Groß-EDV war: "No one ever got übernehmen und für seine Zwecke nutzen fired for buying IBM." kann Die Entwicklung des sog. IBM-PCs ermöglichte I2P: (Invisible Internet Project) Projekt zur dem Unternehmen den Eintritt (und wohl auch Entwicklung eines anonymen Kommunika- das Überleben) in den Zeiten als Großrechner tionsnetzwerks auf der Basis von P2P- mehr und mehr durch kleinere System Konzepten abgelöst wurden und die traditionellen IAM: (Identity and Access Management) Konkurrenten (BUNCH = Burroughs, UNIVAC, Prozesse, Policies und Technologien zur NCR, Control Data Corporation (CDC), Verwaltung von Benutzern ( Verzeichnis- Honeywell als Rechnerhersteller aus dem dienst) und deren Authentifizierung zur Frei- Markt verschwanden. gabe von Zugriffen. Enthält i.d.R. nicht die IBN: Background Noise Autorisierung. Siehe Identity Management ICA: (Intelligent Console Architecture, heute IBAN: (International Bank Account Number, „Independent Computing Architecture") Proto- ISO 13616) mit maximal 30 Stellen, enthält für koll zur effizienten Übertragung von Bild- die Integrität 2 Stellen mit einer Checksum
Version 11.1 Seite 93 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ schirminhalten und Benutzereingaben. Erlaubt IP-Adresse von einem Router geben den Betrieb eines (meist) MS Windows- lassen kann. Dies fällt unter SLAAC basierten Systems über entfernte Datenverbin- ICQ: („I seek you“) - Chat Programm für dungen. Von Firma Citrix unter dem Schlag- Kommunikation zu zweit oder in Gruppen. wort „Server Based Computing“ vermarktet. Kann auch für die Verteilung von Malicious ICA ist auch mit Verschlüsselung verfügbar. Content eingesetzt werden Sicherheitsrelevant, da sich auf diese Weise ICS: (Industrial control system) Genereller Anwendungen leicht auch für externe Benutzer Begriff für Industriesteuerungen, zu denen verfügbar machen lassen, ohne dass diese auch SCADA-Systeme und PLCs gehö- direkt in das Firmennetz müssen. Dies hat ren. Solche Anlagen waren früher durch eine Vorteile, aber auch Risiken. Ähnlich zu Air gap von andere Firmennetzen getrennt, heute jedoch oft nicht mehr. Oft sind sie sogar anderen Terminalserver-Implementationen, im Internet zu finden, und zwar entweder wie MS Terminal Server, VNC und PC- über normale Suchmaschinen wie Google Anywhere oder über spezielle wie Shodan. ICS sind ein ICANN: (Internet Corporation for Assigned wichtiges Ziel für Cyberwar. Siehe auch Names and Numbers) Organisation zur Stuxnet Verwaltung der Adressen im Internet. Siehe ICS-CERT: spezialisierte CERT für ICS- UDRP , DANE Systeme ICAO: (International Civil Aviation Organiza- ICT: 1) Information and Communications Tech- tion) Zivilflugbehörde, untersteht der UN. Ziel nology, deutsch: IKT, die Gesamtheit von ist die Förderung des Zivilflugverkehrs. Macht Computer- und Datenübertragungs- auch Vorschläge zu Sicherheit, z.B. Einsatz Technologien von einheitlichen Passformaten, aktuell auf der 2) (Image Constraint Token) DRM-Verfahren Basis von RFID und Biometrie ( ePass). bei AACS, das die Auflösung des Outputs Siehe PKD einer hochauflösenden DVD künstlich be- ICAP: (intellectual capital) neues Schlagwort grenzt, siehe HDMI für das, was die Informationssicherheit ID3 Tag: Format für Zusatzinformationen schützen muss: Die Informationen in den (Metadaten), die in Audiodateien des MP3- Köpfen der Mitarbeiter plus die Geschäftsdaten Formats. Metadaten können ungewollt auf jedem Speichermedium plus die Informationen preisgeben Geschäftslogic, die in Skripten und ID-based Cryptography: (Identity Based Programmen implementiert ist Cryptography, IBE) Verfahren im Rahmen von ICC: (International Chamber of Commerce, Public Key Verschlüsselung, bei der der Internationale Handeskammer) eine Organisa- Public Key aus einem bekannten String, z.B. tion zur Förderung des Handels. Kümmert sich der E-Mail-Adresse geniert wird. Statt einer auch um Fragen der Wirtschaftskriminalität. CA als vertrauenswürdiger Erzeuger von http://www.icc-austria.org/ Schlüsselpaaren haben wir eine Private Key Generator (PKG) genannte Stelle, die für jeden ICE: (In case of emergency) Vorschlag, im Nutzer einen zum bekannten public key Handy- Adressbuch im Eintrag ICE (bzw. passenden private key erzeugt ICE1, ICE2, ….) die Nummer abzulegen, die im Falle eines Notfalls zu verständigen ist IDEA: (International Data Encryption Algo- rithm) 1990 in der Schweiz entwickeltes sym- iCloud: Daten-Synchronisation und Backup metrisches Verschlüsselungsverfahren, gilt von Appe, genutzt auf MaxOS und iOS- als sehr sicher. IDEA benutzt einen 128-bit Geräten. Die Daten werden zwar Schlüssel und wurde in der ersten Version von verschlüsselt übertragen und gespeichert PGP verwendet (außer den E-Mails), die Schlüssel sind IDEF: (Intrusion Detection Exchange Format) jedoch unter Kontrolle von Apple und stehen auch US-Behörden zur Verfügung Format für den Austausch von Attack Pattern. Intrusion Detection Working Group) ICMP: (Internet Control Message Protocol) Teil Identification: Identifizierung der IP-Protokollfamilie. Wird im Programm Ping genutzt, um die Erreichbarkeit und Identifizierung: Feststellung der Identität einer Verfügbarkeit eines Rechners zu prüfen, Person, z.B. durch Vorlage eines Ausweises bzw. Traceroute, um zu prüfen, wie eine oder Eingabe einer Benutzerkennung, d.h. einer vorher vergebenen Kennung. In der Nachricht im Detail weitergeleitet wird. Kann auch zu Angriffen genutzt werden, („Ping of Biometrie das Finden einer Person in einer Datenbank mit vielen Personen. Siehe KYC Death“) Identifizierung kann auch indirekt über die ICMPv6: (Internet Control Message Protocol Identifizierung eines Geräts versucht werden, version 6) Protocol mit dessen Hilfe ein das mit dieser Person verbunden ist, z.B. die Rechner sich in einem IPv6 Netz eine IMEI des Telefons, dies ist jedoch keine
Version 11.1 Seite 94 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ wirklich sichere Identifizierung, da Geräte Ausweis zu bekommen, so entstehen trotzdem verloren oder gestohlen sein können, siehe für den Betroffenen erhebliche negative Fingerprinting. Siehe FIDIS Auswirkungen. Siehe Carding, Phishing, Die Verifizierung der Identität ist ein sepa- Data Leakage rater Vorgang, der Authentifizierung genannt Identity Provider: (IdP) Siehe Federation wird (z.B. durch Eingabe eines Passworts, Services PINs oder Nutzung eines privaten IdenTrus: weltweite Bankeninitiative zur Stan- Schlüssels einer Smartcard) dardisierung von PKI in der Bankenwelt. Auf Grund der Verlagerung vieler Dienste ins Hierbei geht es mehr um die Vereinheitlichung Internet besteht ein sehr großer Bedarf an der rechtlichen Grundlagen, als um technische Identitätslösungen. So bietet z.B. Jumio 2014 Fragen. Ziel ist, dass die Zertifikate der die Verifizierung von 380 verschiedenen Partner-Banken untereinander frei anerkannt Ausweisen aus 105 Ländern an. Nutzer werden. Heute (2006) auch als CA aktiv. müssen die Ausweise mit einer Smartphone http://www.identrus.com/ Kamera fotografieren oder einscannen. IDFA: (IDentifier for Advertisers, auch IFA) Identität: Identifizierung Ersatz für die UDID die ab iOS6 nicht Identitätsmanagement: Identity Manage- mehr für Device-Tracking genutzt werden ment darf. Auch IDFA ist eine Kennung die an das Identity Fraud: Identity Theft Gerät gebunden ist und dadurch eine Wieder- erkennung von Benutzers auch in unterschied- Identity Management: (IDM) Verwaltung von lichen Apps erlaubt. Es wird ähnlich wie Berechtigungen und Authentifizierungsinfor- Cookies implementiert, d.h. der Benutzer mationen, heute oft auch als IAM. Es wird kann diese Funktionalität abschalten, Default zwischen enterprise-centric und user-centric ist jedoch aktiviert und die Option des unterschieden. Ersteres enhält User Provi- Abschaltens ist gut versteckt und verwirrend sioning, aber auch den Approval Workflow zum bezeichnet. Die IDFA kann nicht nur von Apps Anlegen und Verwaltung der Accounts. AAA, ausgelesen werden, sondern wird auch vom Verzeichnisdienst. User-centric beschäftigt Browser gesendet. Das Äquivalent bei sich mit Authentisierungsmechanismen im Android ist Android Advertising ID Internet. Ziel ist dabei, dass der Nutzer die IDL: (interface definition language) beschreibt Kontrolle über seine Daten behält. Aktiv sind in (computer-)sprach-unabhängiger Form, wie hier vor allem PRIME und Liberty Allian- eine bestimmte Software aufgerufen werden ce. Federated IDM erlaubt dabei, dass Authen- kann. Ist relevant, wenn es um Aufrufe tisierungen zwischen Systemen kommuniziert zwischen verschiedenen Sprachen und/oder werden können, was Single Sign-On erlaubt. Architekturen geht. IDL ist z.B. ein Teil von Siehe IGF, CardSpace, PEAP CORBA und SOAP Identity Theft: (engl. Identitätsdiebstahl) be- IDM: (Identity Management) Mechanismen der trügerisches Auftreten als andere Person, real Identifizierung von Personen, siehe oder erfunden. Authentisierung „New Account Creation“ ist speziell in den USA IDN: (Internationalized Domain Names) ein großes Problem mangels fehlender Domain Namen mit Zeichen, die nicht in Personalausweise. Die SSN wird dort oft als ASCII enthalten sind, z.B. chinesische, Authentisierung, z.B. beim Beantragen eines kyrillische oder arabische Zeichen. Wird zum Kredits, verwendet. Auch wenn die Bank in Sicherheitsproblem, wenn gleich aussehende einem solchen Fall den direkten finanziellen kyrillische Zeichen zum Darstellen einer Schaden trägt, so entstehen für die Opfer doch spoof Website im Rahmen von Phishing erhebliche Unannehmlichkeiten durch Verlust verwendet werden. Siehe DNS der Kreditwürdigkeit ( Kreditschutz, fraud IdP: Identity Provider bei SAML und alert, credit freeze). 2014 gibt es Dienste, die OpenID. Siehe Federation Services gegen einige Hundert $ vollständige gefälschte Dokumentation anbieten, vom Führerschein, IDS: Intrusion Detection System Geburtsurkunde bis zu einer Stromrechnung IEEE: (Institute of Electrical and Electronics die für den Nachweis des festen Wohnsitzes Engineers, gesprochen ai-triple-ii): 1884 ge- gilt. gründete US-amerikanische Organisation, die „Account Takover“ ist der zweite Fall: die heute Standards für die Computer und elek- Nutzung einer bestehenden Kredit- oder tronische Industrie erlässt. Am bekanntesten Bankomatkarte oder Bankkontos. Auch sind die IEEE 802 Standards für LAN Tech- europäische Karten- und Account-Information nologien (mit Passwort oder PIN), eBay-Accounts IEEE 802 Standards : (siehe auch IEEE). mit Passworten u.ä. werden auf entsprechen- Standards für LAN Technologie, z.B. den Webservern angeboten. Wenn es auch in 801.1q QoS Europa schwer ist, einen Bankkredit ohne
Version 11.1 Seite 95 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
802.1x NAC, Network Access Control IKS: (internes Kontrollsystem) systematische 802.2, OSI-Schichtenmodell für Netzwerke organisatorische Maßnahmen ( controls) und Kontrollen (checks) zur Einhaltung von 802.3, die Basis für Ethernet Richtlinien und zur Abwehr von Schäden, siehe 802.5 Token Ring SOX 802.11, 15, 16 Wireless Networks IKT: (Informations- und Kommunikationstech- IKE: (Internet Key Exchange, RFC 2409), nologie) ICT Teil des IPsec Protokolls IM: Messaging Dienste IETF: (Internet Engineering Task Force) Stan- Image Tag: genutzt in Social Network, in dardisierungsgremium für Internet-Techno- digitalen Kameras und Photosharing Web- logien, beschäftigt sich mit Detailfragen der sites. Benutzer können Bildern Namen von Implementierung und arbeitet durch Ver- Personen oder andere Attribute zuordnen. öffentlichung von RFCs Über Face Recognition kann heute bereits IFA: IDFA vielfach diese Person automatisiert in Samm- IFF: (Identification friend or foe) kryptografi- lungen von Fotos erkannt und damit auto- sches System zur positiven Identifizierung von matisch „getaggt“ werden. Stand der Technik 2011 ist, dass diese Funktionalität in Foto- zugehörigen Geräten, eingesetzt vor allem beim Militär. Verwendet werden Challenge- sharing- und Social Networking- Websites, Response Verfahren angeboten wird, ebenso als integrierte Funk- tion in digitalen Kameras. Technologisch mög- iFrame: (InlineFrame) HTML-Element, das lich wäre auch ein Fotografieren einer fremden Inhalte von anderen Websites in eine Person und ein automatisiertes Durchsuchen Webseite eingliedert. Wird z.B. für Werbung von Foto-Sammlungen wie Social Network- genutzt, aber auch für die Verbreitung von Profilen. Da dadurch ein personen-bezo- Malware. Dafür wird eine Minimalgröße von genes Objekt außerhalb der Kontrolle des 1x1 pixel genutzt ( Web Bug) und durch Betroffenen entsteht das die Privatsphäre geeignete HTML-Anweisungen die Schad- verletzen kann wird dies derzeit nicht software geladen ( Drive-by Infektion). angeboten JavaScript in einem eingebundenen iFrame kann Inhalte auf der Hauptseite, z.B. IMAP: (Internet Message Access Protocol) Hyperlinks verändern Verfahren mit dessen Hilfe ein Anwender auf seine Mailbox zugreifen kann, um E-Mails IFRS: (International Financial Reporting Stan- abzurufen. Dabei wird im Gegensatz zum dard) Rechnungslegungvorschrift für Aktien- POP3-Protokoll zuerst nur die Header gesellschaften, die sich international immer Information übertragen, so dass gezielt stärker gegen US-GAAP durchsetzt nach- einzelne E-Mails abgerufen werden können dem sie jetzt auch von den US-Behörden akzeptiert wird. Im deutschspr.Raum GoB IMD: (implantable medical device) Medizini- sche Geräte wie Herzschrittmacher, Insulin- IGF: 1) (Identity Governance Framework) pumpen, u.ä. die in den Körper des Patienten von Oracle vorgeschlagener Standard, um implantiert werden und dann über drahtlose die Übertragung von persönlichen Daten wie Verbindungen justiert werden. Dabei wurde Kreditkartennummern zwischen verschiedenen generell auf Sicherheitsmaßnahmen wie Systemen besser nachvollziehen lassen. Dies Authentisierung verzichten, u.a. im schnelle erleichtert Compliance-Anforderungen wie Hilfe nicht zu behindern. Es konnten Angriffe SOX, Gramm-Leach-Bliley oder die gegen diese Geräte demonstriert werden. European Data Protection Initiative. Siehe Medizinische Geräte Grundlage sind Liberty Alliance und OASIS. Siehe Identity Management IMEI: (International Mobile Equipment Identity) eindeutige, interne Kennung jedes Handys. 2) (Internet Governance Forum) Diskus- Kann über die Sequenz *#06# auf jedem sionsplattform für Internet-Themen, tagt Handy angezeigt werden. Kann im Gegensatz einmal pro Jahr. Themen sind z.B. Inter- zum SIM von einem Dieb nicht ausgetauscht nationalisierung der Kontrolle des Internets werden. Wird bei einem Telefonat zum IGIT: Governance Service-Provider übertragen und könnte daher IGL: (Intel loss-gain) in der Spionage-Com- zum Sperren von gestohlenen Handys benutzt munity das Abwägen zwischen (Zer)stören werden. Diesen Dienst bieten jedoch leider nur eines „feindlichen“ Geräts oder Aktivität versus wenige Provider an. Die IMEI kann, wie auch dem Gewinnen von Informationen durch die IMSI und MSISDN zur Identifizierung Abhören desselben. Ein ähnlicher Gain-loss von Mobilfunknutzer eingesetzt werden. Siehe Effekt tritt bei starker Verschlüsselung ein: die Fingerprinting Verteidigung der Vertraulichkeit wird höher, Impact: in der Informationssicherheit: Aus- aber die Geheimdienste können nicht mehr maß der Auswirkungen eines Sicherheits- mithören. Siehe auch Crypto wars vorfalls ( Incident) IKE: (Internet Key Exchange) IPsec Impersonation Attack: alle Angriffe zur
Version 11.1 Seite 96 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Erlangung von Zugriffs-Legitimierungen, z.B. wird (evtl. Forensics), mit einer möglichen Phishing, Keylogger, u.ä. Eskalation zum Krisenstab Implant: 1) in der Medizin IMD Incident Management : nach ITIL die 2) Im Rahmen der Leaks von Edward Prozesse rund um den Service Desk, wo Snowden wird bekannt, dass die NSA mit Störungsmeldungen entgegen genommen ihrer TAO-Abteilung seit Beginn des Jahrtau- werden. Im Rahmen des Incident Manage- sends extrem fortgeschrittene Malware ments werden keine Fehler behoben, sondern entwickelt, die sie Implants nennen. Diese bestenfalls Work-Arounds angeboten. Die Implants stehen nicht nur für Endgeräte wie Fehleranalyse findet im Rahmen des PCs und Smartphones zur Verfügung, Problem Managements statt. Siehe CSIRT sondern auch für Netzwerkkomponenten wie INDECT: (Intelligent information system sup- Router die für ein flächendeckendes Abgrei- porting observation, searching and detection fen von Datenströmen geeignet sind. for security of citizens in urban environment) Dabei werden als passive Implants solche be- von der EU finanziertes, sehr umstrittenes zeichnet die auf Layer 1 und Layer 2 des Projekt, das alle bestehenden Überwachungs- Netzwerks Datenströme mitschneiden, z.B. technologien zu einem universellen Überwa- alles was über einen Fibre-Strang fließt. chungsinstrument einer proaktiven Polizei- arbeit bündeln soll. Das Projekt wird von Active Implants sind in der Lage, eine Filterung Datenschützern stark kritisiert auf Grundlage von Dateninhalten durchzühren und nur bestimmte Inhalte auszuleiten. Indicator of Compromise: (IOC) im Rahmen einer forensischen Untersuchung einer Auch für Firmware, wie z.B. BIOS und für Angriffs auf IT-Systeme die bei der Arbeit Magnetplatten stehen Implants zur gefundenen Spuren. Sie bestimmen, ob als Verfügung. Ergebnis eine Attribution des Angreifers IMS: (IP Multimedia Subsystem) vorgenommen werden kann. Solche IOCs IMSI: (International Mobile Subscriber Identity) fließen dann als Trigger in Systeme ein, die interne Kennung eines SIM. Diese wird vom solche Angriffe (z.B. APTs) erkennen können Mobilfunkprovider mit der MSISDN, der sollen. eigentlichen Telefonnummer verknüpft. Diese Es werden atomic, behavioural und computed beiden Werte und auch die IMEI können zur IOCs unterschieden. Atomic IOCs sind .z.B. Identifizierung von Mobilfunknutzer einge- externe IP-Adressen mit denen gefundene setzt werden Schadsoftware (z.B. ein RAT) kommuniziert IMSI-Catcher: Angriff auf Handys, täuscht hat (gefunden in einem Log), deren eine Handy-Funkzelle vor. Alle aktiven GSM- domain names oder E-Mail-Adressen von Handys im Umkreis dieser Funkzelle melden Phishing Mails. Computed IOCs sind z.B. sich dort an. Kann für einen Lauschangriff Hash-Werte von gefundener Schadsoftware. oder DoS genutzt werden. Siehe auch Behavioural IOCs sind z.B. die Angriffswege http://sicherheitskultur.at/abhoeren.htm wie Waterhole Attacks, Phishing Mails oder In-band: Übertragung von Kontroll-, Steue- unauthorisierte Verbindungen von außen zu rungs- oder Authentisierungsinformationen internen Systemen (gefunden in Logs) im Datenkanal, Gegensatz: Out-of-band Industriespionage: Wirtschaftsspionage Incident : (Vorfall) IEController: Sandbox-Technologie zur Ab- sicherung von Webbrowsern und anderen 1) nach ITIL eine Störung, d.h. ein Ereignis, das nicht zum standardmäßigen Betrieb eines Programmen. Siehe Active Content Services gehört und das tatsächlich oder Industrie 4.0: Schlagwort, das auf die potentiell eine Unterbrechung oder eine Forschungsunion der deutschen Bundesre- Minderung der Service-Qualität verursacht. gierung und ein gleichnamiges Projekt in der Incidents werden nach ITIL meist vom Hightech-Strategie der Bundesregierung zu- Service Desk entgegengenommen. Grund rückgeht. Es geht dabei um die Erweiterung kann sein: der computerunterstützten Produktion um - Anwendung nicht verfügbar oder in einem Internet of Things. D.h. jede technische Fehlerzustand Komponente ist vernetzt und kann mit jeder anderen kommunizieren. Dies wirft erhebliche - Hardware-Ausfall oder eingeschränkte Sicherheitsprobleme auf, da hierfür neue Benutzung Protokolle entwickelt werden müssen, die - Service Request zur Information oder Bitte aber zumeist (auch auf Grund geringer um Unterstützung Prozessorleistung) selten sichere Authenti- Incidents können aber auch auf Grund von sierung und Verschlüsselung unterstützen. Systemüberwachungen initiiert werden. Eines der vorgeschlagenen Protokolle für M2M ist OPC UA 2) Security Incident: ein schwerwiegender Sicherheitsvorfall der nach den Prozessen des Infektion: in der IT: Installation von Schad- „Security Incident Handbooks“ abgehandelt software auf einem Rechner. Infektionen
Version 11.1 Seite 97 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ sind ein Beispiel für Externalität: der Gewinn erfolgen kann. Zusätzlich ist auch Konfor- für den Angreifer ist in der Regeln viel geringer matität mit Gesetzen und Vorschriften not- als die Kosten die dem Nutzer für die Berei- wendig. IT-Sicherheit ist eine Untermenge nigung der Infektion entstehen (bei resistenten der Informationssicherheit. root kits mit MBR-Infektion oft Kauf einer Information Security wird von Geheimdiensten Magnetplatte oder gar eines PCs, Nutzung oft als Titel verwendet um Überwachungs- externer Hilfe, Zeitaufwand > 8 Stunden). Denn maßnahmen ihrer Bürger zu implementieren. die durchschnittliche Nutzungsdauer eines infi- Siehe PESTEL zierten PCs für den Angreifer liegt meist nur Informationssicherheitsbeauftragter: über- bei wenigen Tagen, danach wird die Infektion i.d.Regel entdeckt. Siehe Drive-by, Hacker nimmt die Gesamtverantwortung für die Ent- wicklung und Implementierung von InfoCard: CardSpace Informationssicherheit. Siehe CISO InfraGard: Programm des FBIs: US-Firmen Informationssicherheits-Management- und FBI tauschen Informationen aus. system: (ISMS) Teil des gesamten Manage- http://www.infragard.net/ mentsystems, der basierend auf einem InfoCard: CardSpace Geschäftsrisikoansatz die Informations- Information Custodian: Informationstreu- sicherheit etabliert, implementiert, betreibt, händer überwacht, prüft, wartet und verbessert Informationelle Selbstbestimmung: durch Informationstechnik: alle technischen Mittel, das sog. Volkszählungsurteil des Bundesver- die der maschinellen oder maschinell unter- fassungsgericht in D. 1983 etabliertes Recht stützten Erzeugung, Speicherung, Verar- der Kontrolle an den eigenen Daten. "Dies beitung oder Übertragung von Informationen (Verlust der Privatsphäre) würde nicht nur die dienen; alle dazu erforderlichen Komponenten, individuellen Entfaltungschancen des Einzel- einschließlich der Programme und der tech- nen beeinträchtigen, sondern auch das nischen Voraussetzungen für die Kommu- Gemeinwohl, weil Selbstbestimmung eine nikation. International und in der Bundesver- elementare Funktionsbedingung eines auf waltung gängige Bezeichnung für tech- Handlungsfähigkeit und Mitwirkungsfähigkeit nikunterstützte Informationsverarbeitung. Sy- seiner Bürger begründeten freiheitlichen nonym: Informations- und Kommunikations- demokratischen Gemeinwesens ist." – Im technik (IuK), technikunterstützte Informations- Gegensatz dazu steht der (falsche) Satz: verarbeitung (TUI). Frühere Bezeichnungen: Nothing to hide. EDV, ADV, DV https://de.wikipedia.org/wiki/Informationelle_Se Informationstreuhänder: (engl. information lbstbestimmung custodian) Durchführender der Datenverarbei- Informationen: entstehen aus Daten, wenn tung (entweder als Outsourcer oder als diese für eine Zielerreichung genutzt werden interne IT), verantwortlich für die Wahrung der (können) Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit definierter Information Owner: Informationsbesitzer oder Informationen, in der Regel durch den Informationsverantwortlicher. Person, die für Information Owner über SLA beauftragt eine definierte Information oder ein System bezüglich ihrer Verwendung und ihres Informationsweiterverwendungsgesetz: Schutzes in Bezug auf Vertraulichkeit, ( IWG) Integrität, Verfügbarkeit, Authentizität Information Warfare: Cyberwar und Verbindlichkeit die Verantwortung trägt. Ingress Filtering: das Filtern von Datenver- Gegenpart zum Informationstreuhänder kehr auf dem Weg nach innen um Angriffe von Informationsaustausch: Datenaustausch außen zu verhindern. Siehe egress filtering Information Security Policy: Dokument, mit Impact: (engl. Auswirkung) Ergebnis, bzw. dem das Management Vorgaben und Richt- Ausmaß der Auswirkungen eines Security linien für die Implementierung von Informati- Incidents onssicherheit gibt. Auch Sicherheitskonzept Instagram: Social Network das ursprünglich oder Sicherheitspolicy (Sicherheitspolitik) auf Foto- und Videosharing fokusiert war aber genannt. Zu unterscheiden von IT Security wegen ihres großen Erfolgs speziell bei Policy, die sich nur auf die IT-Systeme bezieht, Jugendlichen bereits 2 Jahre nach Bestehen d.h. z.B. Vertraulichkeitsverlust durch unacht- 2012 von Facebook aufgekauft wurde. Es same Gespräche ausklammert gehört zu den Blogging-Diensten. Das Informationssicherheit: lt. ISO 17799 die Integrieren der Daten und Benutzer mit Sicherstellung von Vertraulichkeit, Inte- den anderen Facebook-Diensten wird als grität und Verfügbarkeit von Informationen. problematisch gesehen. Wird weiterhin als Ein Zustand, in dem die unberechtigte walled garden betrieben, d.h. nicht mal die Ressourcennutzung erschwert und möglichst Nutzer von Facebook, Instragram und erkannt wird. Ziel ist, dass keine unautorisierte Whatsapp können miteinander kommunizieren Informationsveränderung oder -gewinnung
Version 11.1 Seite 98 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Instant Messaging: Messaging portmedium für viele Dienste, eines davon ist Instruction: in der IT: Computerbefehl Web, andere sind E-Mail, Messaging, Telephonie wie Skype, etc. Suchma- Integer: Festkommazahl Zahlendarstellung schinen durchsuchen das Web, nicht das Integrität: Sicherstellen der Vollständigkeit Internet. Siehe Web 2.0, net neutrality, und Unversehrtheit der von Daten und der Internet of Things verwendeten Prozesse (Def. ISO 17799). Internet-Banking: e-Banking siehe auch Authentizität, Checksum, http://sicherheitskultur.at/Datenschrott.htm Internet im Koffer: Projekt, bei dem es Regierungsgegnern ermöglicht werden soll, Integrity Level: Sicherheitsattribute von unabhängig von den offiziellen Stellen Zu- Prozessen in Vista (und späteren Win- gang zum Internet zu bekommen. Grund- dows-Systemen) (auch Mandatory Integrity lagen sind z.B. Mesh Routing zwischen Control). Wird genutzt, damit der Internet Handys und Satellitenlink aus dem Koffer. Explorer auf niedrigerer Priorität läuft als durch Wird u.a. von der US-Regierung unterstützt den DACL des Benutzers vorgegeben Internetcafé: öffentliche Einrichtung, wo Intellectual property: (IP) Rechte eines gegen Entgelt auf das Internet zugegriffen Autors oder eines Unternehmens an einem werden kann ( surfen). Sicherheitsrelevant, nicht-materiellen Werk (Kunstwerk, Musik- da der Kunde nicht kontrollieren kann, ob nicht stück, Film, Buch, oder auch Computer- über Keylogger und ähnliche Malware Programm). Solche Inhalte sind durch die vertrauliche Informationen gesammelt werden. Möglichkeit der digitalen Kopie ohne Ermöglicht auch Nutzern die keinen PC Qualitätsverluste nur sehr schwer zu schützen. besitzen die Teilnahme am Internet, ebenso Siehe Copyright, Urheberrecht, Kopier- ermöglicht es eine anonymere Nutzung als der schutz, DRM, Raubkopie, ACTA, eigene PC (oder Smartphone), die über PRO-IP, DMCA. http://www.ip-watch.org/ ihre IP-Adresse sehr leicht zu identifizieren Intelligence explosion: (auch singularity) sind, siehe Vorratsdatenspeicherung. Wird bei artificial intelligence der Moment in dem deswegen für legitime und für illegitime die intelligenten Systeme sich (oder die Nach- Zwecke verwendet. Siehe auch Hotspot folgegeneration) immer wieder selbst verbes- Internet Governance Forum: IGF sern so dass es zu einer Hyper-Intelligenz kommt, deren Ergebnisse (z.B. in der Physik, Internet of Things: (IoT) Schlagwort das be- z.B. auch der Waffentechnik, Finanzmarktopti- zeichnet, dass in der Zukunft fast alle Geräte, mierung, etc.) kein Mensch mehr nachvoll- auch die mechanischen Haushaltsgeräte wie ziehen kann (siehe Szenario des Filmes Waschmaschine und Kühlschrank, Zugang „Matrix“). Solche Szenarien sollen u.a. durch zum Internet haben werden. Dies wird Forschungen zu Sicherheitsmaßnahmen entweder direkt mittels IPv6 sein oder ähnlich zu den (theoretischen) Roboterge- indirekt über eine WLAN Verbindung zum setzen verhindert werden. Die Wissenschafts- Router in der Wohnung. Die Nutzung der welt ist geteilt zwischen: „das kann eh nicht Geräte erfolgt dann z.B. mittels Smartphone passieren“ und „das wird sehr bald passieren“. Apps und kann aus der Ferne geschehen. Siehe auch Meme für die Weitergabe von Problematisch in Bezug auf Privatsphäre „Ideen“ von Maschine zu Maschine in der Form und digitale und physische Sicherheit. Die vom Temes. Ausführlichste Diskussion in Nick bisherige Erfahrung zeigt, dass die Entwickler Bostrom: Superintelligenz. Siehe auch von Geräten sehr schlecht darin sind, diese https://en.wikipedia.org/wiki/Philosophy_of_arti gegen unbefugte Nutzung zu sichern. Bei- ficial_intelligence spiele sind die Manipulation von Autos, Internet: weltumspannendes Datennetz auf medizinischen Geräten ( IMDs) wie Herz- Basis des IP Protokolls, in dem alle ange- schrittmachern, Insulinpumpen, u.ä. bei denen schlossenen Geräte durch eindeutige IP- gravierende Sicherheitslücken gezeigt wurden, Adressen identifiziert sind. Die heutigen Pro- ebenso Smartmeter. Auch für Steuerungen bleme der IT- und Informationssicherheit von Heizungen, Beleuchtung, etc konnten sind erst entstanden, seit das Internet eine unbefugte Zugriffe demonstriert werden. globale Verknüpfung und damit Erreichbarkeit Zusätzlich verraten natürlich alle diese Dinge aller angeschlossenen Rechner für jeden über ihren Status Informationen über den potentiellen Angreifer ermöglicht. Weder Besitzer, oder dringen wie Webcams direkt Sicherheit noch Privatsphäre waren Design- in die Privatsphäre ein wenn die Geräte anforderung, sondern nur Überlebensfähigkeit öffentlich erreichbar sind. im Fall eines Kernwaffenangriffs. Diese wird Ein weiterer Effekt wird die vorzeitige erreicht durch flexibles Routing über alter- Veralterung ( Obsoleszenz) die dann eintritt, native (redundante) Wege und die Zerlegung wenn das Gerät zwar noch einwandfrei funk- einer Nachricht in viele Daten pakete. tioniert (bei Waschmaschinen und Kühlschrän- Internet und Web werden oft synonmym ken sollten das 10 Jahre sein), aber eine genutzt, aber das Internet ist nur das Trans- veraltete Betriebssystemversion ( embed-
Version 11.1 Seite 99 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ ded System) enthält und daher keine Sicher- Ereignissen aus verschiedenen Quellen, Inte- heits patches mehr bekommen kann und gration mit Vulnerability Management und dadurch verwundbar wird und (an sich) ersetzt Reporting gehört (Beispiel 2014, Windows XP erhält Intrusion Testing: Penetration Testing keine Sicherheitspatches mehr, aber deren Umstieg auf Windows 7 oft an der Nicht- IOC: Indicator of Compromise Verfügbarkeit von Geräte-Treibern scheitert). IoT: (Internet of Things) Daher werden viele Geräte entweder vorzeitig iOS: Betriebssystem des iPhones und entsorgt oder von den Netzen getrennt werden iPads, beruhend auf Mac OS X. Es wer- müssen, sofern dann weiterhin eine Nutzung den zahlreiche Verwundbarkeiten gefunden, möglich ist. Siehe auch Home Automation obwohl vergleichsweise gute Sicherheitskon- http://sicherheitskultur.at/notizen_1_14.htm#thi zepte implementiert sind ( Sandbox für ngs Apps, Verschlüsselung von Daten, re- Internet Radio: Radiosender, der nicht über striktiver Market für Apps, etc.). Allerdings laufen, im Gegensatz zu Android und Funkwellen, sondern über das Internet sendet. Die Nutzung durch Mitarbeiter kann für Windows 8 Metro alle Apps unter demselben User Account. Siehe auch App Unternehmen einen erheblichen Bandbreiten- verlust darstellen. Siehe Podcast Store, IDFA Internet Research Agency: (IRA) Trollfabrik IP: 1) intellectual property Interpretation: das Ausführen von Program- 3) IP Protocol men in Laufzeitumgebungen ohne dass iPad: sehr erfolgreicher Tablett-PC von vorher eine Umwandlung aus der Program- Apple, verwendet das Betriebssystem iOS miersprache in den Befehlsatz stattgefunden und ist weitgehend kompatibel mit dem hat (z.B. Python oder JavaScript) . Dies iPhone erlaubt hohe Flexibilität, z.B. bei den IP Adresse: Schema von 4 Zahlen, mit diesen Datentypen, ist aber langsam. Eine Lösung Hilfe alle im Internet sichtbaren Geräte kann dann ein JIT-Compiler sein eindeutig identifiziert sind. Über den DNS- Intranet: im Gegensatz zum Internet ist dies Service werden Domain Namen in diese ein internes Firmennetz, das ebenfalls auf Adressen umgesetzt, z.B. 129.192.13.5. Auf Internet-Technologien (z.B. TCP/IP, ein oder Grund der Beschränkung auf die Zahlen von 1 mehreren Webservern) besteht und auf bis 255 für jede der Stellen, ist die Zahl der diese Weise interne Informationen oder Adressen heute nicht mehr ausreichend. Eine Dienste anbietet oft eingesetzte Lösung ist NAT und die neue Intruder: Person, die unberechtigt Computer Protokollversion IPv6. Siehe Private Services nutzt, bzw. in ein Netz eindringt. Address Space Intrusion Detection System IP-Hijacking: Angriff mittels BGP, bei der der Angreifer „verkündet“, dass er der beste Intrusion Detection System: (IDS) im Gegen- Link zu einer bestimmten Website ist. Alle satz zur Firewall, die den Datenverkehr filtert, lauscht ein IDS im internen Netz oder anderen ISPs schicken dann den Datenver- kehr dort hin. Dort kann er verschwinden, oder auf Servern nach unerwarteten Ereignissen. abgehört werden und über einen anderen Weg Dies geschieht z.B. durch das Erkennen von doch zugestellt werden. Auf diese Weise Attack Pattern, die auf einen bekannten Typ lassen sich auch Verbindungen zu sehr von Hackerangriff hindeuten. Auch können entfernten Websites abhören diese Systeme mit Hilfe der Firewall bei einem dDoS-Angriff gezielt die angreifenden iPhone: seit 2007 sehr erfolgreiches Systeme sperren. Siehe Intrusion Prevention Smartphone von Apple, verwendet das System, NBAD, IPS, NIPS, HIPS Betriebssystems iOS und ist weitgehend Intrusion Detection Working Group: (IDWG) kompatibel mit dem iPad und iPod Touch. Durch die sehr stark abgeschottete Industriegremium, erstellt u.a. Intrusion Detec- Infrastruktur ( Apps nur vom iTunes App tion Exchange Format ( IDEF) für den Store, zwangsweise Installation von Austausch von Attack Pattern Sicherheits-Patches) wird ein Intrusion Prevention System: (IPS) Weiter- Sicherheitsvorteil gegenüber Android Gerä- entwicklung des IDS dahingehend, dass ten erreicht. Die Nutzung von iTunes für die Angriffe nicht nur erkannt, sondern auch Datensicherung wirft jedoch Privatsphäre- aktiv verhindert werden ( Prävention), z.B. Probleme auf, da große Teile der Daten durch Ändern der Firewall-Regeln zum unverschlüsselt gespeichert werden Blocken eines gerade stattfindenden An- IPMI: (Intelligent Platform Management Inter- griffs. Zumeist in der Form NIPS oder face) standardisiertes Interface, dessen Hard- HIPS ware (Baseboard Management Controller, Intrusion Prevention Management System: BMC) direkt auf dem Motherboad eines Weiterentwicklung des IPS-Konzepts. Ent- Rechners sitzt und für Wartungszwecke hält ein GUI zur Darstellung, Korrelation von
Version 11.1 Seite 100 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ eingesetzt wird. Hersteller können (zumeist kehr zwischen den verbundenen System oder sogar bei ausgeschaltetem Zustand) auf diese Netze möglich ist, d.h. auch Angriffe. Weise auf alle Komponenten eines Rechners Vermutlich 2014 für die NSA nur durch zugreifen, auch über Netzwerke. Kann daher Diebstahl von Schlüsseln knackbar, siehe auch zu Sicherheitsverletzungen führen, da in TAO. der Regel keinerlei Schutzmaßnahmen IPsec-VPN: Virtual Privat Network (VPN) via implementiert sind und die Passworte oft IPsec verbindet zwei Netzwerke oder sehr weit bekannt sind. 2015 werden einen Computer mit einem Netzwerk und Verwundbarkeiten diskutiert und rund 2.400 ermöglicht sicheren Datenverkehr über IPMI-Management-Board sind in Österreich öffentliche Verbindungen (beispielsweise über das Internet erreichbar Internet). Mit Hilfe von Chiffrier- und Authen- IP Multimedia Subsystem: (IMS) Sammlung tifizierungstechniken werden vertrauliche von Spezifikationen des 3rd Generation Part- Daten abhör- und manipulationssicher nership Project (3GPP) mit Ziel eines ausgetauscht. Zum Schutz der standardisierten Zugriffs auf Dienste wie Datenübertragung gibt es ein sogenanntes VoIP, Teleconferencing, etc. von Drahtlos- Tunneling-Protokoll ( VPN-Tunnel), das die netzen unterschiedlicher Technologien. Ein Daten ver- bzw. entschlüsselt und die wichtiger Bestandteil ist SIP und Generic Authentisierung sicherstellt. Siehe auch Access Network VPN-Dienste iPod: MP3-Player von Apple mit großem IP-Spoofing : Address Spoofing Marktanteil. Sicherheitsrelevant wenn im Busi- IP TRACEBACK: von NSA und der chin. nesscontext eingesetzt, da über die USB- Regierung initiiertes Projekt um die Möglich- Schnittstelle auch Dateien aus Firmennetzen keiten der Anomymität im Internet weiter gewollt oder ungewollt entfernt werden einzuschränken können. Der iPod wurde ab 2007 immer iPad: erfolgreiche Version eines Tablett- stärker durch den iPod Touch verdrängt, der im Gegensatz zum iPod mit dem Betriebs- Computers von Apple system iOS läuft und dadurch quasi ein IPv4: Traditionelle Version des IP Protocols, Smartphone ohne Telefonschnittstelle und das durch IPv6 ergänzt oder schon lange ohne GPS-Modul ist. Über WLAN oder abgelöst werden soll. Wird hauptsächlich in Bluetooth kann ein solches Gerät trotzdem Regionen verwendet, in denen IPv4-Adressen fast alle Internet-Funktionalitäten nutzen, knapp sind, z.B. Asien z.B. Apps ausführen IPv6: Neue Version des IP Protocols, das IP-Paket: Datenblock im IP-Protocol, der die eine ganze Reihe von Problemen der alten Grundlage des Datenverkehrs bei IP- Implementierung behebt oder vermeidet, z.B. Verbindungen darstellt die Knappheit der Adressen (siehe NAT) und der fehlende Quality of Service ( QoS) und IP Phone: erlaubt die Nutzung von VoIP, eine ganze Reihe von neuen Sicherheits- entweder in der Form von Hardware mit problemen einführt. Dazu gehört, dass Com- geeigneter Funktionalität oder als Softphone puter, die innerhalb eines Firmennetzes stehen IP Protocol: Übertragungsprotokoll auf dem und bei denen IPv6 nicht gesperrt ist, oft an das Internet basiert. Anwendungen benutzen der Firmen-Firewall vorbei ins Internet entweder TCP/IP oder UDP/IP. Datenpa- kommunizieren können. Websites die IPv6- kete werden mit Hilfe von Routern zwischen Daten nicht selbst empfangen können sondern Sender und Empfänger transportiert. Siehe nur über Gateway/ Proxy verlieren die auch Fragmentierung, IP Traceback Informationen über die originäre IPv6-Adresse, IPR: Intellectual Property Right. Entspricht vom bzw. müssen für SSL-Verkehr ein eigenes Konzept her dem Urheberrecht, geht jedoch SSL-Zertifikat implementieren. Siehe von einem anderen Ansatz aus ISATAP, Teredo, ICMPv6, DHCPv6, IPS: Intrusion Prevention System NDP IPsec: (Internet Protocol Security) standardi- IRC: (Internet Relay Chat) ursprüngliches siertes Protokoll für den Aufbau von VPN- Chat-, bzw. Messaging System. Benutzer Verbindungen. Nur für IP-basierte Protokolle treffen sich in Channels, meist organisiert nach nutzbar. Enthält die Standards RFC 2401– Interessensgruppen oder in privaten Sessions. Sicherheitsarchitektur für das Internetprotokoll, Auch in diesem System kann Malicious RFC 2402 -Authentication Header, RFC 2406– Content verteilt werden. Sie werden auch sehr Encapsulating Security Payload, RFC 2407- oft zum Steuern von Botnets verwendet. IPsec Domain of Interpretation (IPsec DoI), ICQ, Messaging RFC 2408-Internet Security Association and IrDA: (Infrared Data Association) definiert ein Key Management Protocol (ISAKMP), RFC Kommunikationsprotokoll für infrarote Schnitt- 2409-Internet Key Exchange (IKE). Der stellen, d.h. Handys und PDA. Siehe Vorteil und Nachteil von IPsec gegenüber SSL/VPN ist, dass beliebiger IP-Datenver- OBEX
Version 11.1 Seite 101 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Iris-Erkennung: die Iris ist die äußere Regen- langsam, z.B. im Vergleich zu Kabel und bogenhaut auf dem Auge, d.h. der farbige ADSL Rand um die Linse (um die Pupille). Die ISEA 3402: (International Standard on Struktur der Iris kann für eine biometrische Assurance Engagements) internationaler Identifizierung eingesetzt werden. Dafür wird Auditierstandard, siehe auch SAS 70, das Muster mittels hochauflösender Kameras http://isae3402.com/ (auch auf einige Entfernung) in den sog. ISMS: Informationssicherheits-Management- Iriscode umgewandelt und dann mittels system geeigneter Algorithmen mit den Iriscode in ISO: (International Standards Organisation) entsprechenden Datenbanken verglichen. internationale Standardisierungsbehörde, ent- Dabei wird die Hamming Distance bestimmt. spricht DIN oder Önorm. www.iso.org Es wird von den meisten Personen als weniger ISO/IEC 13335: Standard zu Fragen der eindringlich empfunden als der Retina- Informationssicherheit und Risikomanage- Erkennung, bei der die Person direkt am Gerät ment im IT-Bereich stehen muss. Es konnte 2012 gezeigt werden, ISO/IEC 15504: Standard zu Fragen rund im dass mit Hilfe von einem genetic algorithm sich aus vorhandenem Iriscode die Muster Software prozesse. Siehe SPICE, ISO/IEC 21827 einer Iris rückberechnen lassen, so dass sich bei einer Iriserkennung später wieder den ISO/TS 16949: Qualitätsnorm im Automobil- gleichen Iriscode ergeben. Iriserkennungs- bau, basiert auf ISO 9001:2000 systeme können oft durch ein Foto einer ISO 17799: ein aus dem britischen BS7799 echten oder ‚künstlichen‘ Iris getäuscht werden Standard hervorgegangener Information IRL: (in real live) nicht im Internet, verwen- Security Standard, angenehm nicht-technisch, knapp gehalten. Es hat folgende Gliederung: det um zu sagen, dass etwas weder in einem Social Network, noch in virtual reality wie - Organisation der Sicherheit Second Live stattfindet - Einstufung und Kontrolle der Werte IRR: (internal rate of return, Interner-Zinssatz- - Personelle Sicherheit Methode) Methode der Wirtschaftlichkeits- - Physische und Umgebungssicherheit berechnung. Siehe ROI, NPV - Management der Kommunikation und des ISAC: (Information Sharing and Analysis Betriebes Centre) industrie-spezifische US-Gruppierun- - Zugangskontrolle gen zum Austausch von Informationen über IT- - Systementwicklung- und Wartung Security. Siehe PISCE, APACS - Management des kontinuierlichen ISACA: (Information Systems Audit and Geschäftsbetriebes Control Association) internationale Organisa- tion der IT-Auditoren. Siehe CobiT - Kontrollen/Einhaltung der Verpflichtungen Es wurde in 2005 als gründlich überarbeitete ISAE 3420: International Standards for Assurance Engagements (ISAE) No. 3402, Version herausgegeben. ISO 27000 Siehe http://sicherheitskultur.at/best_practise.htm Nachfolger von SAS 70 als Reporting Format für Audits von Dienstleistern ISO 20000: Familie von Standards zu Service- Qualität, in der die ITIL-Konzepte aufge- ISAKMP: Internet Security Association and hen Key Management Protocol (RFC 2408). Teil des IPsec Standards ISO/IEC 21827: Systems Security Engineering Capability Maturity Model (SSE-CMM) ISATAP: (Intra-Site Automatic Tunnel entwickelt durch die International Systems Addressing Protocol) Methode um IPv4-Pakete Security Engineering Association (ISSEA). in IPv6-Paketen zu verpacken. Auf diese Norm zur Darstellung des Reifegrads der Weise können jedoch auch Angriffe an einer Sicherheits-Prozesse (und damit spezieller Firewall oder IPS vorbei geführt werden. als ISO/IEC 15504). Siehe CMM, SMM, Siehe Teredo SSE-CMM iSCSI: (Internet-SCSI) Protokollanbindung von ISO 27000: Familie von Standards zur SCSI über das TCP/IP Protokoll. Enthält Informationssicherheit, in der z.B. die ISO Sicherheitsfeatures wie z.B. Device- und 17799 als 27002 aufgeht (2006/07) LUN-ACLs, Authentisierung der Geräte im ISO 27001 geht aus der BS 7799-2 ( ISMS) SAN mittels CHAP und kann mit IPsec hervor. ISO 27003 wird sich mit Hilfestellungen implementiert werden bei der Implementierung beschäftigen, ISO ISDN: (Integrated Services Digital Network) 27004 definiert Metriken und Effektivitäts- digitales Netz für Sprach-, Datenkommuni- messungen ( Kennzahlen, KPI) und ISO kation. Die Geschwindigkeit der Daten- 27005 wird aus ISO 13335 hervorgehen verbindungen (2x 64 kbit) gilt heute als eher ISO 9001:2000: prozessorientierte Normierung
Version 11.1 Seite 102 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ zur Erhöhung der Qualität von Arbeits- Continuity Management abläufen (und damit Arbeitsergebnissen) Availability Management ISO Model: schichten-orientierte Darstellung auch: ISO 20 000, itSMF, remediation eines Datenaustauschs, z.B. der TCP/IP http://sicherheitskultur.at/best_practise.htm Protokolle. Dabei bezeichnet IT-Grundschutzhandbuch: Grundschutz- Layer 1: physical connectivity handbuch Layer 2: Data Link (z.B. ARP) ITPIN: (IT Process Improfement Network) Layer 3: Network (z.B. IP) Referenzmodel für IT-Services. ITIL Layer 4: Transport (z.B. TCP, UDP) ITSEC: (Information Technique System Eva- Layer 5: Session (z.B. MSRPC) luation Criteria) 1991 veröffentlicht, ein Krite- Layer 6: Presentation (z.B. ASCII) rienkatalog zur Beurteilung und Zertifizierung der Sicherheit von informationstechnischen Layer 7: Application (z.B. http, smtp) Systemen im europäischen Bereich. Die ISP: (Internet Service Provider) Anbieter von Weiterentwicklung der ITSEC und Verein- Internet-Anbindungen, in der Regel sowohl heitlichung mit diversen nationalen Kriterien- für private Nutzung (Einwahl über Modem, katalogen sind die Common Criteria ADSL oder Kabel) oder mit Hilfe von IT Security Policy: Information Security Standleitungen für kommerzielle Nutzung. Policy Manchmal werden dabei sicherheitsrelevante IT-Sicherheit: Sicherheit von IT-Systemen, Dienste zur Verfügung gestellt. In den USA werden 2011 einige erwischt die Anfragen ihrer Anwendungen und Daten, enger als Infor- Kunden an Suchmaschinen auf andere mationssicherheit Websites umleiten und dafür Kickback ITSM: IT Service Management. Siehe kassieren. Siehe IXP, NSP, CNI, ISPA itSMSF ISPA: (Internet Service Providers Austria) Ver- it SMF: (IT Service Management Forum, einigung der ISPs in Österreich. Verfolgen http://www.itsmfi.org/ ) internationale Organisa- z.B. eine einheitliche Politik zu Fragen der tion mit dem Ziel der Verbesserung und Wei- Herausgabe von Kundeninformationen bei der terentwicklung von ITIL. Sehr interessant die Verfolgung von Tauschbörsen-Teilnehmern Arbeiten zu Metric von Service Mgmt. und zu Data Retention. http://www.ispa.at/ ITU: (International Telecommunication Union) ISS: 1) (Intelligence Support Systems) 1865 gegründete Vereinigung der Telefon- Systeme mit deren Hilfe Überwachungen gesellschaften, heute eine Agentur der UNO. CCITT ist die Unterabteilung, die sich um (LI) und deren Auswertungen ( Hancock) Standards kümmert, auch: http://www.itu.int/ durchgeführt werden können IWG: (Informationsweiterverwendungsgesetz) 2) Anbieter von Sicherheitssoftware, jetzt Teil in Ö und D gültiges Gesetz, das die Weiterver- von IBM, prominent bei IDS wendung von Informationen regelt, die Behör- iTAN: (indexTAN) Verfahren, bei dem die den im Zuge ihrer Arbeit öffentlich zur Verfü- TAN Nummern zur Absicherung von e- gung stellen, z.B. Katasterinformationen Banking Transaktionen nicht beliebig ver- IXP: (Internet Exchange Point) Endpunkte der wendet werden können, sondern durchnum- direkten Verbindungen zwischen mehreren meriert sind und vom e-Banking-Server gezielt Netzbetreibern für schnellen Datentransfer angefordert werden. Dies schützt gegen die zwischen großen Netzbetreibern ohne externe derzeitige Phishing Technologie, nicht je- Fernverbindungsanbieter ( NSP, tier 1) zu doch gegen Man-in-the-Middle Angriffe nutzen (Details siehe Peering) unter ITIL: (Information Technology Infrastructure Nutzung von BGP. Große IX sind: LINX Library) Sammlung von Best-Practise (London), AMS-IX (Amsterdam), DE-CIX Methoden zum systematischen Organisieren (Frankfurt), HKIX (Hong Kong). Dies sind Gebäude („Telecom Hotel“) in denen viele aller Tätigkeiten im Bereich Service Manage- Glassfasterkabel enden ( Backbone).Siehe ment und Services Support für Informations- Verfügbarkeitsproblematik systeme. ITIL definiert Prozesse und die Inter- aktionen. ITIL- Prozesse sind. J2EE: (Java Platform, Enterprise Edition) transaktionsbasierte Software-Umgebung auf Incident Management Java-basis, deren Komponenten auch als Problem Management Open Source zur Verfügung stehen, enthält Configuration Management zahlreiche sicherheitsrelevante Komponenten, Change Management z.B. JMS, JAAS. Konkurrenz zu .NET Release Management JAAS: (Java Authentication and Authorization Service Level Management ( SLA) Service) Java API für Authentisierung Finance Management for IT Services und Autorisierung. Die eigentliche Methode Capacity Management wird in einem Pluggable Authentication Module
Version 11.1 Seite 103 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ implementiert Verwundbarkeiten führen können. Lässt sich Jail-break: Entfernen von Restriktionen bei auch für Device Fingerprinting nutzen. Kann einem Apple iPhone oder iPad. Durch ein über no-script Plugin abgeschaltet werden, jail-break gewinnt der Benutzer volle Kontrolle aber dann funktionieren viele Websites nicht über sein Gerät, die verwendete Software kann mehr. Hat bei single-page applications eine das Gerät jedoch auch anfälliger gegen zentrale Bedeutung, dabei werden zumeist Angriffe machen. Siehe rooting fertige Programmbibliothen wie angularJS oder jQuery eingesetzt. JavaScript wird Jamming: Denial of Service Angriff gegen heute aber auch oft in Servern für netznahe drahtlose Kommunikation, z.B. GSM, Programmierung eingesetzt, z.B. mit Node.js UMTS oder LTE JbroFuzz: von OWASP veröffentlichtes JAP: (Java Anon Proxy) Anonymisierer, Fuzzing Tool für Kommunikationsprotokolle entwickelt im Rahmen des Projektes AN.ON der TU Dresden, der Uni Regensburg und des Jericho Forum: Vereinigung von Anwender- Unabhängigen Landeszentrums für Daten- und Herstellerfirmen zum Thema De- schutz Schleswig-Holstein. Das Client Pro- perimeterisation, d.h. der schwindenden Be- gramm JAP sendet die Internetanfragen ver- deutung von starren und undurchdringlichen schlüsselt an eine „Kaskade“ von „Mix“-Server, Grenzen zum Schutz des internen Netzes die die Anfragen untereinander verschlüsselt z.B. wegen der Forderung nach Mobilität der weiterleiten, bis der jeweils letzte die Anfrage Mitarbeiter und Integration von Partnernetzen. offen an den Zielserver versendet. Kann zum Dies bedeutet eine Verschiebung von Trust Umgehen von Zensur, aber auch für kriminelle Boundaries Aktivitäten genutzt werden. Eine durch JIT-Compiler: (Just-in-time-Kompilierung) Gerichtsbeschluss erzwungene Protokollie- üblicherweise findet die Übersetzung aus einer rungsfunktion für bestimmte Websiten kann Programmiersprache in Befehle in einem deaktiviert werden. Die Software steht als separaten Schritt VOR Beginn der Ausführung Open Source zur Verfügung statt. Ein JIT-Compiler wird eingesetzt, wenn Java: Programmiersprache von Sun Micro- diese Übersetzung erst während der Laufzeit systems. Konzipiert für „transportablen“ Code, des Programmes stattfindet, aber eine d.h. Programme die auf unterschiedlichen Interpretation zu langsam ist. Typische Systemen ohne Veränderungen ausgeführt Sprachen bei denen dies der Fall ist sind werden können. Leider haben sich seit ca. Python oder JavaScript 2010 immer mehr Verwundbarkeiten in Java Jitsi: Open-Source Webkonferenzsystem gefunden, so dass es heute zu einer der das heute über WebRTC arbeitet und daher größten Schwachstellen auf vielen Syste- von allen modernen Webbrowsern genutzt men geworden ist. Dies liegt speziell auch werden kann. Die Server werden dezentral daran, dass auch bei einer Aktualisierung gehostet. Jitsi wurde 2020 für Online-Unterricht ältere Versionen oft auch dem Rechner bleiben genutzt, es kann ohne Anmeldung bei Kenntnis (oder bleiben müssen, weil bestehende einer Server-URL (z.B. https://meet.jit.si/ Programme nicht mit den neuen Versionen sofort genutzt werden arbeiten). Statistiken zeigen in 2013, dass 93% JIT-Spraying: Technik zur Infektion von aller Webbrowser mittels Java verwundbar Rechnern die durch ASLR geschützt sind. sind, über die Hälfte der Installationen sind Dabei wird ausgenutzt, dass sog. JIT (just-in- älter als 2 Jahre nicht aktualisiert. Siehe time) Compiler Script-code, z.B. action J2EE script, erst zur Laufzeit erzeugen. Spraying Java Card: Java-Implementierung für bezieht sich auf die Technik einer NOP-slide Embedded Devices, z.B. SIMs. So lassen JMS: (Java Messaging Service) Software in sich z.B. OTPs oder digitale Signaturen im J2EE für Messaging Handy realisieren Journal: (transaction log) bei Datenbanken: Java Runtime Environment: (JRE) Liste der Änderungen seit einem definierten Laufzeitumgebung für Java und gesicherten Stand, verwendet für Wie- JavaScript: Programmiersprache, die von derherstellung (forward recovery). Man Netscape entwickelt wurde und nichts mit unterscheidet „before images“ und „after Java zu tun hat (marketingtechnische images“. Erstere werden verwendet, um Namensänderung). Sie wird hauptsächlich fehlerhafte Änderungen rückgängig zu machen innerhalb von Webseiten verwendet, kann (undo) aber auch beliebige Datenübertragungen im JobCard: ELENA Internet durchführen. Mit ihrer Hilfe lassen sich lokale Aktionen, z.B. Feldüberprüfungen JPEG (Joint Photographic Expert Group): oder Interaktivität der Webseite, erreichen. Eines der zwei gebräuchlichsten Datenformate für Bilder im Internet, gut geeignet für Vom Konzept her sollten sich damit keine Schäden auf Rechnern erzeugen lassen, Farbbilder (das andere ist GIF). JPEG- codierte Bilder sind in der Regel kleiner als jedoch treten immer mal wieder Implementierungslücken zu Tage, die zu GIFs. In JPEG Dateien kann Malicious Code
Version 11.1 Seite 104 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ versteckt sein. Mit Hilfe von Steganographie konzept für E-mails, bei der jeder Benutzer können Nachrichten in Bildern versteckt selbst ein Schlüsselpaar erstellt, und seinen werden. http://www.jpeg.org/ Public Key aktiv mit seinen E-mails verteilt jQery: Programmbibliothek für JavaScript für und das daher ohne CA auskommt die DOM-Manipulation zur Entwicklung von KDC: Key Distribution Centre single-page Webseiten Kennzahlen: KPI JSON: (JavaScript Object Notation) text- Kerberos: (Höllenhund der griechischen My- basiertes lesbares Datenaustauschformat, thologie) vom MIT (Massachusetts Institut of alternativ zu XML, oft genutzt in Ajax. Technologie) entwickeltes Verfahren zur Kann genutzt werden für die Umgehung von Authentisierung mittels SSO durch Aus- SOP tausch von „tickets“. Das Konzept wird heute Juice jacking: Angriff gegen ein tragbares z.B. auch in MS Windows verwendet, wurde Gerät, z.B. Smartphone mittels Ladegerät. jedoch „kreativ“ verändert und ist damit nicht Junk Mail: Spam kompatibel zum MIT Kerberos, aber sehr weit verbreitet, da standard-mäßig in jedem Jurisdiction Shopping : Suche nach Staaten, windows-basierten Firmennetz unterstützt. Die die einen sicheren Hafen für internationale (oft Windows Implementierung erfordert „trust“ kriminelle) Aktivitäten bieten zwischen den beteiligten AD-Systemen. AD Kad: P2Ü-Netz, wird seit 2010 für die kann heute aber auch mittels AD FS Steuerung von TDL-4 eingesetzt SAML unterstützen. Kaizen: (jap. Veränderung zum Besseren) ein http://www.ietf.org/rfc/rfc1510.txt japanisches Management-Konzept für konti- Kerckhoff’s Principle: Grundprinzip der nuierliche Verbesserung ( KVP) mit starker Verschlüsselung, dass Sicherheit nicht durch Mitarbeiterzentrierung. Siehe TQM, PDCA die Vertraulichkeit des Verschlüsselungs- Kamera: digitale Kameras enthalten heute algorithmus entstehen sollte, sondern durch eine Reihe von Funktionalitäten die die den Schlüssels, 1883 in La Cryptographie Privatsphäre gefährden können, z.B. werden militaire. Siehe Shannon, Obscurity GPS-Koordinaten oft automatisch in die Kernel: Kern eines Betriebssystem. Basis- Meta-Tags der Fotos übernommen. Ebenso komponenten die für den grundlegenden Be- können viele Kameras Image-Tags mit den trieb des Betriebssystems notwendig sind. Sie Namen der Personen auf dem Bild erstellen. werden beim Boot-Vorgang zuerst geladen. Bei einem Hochladen auf eine Photosharing- Kernel-Dienste stellen die Basis für die oder Social Networking Website stehen Sicherheitsfunktionen dar. Infektionen in diese Informationen auch extern zur Verfügung diesen Kompomenten sind sehr schwer zu und geben in Kombination mit dem Datum den finden. Viele Sicherheitsfunktionen stützen sich Aufenthaltsort preis. Digitale Kameras die im auf Kernel-Dienste. Siehe root kit, HIPS Rahmen von Home Automation eingesetzt werden (z.B. Überwachung des Kinder- Kettenbriefe: kein primäres Sicherheitsprob- zimmers oder des Eingangsbereiches, siehe lem, soll jedoch vom Facebook Immune Doorbell) können nach einer Trennung für System erkannt und in der Ausbreitung digitale Gewalt genutzt werden. Daher ist gestoppt werden weil durch die hohe nach einer Trennung ein Zurücksetzen aller Konnektivität des Social Graps schon in Passworte wichtig wenigen Minuten bis zu 5% aller Mitglieder erreicht werden können Kartengeld: e-Geld Keyboard: (engl. Tastatur). Siehe auch Katastrophe, Katastrophenfall: (K-Fall) das visual keyboard Eintreten einer Situation, bei der der Katastrophenplan aktiviert werden muss. Key Distribution Centre: (KDC) Teil einer Der Begriff ist mehr oder weniger synonym für PKI, die den öffentlichen Schlüssel verteilt, Krise in der Regel in Verbindung mit CRL oder OCSP Katastrophenplan: Beschreibung der Pro- zesse und Vorkehrungen die eine einge- Key Escrow: Key Recovery schränkte, aber dem Notfall angemessene, IT- Key Exchange: Verfahren zum sicheren Aus- Versorgung sicherzustellen sollen. Teil ist tausch von symmetrischen Schlüsseln. immer ein Alarmplan. Siehe Disaster Siehe IKE, Diffie-Hellman Recovery, Business Continuity Keyless System: (remote keyless system, KaZaA: Internet-Tauschbörse ab 2001. Der RKS) Authentisierungsverfahren das bei Originalclient enthielt Spyware, KaZaA-lite Autos und Gebäuden genutzt wird um hatte einen etwas besseren Ruf. Skype berührungslos (mittels Radiofrequenzen) ein verwendete Teile des KaZaA-Netzes für Schloss zu öffnen, kann als Gerät (Schlüssel Telephonie. 2012 eingestellt. Siehe P2P oder „key fob“) oder als Software in Form KCM: (key continuity management) Vorschlag einer App implementiert werden. Dabei wird für ein vereinfachtes Verschlüsselungs- ähnlich wie bei HOTP ein Zähler verwendet
Version 11.1 Seite 105 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
(„rolling code“) der bei jeder Nutzung KI: künstliche Intelligenz, siehe AI, artificial hochgezählt wird. Dadurch ist eine intelligence Resynchronisierung notwendig wenn z.B. das Killbit: Mechanismus, der die Ausführung von Gerät wiederholt ohne Verbindung zum Auto Active X im Internet Explorer verhindert. aktiviert wird. Diese Resynchronisierung Dies verhindert jedoch auch die Benutzung ermöglicht auch Replay- Angriffe. Erste von Active X zu Update-Zwecken Implementierungen waren bereits 1980. Kill chain: militärisches Konzept das besagt, Vielfältige Angriffe sind möglich, fast alle diese Systeme sind stark verwundbar. Ein simpler dass ein Angreifer um ein Ziel zu erreichen Angriff ist das Unterdrücken des eine Reihe von Schritten ausführen muss und „Verschließkommandos“ durch Störung der dass es für den Verteidiger ausreicht, eines davon zu vereiteln. Dies ist die Umkehr des Übertragung des Kommandos („jamming“). Dadurch verbleibt das Auto offen. Moderne Spruchs dass „der Angreifer nur 1 Schwach- Systeme aktivieren sich oft selbständig über stelle finden muss, der Verteidiger ALLE die Nähe zwischen „Schlüssel“ und Fahrzeug Schwachstellen stopfen muss“. Wird in der IT- Sicherheit zur Abwehr von targeted attacks (proximity). Dies hat den Vorteil dass der Besitzer kein Hand für das Öffnen braucht. durch Breach Detection Systems verwendet Solche Technik wird manchmal auch Kill Switch: (deutsch: Notaus) Einrichtung verwendet um den Motor zu stoppen wenn der zum schnellen De-aktivieren von einem Gerät. Schlüssel nicht mehr in der Nähe des In der Informationssicherheit unterschiedlich Fahrzeugs ist („immobiliser“). Dies soll verwendet, z.B. verhindern dass die Zündung kurz (angebliche) Hintertüren in Geräten (wie geschlossen wird, hat aber zu Problemen z.B. Routern) die es einem Eingeweiten geführt wenn z.B. ein Kind den Schlüssel, der erlauben die Geräte auf die Ferne die De- ja nicht in der Zündung steckt, aus dem aktivieren, z.B. im Kriegsfall des eigenen Fenster wirft. Proxmity Systeme werden häufig Staates mit dem Kunden-Staat. In den angegriffen indem der Angreifer/Dieb einen USA geforderte Funktionalität zum Ab- Empfänger für das Signal des Schlüssels in die schalten des Internets bei Gefahr oder Nähe des Schlüssels bringt (zumeist einen Bedrohung Laptop im Vorgarten des Besitzers) der dann Vorgeschlagene Lösung zum Sperren von ein verstärktes Signal an das Fahrzeug sendet, gestohlenen Smartphones die über das das sich dann öffnet und einen Motorstart jeweilige Betriebssystem und Hardware erlaubt läuft und unabhängig ist von der welt- Keylogger: spezielle Form von Spyware, oft weiten Kooperation von Mobilfunkprovi- als Trojaner auf einem Rechner installiert, dern (was beim Sperren mittels IMEI die Tastenanschläge sammelt und überträgt, notwendig ist, leider nirgendwo u.a. Passworte. Oft auch als unbemerkt implementiert wird und durch Verkauf in installiertes Gerät zwischen Tastatur und andere Regionen ausgehebelt werden PCs, das Texteingaben Passworte aufzeichnet kann). In den USA ist Smartphone-Raub Siehe Phishing, Dropzone, visual mittlerweile landesweit 30% aller keyboard Raubüberfälle, in großen Städten bis zu Key management: (Schlüsselverwaltung) 70%, „Apple picking“. komplexes Aufgabengebiet im Rahmen von Klarnamenszwang: auch Klarnamenspflicht . Verschlüsselung und möglicher Angriffs- In Ö und D immer wieder geforderte Regelung, punkt. Es geht z.B. um die sichere Aufbe- dass bei Kommunikationen in Internet zwar wahrung und Zugriff auf Schlüssel die bei Pseudonyme genutzt werden dürfen, diese kryptographischen Verfahren benötigt werden, aber an einer Stelle, entweder bei dem um (automatisierten) Austausch von Schlüs- Betreiber der Website oder einer zentralen seln vor deren Ablauf und den Austausch von Stelle mit dem realen Namen verknüpft sein Schlüsseln mit Gegenstellen und auch Key müssen. Die Befürworter einer solchen Recovery. Siehe auch PFS Regelung wollen dass es keine Anonymität im Internet gibt, so wie dies in Ländern wie Key Recovery: (key escrow) Verfahren mit China, Nordkorea, Iran, … auch umgesetzt ist. dessen Hilfe verschlüsselte Daten ohne So etwas klingt im Hinblick auf Fake News, Kenntnis des eigentlichen Schlüssels ent- Hasspostings, Morddrohungen, etc. schlüsselt werden können. Dies ist sinnvoll durchaus logisch. Problematisch daran ist wenn es sich z.B. um Firmendaten handelt, die auch nach dem Ausscheiden eines Mitar- jedoch nicht nur die Einschränkung der „freien Meinungsäußerung“ (weil kritische beiters noch lesbar sein sollen. Auf Grund der Äußerungen z.B. zu negativen Auswirkungen Möglichkeit des (staatlichen) Missbrauchs ein im Beruf führen könnten), sondern auch, dass umstrittenes Thema. Bei den meisten PKI- es für Betreiber einer Website mit Produkten ist dies eine optionale Feature. Kommentarmöglichkeiten sehr aufwendig ist, Siehe Escrow Encryption Standard, CrashPlan die wirkliche Identität einer Person zu prüfen. Die heute übliche Angabe einer E-
Version 11.1 Seite 106 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Mail-Adresse bei der Registrierung stellt ja einfache Adresslisten im Rahmen von E-Mail keine Identitätsprüfung dar Kontinuierlicher Verbesserungsprozess: Klassifizierung: auf dem Gebiet der Infor- (KVP) ständiger Prozess zur Verbesserung mationssicherheit: Sicherstellung eines ange- der Leistungserbringung, der Kundenbetreu- messenen Schutzniveaus für Informations- ung, des Umfeldes, der Situation der Mitarbei- werte ( Daten, Anwendungen und Systeme) ter oder anderer relevanter Faktoren des durch Einteilung nach Vertraulichkeits-, betrieblichen Geschehens. Dazu werden Integritäts- und Verfügbarkeitsbedarf. entsprechende Prozesse definiert, diese in Siehe Datenklassifizierung festgelegten Perioden durchlaufen und dabei Klimatisierung: wichtiger Aspekt der Ausstat- die Voraussetzungen für eine kontinuierliche tung eines Rechnerraums. Ausfälle der Beteiligung der Mitarbeiter an Verbesserungen Klimaanlage können zum Gesamtausfall und geschaffen. Wichtige Elemente sind die sogar zur Zerstörung von Rechnern oder Messbarkeit von wichtigen Parametern und Backup-Medien führen deren kontinuierliche Messung. KVP ist in wichtiges Element des umfassenden KMU: (kleine und mittlere Unternehmen) kon- Qualitätsmanagements ( TQM). Siehe krete Einstufung abhängig von Mitarbeiterzahl, Kaizen Bilanzsumme oder Umsatz. Auf Grund von schwach besetztem IT-Personal oft nicht Kontinuitätsmanagement: Ziel ist es, Unter- optimal gegen IT-Risiken abgesichert, engl. brechungen der Geschäftstätigkeit entge- SME oder SMB. Siehe UTM genzuwirken und die kritischen Geschäfts- prozesse vor den Auswirkungen wesentlicher Knowledge-Management: 'Wissensmanage- Ausfälle oder Katastrophen zu schützen; es ment'; soll Orientierungskarten für den Infor- soll Störungen durch Katastrophen und Sicher- mationsdschungel anlegen. Dazu wird das heitsversagen (z.B. als Folge von Natur- Wissen in einem Unternehmen systematisch katastrophen, Unfällen, Geräteausfällen und gesammelt, analysiert, aufbereitet und anderen mutwilligen Beschädigungen) durch eine Mitarbeitern zur Verfügung gestellt. Kombination aus präventiven und reaktiven Wissensmanagement soll verhindern, dass in Kontrollen auf ein akzeptables Maß redu- einer Abteilung eines Unternehmens über eine zieren; Notfallpläne sollen sicherstellen, Problemlösung nachgedacht wird, die in einer dass Geschäftsprozesse in der erforderlichen anderen Abteilung schon gefunden wurde. Zeit wiederhergestellt werden können. Ziel Schwierigkeiten bereitet aber noch die Frage, kann auch sein, mit einem Verlust der wie man das Wissen aus den Köpfen der Kontinuität anderweitig umgehen zu können. Mitarbeiter am besten ins Intranet bekommt - Siehe Business Continuity denn nicht alles lässt sich in Worten oder Bildern ausdrücken und ausdrucken KonTraG: (Gesetz zur Kontrolle und Transpa- renz im Unternehmensbereich) deutsches Kollision: bei digitalen Signaturen und Hash-Werten, wenn 2 unterschiedliche Texte Gesetz. Nach dem KonTraG sind Aktien- den gleichen Hash-Wert ergeben. Dies pas- gesellschaften (AG) in Deutschland gesetzlich siert natürlich immer, wenn viele große Texte zur Risikofrüherkennung, einem Teilbereich auf einen kleinen Wert reduziert werden. Eine des Risikomanagements, verpflichtet, um Signatur gilt als „unsicher“, wenn eine solche den Erhalt des Unternehmens sicherzustellen. Kollision gezielt erzeugt werden kann, so dass International finden sich ähnliche rechtliche ein Dokukment nach einer Veränderung immer Anforderungen beispielsweise im Sarbanes noch die gleiche Signatur hat Oxley Act Konkurrenzspionage : Wirtschaftsspionage Konzernprivileg: im Datenschutz gibt es Konnektivität: Verbindung oder die Art und (im Gegensatz z.B. zum Kartellgesetz) kein Weise einer Verbindung bzw. die Verbindungs- Konzernprivileg, d.h. der Datentransfer zu dichte, z.B. in einem Social Graph eines einem Tochter- oder Schwester-Unternehmen Social Networks. Hohe Konnektivität bedeu- wird genauso betrachtet wie zu jedem anderen tet sehr schnell mögliche Verteilung von Unternehmen Informationen, hinter denen sich auch An- Kopierschutz: technologische Verfahren, die griffe verbergen können oder Belästigungen ein Kopieren von Produkten wie Musik, wie Kettenbriefe. Siehe auch Kontakte, Büchern oder Filme verhindern sollen (oft unter friends Verwendung kryptographischer Schlüs- Kontakte: anderer Name für das Adress- sel). Eingesetzte Verfahren werden zumeist buch in einem Computer oder Smart- entweder schnell „geknackt“ und/oder sind auch für legitime Nutzer stark behindernd. phone. Wird gern „entwendet“, weil diese Daten Hinweise auf das soziale Netz eines Siehe DRM, CSS, Copyright, Reverse Engineering, CGMS-A, VEIL, EME, Menschen geben, den „ Social Graph“, der für Marketing-Zwecke wertvoll ist. Andere eBook Hinweise auf den Social Graph sind die KPI: (key performance indicator) Kenn- friends in den Social Networks, aber auch zahlen zur Messung, ob strategische Ziele
Version 11.1 Seite 107 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ erreicht werden, für die Informationssicher- Kreditrisiko: bei Banken Gefahr des Ausfalls heit in itSMF, ISO 27004, OSSTMM. oder der Bonitätsverschlechterung eines Siehe Benchmark, Mystery Activity Schuldners. Siehe Basel II Kreditkarte: erfunden 1950 von Frank X. Kreditschutz: Firmen, die Aufzeichnungen McNamara unter dem Namen Diners Club. über die Kreditwürdigkeit von Personen und Heute meistgenutztes Zahlungsmittel im Firmen führen. Problematisch, wenn dort Internet. Durch Haftungsübernahme durch falsche Informationen abgelegt sind von denen die Kreditkarten-Organisation für den Kunden der Betroffene, der in der EU theoretisch ein relativ sicher, vgl. Haftung bei Bankomat- Auskunfts- und Korrekturrecht hat, nichts weiß. karten. Wegen der Haftung verfügen die Siehe Datenschutz, fraud alert, Schufa, Kreditkartenorganisation heute über ausgefeil- Scoring te Fraud-Detection Systeme. Kunde kann Kreditwürdigkeit: spezielle Form des jederzeit die Rückerstattung verlangen ( Ratings von Personen um Abzuschätzen, mit Chargeback), der Händler muss dann die welcher Wahrscheinlichkeit sie einen Kredit Transaktion nachweisen. Nutzung von Kredit- nicht zurückzahlen werden. Betrifft auch den karten bedeutet Verlust der Anonymität wie Abschluss von Handy-Verträgen. Dabei geht bei Nutzung einer Bankomat- oder Kun- der Trend dahin, dass auch Daten aus denkarte. Social Networks eingesetzt werden (wenn Die Ökosystem für Kreditkarten sieht die friends einer Person nicht kreditwürdig folgendermaßen aus: Der Kunde bezieht die sind, die trifft dies mit einer gewissen Karte von Card Issuer (VISA, MasterCard, Wahrscheinlichkeit auch auf diese Person zu). American Express, Diners Club, u.a.), oft Dies kann zu erheblichen sozialen Ungerech- „gebrandet“ durch seine Hausbank oder ein tigkeiten führen. Scoring anderes Unternehmen. Wenn die Karte bei Kriminalität: organisierte Kriminalität, einem Händler benutzt wird, so hat dieser eine Wirtschaftskriminalität Verbindung mit einem Acquirer (heute oft Krise: Wende in einer kontinuierlichen elektronisch, d.h. online). Dabei wird je nach Entwicklung. Im Sicherheitsmanagement ein Vertragsgestaltung zumeist bereits Fraud schwerer Vorfall, der Entscheidungen verlangt Detection durchgeführt, dies ist jedoch für den Händler teurer. Der Händler trägt ansonsten und vom Krisenstab behandelt werden muss. Sehr analog zu Katastrophenfall das Risiko einer gestohlenen Karte die vom eigentlichen Besitzer storniert wurde. Der Krisenmanagement: Bewältigung einer Acquirer holt sich dann den Betrag minus Krise, beinhaltet auch interne und externe eines Abschlags vom Endpreis minus seines Kommunikation, setzt eine entsprechende Anteils vom Kartenaussteller wieder, der den Vorbereitung voraus Kunden mit dem vollen Betrag belastet. Das Krisenstab: üblicherweise im Rahmen des Risiko für Stornierungen durch den Kunden Notfallsplans eingesetztes kleines Team, das trägt größtenteils der Händler, abhängig von über das Vorgehen im Not- oder Details des Vertrags, speziell im Rahmen von Katastrophenfall entscheidet. Oft in Form CNP Fraud. Für 2013 werden für die USA einer Überlagerung bestehender Management- Schäden von 5 Milliarden Euro, für den Rest strukturen der Welt weitere 5 Milliarden. Kritikalität: ursprünglich aus der Kernenergie Ein ähnliches Konzept sind Pre-Paid Cards, (K. eines Reaktors), in der IT die Angabe wie dabei muss der Betrag vorher eingezahlt wichtig die Verfügbarkeit von Systemen und werden und stellt für die Herausgeber nur dann Anwendungen ist. Siehe Business Continuity ein Risiko dar, wenn es den Angreifern gelingt, Kryptographie: Lehre von der Verschlüsse- in das interne System einzudringen und die lung. Daten oder Nachrichten werden mit Karten unberechtigt aufzuladen und ohne Limit Hilfe von Regeln in eine Form gebracht, das zu setzen (solche Angriffe sind seit 2011 nur ein berechtigter Empfänger lesen kann. bekannt). Pre-paid Karten können oft Heute in der Regel durch Verschlüsselungs- verwendet werden wo Kreditkarten verwendbar verfahren, mit deren Hilfe Informationen durch sind, z.B. im Internet. Zum Teil sind sie aber mathematische Algorithmen unter Verwendung auch für spezielle Zwecke vorbehalten, oft sind eines Schlüssels in eine unverständliche Form sie auch rein virtuell und bestehen dann nur (Cipher Text) gebracht werden. Nur wer einen aus einem Zahlen- und Buchstaben Code geeigneten Schlüssel besitzt kann die ( e-Geld). Siehe AIS, CISP, SDP, ursprüngliche Information wiederherstellen. PCI, PAN, CVV, 3-D Secure, CNP, Andere Anwendungen sind Hash-Funktionen Track 2 und Schlüsselaustauschverfahren wie Diffie- Kreditkartennummer: 16-stellige Zahl zur Hellman. Mehr Details unter Verschlüsse- Identifikation einer Kreditkarte. Die ersten 6 lungsverfahren, Hash-Funktion, Open Stellen sind die Issuer Identification Number Source (IIN). Eine der Stellen ist eine Checksum Kryptologie: Wissenschaft vom Ver- und nach dem Luhn Algorithmus Entschlüsseln. Weil die Vertraulichkeit von
Version 11.1 Seite 108 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Daten im Internet auch für den E- Sicherheitsprobleme des Internets hin. Commerce von großer Bedeutung ist, rechnen Bekannt durch L0pht crack, ein Tool zum Experten damit, dass Kryptologie immer Cracken von Passworten. Die Gruppe war wichtiger wird. Gesucht sind sichere Verfahren bei den Pionieren von Responsible Disclo- zur Datenübermittlung. Siehe Kryptographie sure. L0pht ging 2000 in @stake auf, das Kubernetes: Open Source System zur später von Symantec gekauft wurde automatisierten Bereitstellung, Skalierung und L2TP: (Layer 2 Tunneling Protocol) auf Verwaltung von Rechenleistungen in sog. PPP basierende Technologie um proto- Container-Anwendungen ( Containervirtuali- kollneutrale VPNs aufzubauen. Ältere Tech- sierung). Kubernetes Implementierungen nologie, gilt nicht als sehr sicher, ist aber in können im eigenen Rechenzentrum genutzt China nur schwer zu blockieren und wird daher werden (z.B. mit Red Hats OpenShift) oder von VPN-Services angeboten um die Zensur- extern in Microsofts Azure, IBMs Bluemix, maßnahmen zu umgehen Amazons AWS oder Oracles. Die Skalierung LaGrande: Technologieansatz von Intel, um ist sehr flexibel: bei Bedarf können dynamisch die Rechnersicherheit zu verbessern. Sie zusätzliche Instanzen eines Containers verwendet dabei TPM und Virtualisierungs- aktiviert werden. Die Kompatibilität erlaubt es, techniken dass eine Kunbernetes Implementierung lokal Lampertz-Zelle: Hoch-Sicherheitsraum für Rechenleistung dynamisch mit externen Server ( Rechnerraum) oder Backup-Medien. Leistungen kombiniert Ausgestattet mit Brandschutz, Klimatisie- Kunde: bzw. Customer. In der Informations- rung und Zutrittskontrolle sicherheit die Organisationseinheit (intern oder LAN: (Local Area Network) Infrastruktur zur extern), für die eine Dienstleistung erbracht wird. Wichtiger Begriff in der ISO 17799- Vernetzung von Rechnern innerhalb einer Organisation und eines Gebäudes. Verschie- 2005. Siehe Information Owner dene LANs können über ein WAN (wide area Kundenkarte: (auch Treue- oder Bonuskarte) network) miteinander verbunden sein, oder nach einer Registrierung an Kunden ausge- über eine Internet-Anbindung im Internet gebene Identifikationskarte, die günstigere eingebunden sein Bedingungen ermöglicht, aber eine Offen- Laptop: (auch Notebook) tragbarer PC legung des Kaufverhaltens bedeutet, das über mit integriertem Bildschirm, Tastatur und data mining ausgewertet werden kann Maus der leicht entwendet wird, an vielen ( Consumer Profile), entweder durch das Unternehmen selbst oder nach Weitergabe Stellen ins Internet geht und daher ein Sicherheitsrisiko darstellt. Schutz der Daten auch in zentralen Datenbanken von Daten- durch Verschlüsselung der Festplatte und sammlern ( data aggregation). Der gleiche Passwortschutz im BIOS. Im Gegensatz Effekt tritt natürlich auch bei Bezahlung mit dazu Desktop Bankomat- oder Kreditkarte ein. Siehe Privatsphäre, Anonymität LARP: (Live Action Role-Playing Game) Form des Role-Playing Games ( RPG) bei dem die Künstliche Intelligenz: Artificial intelligence Spieler ihre gewählten Rollen in der Realität Kursrisiko: im Handel die Gefahr, dass (IRL) einnehmen. Dies können historische während der Dauer eines Geschäftsvorgangs, Rollen sein, oder auch andere. Wird sogar für vom Angebot bis zur Zahlung Währungskurse Unterrichtszwecke eingesetzt, z.B. für sich nachteilig verändern, kann durch Sprachen-Lernen. Eine spezielle Form sind Finanzinstrumente abgefangen werden ARGs. Eine andere Variante sind Capture KVM: (Keyboard, Video, Mouse) über einen the Flag KVM-Switch werden Tastatur, Bildschirm Lastenheft: (oder Anforderungsspezifikation) und Maus wahlweise mit unterschiedlichen beschreibt die unmittelbaren Anforderungen, Rechnern (zumeist Servern) verbunden, Erwartungen und Wünsche an ein geplantes kann auch über IP-Verbindungen geführt Produkt, z.B. Software, formuliert in natürlicher werden Sprache. Siehe Wasserfallmethode KVP: ( kontinuierlicher Verbesserungspro- Lastschrift: Möglichkeit in D., Ö und SEPA zess). Siehe Kaizen Geld von einem fremden Konto anzufordern. KYC: (know your customer) Forderung an alle Erfordert keine Freigabe durch den Zahlenden. Finanzdienstleister, dass sie die Identität Die Sicherheit entsteht durch den Rücktransfer ihrer Kunden zweifelsfrei feststellen und doku- bei Widerspruch mentieren müssen, z.B. durch Prüfung eines Latency: (engl. Verzögerung) im Internet amtlichen Ausweises. Wenn dies nicht meist die Verzögerung bei Datenverbindungen. implementiert wird, wie z.B. bei anonymen e- Jedes Netzwerkgerät (z.B. Router) muss ein Geld, so ist Geldwäsche möglich Datenpaket empfangen, dann Untersuchen L0pht: Legendäre Hacker-Gruppe, wurde und geeignet Verarbeiten, z.B. Weiterleiten. 1998 zu einem Hearing des US Senates Dabei entstehen Verzögerungen, die deutlich eingeladen und weiß auf die konzeptionellen spürbar sind (Millisekunden-Bereich). Eine
Version 11.1 Seite 109 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ typische Internetverbindung besteht es 10 und Ein weiterer Aspekt betrifft die Beschlag- mehr Hops, die auf dem Rückweg der nahme. In Fällen, wo der Service-Anbieter als Antwort wieder genommen werden müssen. möglicherweise beteiligt angesehen wird, Gemessen wird diese Verzögerung z.B. mittels werden Strafverfolgungsbehörden eine Be- Ping, gemessen wird, die Gesamtzeit wird schlagnahmung durchführen und nicht darauf als RTT bezeichnet (round trip time). Siehe vertrauen, dass die Administratoren des Ser- 5G vice-Anbieters die Daten korrekt und vollstän- Lateral Movements: Suche und Infektion der dig herausgeben. Wenn, wie bei Cloud eigentlichen Zielrechner bei einem APT- Lösungen üblich, Daten verschiedener Kunden Angriff. Erfolgt nachdem der Angreifer über aus verschiedenen Ländern im selben System Techniken wie Social Engineering einen verarbeitet werden, so muss im Rahmen der ersten (eigentlich unwichtigen) Rechner Mandantentrennung eine saubere Trennung übernehmen konnte der Kundendaten dergestalt möglich sein, dass die Anforderungen an Beweisfestigkeit und Lauschangriff: passiver Angriff auf die trotzdem die Behörden nicht Zugriff auf Daten Vertraulichkeit von Informationen, entweder aus Ländern erhalten, auf die sie keine Zu- durch Abhören von Gesprächen oder Da- griffsrechte haben. Dies kann z.B. durch tenübertragungen. Auch über die Abstrahlung Verschlüsselung der Daten mit unterschiedli- von Bildschirmen lassen sich Bildschirminhalte chen Schlüsseln pro Land erreicht werden auslesen ( Tempest-Angriff). Siehe Lawful Intercept, SINA-Box Lavabit: E-Mail-Service mit sicherer Ver- schlüsselung von Ladar Levison der bekannt Laufzeitumgebung: (runtime environment) wurde, weil der 2014 geschlossen wurde, als beschreibt und verwaltet die Resourcen, die die US-Behörden von Levison die Schlüssel einem Programm zur Laufzeit (d.h. während zum Entschlüsseln der Mails von Edward der Ausführung) zur Verfügung stehen, z.B. Snowden verlangt hatten. Siehe auch DIME Programmbibliotheken, aber auch Netzzugriffe, Speicher, Datenbanken, Laufzeitvariable Layer: (engl. Schicht) Konzept bei Design mit benötigten Informationen, etc. Beispiele eines Netzes. Eine Schicht fasst verwandte sind Java mit JRE, Flash mit AIR, alle Funktionalitäten zusammen, die Dienste für die Webbrowser, .NET, … darüber liegende Schicht liefern und solche von der darunterliegenden Schicht empfangen. Lawful Intercept: (LI) Abhören von Kommu- Siehe TCP/IP, ISO-Modell nikation (Telefon, E-mail und anderem Datenverkehr) durch die dazu berechtigten LDAP: (Lightweight Directory Access Protocol) Stellen. Ab 2012 behaupten die Behörden, Protokoll in dem beschrieben ist, wie mit Ver- dass es ein „Going dark“-Problem gäbe, d.h. zeichnisdiensten kommuniziert wird. Die gängi- durch die besser werdenden Verschlüsse- gen Internet-Browser- und E-Mail-Programme lungen viele Kommunikationsdienste und das unterstützen dieses Protokoll. Es ist auch für Peer-to-peer Konzept wäre dieser Zugriff den Betrieb einer PKI wichtig. Es ist eine oft technisch nicht mehr möglich. Diese Nachfolgetechnologie für das umfangreichere Argumentation ist umstritten, denn anderseits X.500. http://www.ietf.org/rfc/rfc2559.txt stehen den Behörden z.B. über Social LE: Law enforcement = Polizeibehörden Network heute Berge von Daten für die und ähnliche Dienste Aufklärung von Straftaten zur Verfügung die es LEAP: (Lightweight Extensible Authentication früher nicht gab. Siehe Überwachung, Protocol) von CISCO genutzte Implementie- Wiretap, Lauschangriff, Messaging rung von EAP zur Verwendung für WLAN. Dienste Verwendet MS-CHAP und gilt daher als zu Law Enforcement: (LE) Sammelbegriff für schwach Polizei- und andere Sicherheitsbehörden Leased Line: Standleitung Law Enforcement Access: Zugriff von Least Privilege: Design-Prinzip für Software, Strafverfolgungsbehörden auf Daten, entwe- die besagt, dass jede Anwendung oder jeder der Kommunikationsdaten wie bei der Benutzer nur das Minimum an Rechten Vorratsdatenspeicherung und Lawful Inter- haben sollte die für den jeweiligen Zweck not- cept, (bzw. Bundestrojaner) oder auch auf wendig sind. Wird verletzt, wenn wie unter MS Daten die bei einem Service-Anbieter „in the cloud“ vorliegen. Solche Zugriffe benötigen Windows sehr oft anzutreffen, alle Benutzer mit Admin-Rechten arbeiten oder wenn unter optimalerweise einen Richterbeschluss - liegen die Daten in einem anderen Land, so werden Unix/Linux Arbeiten als „root“ ausgeführt (optimalerweise) im Amtshilfeverfahren auch werden, ohne dass diese Rechte notwendig die Richter im Zielland gefragt. Es hat sich sind. Siehe Admin Approval Mode in Vista jedoch eingebürgert, dass US-Anbieter wie Leet: (auch Leetspeak, Leetspeek, 1137) Facebook und Google auch direkte Netzjargon von (selbsternannten) Internet- Auskünfte geben ohne Involvierung der US- Profis. Basis ist das Ersetzen von Buchstaben Behörden (Google legt darüber regelmäßige durch Zahlen oder Sonderzeichen bzw. durch Berichte vor). andere Veränderungen, Beispiel: pwned.
Version 11.1 Seite 110 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Viele Beispiele siehe u.ä. stellen dabei die Belohnungen dar die der https://de.wikipedia.org/wiki/Leetspeak und Nutzer nicht verpassen will https://en.wikipedia.org/wiki/Leet Like-Button: (Gefällt mir) Konzept beim So- Legal Technology: (LT) Software und cial Networking dass Benutzer einer Online-Dienste die juristische Arbeitsschritte „regulären“ Content-Website mittels dieses unterstützt oder automatisiert. LT 1.0 Buttons eine Zustimmung ausdrücken können, beschreibt Dienste der Büroorganisation, z.B. die dann automatisch allen ihren „ friends“ Ablage, Recherche, Webkonferenzen und kommuniziert wird. Bei Facebook bewirkt Dienste wie e-Discovery ein. aber bereits die blose Anwesenheit des Buttons auf einer besuchten Seite dass ein LT 2.0 beschreibt zukünftige automatische Tracking dieses Benutzers durchgeführt juristische Dienstleistungen und LT 3.0 wird, auch wenn er nicht FB-Benutzer ist. Automatisierungen wie Smart Contracts und Facebook hat dieses Konzept 2011 durch AI-Einsatz Open Graph auf beliebige Beziehungen Let’s Encrypt: (LE) non-profit Organisation die erweitert. Verben können jetzt definiert werden seit 2016 Zertifikate für die Nutzung von wie hört, sieht, kauft, besucht, etc. zusammen verschlüsselten Websites ( TLS) automati- mit entsprechenden Objekten wie Orten oder siert und kostenlos erstellt und auch Musikstücken. Alle Daten die so anfallen sind automatisiert in die Website integrieren und Teil des Social Graphs aktualisieren lassen. Dies hat dazu geführt, Like-Jacking: Schadsoftware, z.B. in Form dass die alte Forderung dass ALLE Websites eines Video-Aufrufs, die bei Aktivierung das nur noch verschlüsselt erreichbar sein sollten Drücken des Like-Buttons simuliert und sich (siehe Reaktion auf Edward Snowden), seit damit an alle „ friends“ weiterverbreitet ca. 2019 weitestgehend erreicht wurde. LE hat Link : Hyperlink damit den Markt der traditionellen certificate authorities sehr stark umgekrempelt. Okt. 2019 LinkedIn: größtes Social Network für beruf- hatte LE 837 Mio Zertifikate erstellt liche Vernetzung, > 200 Mio Benutzer in 200 Ländern. Da es hauptsächlich beruflich genutzt LexisNexis: US Daten-Aggregator, bekannt wird und viele Job-Histories enthält sehr gut geworden u.a. durch "Verluste" von persönli- geeignet für Open Source Research und chen Daten. Social Engineering. Oft enthalten die Profile http://sicherheitskultur.at/privacy_loss.htm#privat Angaben über Inhalte, die der Verschwiegen- LI: Lawful Intercept heitspflicht unterliegen. So listen viele NSA- Liberty Alliance: Industrie-Allianz für Mitarbeiter die Codenamen der geheimen Federated Identity Systems. Entwickelte das Programme in ihrem öffentlichen Lebenslauf ID-FF-Protocol, das heute in SAML aufge- auf. Angriffe über das Übernehmen von gangen ist bestehenden Accounts oder über das Anlegen von Fake Accounts. Wurde 2016 von Libra: von Facebook ab 2018 geplante Microsoft gekauft, ist jedoch z.B. von der digitale Währung, eine Form von Stablecoin. Benutzerverwaltung (noch) nicht in andere Einige Zentralbanken finden das nicht gut Microsoft-Dienste wie Outlook integriert wenn eine große Internetfirma die Kontrolle über die internationalen Finanzflüsse Link Key: wird bei der Herstellung eines konktrolliert und sind deswegen dabei, eigene Pairings zwischen zwei Bluetooth-Geräten CBDC einzuführen verwendet. Entsteht durch Eingabe eines ge- meinsamen Pass Keys auf beiden Geräten. Lichtleiter: Lichtwellenleiter Als Unit Keys oder Combination Keys Lichtwellenleiter: Fibre Optics möglich Liechtenstein-CD: Fall von Datendiebstahl LinkNYC: Projekt von Sidewalk Labs in New bei dem Steuerbehörden in D. 2002 Daten von York. Details siehe Sidewalk Labs Bankkunden in Liechtenstein gekauft haben. Linux: weit verbreitetes UNIX Betriebs- Ähnliche Fälle sind danach noch öfter passiert. system, erstellt auf der Basis von Open Problematisch, da auf diese Weise Cyber- Source und verteilt unter GNU/Linux Lizenz crime-Aktivitäten staatlich „sanktioniert“ wer- als Freeware. Siehe auch LSM, Tails den und Administratoren zu illegalen Tätigkeiten (Bruch das Bankgeheimnisses Lifebits: Konzept bei der das ganze Leben und des Datenschutzes) verleitet werden. eines Menschen aufgezeichnet wird, z.B. http://sicherheitskultur.at/notizen_1_10.htm#diebsta durch Google Glass oder andere wearable hl computing Projekte. Problematisch, da ja auch große Teile des Lebens seiner Mitmenschen Likes: Inbegriff des Belohnungssystems das ungefragt aufgezeichnet (und immer häufiger die Stickyness von erfolgreichen Social auch auswertbar) werden. Zu unterscheiden Networking Websites ausmacht. Dabei wird von Quantified Self mit Tricks aus dem Bereich des Glücksspiels z.B. auf abwechselnde Belohnung und Lifelogging: wird bisher nur von wenigen fehlende Belohnung gesetzt. Likes, retweets Menschen durchgeführt. Dabei werden alle
Version 11.1 Seite 111 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Daten aus der Umgebung des Betroffenen maschinen (Tabelliermaschinen), die über sog. z.B. mittels Fotos, Video und Sprache aufge- Stecktafeln programmiert wurden zeichnet. Dies soll ein perfektes Gedächtnis Log: Logging erzeugen und kann verbunden werden mit frictionless sharing. Dadurch wird natürlich Logfile, Logdaten: Daten, die beim Logging auch in die Privatsphäre der Menschen in entstehen. Sicherheitsrelevante Logfiles sollten der Umgebung eingegriffen vor Modifikationen geschützt sein und regelmäßig ausgewertet werden. Oft enthalten LifeStyle: Marke des österreichischen Data sie personenbezogene Daten und können Aggregators Schober, bekommt seine detail- daher unter das Datenschutzgesetz fallen. lierten Informationen u.a. durch Fragebogen- Siehe Data Retention, Monitoring Aktionen mit amtlichem Aussehen, bzw. möglicherweise auch über Kundenkarten Logging: Schreiben von Protokollen von Aktivitäten, Events und Zugriffen durch Be- Lizenz: generell die Erlaubnis, etwas zu tun. nutzer, Systeme und Geräte. Die Aus- Im Urheberrecht entweder eine einfache wertung der Logfiles ist ein wichtiger Aspekt oder exklusive Lizenz zur Nutzung eines der Informationssicherheit. Das DSG fordert Werkes, z.B. eines Textes oder einer Software. z.B., dass Zugriffe auf und die Veränderung Normalerweise ein Vertrag zwischen zwei von sensiblen Daten so protokolliert werden Vertragspartnern, kann aber auch generell müssen, dass Verursacher festgestellt werden gewährt werden, z.B. beim Einstellen ins können. Logs spielen auch im Rahmen eines Internet. Nach Creative Commons werden SIEM eine große Rolle. Siehe syslog dabei 3 Fragen definiert: a) Nutzung ohne Nennung des Autors erlaubt? Log-in: Authentisierung in einem Netz, Betriebssystem oder Anwendung. Siehe b) kommerzielle Nutzung erlaubt? c) sind Veränderungen (Derivate) erlaubt und SSO muss dafür die gleiche Lizenzform verwendet Logische Sicherheit: zusammen mit physi- werden? scher und personeller Sicherheit wichtige Daraus ergibt sich z.B. „freie Software“ und Bausteine von IT und Informationssicher- public domain-Werke, bei denen pauschale heit. Bezeichnet Software-Schutz der Systeme, Nutzungsrechte eingeräumt werden. Siehe z.B. Identifizierung, Kennwörter, Auskunfts- Urheberrecht, GPL, EULA, Freeware rechte, Berechtigung und die dafür not- wendigen Prozesse LSM: (Linux Security Modules) Framework für Sicherheitserweiterungen im Linux Kernel GotoMeeting: Software für Webkonferenz- auf der Basis von Mandatory Access systeme von Firma LogMeIn (LogMeIn Control. Implementiert durch SELinux und wurde unter anderem Namen in Budapest AppArmor gegründet und nahm 2006 diesen Namen an, 2016 übernahmen sie die GoTo-Sparte von Load Sharing: Lastverteilung. Wenn mehrere Citrix). GotoMeeting ist sehr ähnlich zu Rechner (oft in der Form eines Clusters GotoTraining, GotoWebinar, GotoAssist jeweils einen Teil der Last übernehmen. Mit (Fernwartung), etc.). So wie ähnliche Hilfe dieser Technologie wird Hochverfüg- Dienste nutzen sie verschlüsselte Datenüber- barkeit mit einer Erweiterung der Rechnerka- tragung zu zentralen Servern, auf denen die pazität kombiniert Inhalte in Klartext vorliegen Local adversary: global adversary LOIC: (Low Orbit Ion Cannon) fiktionale Waffe Localization: Schlagwort im Rahmen von aus dem Spiel Command&Conquer). Pro- Cloud Computing (mehr Details auch dort), gramm das für DoS-Angriffe genutzt warden bei dem es darum geht, in welchen Ländern kann. Wird oft für Hacktivismus genutzt, Daten gespeichert werden. Dies kann Aktivisten können damit einem freiwilligen juristisch einen Unterschied machen, z.B. Botnetz betreten. Es wurde z.B. bei Aktivi- wenn es um Zugriffe von Law Enforcement täten von 4chan oder Anonymous einge- Behörden geht. Anderseits hat 2013 in Mgr von setzt. Siehe auch HOIC Microsoft erklärt, dass der Zugriff durch LoRaWAN: (Long Range Wide Area Network) die NSA auch auf Daten in Europa möglich Funkverbindungen mit kleiner Reichweite ist. Trotzdem arbeitet 2014 Microsoft in diese werden zu Weitverkehrsnetzen mit geringer Richtung, Google erklärt sich ausdrücklich Bandbreite zusammengeschlossen. Amazon dagegen setzt diese Technik (in Verbindung mit BLE Local Shared Object: (LSO) (Bluetooth Low Energy) bei Amazon Echo Lochkarte: Alter Datenträger, entstanden und Amazon Ring ein damit diese Geräte noch vor der Erfindung des Computers, auch im Bedarsfall eine Verbindung zum verwendet anfangs für Dateneingabe für Internet über fremde Geräte dieses Typs Webstühle, dann ab 1890 durch Hollerith für aufbauen können, z.B. die Geräte des die Auswertung der amerikanischen Volks- Nachbarn. Die Sicherheit dieser Feature ist zählung weiterentwickelt, zusammen mit den noch nicht unabhängig getestet worden dafür nötigen Stanz-, Lese- und Sortier- LOVINT: Analogie zu SIGINT, beschreibt
Version 11.1 Seite 112 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ wenn Geheimdienstmitarbeiter die Über- Mensch jederzeit direkt vernetzt ist, auch wachungstechnologien zur Kontrolle von (alle?) Dinge an dieser Vernetzung teilhaben Partnern oder anderen „love interests“ nutzen werden. Ende 2012 wird die Zahl der LSASS: (Local Security Authority Subsystem) vernetzten Dinge bereits auf 50 Milliarden geschätzt ( Webcams, Steuerungen im Dienst in MS Windows für die Überprüfung von Benutzeranmeldungen und Zugriffsrechten Industriebereich ( ICS), RFID-Chips in der Logistic). M2M ist auch die Basis von LSO: (Local Shared Object) Flash Cookie Industrie 4.0 LTE: (3GPP Long Term Evolution) Nachfolge- In Zukunft werden auch privat genutzte Geräte konzept zu UMTS. 2012 wurde gezeigt, dass wie Autos oder Haushaltsgeräte ( HAN), es sehr anfällig gegen Jamming ist, da dafür z.B. Thermostaten, aber auch Kühlschränke, lediglich bestimmte Steuerkanäle gestört Waschmaschinen, Kaffeemaschinen, etc. ver- werden müssen. Siehe 4G netzt sein und mit anderen Geräten, z.B. Luftschnittstelle: bei der Nutzung einer draht- unseren Smartphones kommunizieren. losen Übertragungstechnik der Anteil der Verwundbarkeiten in Autos, Smartmetern und medizinischen Geräten haben bereits Datenübertragung der drahtlos erfolgt. Im Fall von Handytechnologien wie GSM, GPRS aufgezeigt, dass z.B. Authentisierungen fast und UMTS ist dieser Teil immer verschlüs- nie sauber implementiert werden und daher viele neue Angriffsmöglichkeiten entstehen. selt (zwischen dem Endgerät und der Relais- M2M wird nicht ohne Übergang zu IPv6 station), im Fall von Wireless kann die Über- möglich sein, das seine eigenen Probleme tragung, speziell im öffentlichen Bereich, auch aufwirft. Eines der vorgeschlagenen unverschlüsselt sein (zwischen dem Endgerät Protokolle für M2M ist OPC UA und dem Access Point) MAC: Luhn Algorithmus: Checksum, die z.B. für 1) MAC address: (Media Access Control Add- Kreditkartennummern eingesetzt wird, ress) Hardwareaedresse, die weltweit zentral enthält Schutz gegen das Vertauschen von vergeben wird und ein Gerät in einem lokalen Nachbarziffern IP-Netz eindeutig identifiziert. Diese Informa- LULZ : „for the LULZ“ bezeichnet die Motivation tion wird z.T. zur Identifizierung und Autori- eines Angriffs gegen Netze oder Systeme sierung von Geräten genutzt, z.B. bei einigen der weder aus finanziellen Motiven geschieht, Wireless Networks. Sie kann aber leicht noch Hacktivismus ist, sondern nur im Spaß gefälscht werden, was bei Kabelmodems zu haben. Ethisch bedenklich wird es, wenn routinemäßig eingesetzt wird. Unbeteiligte zu Schaden kommen, z.B. durch 2) Mandatory Access Control die Veröffentlichung ihrer Passworte. LULZ 3) Message Authentication Code wird zumeist interpretiert als Plural-Substantiv 4) MAC-Times - Modify, Access, Creation – im von LOL (laughing out loud). Bereich der IT-Forensics bezeichnen MAC- LULZSEC: Hacker-Gruppe die 2011 einige Times die zu sichernden Zugriffszeiten zu allen spektakuläre Aktionen hatte, z.B. gegen Dateien. Diese sind zu sichern, bevor irgend- Sony. Hacktivismus. Siehe welche anderen Aktivitäten auf den Rechnern http://sicherheitskultur.at/notizen_1_11.htm#rant diese verfälschen könnten LUN: (Logical Unit Number) im SCSI- Machine Learning: Algorithmen, die aus Protokoll und Ablegern wie Fibre Channel Daten mehr oder weniger selbständig lernen Protokoll (FCP) werden Komponenten eines können. Genutzt z.B. für Mustererkennung. Geräts (zumeist Festplatten) mittels LUN Verwandt mit Neural Networks und ein adressiert. Beispiele für LUNs sind von einem Teilgebiet von Artificial Intelligence und Disksubsystem exportierte physikalische oder Data Mining. Ein OpenSource Projekt in virtuelle Festplatten, sowie die Bandlaufwerke diesem Umfeld ist TORCH. Siehe auch und Roboter und Bandbibliothek. Siehe SAN Explainability, DeepMind LUN Masking: schränkt die Sichtbarkeit von Mac OS X: Betriebssystem von Apple. Mac Festplatten ein, die ein Disksubsystem im OS X (basierend auf Unix) ist für PowerPC- Rahmen von Enterprise Storage Systemen und Intel-basierte Rechner. Es hat sich in den exportiert. Jeder Rechner „sieht“ nur die letzten Jahren leider als nicht resistent gegen Schadsoftware herausgestellt und muss Festplatten, die ihm zugewiesen sind genauso regelmäßig aktualisiert werden wie Lustre: File system für verteilte Speicher- Windows Systeme. Viele der Sicherheits- umgebungen, wird meist im Zusammenhang features von Windows Vista und Win 7 mit UNIX ( Linux) für Hochleistungsanfor- kommen erst 2011 in Mac OS X. Eine Variante derungen eingesetzt von Mac OS wird als iOS auf den iPhones M2M: Schlagwort, analog zu P2P (peer-to- und iPad verwendet. Siehe Gatekeeper peer), das dafür steht, dass in Zukunft Macro: aus Programmiersprachen über- zusätzlich zu der Tatsache, dass (fast) jeder nommener Begriff. Ein Script, das in einer
Version 11.1 Seite 113 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
„scriptable“ Anwendung für erweiterte Funk- nicht mehr, die Nachfolger dieser Rechner sind tionalität sorgt. Unter Windows können solche es aber, die heute als Server bezeichnet Makros beliebigen Code ausführen, d.h. sie werden können großen Schaden anrichten. Beispiele Maker: Technoslang für 3D Drucker, für „scriptable“ Anwendungen sind MS Word, MakerBot ist eine Herstellerfirma MS Excel, MS Outlook, Adobe Acrobat. Siehe Malicious Code: (malicious, engl. bösartig) Macrovirus Schadsoftware. Siehe Malware-Schutz Macrovirus: Virus, das die Makrofähigkeit von vielen Programmen (MS Word, MS Excel, MALINTENT: umstrittenes Projekt des DHS um auf Grund von kontaktlos gemessenen Adobe, Outlook, etc.) ausnutzt. Mit Hilfe eines Daten wie Körpertemperatur, Puls, Atemrhyth- solchen Makros lässt sich meist beliebiger mus und unwillkürliche Aktivitäten der Ge- Code auf einem System ausführen. Entspre- sichtsmuskeln böse Absichten eines Menschen chende Programme sollten so eingestellt sein, zu erkennen. Erinnert an die “Precrime dass sie nur nach Rückfrage bei dem Anwen- der Makros ausführen Detection“ des Films Minority Report. Siehe Präventionsstaat Magnetband: Datenträger in Form eines Malvertising: Kunstwort, das die Verteilung Bandes, bei dem eine oder mehrere mag- netisierbare Schichten auf einem nichtmag- von Schadsoftware (Malware) mittels Wer- beeinblendungen auf reputablen Websites netisierbaren Träger aufgebracht sind und bei beschreibt. Dafür wird Werbenetzwerken wie dem die Information durch Magnetisierung auf- Google’s DoubleClick eine Anzeige „unter- gezeichnet wird geschoben“, deren Inhalt nachträglich Magnetplatte: (auch Festplatte) Datenträger dynamisch durch die Malware ersetzt wird in Form einer oder mehrerer Platten, bei denen Malware: Schadsoftware, siehe Malware- magnetisierbare Schichten beidseitig auf Schutz einem nichtmagnetisierbaren Träger (oft Aluminium) aufgebracht sind und bei denen die Malware-Schutz: Programme, die entweder Information durch Magnetisierung aufge- auf einem PC, einem Server oder in zeichnet wird. Oft auch Festplatte genannt (im Verbindung mit Firewalls oder Proxies Gegensatz zu Floppy), Größe heute von 500 Dateninhalte auf Malware untersuchen. Die GB bis >2TB (Terabyte). Alternativ werden Kommunikation zwischen Firewalls und Scan- heute sehr oft SSD eingesetzt. Siehe nern findet über das CVP Protokoll statt. S.M.A.R.T. Herkömmliche Verfahren suchen in Dateien nach Bit- Pattern von bekannten „bösen“ Magnetstreifen: Kurzes Stück Magnetband Programmen (ergänzt durch Heuristics), auf einer Kredit- oder Bankomatkarte, auf können damit jedoch neue Schadsoftware dem Daten gespeichert sind. Solche Daten sind sehr leicht fälschbar und daher sehr und stoßen jedoch auf Grund von Code Obfuscation mehr und mehr an ihre Grenzen unsicher (UPX) und bei gezielten Angriffen ( tar- Mail spoofing: Versenden von Nachrichten geted attacks) fast immer wirkungslos. Neue mit falschen Absenderangaben mit dem Ziel, Methoden sind das Ausführen der Programme unerkannt zu bleiben, oder vorzugeben jemand in Sandboxes um zu sehen, was die anders zu sein, wird bei Spam und Programme wirklich tun, bzw. das Überwachen Phishing oft verwendet. Siehe spoofing der Geräte auf ungewöhnliche Aktivitäten wie Mainframe: traditioneller Großrechner mit Verbindungsaufbau zu Botnets oder anderen proprietären Betriebssystem und monoli- IP-Adressen die im Rahmen von Schadsoft- thischer Architektur. Genutzt bis 1970 haupt- ware aufgefallen waren. Dazu gehört auch das sächlich im sog. Batch-Modus (d.h. Program- Simulieren von Browser-Verhalten bei der me die mittels Lochkarten oder andere Ausführung von JavaScript. Siehe, Virus, Mechanismen gestartet wurden und keinen Decompression Bomb interaktiven Input von Menschen bekamen), Managed Service Provider: (MSP) überneh- bzw. ab dieser Zeit dann auch interaktiv, meist men für kleinere Firmen alles dass, was IT- über sog. Terminals, d.h. text-orientierte Administratoren tun würden, wenn sich das Bildschirme. Der Hersteller mit einem Unternehmen eine eigene IT-Abteilung leisten dominierenden Marktanteil war IBM, andere könnte. D.h. die Qualität dieser Firmen ist für Firmen wurden als BUNCH zusammengefasst: die Sicherheit einer Firma ganz wichtig. Der Burroughs, Univac, NCR, Control Data, Supply Chain Attack gegen Kaseya (einem Honeywell – alle diese Firmen sind heute nicht Anbieter für Administrations-Software für mehr im IT-Geschäft tätig, Ergebnis der MSPs) in 2021 hat gezeigt, dass solche Revolution durch PCs und ab 1970 immer Firmen schlimmstenfalls auch Einfallstore für stärker werdender Minicomputer wie die von Schadsoftware sein können . DEC, Perkin Elmer, Silicon Graphics (SGI), Man-in-the-Browser: Spezialfall des Man- Data General, Wang (die Größe typischer- in-the-Middle Angriffs bei dem sich die weise bis zu heutiger 19-Zoll Rack-Größe). Die Schadsoftware z.B. als Browser-Plugin meisten dieser Firmen existieren heute zwar
Version 11.1 Seite 114 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
(BHO) im Web-browser selbst installiert solche MITM-Angriffe. Eine Methode um dies und damit Zugriff auf die Inhalte hat die im sicher zu implementieren ist Certificate Browser angezeigt werden, auch dann, wenn Pinning in der Smartphone App. die Sitzung über eine HTTPS-Verbindung Vorgeschlagene Verfahren gegen unautori- abgesichert war. Auf diese Weise können leicht sierte Zertifikate sind OCSP, HPKP, Passworte und andere vertrauliche Inhalte Certificate Authority Authentication und abgehört und an Angreifer übertragen werden Certificate Transparency Siehe ARP, Man-in-the-Cloud: (MITC) Schlagwort der Phishing, Man-on-the-Side Sicherheitsfirma Minerva für eine neue An- http://sicherheitskultur.at/man_in_the-middle.htm griffsoption: Angreifer können durch Verän- Man-in-the-Mobile: Schadsoftware im derungen in der Windows Registry bestehende Smartphone die versucht, den Datenverkehr Verbindungen zu Cloud-Speicherdiensten zu überwachen oder zu ändern, bzw. die wie Dropbox, Google Drive, OneDrive, etc. mTAN-SMS umzuleiten. Bei konsequenter so umleiten, dass die Daten auf einen Implementierung des Sandbox-Konzept und Account unter der Kontrolle des Angreifers Abwesenheit von Jailbreak oder Rooting fließen. Ebenso können sie durch Übernahme ist der Zugriff auf den Datenverkehr nur schwer des Accounts des Opfers Software auf dessen möglich, bei Jailbreak sehr wohl. Das Umleiten PC übertragen. Dies ist möglich, da für diese der SMS ist jedoch sehr leicht und wird von Zugriffe typischerweise kein Passwort 2011 bereits eingesetzt benötigt wird, sondern nur ein Langzeit http://sicherheitskultur.at/man_in_the- OAuth- Token, der auf jedem anderen middle.htm#mitmo Gerät genutzt werden kann. D.h. das Mandantentrennung: (engl. Multi Tenancy) Transportieren dieses Tokens ermöglicht die Separierung von Daten unterschiedlicher unberechtigten Zugriffe juristischer Einheiten die auf einem gemeinsa- Man-in-the-Loop: Human-in-the-Loop men System verarbeitet werden, z.B. wie bei Man-in-the-Mailbox: Schlagwort für Angriffe Cloud Computing üblich, so dass aus- bei denen das natürliche Vertrauen von geschlossen ist, dass eine juristische Einheit, Benutzern gegenüber den Inhalten ihrer auch bei Programmfehlern, Zugriff auf Daten Mailbox, speziell von Kollegen oder guten von möglichen Mitbewerbern bekommt. Dies Bekannten ausgenutzt wird. Im Gegensatz zu wird zwar heute noch zumeist über Filterung e-mail-basierten Social Engineering auf Grund eines Datenfeldes (z.B. Kunden-ID) Angriffen wird hier der Inhalt von legitimen durchgeführt, was aber nicht unter allen E-Mails verändert, z.B. durch Einfügen von Umständen ausreichend ist, speziell wenn URLs zu Malware oder infizierte Anhänge Daten aus unterschiedlichen Ländern Man-in-the-Middle Angriff: (MITM) Angriff, bei verarbeitet werden und dabei Law dem ein Computer logisch zwischen zwei Enforcment Access berücksichtigt werden Kommunikationspartnern steht und auf diese muss Weise Daten mitlesen oder verändern kann, Mandatory Access Control: (MAC) für den der Begriff wird seit 1995 genutzt. Der Angriff Level B1 des ITSEC gefordertes Verfahren, kann auch dann erreicht werden, wenn der bei dem Objekte (Daten, Bildschirme Daten- Angreifer nicht physikalisch den Datenverkehr speicher, Drucker und Personen), sowohl nach unterbrochen hat. Dies gelingt z.B. durch Ver- Zugriffsleveln, als auch Zugriffskategorien ein- änderung der DNS-Konfiguration für diese gestuft werden. Nur wenn alle diese Kriterien Domain. Auf diese Weise können Informa- erfüllt sind, kann die gewünschte Aktion aus- tionen mitgelesen, abgefangen und verfälscht geführt werden. Siehe TCSEC, MLS, werden. Eine weitere Möglichkeit ist, wenn der MULTICS Angreifer „auf“ dem Gerät selbst sitzt und dort Man-on-the-Side: Variante zum Man-in-the- den Datenverkehr kontrolliert und verändert, Middle Angriff der u.a. von der NSA z.B. durch einen Trojaner ( Man-in-the- eingesetzt wird um Rechner zu infizieren. Browser) oder Nutzung von PAC. In 2011 Dabei wird der Datenverkehr vom Web- wurden die Internetsitzungen von 300 000 browser zum Webserver zusätzlich zu einem Benutzern im Iran über Veränderung der DNS- weiteren Webserver umgeleitet, der in die Einträge plus gefälschte SSL-Zertifikate Antwort des korrekten Webserver zusätzliche umgeleitet und geknackt, d.h. ihre Passworte Datenpakete einfügt, z.B. ein Javascript, wurden bekannt. oder eine Verlinkung auf einen weiteren Verhindert werden solche Angriffe über eine Webserver, von dem aus dann ein Exploit sichere Authentisierung der Kommuni- zum Webbrowser gesendet wird kationspartner, z.B. mittels SSL-Zertifikat. MAPI: (Messaging Application Programming Dabei ist es wichtig, dass der Benutzer das Interface) ursprünglich von Microsoft ent- Zertifikat der Website selbst überprüft. Da dies wickelte Schnittstelle, über die ein Client Pro- bei Smartphone Apps nicht möglich ist fällt gramm E-Mail-orientierte Kommandos an diese Aufgabe der App selbst zu, wird aber einen „Message Store“, d.h. einen Mailserver sehr oft nicht korrekt erledigt und erlaubt damit absetzen kann. War bis MS Exchange 5.5 die
Version 11.1 Seite 115 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Hauptzugriffsmethode für Microsoft Match on Card: MOC MapReduce: Programmierkonzept für die Matrix: Auswertung sehr großer unstrukturierter Daten 1. (Multistate Anti-Terrorism Information ( Big Data), ursprünglich von Google für Exchange) US Überwachungsprojekt das ihre Suchmaschine entwickelt. Eine eine große Zahl unterschiedlicher Quellen Implementierung ist Pig von personenbezogenen Daten Marion: (Méthode d´Analyse des Risques kombiniert. Informatiques et d´Optimisation par Niveau) http://sicherheitskultur.at/privacy_loss.htm#pri 1986 in Frankreich entwickelt und in dem Buch vat “La sécurité des réseaux; Méthodes et 2. Offener Standard für Messaging in techniques” 1989 publiziert. Marion ist eine föderierten Umgebungen. D.h. nicht alle Applikation zur Beurteilung der Informations- Nutzer müssen auf derselben Instanz sicherheit und basiert auf der gleichnamigen angemeldet sein. Die Software (siehe Methode, welche sich hauptsächlich in matrix.org) unterstützt Chat, voice „frankophonen“ Gebieten etabliert und in vielen over und Videotelephonie. Als Client wird französischen Unternehmen bis heute im prak- vor allem Riot.im oder Fractal tischen Einsatz bewährt hat eingesetzt. Es gibt bridges zu iMessage, Market: Begriff für eine Website, von der E-Mail, Facebook Messenger, sog. Apps für mobile Geräte wie Mastodon, RSS, Skype, Smartphones heruntergeladen und auf den Telegram, SMS, Whatsapp, Geräten installiert werden können. Offizielle WeChat, IRC, Slack, XMPP Markets implementieren einen begrenzten Maturity: (Reifegrad) es gibt eine Reihe von Schutz gegen mobile Malware, „alternate Modellen zur Darstellung des Reifegrads von markets“ wie sie für iPhones nach einem Sicherheitsprozessen: ISO/IEC 21827, Jailbreak zur Verfügung stehen oder für CMM, SMM Android-Geräte grundsätzlich sind eine optimale Verteilmöglichkeit für Schadsoft- Maus: Eingabegerät für Bildschirmpositionen, ware für diese Geräte. Die Schadsoftware alternativ dazu Trackpad, Touch Screen, o.ä. Heute oft auch drahtlos, bei Servern oft über besteht ganz oft aus populären Apps, wie z.b. Spiele ( Games) die mittels Re-engineering KVM-Switches. Es gibt Angriffe bei denen mit zusätzlichen Schadfunktionen versehen ein externes Programm, z.B. auf einem USB-Stick, Maus- und Tastatur-Eingaben wurden. 2011 wird für Android von 50000 neuen Schadsoftware Apps pro Tag berichtet simuliert und auf diese Weise Zugriff zum Rechner bekommt Marktrisiko: für Banken die Gefahr der MBR: (Master Boot Record) erster Datenblock Wertverringerung eingegangener Positionen eines partitionierten Speichermediums, genutzt infolge adverser Marktbewegungen. Siehe Basel II für den Start des Rechners, wird oft von Schadsoftware genutzt um sich zu ver- Mashup: Kombination von Daten und/oder stecken und sicher gestartet zu werden. Siehe Anwendungen, zumeist mittels Web 2.0 root kit, Mebroot, secure boot Technologien wie z.B. AJAX. Beispiel ist das MBS: (Multi Bank Standard) standardisiertes Anzeigen von Hotels von einer Reisewebsite in Protokoll, bei dem (hauptsächlich kommer- Google Earth, Verlinkung mit Flickr-Fotos oder zielle) Bankkunden mittels eines Client- YouTube Videos. Durch die dadurch Programms auf ihrem Rechner mit mehr als entstehende Komplexität können neue Sicherheitslücken entstehen einer Bank Daten austauschen können, meist direkt aus den jeweiligen Buchhaltungspro- Maßnahmen: (engl. Measures & Controls) grammen (FIBU) heraus, auch Telebanking Aktivitäten und Einrichtungen, die zum Schutz genannt. Gilt als sicherer als E-Banking gegen Verletzungen der Informationssicher- übers Internet heit genutzt werden. MBSA: (Microsoft Baseline Security Masquerade: Spoofing Analyzer) analysiert den Patch-Zustand von Massive Open Online Courses: (MOOC) Windows-Systemen und Konfigurationsfehler. Trend seit 2013/14 – sehr renomierte Benutzt HFNetChk Universitäten, z.B. MIT und Harvard bieten MCP: (Mobile Contactless Payment) Anwen- Studiengänge online für einen weltweiten dung auf UICC-Karten, die über NFC kom- Studentenkreis, zum Teil kostenlos, bzw. nur munizieren soll und Kredit- und Banko- die Prüfungen kosten Geld. Dies fällt unter das matkarten ersetzen soll. Dabei hält der Be- Stichwort Disruption („disruptive innovation“) nutzer sein Handy in die Nähe des Lese- Mastodon: Software für eine Micro- geräts und gibt über einen Dialog auf dem Blogging-Implementierung auf der Basis des Handy die Zahlung frei. Technisch wird dafür ActivityPub Protokolls, das dadurch eine Application auf der UICC installiert, die Daten mit vielen anderen Diensten über ein SIM-Toolkit mit Software auf dem austauschen kann, siehe Fediverse Handy kommunizieren kann. Außerdem wird
Version 11.1 Seite 116 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ vermutlich noch ein Benutzer-Interface auf oder NGN. Schwachstellen in VoIP-Syste- dem Handy installiert. Installation und men können so auch traditionelle Telefonnetze Aktualisierungen sollen auch OTA (over the air) (PSTN) bedrohen, anderseits können diese möglich sein. Sicherheit soll über die Gateways auch Angriffspunkt sein. Siehe tamper-resistance der UICC entstehen, MGCP allerdings ist noch nicht klar, wie das bei einem Medienbruch: Wechsel eines informations- Handy mit Jail-break erreicht werden kann tragenden Medium bei einem Datenaustausch MD5: Hash-Funktion, wie sie bei der digita- oder Datenverarbeitung, z.B. eine Neueingabe len Signatur eingesetzt wird. Mit einer Hash- von Daten, bei der es zu Verletzungen der Funktion wird aus einem langen Dokument ein Integrität kommen kann. Sicherheits- kurzer Wert berechnet, der sich auch bei sehr technisch manchmal erwünscht, z.B. TAN- geringen Änderungen im Dokument sehr stark Versand via SMS oder beim Konzept des verändert. Dadurch kann die Integrität, die Terminalservers oder SSL/VPN, da durch Unversehrtheit eines Dokumentes, festgestellt den Bruch ein automatisierter Angriff sehr werden. Die Sicherheit von MD5 wurde 2005 in erschwert wird Frage gestellt und Ende 2008 geknackt, es Medieninhaber: Personen die Inhalte kommu- wird leider immer noch in SSL-Zertifikaten nizieren. Sie sind für diese Inhalte verant- verwendet wortlich. Von Medien im juristischen Sinne MDA: (Mobile Digital Assistant) bis ca. 2010 versteht man jedes Mittel zur Verbreitung von ein PDA mit der zusätzlichen Funktionalität Mitteilungen oder Darbietungen mit eines Mobiltelefons gedanklichem Inhalt in Wort, Schrift, Ton oder MDM: Mobile Device Management Bild an einen größeren Personenkreis (dies kann bereits ab 10 Personen greifen). Dies Meat Puppet: Gegensatz zu Sock puppet kann Newsletter, Webseiten und Social (d.h. 1 Person spielt mehrere digitale Identitä- Network Präsenzen betreffen. Wenn andere ten bei Online-Diskussionen). Bei Meat Puppet Personen dort illegale Inhalte verbreiten so wird eine Person dafür bezahlt wird, Meinun- reicht auf Basis des Medienprivilegs ein gen online zu vertreten, z.B. in Social Net- zeitnahes Entfernen nach Kenntnisnahme works (z.B. Beträge auf Firmenseiten) oder in Diskussionsforen ( Chat Room). Wird vom Medienprivileg: um die Pressefreiheit zu US-Militär unter dem Begriff „Digital Engage- schützen werden einige Punkte des ment“ eingesetzt Datenschutzes nicht auf sog. Medien angewandt. Darunter wird auch verstanden, Mebroot: generische Software-Plattform für dass es Medienbetreiber nur dann für Inhalte die Infektion von Rechnern auf der Ebene haften die auf ihrer Website veröffentlicht von MBRs. Erlaubt das Installieren, De- werden, wenn sie nach einer Information über Installieren und Aktivieren beliebigen von illegale Inhalte diese nicht zeitnah entfernt Schadsoftware-Modulen haben. Dies betrifft z.B. auch Personen, auf Mechanical Turk: Service von Amazon, bei deren Social Network Präsenz andere der nicht-automatisierbare Arbeiten weltweit Personen Inhalte posten Vergeben werden können, oft gegen extreme Medizinische Geräte: Solche Geräte sind geringe Bezahlung. Dadurch stehen in heute zumeist Computer, die sehr oft Ländern und Städten mit guter Internet- vernetzt sind und allen Gefahren ausgesetzt Anbindung billige Arbeitskräfte für Arbeiten zur sind, die für Computer gelten. Sie enthalten oft Verfügung, die im Web implementierbar sehr viele Verwundbarkeiten, da die Ent- sind. Dieses Geschäftsmodell wird heute von wickler oft auf Sicherheit keinen Wert legen vielen anderen Firmen ebenfalls implementiert und die Software auf sehr veralteten Systemen (Crowdsourcing). So haben die Social beruht, die sehr oft niemals mit Sicherheits- Networks wie Facebook und Youtube das Patches aktualisiert werden. Ein spezielles Bewerten und Löschen von Hasspostings Problem sind IMDs (implanted medical sehr oft in Länder ausgelagert in denen devices) die über drahtlose Schnittstellen Arbeitskräfte billiger sind. Solche angegriffen werden können. Siehe Internet Geschäfstsmodelle werden zum Teil auch für of Things Angriffe, z.B. das Knacken von CAPTCHAs und Spamverteilung in Mehrwertnummern: Möglichkeit zum Ausnut- Social Networks und Blogs genutzt, siehe zen von Infektionen auf Smartphones durch auch Crowdsourcing und Astroturfing. Der Anruf oder SMS an solche Nummern, bei Name bezieht sich auf einen angeblichen denen jeder Anruf oder jedes SMS einen Schachroboter aus dem 18.Jhdt. hohen Betrag kosten kann. Der Benutzer http://de.wikipedia.org/wiki/Schacht%C3%BCrke erkennt diesen Angriff oft erst an der hohen Handyrechnung Media Gateway: bei VoIP Systemen die Umsetzung von inkompatiblen Formaten, z.B. Meldestelle: in der Informationssicherheit SIP- oder H.323-Signalling nach SS7 Stelle bei der unerwünschte Inhalte und und den elektronischen Sprachdaten, z.B in kriminelle Aktivitäten im Internet wie z.B. PSTN- oder mobile Formate wie GSM Kinderpornographie gemeldet werden können:
Version 11.1 Seite 117 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ http://sicherheitskultur.at/hilfe_im_internet.htm kryptogrphascher Algorithmus, der aus ei- Meme: ursprünglich geprägt von Richard nem geheimen Schlüssel und einer Informa- Dawkins in seinem Buch „The Selfish Gene“ tionseinheit beliebiger Länge eine kurze Infor- um (analog zur Weitergabe von biologischen mationseinheit erstellt, die die Integrität der Eigenschaften durch Gene), wie Weitergabe Übertragung und durch den Schlüssel auch die von Ideen, Konzepten, Kunst, Modeerschei- Authentizität (d.h. die Korrektheit des Absen- nungen und Erfindungen im Rahmen von ders) verfiziiert. Verwandt zu Hash Funktion, „Kultur“ zu beschreiben. Wie bei den Genen die allerdings keinen Schlüssel verwendet und findet eine Veränderung bei der Weitergabe dadurch nur die Integrität bestätigen können. statt. Im 21.Jhdt. vor allem als Web-Meme Siehe HMAC verstanden. Dies sind Postings, die eine hohe Messaging: Popularität erreichen. Beispiel sind z.B. die 1) Überbegriff für Programme, wie ICQ, LOLcats die von 4chan populär gemacht IRC, Pidgin, Yahoo! Messenger, AOL wurden. Andere Beispiele sind Gangnam Style Instant Messenger iMessage, Blackberry Videos, Doge, Starwars Kid, Tron Guy, Obama Messenger, Skype und MSN Messenger, Rage Face. Wenn Ihnen diese Begriffe nichts aber auch Smartphone Apps wie sagen, dann liegt es daran, dass Web-Memes WhatsApp, Signal, Riot, Telegram, hauptsächlich in-side Jokes sind, mit denen WeChat, eBuddy XMS, WowTalk, Tango, der Re-Poster sagt, dass er den Witz versteht Snapchat mit deren Hilfe zwei oder mehre und „dazu gehört“. Personen miteinander durch Eintippen von Im Rahmen der Intelligence Explosion Dis- Texten Chatten oder Texte auszutauschen kussion sind Meme ein „2nd replicator“. So wie (und oft auch Sprache, Videoströme oder nach der Selfish Gene Theorie die Gene 1st beliebige Dateien austauschen können). Im replicator sind (sie „benutzen“ Organismen um Gegensatz zu Chat Rooms kennen sich die weitergegeben zu werden), so „nutzen“ Meme beteiligten Personen in den meisten Fällen die Menschen für ihre Weitergabe und Muta- bereits. tion. Als 3rd replicator werden Teme bezeich- Für den Nutzen solcher System gilt net (technological meme). Dies sind techno- Metcalfe’s Law, d.h. der Nutzen (und Wert) logische Weiterentwicklungen, die im Rahmen des Systems steigt mit dem Quadrat der von artificial intelligence von Maschine zu Nutzerzahl. Dies führt dazu, dass es neue Maschine übertragen werden. Anwendungen gegen zahlreich genutzte recht Memory : Speicher schwer haben. Menstruationsapp: siehe Gesundheitsapp Alle diese Systeme erlauben auch den Aus- Mental Security Model: Repräsentation des tausch von Dateien und stellen daher bei (vermuteten) Sicherheitskonzepts im Kopf des falscher Nutzung ein Sicherheitsrisiko dar. Benutzers. Je genauer dies mit der Realität Würmer oder auch SPIM (SPAM over IM) übereinstimmt, desto besser „funktioniert“ das verbreiten sich, indem sie einen Link an alle Sicherheitskonzept. Und je genauer dieses Personen in der „Buddy List“ des Rechners Bild des Laien mit dem des Experten versenden. Dies erfordert das Klicken des übereinstimmt, desto besser kann dieser mit Anwenders auf den so empfangenen Link, dies dem Laien über diese Fragen kommunizieren. geschieht aber oft, weil der Link anscheinend Die für diese Kommunikation genutzten von einem Bekannten kommt. Metaphern sind physische Sicherheit Eine andere Angriffstechnik verwendet Datei- (Schlüssel, Firewall, Intrusion Preven- transfer. Messaging Dienste werden tion), Medizin ( Infektion, Virus, Wurm), zunehmend auch im geschäftlichen Bereich Kriminalität ( Malicious Code), Krieg ( DMZ) und auch sehr oft zum Steuern von Botnets Mesh Routing / Mesh Networking: verwendet. dynamisches Routing mit dessen Hilfe ein Schwierig ist bei den Smartphone Apps IP-Netz ohne zentrale Komponenten zumeist die sichere Identifizierung und aufgebaut werden kann, z.B. durch Authentisierung der Benutzer. Mittels Verwendung von OLSR zwischen Handys. Enumeration können viele Teilnehmer Wird zum Teil eingesetzt um alternative Netze gefunden werden. Dadurch ist es leicht andere zu implementieren, die nicht von Regierung Benutzer zu simulieren (und z.B. Spam zu und anderen kontrolliert werden. Siehe auch versenden) oder deren Botschaften zu Internet im Koffer empfangen. In Österreich wird solche Technik durch den Strafverfolgungsbehörden fordern den Zu- Verein FunkFeuer eingesetzt um in gang zu diesen Dialogen (zumindest nach mehreren Städten eine Internet-Anbindung für einem entsprechenden Richterbeschluss, Bürger zu implementieren. In Berlin und lawful intercept). Dies ist aber technisch nicht anderen Städten gibt es Implementierungen möglich, wenn sie bei Skype oder der Firmen- der Freifunk-Gemeinschaft lösung von Blackberry der Datenaustausch Message Authentication Code: (MAC) direkt zwischen den Geräten passiert ( peer- to-peer) und mit einem nicht-zentralen ver-
Version 11.1 Seite 118 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ schlüsselt ist. Siehe Zombie, XMPP gabe des Abstandes in Zahl der „hops“, d.h. 2) Austausch von Daten zwischen IT-Syste- der Router zwischen Quelle und Ziel, nicht men mittels spezialisierter Software zumeist in der räumlichen Entfernung. Bei Fuzzy lokalen Netzen, die für die Vertraulichkeit, Hashing Bestimmung der Ähnlichkeit von 2 Integrität (keine Veränderung, keine Dupli- digitalen Objekten. In der Informationssicher- zierung, kein Verlust), Authentizität und heit: quantitatives Messen von Sicherheitsas- andere Sicherheitsanforderungen sorgt. Bei- pekten. Siehe KPI, itSMF, ISO 27004, spiele sind MQ-Series, Tibco, JMS, OSSTMM ESB. Diese Systeme arbeiten zumeist asyn- Metro: Bezeichnung für die Oberfläche von chron, d.h. verfügen über iterne Zwischen- WP7 und Windows 8. Es enthält auch weitere speicher und unterstützen z.T. auch Format- Sicherheitsfeatures über VISTA hinaus, z.B. umwandlungen. Konzepte sind point-to-point, werden native Metro Apps (wie bei broadcast und publish-subscribe. Verwandte Android) in einem eigenen Benutzer Account Schlagworte sind MOM und EAM. Abge- ausgeführt und haben dadurch unabhängig grenzt zu EDI zum Austausch zwischen ent- von der Sandbox keinen Zugriff auf die fernten und heterogenen Systemen und Objekte der anderen Apps. Verbunden mit Client-Server Kommunikation Einschränkungen des App Stores ergibt sich Messenger System: Messaging Dienst dadurch ein Sicherheitsniveau vergleichbar wie iOS Metasploit: Open-Source Projekt rund um Penetrationtest, IDS und Schwach- MFA: Multi-Faktor Authentication stellenmanagement MFD: (multi-functional device) Multi- Metadaten: Informationen, die die eigent- funktionsprinter) lichen Daten beschreiben. Beispiel ist ID3 MGCP: (Media Gateway Control Protocol) in MP3 oder EXIF in JPEG- und TIFF- Kommunikationsprotokoll, eingesetzt bei Bildern, aber auch die „Eigenschaften“ in allen VoIP zur Steuerung von Media Gateways MS-Office Dateien oder auch Image Tags. MIC: (Mandatory Integrity Control) Integrity Metadaten können ungewollt Informationen Level preisgeben, z.B. Serien-Nr. der Kamera, Datum und Ort der Aufnahme, Namen der Micro-blogging: Blogging von sehr kurzen Texten, z.B. bei Twitter 140 Zeichen, fotografierten Personen. Siehe auch Muja- hedeen Secrets. Ebenfalls zu Metadaten Mastodon 420 Zeichen, Hubzilla, Weibo, Xing. Durch die Nutzung von URL- gehören die Verbindungsdaten von Messaging Diensten oder Telefonaten, die Shortening können trotzdem lange URLs versendet werden, die auf „gefährliche“ Auskunft über das soziale Netz einer Person, d.h. seinen Social Graph geben können Websites verweisen. Dieses Problem lösen einige Dienste, indem URLs immer als eine Meta Tags: für den Benutzer nicht direkt konstante Länge gezählt werden. Die sichtbare Informationen einer Webseite im einzelnen Postings sind entweder privat oder HTML-Format, die von Webbrowsern und öffentlich zugänglich und werden wie vor allem von Suchmaschinen interpretiert chronologisch dargestellt. Blogging und wird. Kann für Traffic Diversion genutzt Mikroblogging sind beide eine Form von werden Social Networking. Im Gegensatz dazu Metcalfe‘s law: Faustregel über das Kosten- Messaging, bei dem immer eine feste Nutzenverhältnis von Kommunikationssyste- Adressatengruppe (einzeln oder als Gruppe men (z.B. Telefonnetz, Social Network oder adressiert wird) Messaging App. Die Regel besagt, dass der Microsoft: (MS) In der Vergangenheit wegen Nutzen eines Kommunikationssystems propor- der Sicherheit seiner Software oft gescholtener tional zur Anzahl der möglichen Verbindungen Monopolist, der seit ca. 2000 viele Sicherheits- zwischen den Teilnehmern (also etwa dem Initiativen gestartet hat (z.B. Schulungen für Quadrat der Teilnehmerzahl). Dies führt dazu, ALLE Entwickler), die sich seit ca. 2004 mit dass es neue Anwendungen gegen zahlreich Windows XP SP2 in seinen Produkten nieder- genutzte recht schwer haben. schlagen. Mit Vista wurden UAC, ASLR Es wird spekuliert, dass auch beim Thema und DEP eingeführt. Mittlerweile liegen Home Office relevant sein könnte. Vor 2020 Adobe mit Flash und dem PDF-Reader, fanden Meetings nur ausnahmsweise über aber auch Apple bei den Unsicherheits- Webkonferenzsysteme statt, jedes Arbeiten statistiken vor MS. Mit Windows 8 und Metro von zu Hause zwang alle anderen ebenfalls werden weitere Sicherheitsfeatures eingeführt, zur Nutzung des Systems und die remote die besser sind als vergleichbare bei iOS. Nutzer waren nicht voll integriert. In 2020 Microsoft ist sehr aktiv bei der aktiven Bekäm- wurde „remote“ zum Standard und dies machte pfung von -Botnets auf juristischen und tech- es einfacher für den Einzelnen. nischen Wegen. Sie setzen dabei auf Metrik: mathematische Verfahren zum bestim- verschiedene Gesetze, u.a. auf RICO. Siehe men von Abständen. In IP-Netzen z.B. An- auch SDL, Threat Modelling, OneCare,
Version 11.1 Seite 119 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
MSRT, MBSA, MMC, MOF, SCOM, eines Verbrechens bevor es begangen wird. SCCM, NGSCB, Patch Tuesday, 2008 wird dies vom DHS-Programm NEAT, Xbox, LinkedIn. MALINTENT oder EDVIRSP versucht Microsoft ist über Microsoft Azure auch im umzusetzen Cloud Hosting sehr aktiv, siehe z.B. MINT: Schlagwort und Abkürzung für die Kubernetes. In den letzten Jahren versucht Fächer Mathematik, Informatik, Naturwissen- Microsoft vom Verkauf ihrer Office Software zur schaft, Technik. Wird i.d.Regel verwendet Nutzung von Office 365 als monatlich wenn es um darum geht, dass dies zu wenig in zahlbarer Cloud-Dienst zu kommen den Schulen gefördert wird, oder um den MIDlet: Java-Programme für Embedded geringen Frauenanteil in diesem Fächern Systems wie Smartphones, basierend auf Mirror, Mirroring: (disk mirroring, engl. Plat- J2ME (Micro Edition). Oft sind dies Spiele und tenspiegelung) Methode, bei der durch geeig- solche Programme können ein Sicherheits- nete Technologie auf Hard- oder Software- risiko darstellen, wenn sie aus ihrer Sandbox Ebene alle Daten auf mindestens 2 Magnet- herauskommen und die Kommunikationsfähig- platten geschrieben werden. Dies kann syn- keiten der Geräte ansprechen chron oder asynchron (mit Zeitverzögerung) Middleware: bei der Programmierung von geschehen. Siehe split, Hochverfügbar- Computern genutzte Softwarekomponenten, keit, Disaster Recovery, Synchronisation oft in der Form eines APIs, das zwischen Mission Creep: wenn sich der Umfang eines dem Kernel und den Anwendungsroutinen Projektes oder einer Aufgabe nachträglich sitzt. Diese Komponenten erleichtern dem verändert, als Beispiele werden oft militärische Entwickler die Arbeit, da komplexe Funktionen Einsätze genannt, die sich langsam immer wie Voice Recognition oder das Ansprechen mehr ausgeweitet haben. Auch sich langsam von komplexen Geräten auf einfache Schnitt- aber stetig erweiternde Aufgaben oder stellen reduziert werden. Auch Kommunikation Befugnisse einer Organisation gehören zu mit anderen Geräten im Netz kann auf diese diesem Effekt (z.B. Abhörbefugnisse von Weise für den Programmierer vereinfacht wer- Sicherheitsbehörden). Sehr verwandt ist Scope den. Auch viele Sicherheitsfunktionen, wie z.B. Creep im Projektmanagement: einem laufen- Authentisierung werden meist über ent- den Projekt werden nachträglich zusätzliche sprechende Middleware implementiert Aufgaben gegeben MiFID: (Markets in Financial Instruments Di- In der IT auch sehr häufiger Effekt: Daten die rective 2004/39/EC) Harmonisierung der für einen begrenzten Zweck gesammelt Finanzmärkte im europäischen Binnenmarkt. wurden, werden später auch für andere Sie stellt auch Anforderungen an die Doku- Zwecke genutzt Dies führt z.B. zu einer mentation von Finanzmarktgeschäften und Aushöhlung des Datenschutzes und ist in daraus können sich auch Anforderungen an den europäischen Datenschutzgesetzen die Nachvollziehbarkeit der IT ergeben ausdrücklich verboten („Zweckbindung der MIME: (Multipurpose Internet Mail Extension) Daten“) Erweiterung des ursprünglichen SMTP E- MITB: Man-in-the-Browser Angriff Mail Formates, so dass auch die Verwendung MITM: Man-in-the-Middle Angriff von Umlauten und nichtenglischen Inhalten, MITRE: non-profit US-Organiation (Abspaltung sowie binäre Attachments unterstützt werden. von MIT) im Dienst von US-Behörden, auch in Dabei werden diese Inhalte durch entspre- D. aktiv, spezialisiert auf IT-Sicherheit, bekannt chende Kodierung in eine Form gebracht, bei der in jedem Byte nur die ersten 7-bit genutzt für die CVE-Liste werden. Durch die Erweiterung zu S/MIME MITRE ATT&CK Matrix: pflegt sehr syste- können Sicherheitsaspekte berücksichtigt matische Konzepte von IT-Angriffen gegen werden. 1992 von der IETF standardisiert Unternehmen, Netze und Smartphones mit sehr detaillierten Details zu den Angriffen und Minimalprinzip: Sicherheitskonzept, dass den jeweils genutzten Angriffswerkzeugen und Anwendungen mit den geringsten notwendi- –techniken, gegliedert nach Reconnaissance, gen Rechten ausgestattet sein sollten Resource Development, Initial Access, (principle of least privilege) Execution, Persistence, Privilege Minicomputer: Klasse von Computern die Escalation. https://attack.mitre.org/versions/v8/ ab ca. 1970 die Mainframes in vielen Mix: 1981 entwickeltes Konzept für die Bereichen abgelöst hatten. Wurden dann Anonymisierung von Nachrichten in ihrerseits durch die PCs abgelöst. Anbieter waren DEC, Perkin Elmer, Silicon Graphics, Netzen in zentralen Servern, die durch Data General, Wang (die Größe typischer- Mischung von Nachrichtenteile unterschied- weise bis zu heutiger 19-Zoll Rack-Größe). lichen Ursprungs den Bezug zur Quelle der Nachricht verwischen, siehe JAP Minority Report: Film von Spielberg nach einer Geschichte von P.K.Dick bei der es um MHP: (Multimedia Home Platform) vorge- Precrime Detection geht, d.h. das Vereiteln schlagener Standard für Übertragung und Darstellung interaktiver Inhalte im digitalen
Version 11.1 Seite 120 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Fernsehen auf Basis von Java. Dabei wer- Netzen implementiert den auch Features wie das Sperren der Fern- Mobiler Code: neu aufgenommen in die bedienung während Werbeblöcken diskutiert. ISO 17799-2005. Dort ist mit diesem Begriff DVP nicht Java, ActiveX o.ä. gemeint, das vom MLS: (Multi-Level Security) TCSEC Benutzer erst geladen werden muss, sondern MMC: (Microsoft Management Console) ein Programmcode, der sich selbstständig Programm in Windows 2000 (und höher). bewegt, z.B. mobile Agenten Gibt eine einheitliche Sicht zu Management- Mobile Device Management: (MDM) Soft- Diensten auf dem PC selbst, bei Nutzung ware zum Verwalten einer großen Zahl von von ADS auch auf die davon verwalteten mobilen Geräten, zumeist Smartphones. Die Rechner Features sind: Support von MMORPG: (Massively Multiplayer Online Role- - Verwaltung der Geräte und Status- Playing Game ( RPG), auch MMOG oder Übersicht (OS-Level, etc.) MMO) über das Internet sehr weit vernetzte - Verteilung und Kontrolle von lokalen Spiele ( World of Warcraft mit 4,5 Mio. Einstellungen Benutzern), die wegen der wachsenden - Erzwingung von Security Policies monetären Möglichkeiten Ziel von Malware - Löschen von Daten, Verteilung von werden. Zum einen können das interne DoS- Security Zertifikaten ( SCEP) Angriffe sein (auf Grund der wachsenden - Kontrolle über die Active Sync Settings, Gestaltungsmöglichkeiten durch die Benutzer), Möglichkeit der Löschung der Firmen- aber auch der Diebstahl von Accounts oder Mails Betrug bei dem Verkauf von Avataren oder - Kontrolle der Security Settings und rules, ihren Ausstattungen. Außerdem berichtet z.B. jailbreak Erkennung, etc. Edward Snowden, dass auch die - Begrenzte Kontrolle über die installierten Geheimdienste in MMORPGs aktiv sind, wenn Apps sie dort Kommunikationskanäle ihrer Zielper- - Unterstützung von Remote Support durch sonen vermuten Bildschirmübernahme MMS: Mobile Malware: Schadsoftware die für 1) (Multimedia Messaging Service) Nachfolger mobile Geräte, d.h. Smartphone, Tabletts, von SMS für den Austausch von Nachrichten etc. konzipiert ist. zwischen Handys, der die Limitierung auf Mobilgerät: meist ist ein Mobiltelefon 160 Zeichen nicht hat. Ein MMS darf aus gemeint, aber streng genommen fallen beliebig vielen Anhängen beliebigen Typs darunter auch die früheren PDAs und bestehen. Damit ist es möglich, auch Bilder ähnliche mobile Geräte oder Videosequenzen, aber auch ausführbare Programme an einen oder mehrere Empfänger Mobiltelefon: im deutschsprachigen Raum Handy, d.h. entweder ein Smartphone zu verschicken. Eine prinzipielle Größenbe- oder ein sog. Feature Phone schränkung gibt es nicht. Dies kann, speziell bei entsprechenden Schwachstellen der MOC: (Match on Card) Technologie in einigen jeweiligen Handys, oder auch Social COS (Smartcard Operating Systems), bei Engineering, zu Angriffen genutzt werden der im Smartcard Leser ein Fingerprint Leser 2) (Managed Security Services) Dienst- integriert ist, der die Eingabe eines PINs leistungen wie IDS/IPS oder dDoS zum „Öffnen“ der Smartcard ersetzt Prevention und/oder Mitigation, die von Modem: (Modulator-Demodulator) Geräte um externen Anbietern erbracht werden über eine analoge Verbindung, z.B. Telefon- Mobile Horizon: Virtualisierungslösungen für leitung ( POT), digitale Daten zu übertragen. Smartphones von VMware. Auf Android Für besonders sichere Übertragungen ist auch wird dabei ein virtuelles Android-System als der Einsatz von verschlüsselnden Modems ‚guest‘ unter einem regulären (benutzer-kon- möglich. Bei diesen wird der gesamte trollierten) Android von Hersteller/ Mobilfunk- Datenverkehr automatisch und für den anbieter. Problem ist dabei Jail-breaking. Auf Benutzer und die Systeme transparent iOS ist dies aus juristischen Gründen nicht verschlüsselt. Siehe Callback, BBS, möglich, daher wird App Wrapping verwen- Terminal det. Konkurenten sind dabei Good Tech- MOF: (Microsoft Operations Framework) nologies und Touchdown von NitroDesk Microsoft Implementierung von ITIL Mobile IP: RFC2002, standardisiert die Mög- MOICE: (Microsoft Office Isolated Conversion lichkeit, dass ein mobiles Gerät, z.B. Environment) Sandbox-Technology das seit Smartphone oder PDA, das mit einem 2010 auch von Adobe eingesetzt wird lokalen Netz verbunden ist, seine Verbindung MOM: 1) ( Microsoft Operations Monitor) und seine IP-Adresse behalten kann, wäh- System-Überwachungstool, heute SCOM rend der Benutzer sich aus der Reichweite des 2) (Message-oriented Middleware) ersten Netzes entfernt. Diese Funktionalität war bisher nur bei GSM- und UMTS- Messaging
Version 11.1 Seite 121 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Money Mule: oft unschuldige, d.h. naive Helfer SMS ein Guthaben (Airtime genannt) innerhalb bei Cybercrime, die die eigentliche Geld- der SIM-Karte des Handys gespeichert überweisung zum Täter im Ausland vorneh- wird und zu anderen SIM-Karten übertragen men. Beliebt sind Bargeldüberweisungen, z.B. werden kann. Barauszahlungen sind bei durch Western Union oder ACH Transfers. Tankstellen, Supermärkten, Straßenkiosken, Money Mules werden über Annoncen auf Job- Internetcafés und Handyläden möglich. Vorteil Plattformen und Spam-Mails rekrutiert (“Earn ist, dass dies auch Menschen ohne Bankkonto Thousands Working at Home!”). Sie haben nur eine einfache Teilnahme am bargeldlosen eine kurze Kariere, weil ihr Konto für die Opfer Geschäftsleben ermöglicht, kritisiert wird, dass klar erkennbar ist und sie daher eine Anklage speziell in Ländern in denen keine Konkurrenz wg. Beihilfe zum Betrug erwarten sowie eine besteht die Gebühren sehr hoch sein können Schadenersatzforderung. Sog. Mule Control MPLS: (Multiprotocol Label Switching) Panel sind Websites auf denen die Daten Protokoll für verbindungsorientierte Vermittlung der angeworbenen Personen verwaltet werden in verbindungslosen WANs ( Layer 3). Es und auf die die Schadsoftware des infizierten entsteht eine Form von VPN, allerdings ohne PCs (heute zumeist Man-in-the-Browser) Verschlüsselung. Es wird VRF eingesetzt zugreift wenn sich die Gelegenheit für eine betrügerische Überweisung bietet MRTD: (machine readable travel document) Monitoring: Überwachung von sicherheits- Ausweise und Reisepässe, deren Inhalt maschinell ausgelesen werden kann. Meist relevanten Aspekten eines Betriebs und soll zu Alarmen und dann Vorfallsbehandlung verwendet für die neuen biometrischen Reisepässe, allerdings sind die europäischen führen. Solche Events können über SNMP gemeldet werden, durch Software wie Trip- Pässe durch den Einsatz der MRZ schon sehr lang maschinell lesbar. Siehe ePass, wire, vulnerability scans, Software Agents oder durch automatisierte Auswertung von FIDIS Logfiles. Problematisch sind False MRZ: (Machine Readable Zone) Bereich in Positives Pässen, der mittels OCR gelesen werden MONKEYCALENDER: Programm der NSA kann. Er enthält u.a. Namen, Passnummer, zur Manipulation von SIM-Karten Geschlecht und Ablaufdatum. Dieser Bereich wird, wenn bei RFID-Pässen BAS einge- MOOC: Massive Open Online Courses setzt wird, als Schlüssel zur Verschlüs- MOS : (Mean opinion score) numerische Anga- selung der auf dem Chip gespeicherten Daten be (1-5) für die Qualität von Ton- und Video- eingesetzt Übertragungen, z.B. VoIP. Kann subjektiv MP3: (MPEG-1 Audio Layer-3) Verfahren zur bestimmt werden oder über technische Kodierung und Komprimierung von Musik und Messungen von packet delay, packet loss and Sprache in digitaler Form. Durch die jitter (unregelmäßige Verzögerungen). Siehe Möglichkeit des legalen und illegalen Aus- RTCP tausches solcher Dateien mit Musik ist ein MOSS: (Microsoft Office SharePoint Server) erheblicher Datenverkehr entstanden. Viele Web-Anwendung, die unterschiedliche Servi- Firmen blockieren dieses Datenformat in ihrem ces aus dem Office-Bereich über https auch Internetzugang und verbieten P2P-Daten. In firmenübergreifend Verfügbar macht MP3-Dateien kann heute auch Malicious Motherboard : Hauptplatine eines Compu- Code versteckt werden, zusätzlich gibt es Ab- ters (oder anderen softwaregesteuerten Gerä- spielprogramme, die innerhalb dieses For- tes), auf dem die einzelnen Komponenten wie mates als Erweiterung auch Scripten erlauben, CPU, Speicher, Interfaces zu Erwei- was zu einem Sicherheitsproblem werden terungskarten, z.B. Netzwerkkarten, etc. ange- kann schlossen sind, oft über Sockel die ein Aus- MP3-Player: Geräte zum Abspielen von Musik wechseln erlauben. Auch das BIOS-Pro- und/oder Videos. Einer der Marktführer ist/war gramm ist auf einem EPROM Chip auf dem dabei der iPod, später variiert zum iPod Motherboard. Verbindung zu anderen Geräten Touch von Apple. Sicherheitsrelevant, da diese zumeist über einen Bus Geräte über USB leicht an Firmenrechner Mpack: 2007 sehr fortgeschrittenes Angriffs- angeschlossen werden können und über ihre tool russischen Ursprungs zur Erzeugung von Speicher Daten ein- und ausschleusen bots, bei dem der Autor eine 45-50% können Erfolgsgarantie gibt. Verwendet eine umfang- MPC: (multi-party computation) reiche Palette von Schwachstellen. Preis ca. M-Pesa: (mobile pesa=swahili f. Geld) 2013 1000$ fortgeschrittenstes Zahlungssystem für M-PESA: mobiles Zahlungssystem in Kenia Handys. Nach Authentifizierung durch (und anderen Ländern) das auf dem SIM National ID kann damit auf Bargeld zugegriffen Application Toolkit (STK) Erweiterungen werden oder gezahlt werden. Siehe e-Geld beruht. Es wird seit 2007 von Vodaphone sehr MPLS: (Multiple Protocol Label Switching) erfolgreich betrieben. Es beruht darauf, dass Methode die verbindungsorientierte Daten- mittels PIN-gesicherten verschlüsselten
Version 11.1 Seite 122 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
übertragung mit paketbasierten Internet Rou- Aufmerksamkeit der NSA auf sich zu ziehen, ting Protokollen verbindet. Es ist eine Methode die diese Übertragung mittels XKeyscore um Layer 2 und Layer 3 Protokolle zu selektiert. Trotz der Verschlüsselung der kapseln, ähnlich zu PPP. Hierdurch wird die Daten (d.h. der Message) sind die Meta- Möglichkeit gegeben, vielfältige Arten von daten wie von welcher IP-Adresse zu wel- Daten wie Telefonverkehr oder IP-Pakete zu cher Zeit und an welchen Adressaten natürlich übertragen für die NSA von großem Interesse um die mPOS: POS entsprechenden Netzwerke zu identifizieren. Auf die gleiche Weise werden natürlich auch MQ-Series: Messaging Software von IBM PGP-Nutzer selektiert, ziehen aber bei MQTT: MQ Telemetry Transport or Message weitem nicht die gleiche Aufmerksamkeit auf Queue Telemetry Transport. Auf TCP/IP sich basierendes Protokoll zum Austausch von Mule: Money Mule Datenblöcken (Nachrichten). Wird vor allem im IoT Bereich zum Datenaustausch zwischen Multicast: Bandbreite sparendes Datenüber- Geräten genutzt. Es basiert auf dem tragungsverfahren das aber nur da eingesetzt Publish-Subscribe Prinzip werden kann, wo alle Empfänger zu einem Zeitpunkt die selben Daten empfangen. Was MS-CHAP: Authentisierungsprotokoll auf der bei Streaming-Diensten nicht der Fall ist. Basis von CHAP, gilt als unsicher bzgl. Dort muss daher Unicast eingesetzt werden Brute Force Dictionary Attacks MULTICS: (Multiplexed Information and Com- MSI: Windows Installer (vormals Microsoft puting Service) interaktives Betriebssystem Installer), eine Installationsumgebung für Win- (1974), bei dem viele Sicherheitsfeatures, z.B. dows Systeme, die von vielen Installations- ACLs, DAC und MAC erstmalig genutzt paketen genutzt wird. Softwareverteilung wurden, heute schon lange nicht mehr im MSISDN: Telefonnummer in einem Mobilfunk- Einsatz netz, verknüpft mit der IMSI der SIM-Karte Multi-Faktor-Authentication: (MFA) MSP: Managed Service Provider Verbesserung von 2 Faktor Authentisierung MSRT: (Malicious Software Removal Tool) (Authentisierung= Authentifizierung kostenlose Software von Microsoft zum =Authentication) Entfernen von Schadsoftware, geringere Multifunktionsprinter: (MFD, multi-functional Abdeckung als kommerzielle Alternativen device) moderne Drucker, die Scannen, Fax MSUS: (Microsoft Software Update Service) und andere Funktionalitäten kombinieren und SUS oft über ein allgemeines Betriebssystem mit MTA: (Mail Transfer Agent) abstrakter Begriff Festplatten verfügen. Sicherheitsrelevant, für das Programm, das E-Mails von einem wenn sie über das interne Netz (oder sogar das Internet) ansprechbar sind und über ihre E-Mail-Client-Programm empfängt und (norma- Scanner-Funktion die Versendung von Scans lerweise) über das Internet an einen MDA von Papierdokumenten auch ins Internet (Mail Delivery Agent) weiterleitet, der die E- ermöglichen. Mails in die Empfänger-Mailboxen verteilt von denen sie über POP3 oder IMAP Fotokopien werden durch Einscannen, Abspei- abgerufen werden chern des Images auf der internen Festplatte und dann Ausdrucken erzeugt. Grundsätzlich mTAN: Verfahren, bei dem TAN Nummern verbleiben (möglicherweise vertrauliche) zur Absicherung von e-Banking-Transaktio- Druckausgaben auch später noch auf der nen vom e-Banking-Server per SMS zum internen Magnetplatte zu finden (oder zu Benutzer übertragen werden. Durch die Ver- „recovern“ sind, Datenrettung). wendung eines 2. Kommunikationskanals ( Viele der Geräte kommunizieren ihren Funk- „out-of-band“) erhöht dies die Sicherheit gegen tionsstatus, den Zustand der Patronen und Phishing. Es schützt jedoch nicht gegen ähnliches regelmäßig mittels Internet- Man-in-the-Middle Angriffe (MITM) und ver- verbindung an den Hersteller, so dass liert seine Schutzfunktion weitgehend wenn automatisch Patronen geliefert werden das e-Banking ebenfalls auf einem Smart- können. phone durchgeführt wird. Ebenso ist es Drucker können über zusätzliche Sicherheits- angreifbar über die SS7 Verwundbarkei- funktionen verfügen, so z.B. verschlüselte ten. Daher wird an neuen Verfahren gearbeitet, Übertragungen, oder dass z.B. vertrauliche z.B. CAP Druckausgaben nur lokal abrufbar sind, wenn MTLS: (Multiplexed Transport Layer der Benutzer sich authentifiziert, bzw. Security) Unterstützung von mehreren verschlüsselte Übertragungen ermöglichen. Datenströmen über eine TLS-Verbindung Siehe PJL Mujahedeen Secrets: Verschlüsselungspro- Multihome: Verfahren zur Steigerung der gram, das on Al-Qaeda empfohlen wird/wurde. Verfügbarkeit von Systemen in IP- Seine Nutzung ist ein sicherer Web, die Netzen durch Unterstützung mehrerer
Version 11.1 Seite 123 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Netzanschlüsse. Siehe SCTP Verhalten im Geschäftsbetrieb bezeichnet. Es Multi-Party Computation: (MPC) Konzept der bezieht sich nicht nur auf Umweltschutz (wie Kryptographie, bei dem mehrere Teilnehmer ISO 14001), sondern eine Berücksichtigung gemeinsam an einem Problem rechnen (z.B. aller Stakeholder. Siehe Corporate Social Größenvergleich), ohne dass der andere Teil- Responsibility nehmer die Daten selbst sieht. 2015 wird Nachricht: geordnete Folge von Zeichen für gezeigt, dass es sich mittels der Mathematik die Weitergabe von Information. [ISO 2382/16], hinter Bticoin mit einer geringeren Rechen- ASCII aufwand lösen lässt, als mit homomorphic NaCL: (Native Client) encryption. Verwand mit Zero knowledge proof NAND Lock: Bei Android Geräten von HTC eine Einrichtung, die Verhindern soll dass das Multi Tenancy: Mandantentrennung Betriebssystem überschrieben wird, d.h. Mumble: Sprachkonferenzsoftware, Open Verhinderung von Rooting. Kann aber leider Source und wegen guter Audioqualität und vor auch ausgehebelt werden allem niedrigen Latenz sehr geschätzt bei Nannycam: Webcam online Games (als Hintergrundkanal NAP: zwischen Spielern eines Teams). Als klas- 1) (Network Access Protection) Konzept von sisches Client-Server Konzept imple- Microsoft, um Zugriff nur nach Prüfung des mentiert, die Server „Murmur“ können leicht Sicherheitsstatus eines Endgerätes zu erlau- selbst betrieben werden. Hohe Verschlüsselungs-Sicherheit durch Perfect ben und in Vista und XP SP2 enthalten sein wird. Grundlage ist ein Windows Quarantine Forward Secrecy Agent (QA) auf dem Endgerät. Siehe Murphys Law: „alles was schief gehen kann, Endpoint Security wird auch schief gehen“. Wichtiger Aspekt im 2) (Network Access Point) Bluetooth-Gerät, Bereich Safety, bei Security aber ebenfalls das Routing oder Bridging eines Bluetooth zu berücksichtigen Gerätes zu einem anderen Netzwerk erlaubt MUSCULAR: Aktivität der NSA um den Napster: erste Tauschbörse für Musik im Datenverkehrs zwischen den Rechenzentren Internet (1998). Auf Grund des dabei ge- von Cloud-Diensten abzuhören nutzten zentralen Servers juristisch angreifbar Must not: (engl. darf nicht) kommt in durch die RIAA und 2001 eingestellt. 2002 Standards und RFCs vor, wird leicht miss- aufgekauft durch Bertelsmann und als kosten- verstanden pflichtiger Dienst neu gestartet, konnte aber Mystery Activity: Verfahren zur Quali- gegen iTunes nicht konkurrieren. Siehe P2P, tätskontrolle durch normierte Testaktivitäten, Raubkopie, KaZaA, eDonkey, z.B. Testanrufe zur Aktivierung eines Ge- Tauschbörse schäftsprozesses, kann auch für Informa- NAPT: (Network Address Port Translation) tionssicherheit verwendet werden (historisch: ähnlich zu NAT: private IP-Adressen in Mystery Shopping als Marketingaktivität). Firmennetzen werden in eine oder mehrere Siehe Benchmark, KPI öffentliche, d.h. offiziell zugeordnete IP- NAC: Adressen übersetzt. Bei NAPT werden jedoch 1) (Network Admission Control) Konzept von auch die Port-Nummern verändert um zu Cisco um Zugriff zu einem Netz nur nach verhindern, dass es Konflikte gibt, wenn sich Prüfung des Sicherheitsstatus eines End- mehrere interne Rechner zufällig mit derselben gerätes ( PC oder PDA) zu erlauben auf Portnummer zu 1 externen Rechner verbinden, der Basis von Agents auf den Geräten. z.B. bei WebRTC-basierten Videokon- Endpoint Security ferenzsystemen. Das wird mit Hilfe von externen STUN-Servern gelöst 2) (Network Access Control, IEEE 802.1x) Freigabe des Netzzugangs an einem Port Narus: US-Unternehmen, führend bei Geräten eines Switches nur auf Grund einer Prüfung zur Analyse von großen Datenmengen wäh- der Identität des Gerätes und/oder Benutzers. rend der Übetragung im Internet ( E-Mail, Authentisierung über Radius und EAP- VoIP-Verkehr, Messenging, etc.). Ein TLS, bzw. PEAP, sehr oft gegen ADS. Gerät ist Narus Semantic Traffic Analyzer Fallback ist die Prüfung der MAC-Adresse 64000). Dies wird als Deep packet inspec- eines Gerätes. Erfordert auf dem Gerät einen tion bezeichnet. Wird für legale richterlich Supplicant angeordnete Überwachungen ( LI), aber auch für heimliche Überwachungen in vielen Nacktscanner: Darstellung von Menschen Ländern eingesetzt. Die flächendeckenden ohne Kleidung, wird immer öfter in Flughäfen Überwachungen in den USA wurden 2006 genutzt. Problematisch in Bezug auf durch einen Whistleblower öffentlich Privatsphäre. Siehe Terahertz Imaging, bekannt. Siehe Semantic Traffic Analysis. Backscatter X-ray Siehe NSA Nachhaltigkeit: Begriff der u.a. ein ethisches National Security Letter: (NSL) im US-
Version 11.1 Seite 124 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Patriot Act eingeführtes Verfahren, bei dem NDEF: (NFC Data Exchange Format) für das FBI Daten ohne Gerichtsbeschluss NFC verwendetes unverschlüsseltes Daten- einfordern kann. Der Betreiber wird zu austauschprotokoll vollkommenen Stillschweigen über diesen NDP: (Neighbor Discovery Protocol) Protokoll Vorgang verpflichtet, eine Überprüfung durch unter IPv6 bei dem mittels ICMPv6 Gericht ist nicht möglich. In manchen Jahren Messages Rechner in einem Netz IP wurden NSL bis zu 50 000 mal genutzt. Dies Adressen beziehen können und andere ist auch für uns relevant, denn bei Cloud Netzwerkinformationen wie Default Gateway. Computing unterliegen US-Firmen diesem Es ersetzt ARP, DHCP und ICMP Gesetz sogar dann, wenn die Daten in Europa gespeichert werden NDS: (Novell Directory Services) jetzt unter dem Namen eDirectory, ein Verzeichnis- NAT: (Network Address Translation) Umset- dienst von Novell zung von einer oder mehrerer sog. privater NEAT: Akronym von Microsoft in einer Anlei- IP-Adressen in eine oder mehrere öffent- liche, d.h. offiziell zugeordnete IP-Adressen. tung für Entwickler in Bezug auf Security Dieses Verfahren wird vor allem in Firewalls Usability. Es geht darum, unter welchen eingesetzt und umgeht die Probleme, die sich Umständen Benutzer ein Fenster sehen sollen, aus der Knappheit der IP-Adressen ergeben indem sie sicherheitsrelevante Entscheidungen und bietet gleichzeitig eine gewisse Anony- treffen müssen. misierung der Zugriffe aus einem Unterneh- N(essary): es muss etwas sein, bei der es men nach außen. Siehe auch NAPT und absolut notwendig ist, den Benutzer zu fragen STUN E(xplained): die Erklärung muss alles enthalten Native Client: (NaCL) Sandbox von was ein Benutzer braucht, um die geforderte Google mit der unabhängig von Betriebs- Entscheidung zu treffen system und Webbrowser Programme für A(ctionable): Eine solche Frage an den x86-Prozessoren in einer abgesicherten Um- Benutzer ist nur erlaubt wenn der Benutzer gebung innerhalb des Browsers ausgeführt wirklich in der Lage ist, diese Entscheidung zu werden können (sicherer Ersatz für Active- treffen X). Dabei wird die Speicher-Segmentierung T(ested): Die Implementierung muss getestet des Chips verwendet und alle Aufrufe an das werden. Betriebssystem durch innerhalb des Browser- Plugins kontrolliert Der Aspekt „Explained“ wird weiter erkärt durch SPRUCE: Navigationsgerät: (Navi) Gerät für Geo- location, zumeist in ein Auto eingebaut. Stellt S(ource): erklären wer oder was die Frage mittels GPS den Standort fest und kann stellt diesen auf integrierten Straßenkarten anzeigen P(rocess): die Schritte aufzeigen, die der und Wegempfehlungen abgeben. Kann eine Benutzer befolgen muss Verletzung der Privatsphäre darstellen wenn R(isk): das Risiko, bzw. korrekterweise die erweiterte Funktionen eine Geschwindigkeits- Bedrohung aufzeigen, die bei einer falschen überwachung und –aufzeichnung oder Entscheidung eintreffen könnte Weitermeldung des Standorts durchführen, oft U(nique knowledge of user): erklären, welche als Schutz bei Fahrzeugdiebstählen Informationen des Benutzers zu einer NBAD: (Network behavior anomaly detection) korrekten Entscheidung betragen können automatisierte Analyse des Verkehrs in einem C(hoices): erklären, welche Optionen der Datennetz, z.B. bzgl. Bandbreitenbedarf, Benutzer hat Port-Nutzung und Datenvolumen um Ano- malien zu entdecken, die auf Angriffe E(vidence): auf Informationen hinweisen, die hindeuten könnten. Es geht damit über den dem Benutzer bei der Entscheidung helfen Patternmatching eines IPS oder IDS können hinaus Need-to-Know: Sicherheitskonzept, ursprüng- NCSD: (National Cyber Security Division) Teil lich aus dem militärischen Bereich, das besagt, vom DHS und verantwortlich für den Schutz dass jeder Nutzer nur Zugang zu den der USA gegen Internet-basierende Informationen oder Anwendungen haben Angriffe. US-CERT ist Teil dieser Behörde sollte, die er für die Erfüllung seiner Aufgaben braucht NDA: (Non Disclosure Agreement) „Nicht-Frei- gabevereinbarung“, ein rechtsverbindliches Nessus: open-source Programm zum Dokument, das die Vertraulichkeit von Ideen, Auffinden von bekannten Schwachstellen in Designs, Plänen, Konzepten oder anderem IT-Systemen. Wird bei Angriffen und für kommerziellen Material schützt. Häufig werden Penetration Tests genutzt NDAs von Verkäufern, Fremdfirmen, Beratern Nest: siehe Doorbells und anderen Nichtangestellten unterzeichnet, .NET: von Microsoft entwickelte Software- die in Kontakt mit solchem Material kommen plattform mit Laufzeitumgebung ( RTE) für (könnten) die Zielrechner, Entwicklungsumgebung
Version 11.1 Seite 125 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
(API) und weitere Dienstprogramme (Ser- Netzen die Prioritäten frei bestimmen können, vices). Unterstützt werden mehrere Pro- z.B. nur eigene und „befreudete“ Dienste bzw. grammiersprachen, ersetzt COM und ist die Daten ihrer Cloud-Kunden übertragen. Konkurrenz zu J2EE. Siehe Silverlight, Dies hebelt die Idee aus, dass die zentrale FxCop Infrastruktur des Internets allen gleich zur NetBEUI: (NetBIOS Enhanced User Interface) Verfügung steht verbesserte Version des NetBIOS Protokolls, Netscape: fast vergessene Firma, die 1995 das besonders in älteren MS Windows Netzen einen der ersten graphischen Web-Browser zum Sharen von Dateien verwendet wurde. entwickelt hat und auch SSL und Dieses Protokoll stellt heute oft ein Javascript entwickelte. Siehe Crypto Wars, Sicherheitsproblem dar Bug Bounty Netflix: US-Unternehmen, bereits 1997 Netstumbler: open-source Tool zum Auf- gegründet, seit 2007 mit kostenpflichtigen finden von WLAN-Netzen, cracken von Streaming für Filme. 2019 die dominierende WEP-Passworten. Wird für Angriffe und Streaming-Firma und zusammen mit einigen Penetration Tests genutzt anderen Anbietern (z.B. Amazon Prime) eine Net reconnaissance: Nutzung des Webs ernsthafte Bedrohung für traditionelles zur Informationssammlung über Personen oder (lineares) Fernsehen mit festen Sendezeiten. Unternehmen mittels Suchmaschinen und Bei den Streaming Angeboten wie Netflix kann Social Networking. Industriespionage, der Nutzer jede Sendung zu jeder Zeit sehen targeted attack, spear fishing und ist nicht feste Sendezeiten gebunden. Netflix ist 2019 auch einer der großen Network Access Control: ( NAC) Produzenten exklusive für Eigenproduktionen, Network Admission Control: (NAC) speziell Serien (die nur dort zu konsumieren Network Management: Nutzung von Syste- sind). Netflix und Spotify sind Beispiele die men, mit deren Hilfe der Gesamtzustand eines die oft behauptete These widerlegen, dass im komplexen Netzwerks leicht bez. Sicher- Internet alles kostenlos (d.h. über Wer- heit, Verfügbarkeit und Performance über- bung und Überwachung der Nutzer finan- wacht werden kann. Dabei wird meist SNMP ziert) sein muss. Siehe auch Social Viewing eingesetzt. IDS können in dieses System NetFlow: Technik zur Verkehrsanalyse in integriert sein Datennetzen, genutzt für Kapazitätsplanung Network Security: Konzept der Absicherung oder zur QoS-Analyse. Dabei sendet ein einer IT-Umgebung durch Überwachung des Router oder Layer-3Switch Verkehrs- Netzes, z.B. durch Firewall, Proxy, daten an einen speziellen Server. In Back- Intrusion Dection und Prevention. Allge- bone-Netzen mit hohem Datenverkehr wird nur meine Vernetzung hat Netze jedoch heute ein statistisch ausgewählter Teil des Verkehrs weitgehend löchrig gemacht, daher muss betrachtet, bis zu einer „sampling rate“ von Network Security durch Application Security 1:10000. Wird u.a. zum Erkennen von dDoS- ergänzt werden. Siehe NIPS, Desktop Angriffen verwendet. Zum Ändern des Daten- Security flusses wird dann oft RSVP eingesetzt . Netz: kurz für Netzwerk, oft auch für www Netflow ist sehr wichtig bei der Abwehr von dDoS-Angriffen Netzbetreiber: Entweder Anbieter eines Mobil- funknetzes. Dann betreibt er Base Station Net Nanny: Filterprogramm zum Schutz vor und Home Location Register. Oder auch jugendgefährdenden Seiten im Internet Anbieter von Kabelnetzen, Leased Lines, Net neutrality: Forderung, dass auch in bzw. den Backbones zwischen den IXPs Zukunft alle Datenströme im Internet mit NetzDG: Netzwerkdurchsetzungsgesetz gleicher Prioritität übertragen werden und durch die ISP nicht reglementiert werden. Netze-von-Netzen: (networks of networks) Diese Gleichberechtigung aller Anwendungen Konzept mit dem versucht wird, sich der Kom- plexität der realen Welt anzunähern. Dabei ist war eine der grundlegenden Konzepte der ursprünglichen Internet-Entwickler (im Gegen- Netz weit definiert: Datennetz, Social satz zu den bis dahin üblichen Konzepten der Network, Versorgungsnetze, aber auch Ver- Telekomfirmen die die zentrale Kontrolle über knüpfungen in der Biologie, in den Abläufen ihr jeweiliges Netz und damit auch deren innerhalb von Zellen und Verknüpfungen die zu Anwendungen hatten). Dieses Konzept wird Wetter und Klima führen. Die mathematische Betrachtung dieser Netze von Netzen führt zu aber seit ca. 2018 immer stärker bedroht, z.B. indem Telekom-Anbieter ( ISPs) eigene Erkenntnissen bzgl. Resilience unter Streaming-Dienste (z.B. für TV-Inhalte) kritischen Umständen. So ist diese geringer anbieten und diese oft aus den Datenlimits der wenn eines der Netze „assortativity“ aufweißt, Nutzer ausnehmen. Ein anderer Aspekt ist die d.h. stark vernetzte Knoten sind hauptsächlich Entwicklung dass Anbieter wie Google untereinander vernetzt, schwach vernetzte eigene Glasfasernetze implementieren Knoten ebenfalls nur untereinander. Dies steht (speziell in den Weltmeeren) und auf diesen im Gegensatz z.B. zum „small world network“
Version 11.1 Seite 126 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
(6-degree of segregation) bei dem es zwar Neural Network: in Hardware oder Software viele eng verknüpfte Cluster von Knoten gibt, implementierte Algorithmen die vom neu- aber auch Verbindungen zwischen den ralen Netz im Nervensystem von Lebewesen Clustern. Erkenntnisse aus diesen Forschun- inspiriert sind. Sie wurden in den 80igern gen sollen zu Konzepten führen wie reale entwickelt und heute im Bereich Deep Netze wie die Stromversorgung weniger Learning / Machine Learning für Muster- anfällig für Effekte wie Kaskadenausfälle erkennung, speziell Bild- und Spracherken- gemacht werden können nung, verwendet. Spracherkennung wird z.B. Netzgeld: e-Geld für personal assistants immer wichtiger wird. Auch automatische Übersetzer beruhen auf so Netzneutralität: Net Neutrality einem Algorithmus. Problematisch ist an Netzwerk: (network) diesem Konzept, dass neuronale Netze „sich“ 1) Übertragungssystem für Nachrichten nicht erklären können (fehlende explain- (Daten) in einer bestimmten Umgebung. Ein ability). Neuronale Netze machen z.B. bei Computer-Netzwerk besteht meist aus Bilderkennung oft für Menschen absolut Servern, PCs, Routern und Switches. verblüffende Fehler. Speziell bei mehrstufigen Dabei kann jeder PC unabhängig arbeiten, Netzen ist eine Rekonstruktion einer zugleich aber über das Netz mit anderen Fehlentscheidung, z.B. nach einem Unfall Rechnern, z.B. Servern, kommunizieren, mit eines autonomen Fahrzeugs, nicht möglich, diesen Informationen austauschen und ggf. auf was ein Problem darstellt. Neuronale Netze andere Ressourcen im Netz oder andere werden manchmal als Überwindung von Netzen zurückgreifen. Ein Netz erfordert Turing Maschinen gesehen, was jedoch entsprechende Hard- (Router, Switches) und nicht der Fall ist. D.h. auch und speziell Software. Es gibt offene Netze, insbesondere neuronale Netze sind nicht geeignet die Basis das Internet und geschlossene Netze, z.B. für starke artificial intelligence zu bilden LAN oder WLAN. Siehe Datennetze, Neuroprothese: Schnittstelle zwischen dem Computernetze, VLAN Nervensystem und Geräten, z.B. für Cochlear 2) im Bereich Social Networking das Netz Implants oder Anschlüsse an Sehnerven. das durch alle Kontakte ( friends) der Diese Aktivitäten sind ähnlich zu brain- Teilnehmer entsteht. Dieses kann zu Zwecken computer interface (BCI). Ziel ist bei beiden des Data Minings ausgewertet werden und Aktivitäten (derzeit) vor allem die Hilfe für durch die damit verbundenen Zugriffsrechte Kranke, aber natürlich ist auch das Militär an für Datendiebstahl missbraucht werden solchen Entwicklungen sehr interessiert um die Netzwerkadapter: Teil eines Computers, Fähigkeiten der Soldaten zu erweitern. Es gibt darüber hinaus auch Zielsetzungen die in über den auf Datennetze zugegriffen wird, entweder auf dem Motherboard oder als Richtung Transhumanismus gehen. Die EU separate Steckkarte. Kann bei Betriebs- unterstützt das Forschungsprojekt VERE system Virtualisierung gemeinsam von (virtual embodiment and robotic re- mehreren Betriebssystemen genutzt werden embodidment) bei dem die Grenzen zwischen Mensch und Maschine aufgehoben werden Netzwerkdurchsetzungsgesetz: (NetzDG) sollen Gesetz in D das für Anbieter von social networks nach Kenntnis und Prüfung von Neustart: gängiges Verfahren zur Behebung von Software-Problemen, speziell bei Ab- rechtswidrigen Inhalten, z.B. Hasspostings, eine Löschung oder Sperrung vorschreibt. Es sturz. Dabei wird oft das betroffene System gibt Opfern von Persönlichkeitsverletzungen im aus- und wieder eingeschaltet Internet einen Anspruch auf Auskunft über Newsgroup: Diskussionsforen in den frühen Daten des Verletzers aufgrund gerichtlicher Zeit des Internets, implementiert mit Hilfe Anordnung. Das Gesetz wird kritisiert und des Network News Transfer Protocol (NNTP). teilweise als Zensurinfrastruktur bezeichnet. Die Foren waren Teil des Usenets auf der Ebenso wird der Trend kritisiert, immer mehr Basis der UUCP dial-up Infrastruktur. Rechtsentscheidungen an private Betreiber zu Teilnehmer wählten sich typischweise über delegieren, siehe auch Upload-Filter. In Modems ein beiden Fällen können die hohen Bußgeld- Next Generation Identification: Programm drohungen dazu führen, dass die Betreiber zur des FBIs bei der eine Datenbank mit Sicherheit Inhalte im Zweifelsfall löschen biometrischen Merkmalen für „Person of werden Interest“ eingerichtet werden, für die zuerst nur Netzwerkprotokolle: Verfahren, mit denen die Gesichter gespeichert werden, für später Daten in einem Datennetz übertragen werden. ist Iris-Erkennung, DNA und Stimm- Beispiele sind TCP/IP, NetBEUI, PPP, Erkennung geplant.Die Gesichter sollen IPSec automatisiert mit Fotos im Internet Netzüberwachung: Network Management verglichen werden und mit den Aufnahmen von Überwachungskameras. Die Nutzung ist Neuronale Netze: Neural Network geplant für Polizei, Grenzbehörden und auch
Version 11.1 Seite 127 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Firmen. Dabei wird es große Probleme mit sehr großer Teil des Datenverkehrs durch False Positives geben, d.h. fälschlich Firewalls über http oder https abgehandelt erkannten Personen die dann (regelmäßig) wird und sich dadurch der Kontrolle entzieht „aufgegriffen“ werden (z.B. Skype). Dies machen sich auch die Next Generation Network: (NGN) Schlagwort Entwickler von Schadsoftware zu nutze, für eine Integration von Daten, Sprache und speziell wenn sie nach einer Infektion in Video über IP-basierte Netze jeglicher Art, einem Firmennetz Verbindungen zu einem inkl. WLAN, mobile Netze ( UMTS, Command and Control Server aufbauen Bluetooth) wollen. NGFW ist ähnlich zum Schlagwort UTM ( Unified Threat Management) NFC: (Near Field Communication) drahtlose Techniken im Abstandsbereich von Zenti- NGI: ( Next Generation Identification) metern nach ISO 18092. Diese Technik ist NGSCB: (Next Generation Secure Computing gedacht, um z.B. SmartPhones für Zah- Base, ausgesprochen „enscub“) Von Micro- lungen zu benutzen (ApplePay, soft propagiertes Sicherheitskonzept, das auf GooglePay) oder mittels Kreditkarten der TCG Hardware beruht. Dabei geht es kontaktlos, d.h. schneller bezahlen oder Geld um eine eindeutige Identifizierung eines Rech- abheben zu können. Dabei gelten die ners über einen Identitätschip auf dem Smartphones als „aktive“ NFC-Implementie- Motherboard. Alternativ dazu gibt es rung, die über die Batterie des Geräts versorgt EMSCB mit Turaya werden, in Smartcards gibt es „passive“ Nickname: spezielle Form einer Benutzer- NFC-Chips, z.B. in Bankomat- oder kennung. Spitzname/Phantasiename bei der Kreditkarten, die ihren Strom aus dem Kommunikation im Internet, den sich die Lesegerät beziehen müssen und außer der Teilnehmer i.d.R. selbst geben. Bietet eine NFC-Schnittstelle keine Datenein- oder – gewisse Form der Anonymisierung, die jedoch Ausgabe haben. Diese Geräte können ihre durch Rückverfolgung, z.B. auf die IP- Geräte-ID kommunizieren und damit ent- Adressen von der sie genutzt wurde, sprechende Datensätze in einer Datenbank aufgehoben werden kann indizieren. Drahtlose Bankomat- und NGN: Next Generation Network Kreditkarten speichern ab 2013 jedoch auch vertrauliche Informationen wie Name, Konto-, NIMD: (Novel Intelligence from Massive Data) bzw. Kreditkartennummer und die letzten US-Forschungsprogramm zur Nutzung sehr Zahlungen. Es können geringwertige großer Datenmengen (z.B. Internetaktivitäten Zahlungen (weil ohne Interaktionsmöglichkeit) und Telefondaten) zur Informationsgewinnung oder der Zutritt zu Räumen oder Events für Nachrichtendienste. Finanziert durch freigegeben werden. Angreifer können jedoch ARDA und NAS, wird als Nachfolger von auch drahtlos an sensible Daten kommen. TIA betrachtet Zahlreiche Sicherheitsprobleme werden be- NIPS: (network intrusion prevention system) richtet, so ist z.B. der Datenaustausch mittels Überwachung eines Netzes zum Schutz gegen NDEF unverschlüsselt und ‚bösartige’ NFC- Angriffe. Im Gegensatz zum IDS setzt ein Etiketten (NFC tag) können die Handys auf NIPS geeignete Maßnahmen zur Blockierung URLs schicken, ohne dass der Anwender des Angriffs. Durch Tricks auf der IP-Ebene das sieht. NFC Tags sind teilweise über- können Angriffe jeder auch am NIPS vorbei schreibbar und damit für Angriffe verwend- geführt werden, Fragmentierung (frag bar. Auf Grund der räumlichen Nähe und dem router). Siehe HIPS Ablauf der Handshakes ist ein Man-in-the- NIST: (National Institute for Standards and Middle Angriff nicht möglich, ein Abhören der Technology) US-amerikanische Standardisie- Verbindungen aber sehr wohl, speziell im sog. rungsbehörde, kümmert sich auch um Sicher- Active-active mode (beide Geräte haben heitsstandards, z.B. für Verschlüsselung, eigene Stromversorgung). D.h. ohne zusätzlich Risikoanalyse, u.ä. implementierte Verschlüsselung können ver- Nitrokey: USB-basierte Authentisierungs- trauliche Daten offengelegt werden. In lösung auf open source Basis. Kann zum Verbindung mit Zertifikaten in der UICC Authentisierung gegen Windows, Linux sind mobile Zahlungslösungen geplant oder MacOS genutzt werden. Die Geräte ( MCP) werden über einen PIN geschützt und NFS: (Network File System) Zugriffsmethode unterstützen HOTP und TOTP, sind auf Dateien über ein Netzwerk. Enthält kompatibel mit Google Authenticator. Siehe wenig Sicherheitsfeatures und ist z.B. nicht auch Yubikey geschützt gegen Spoofing von Geräten, nmap: open-source Programm zum besser ist AFS. Siehe File system Finden und Auflisten von Rechnern und offe- NGFW: (Next Generation Firewall) Schlagwort nen TCP- oder UDP-Ports in Netzen. mit dem ein Firewall betitelt wird der „tiefer“ Wird bei Angriffen und für Penetration in den Datenverkehr einsieht und z.B. IPS Tests genutzt mit enthält. Hintergrund ist, dass heute ein Node.js: JavaScript Laufzeitumgebung für
Version 11.1 Seite 128 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ die Programmierung auf Servern aktiviert werden müssen. Wichtiger Aspekt ist No Fly List: US-Programm zum Screening der Alarmplan. Untermenge eines Kata- von Flugpassagieren. Sehr fehlerhaft (doppelte strophenplans, der für größere und längerfristig Namen, Namensgleichheiten, Namensähnlich- andauernde Katastrophen gilt keiten). Angeblich 2019 eingestellt. Siehe „Nothing to Hide“: Schlagwort mit dem CAPPS II, Secure Flight Angriffe auf die Privatsphäre legitimiert Non-captive outsourcing: Outsourcing werden sollen: z.B. in einem Roman von Upton Sinclair 1918: "If you have nothing to hide you Nonce: (number used once) zumeist eine have nothing to fear." Widerlegt wurde das Zufallszahl, die z.B. im Ablauf eines Argument in D. durch das sog. Volkszählungs- Authentifizierungsverfahren genutzt wird und urteil des Bundesverfassungsgericht 1983 durch die Einmalnutzung gegen Replay- durch Etablierung des Rechts auf Angriffe schützen soll „informationelle Selbstbestimmung“ Non Disclosure Agreement: NDA NPV: (net present value, Kapitalwertmethode) Non-Repudiation: (deutsch: Verbindlichkeit) Verfahren für Wirtschaftlichkeitsberechnun- bezieht sich auf die Sicherstellung, dass die gen). Durch Abzinsung auf den Beginn der Aktionen einer Instanz (Benutzer, Prozesse, Investition werden Zahlungen, die zu späteren Systeme, Informationen, etc.) ausschließlich Zeitpunkten anfallen, vergleichbar gemacht. dieser Instanz zugeordnet werden können und ROI, IRR dass die Kommunikationsbeziehung bzw. der NSA: (National Security Agency / Central Informationsaustausch nicht geleugnet werden Security Service) US-Behörde, Teil des Vertei- kann. Siehe Authentizität, EDI. Gegenteil: digungsministeriums, die für das Abhören Deniability und Entschlüsseln von elektronischen Nach- NOP-Slide: Programmier-Technik bei der richten zuständig ist ( SIGINT). Sie beschäf- eine anzuspringende Adressstelle nicht exakt tigt u.a.eine große Zahl von Mathematikern, bekannt ist. Daher werden vor der gesuchten die auf Kryptographie spezialisiert sind Stelle NOP (no-operation) Instruktionen einge- („Knacken“ von Verschlüsselungen wie auch fügt, die sofort durchlaufen werden bis die Erstellen von sicheren Verfahren für die gesuchte Stelle kommt. Kann genutzt werden Nutzung von US-Stellen), aber auch Sicher- um ASLR auszuhebeln heitserweiterungen für Betriebssysteme und Normen: in der IT äquivalent zu Standard Geräte erstellen, z.B. SELinux. No-Script: Plugin in Browsern zum selekti- 2013 wurde veröffentlicht, dass die NSA mit ven Abschalten von Javascript zur Hilfe des britischen GCHQ einen großen Teil Vermeidung von Schadsoftware und des Internet-Datenverkehrs abfangen, ent- Tracking. Reduziert jedoch die Verwend- schlüsseln und auswerten und im Rahmen von barkeit von vielen Websites Programmen wie PRISM, Daten von Web- mail-Anbietern und Social Networking Anbie- NoSQL: (auch „Not only SQL“) Sammelbegriff für Datenbanktypen die andere Zugriffs- tern überwachen und mit Programmen wie Tempora, XKeyscore anderen Datenverkehr methoden als SQL-Kommandos unterstützen. Werden hauptsächlich rund um Data Mining analysieren. MUSCULAR ist das Codewort für das Abhören des Datenverkehrs zwischen ( Big Data) eingesetzt und unterstützen z.B. Datenstrukturen wie „key-value pairs“ oder den Rechenzentren vieler Cloud-Dienste. Mit Hilfe von QUANTUM kann die NSA auch große unstrukturierte Datensammlungen wie Websites in den großen Suchmaschinen. gezielt einzelne Rechner infizieren und damit Typischerweise fehlen dann alle Sicher- übernehmen. Erste Hinweise hatte es bereits heitsfeatures wie Authentisierung von 2006 gegeben: Mark Klein verriet, dass die NSA in AT&T Räumlichkeiten Datenleitungen Nutzern, Logging, Mandantentrennung, etc. Dies ist besonders problematisch, wenn anzapft. Siehe Echelon als älterer Vorläufer. diese Datenbanken direkt im Internet Mit CO-TRAVELLER sammelt die NSA die erreichbar sind, was 2015 im Fall von täglich Milliarden von Handy Standort- MongoDB und anderen dramatisch gezeigt daten, wertet sie mit HAPPYFOOT aus und wurde gewinnt daraus Erkenntnisse über Verbin- Notebook: Siehe Laptop dungen und Aktivitäten. Eine wichtige Abtei- lung ist TAO (Tailored Access Operations), Notfall: Eintritt eines Problems, z.B. IT-Ausfall, die gezielt, aber auch „auf Vorrat“, in fremde mit einer begrenzten Auswirkung/ Impact und Systeme eindringt. begrenzter (erwarteter) Dauer, Steigerungs- stufe zu Incident. Bei längerer Dauer oder 2015 wird bekannt, dass es auch seit vielen größeren Auswirkungen spricht man von einem Jahren Offensive-Planungen bei der NSA gibt, Katastrophenfall oder eine Krise. Initiiert mit dem Ziel sog. D Weapons im Krieg einzu- werden Notfälle oft über einen Incident setzen um durch großflächiges Zerstören der IT-Infrastruktur des Gegners ein Land zu Notfallplan: Beschreibung der notwendigen lähmen und auch Schadsoftware im BIOS Prozesse, die bei Eintritt eines Notfalls einzusetzen.
Version 11.1 Seite 129 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Siehe auch DISHFIRE, GILGAMESH, als Cloud-Lösung zu nutzen (die VICTORYDANCE, MONKEYCALENDER, entsprechende Lösung von Google heißt GOPHERSET, Semantic Archive Google Workspace). Dabei können Firmen NSL: (National Security Letter) separate Domainen einrichten lassen und gegen Aufpreis eine ganze Reihe von NSP: (Network Service Provider) Anbieter von sicherheitsrelevanten Optionen aktivieren, z.B. Fernverbindung für Internet-Datenverkehr Mandantentrennung innerhalb der „Firmen- (Details siehe Peering), im Gegensatz zu wolke“, Authentisierung gegen das interne ISP. Siehe IXP, CNI AD mittels AD FS, DLP und CASB NTFS: (New Technology File System) File zum Verhindern vom Phishing Angriffen System, das ab MS Windows NT verwendet gegen die Accounts der Mitarbeiter im wird, sicherer gegen Datenverluste. Neuere Internet. Da die gesammte Software Versionen auch mit Verschlüsselungs- cloud-basiert angeboten und genutzt wird optionen, z.B. Bitlocker. EFS sind keine eigenen Server mehr notwendig NTLM: (NT LAN Manager) Authentisierungs- um eine Firmen-IT aufzubauen protokoll v. Microsoft auf Challenge/Res- OASIS: (Organization for the Advancement of ponse-Basis, ähnlich wie MS-CHAP. NTLM Structured Information Standards) US-ame- über HTTP erlaubt ein Single Sign-On auf rikanische Organisation die die Schaffung und Webservern oder Proxys auf Basis der Verbreitung von XML-basierenden Stan- Windows-Benutzeranmeldung. NTLM 1.0 (LAN dards fördert. Sie hat 2002 eine Untergruppie- Manager) gilt als unsicher, Kompatibilität muss rung SSJC gegründet, die sich um Stan- disabled werden dards kümmert, die bei Sicherheitstechno- NTP: (Network Time Protocol) Verfahren zur logien hilfreich sind Abfrage der aktuellen Zeit von einem Time OAuth: Autorisierungsprotokoll mit dem ein Server. Zugriff über dieses Protokoll muss im Benutzer (user) einer Anwendung/ Website/ Firewall erlaubt werden. RFCs 778, 891, Smartphone App (Consumer) Zugriff auf 956, 958 und 1305. Wird seite 2013 verstärkt seine Daten erlaubt die von einer anderen für dDoS-Angriffe genutzt, da es eine Anwendung/ Website (Service) verwaltet kaum genutzte Funktionalität gibt, wo zu werden, ohne dass er sein Passwort preis- Debugging Zwecken, der Server auf eine geben muss. Wird von Flickr, DropBox, kurze Anfrage eine lange Liste seiner letzten Yahoo! Google, Facebook, MySpace, Aufrufe sendet ( amplification). Diese Liste Microsoft, Netflix, Twitter und anderen kann mittels Adress Spoofing an das Opfer unterstützt (die zum Teil eigene Protokolle für gesendet werden, diesen Vorgang nennt man diesen Zweck angeboten hatten). Konzept Reflection beruht auf dem Austausch eines limited access Nudge: Theorie im Bereich Behavioral OAuth Token (valet key). Diese sind jedoch Science das beschreibt, wie durch Mani- nicht signiert, für die Vertraulichkeit und pulation der Choice Archtitecture Menschen Authentisierung der beteiligten Server zu bestimmten Verhaltensweisen gebracht müssen die Mechanismen von SSL genutzt werden können ohne dass ihnen die Mani- werden, was auf Grund der vielen Schwächen pulation bewusst ist. Dies ist eine Gefahr beim (z.B. fehlende gegenseitige Authentisierung, Contextual Computing, wo Smartphone speziell bei Smartphone Apps) proble- Apps wie Google Now benutzerbezogene matisch ist. Google, das OAuth intensiv Ratschläge geben einsetzt, z.B. in Google Docs, konzipiert Null Log-on: (null sessions) im Domain- daher ein Verfahren, bei dem bei der ersten Konzept von Windows die Möglichkeit, dass Authentisierung des Benutzers auf einem eine Anwendung anonym auf Shares oder Gerät die App oder der Chrome-Browser Accounts zugreift. Seit Windows 2000 ein SSL-client Zertifikat erzeugt und damit kontrollierbar, aber als Default erlaubt. Mit dieses Gerät fest an diesen Kanal bindet Windows 2003 besser kontrollierbar („channel binding“). Nummernschilderkennung: ANPR OAuth ist kein Authentisierungsprotokoll wie z.B. SAML oder OpenID, die jedoch mit NXDOMAIN: Non-Existent Domain bezeichnet OAuth kombiniert werden können. Siehe auch eine Internet- Domain die vom DNS nicht WS FS aufgelöst werden kann, z.B. weil sie (noch) nicht registriert ist oder der Benutzer sich OBD : On-Board-Diagnose vertippt hat. Domainbetreiber, z.B. ISPs OBEX: (OBject Exchange Protocol) Protokoll versuchen zum Teil Geld damit zu verdienen zum Austausch von binären Objekten zwi- indem sie diese Anfragen auf andere schen Geräten, z.B. über Infrarot ( IrDA) oder Websites umleiten und dort Werbung Bluetooth, z.B. zum Austausch von Kontak- schalten (DNS Error Monetization). Siehe ten und Terminen (vCard und vCalender) und Domain-Squatting, Typosquatting anderen Dateien zwischen PC, Handy und PDA. Solche Transfers können natürlich zum O365: Angebot von Microsoft für Unter- nehmen und Private die MS Office Programme Austausch von Schadsoftware verwendet
Version 11.1 Seite 130 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ werden Messaging Obfuscation: Erschweren der Analyse des In- OCSP: (Online Certifcation Status Protocol) halts eines Programmes, einer Kommuni- Verfahren für Certificate Authority um zu kation oder Nachricht, ohne dass dabei kommunizieren, welche Zertifikate kompro- wirkliche Verschlüsselung eingesetzt wird, z.B. mittiert sind. Im Gegensatz zum CRL- wenn ein Datenelement gescrambelt wird (z.B. Verfahren wird dabei nicht die gesamte Liste mit XOR oder Vertauschung der Bitpositionen). aller abgelaufenen Zertifikate, sondern nur Code Obfuscation wird z.B. bei Malware der Status des nachgefragten Zertifikats eingesetzt, um eine Erkennung zu vermeiden. übertragen. Das Verfahren gilt als gescheitert, Kann auch zum Schutz eingesetzt werden, da da bei Nichterreichbarkeit des jeweiligen es „die Latte für den Angreifer höher legt“ OCSP-Servers die Webbrowser zur Sicher- Obscurity: (engl. Dunkelheit) „practical ob- heit trotzdem den Zugriff erlauben. Alter- scurity“ = etwas ist schwer zu finden, heute native Verfahren sind HPKP, Certificate durch Suchmaschinen und andere Internet- Authority Authentication und Certificate funktionen nicht mehr in dem früheren Maße Transparency http://www.ietf.org/rfc/rfc2560.txt gegeben. Neue Suchfunktionalitäten, wie z.B. OCSSP: (online content sharing service Facebook Graph oder die Timeline, stellen provider) die Zielgruppe des geplanten EU- zwar technisch keine Sicherheitsverletzungen Urheberrechts. Dies sind Plattformen bei dar, da sie nur Daten anzeigen, auf die denen die Nutzer Daten hochladen können, bisher auch schon zugegriffen werden konnte, d.h. vor allem Google mit Youtube, aber anderseits reduzieren sie jedoch trotzdem die auch Fotosharing und Websites bei denen Privatsphäre von Personen. Ähnlich kann Texte hochgeladen werden können. Das man in Bezug auf Face Recognition Gesetz will durch Größenbeschränkungen die argumentieren. Gesichter in der Öffentlichkeit Lasten für kleinere (junge) Anbieter reduzieren. sind sicher nicht vertraulich, anderseits Siehe Upload-Filter ergibt die technische Möglichkeit, ein Gesicht Octave: (Operationally Critical Threat, Asset, mit allen Fotos auf Facebook zu vergleichen and Vulnerability Evaluation) Risikomanage- sehr wohl eine Reduzierung der Privatsphäre. ment-Methode, die von CERT empfohlen Das Konzept: “ ’Security through obscurity’ und durch Tools unterstützt wird. does not work” = geheim halten eines http://www.cert.org/octave/ Algorithmus oder Speicherorts stellt keine Sicherheit her, ist zwar korrrekt, aber in vielen Oculus Rift: spezielle Brille (ähnlich einer Fällen entsteht Privatsphäre nicht erst durch Skibrille) mit integrierten Bildschirmen und Bewegungs sensoren die für virtual reality Geheimhaltung, sondern auch die Obscurity, dadurch, dass Informationen zwar nicht sicher Nutzung gedacht ist. 2014 von Facebook verborgen sind, aber sehr schwer aufzufinden. gekauft. Auf diese Weise soll ein „immersives“ Siehe auch Shannon, Kerckhoffs’ Erlebnis erreicht werden principle, Scrambling Öffentlicher Schlüssel: Verschlüsselung Obsoleszenz: Überalterung von Geräten aus Off-the-Record Messaging: (OTR) neues anderen Gründen als der Ausfall der Geräte. In Prinzip der Nachrichten-Verschlüsselung von der IT sehr üblich, z.B. wenn wie bei Instant Messaging (als Produkt verfügbar Windows XP keine Sicherheits patches von http://www.cypherpunks.ca/otr/ ). Es bietet mehr erstellt werden und die Geräte dadurch Vertraulichkeit, Authentisierung der Gegen- verwundbar werden. Im Rahmen des Inter- stelle und es kann später nicht mal festgestellt net of Things wird dies aber alle Geräte werden, ob ein bestimmter Schlüssel von betreffen, die mittels Embedded Systems einer bestimmten Person genutzt wurde software-gesteuert sind, z.B. Autos, (deniability) und auch PFS. Gilt als eines medizinische Geräten ( IMDs) wie Herz- der wenigen Messaging Protokolle die auch schrittmacher, Insulinpumpen, u.ä., in Zukunft 2014 nicht durch die NSA zu entschlüsseln aber auch Haushaltsgeräte wie Wasch- sind. Nutzt AES, Diffie-Hellmann und maschine und Kühlschrank. Bereits heute ein SHA-1 großes Problem bei Android Smart- Office of Personel Management (OPM): US- phones, für ca die Hälfte von ihnen gibt es Behörde die alle Regierungsangestellten be- keine Sicherheitsupdates, da die Android- treut, inkl. Geheimdienst und Militär. OPM Anbieter Landschaft so zerklüftet ist, dass für wurde 2015 Opfer eines großen Angriffs die geringen Stückzahlen pro Gerät die (China zugeschrieben) bei dem große Mengen Bereitstellung von Patches sehr teuer wäre an extrem sensiblen Daten entwendet OCR: (optical character recognition) automa- wurden (Data breach). Es soll zu schweren tische Umwandlung von gedruckten Texten in Konsequenzen für Mitarbeiter des CIA, etc leicht weiter zu verarbeitende elektronische geführt haben Textdarstellung. Siehe MRZ OIO: (Offensive Operations Information) neuer OCS: (Office Communication Server) Begriff für Information Warfare Microsoft Product im Bereich VoIP und OK: organisierte Kriminalität
Version 11.1 Seite 131 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
OLPC: (one laptop per child) Initiative für einen auf einen oder mehrere Rechner verweist, auf Laptop unter 100 $ für computer literacy in welchen Produktinformationen zu finden sind Entwicklungsländern. 100 $ ist letztendlich (Hersteller, Großhändler, Einzelhändler). Der nicht gelungen, es wurden jedoch bis 2011 2,4 Aufbau ist ähnlich wie der DNS-Service für Mio Geräte an Kinder verteilt. Das Projekt hat Domain-Adressen im Internet (root ONS, als Nebeneffekt zur kommerziellen Einführung local ONS). Der ONS Service verweist auf der sog. Netbooks geführt, die zum halben andere Rechner auf denen die Produktinfor- Preis von Laptops erhältlich sind. Benutzt mationen (authoritative product manufacturer neues Sicherheitskonzept Bitfrost information) im PML-Format [Physical Mark- OLSR: (Optimized Link State Routing Protocol) up Language, eine Untermenge von XML] IP-protocol für den Aufbau von drahtlosen abgelegt sind und für alle Mitglieder der ad-hoc Netzen, z.B. zwischen Business Organisation abrufbar sind. Dadurch Mobilfunkgeräten ist ein Nachverfolgen eines Produktes vom Hersteller bis zum Kunden möglich. Zugriff zu On-Board-Diagnose : (OBD) eine physische den über EPC erschließbaren Informationen Schnittstelle (Stecker) im Auto über den ein wird reguliert über eine Authentifizierung Laptop Zugriff auf die Elektronik, d.h. die mittels Zertifikaten (ausgestellt von speziel- vielen Computer im Auto bekommt. Dies len CAs) und ACLs, gesetzt durch den dient, wie der Name sagt, hauptsächlich zum „Owner“ des jeweiligen EPCs für seine Trading Auslesen von Fehlerprotokollen ( Logs), bzw. Partner um die Elektronik auf einem definierten Ausgangszustand zurückzusetzen („reset“). OPC UA: (OPC Unified Architecture) ein Unabhängige Werkstätten und Pannendienste industrielles M2M- Protokoll, vorgeschla- bemängeln, dass sie oft keinen Zugang zu gen bereits 2006 von der OPC Foundation das dieser Schnittstelle bekommen (oder mittels eine wichtige Rolle bei Industrie 4.0 spielen sehr mühsamen Anfragen), anderseits wurden soll. Das BSI hat die Sicherheit geprüft und diese Zugänge auch benutzt, um Fahrzeuge keine systematischen Sicherheitslücken zu „übernehmen“. Die Fahrzeugdaten können identifiziert. Diese können aber typischerweise im Falle eines Unfalls sehr wichtig sein, bzw. auch durch Implementierungsfehler entstehen können nach dem Verkauf des Fahrzeugs eine Open Banking: PSD2 Privatsphäre-Verletzung darstellen, da dort OpenBazaar: open source Projekt für eine zum Teil auch die früheren Routen verzeichnet dezentrale Handelsplatform auf der Basis von sind Bitcoin und TOR. Nachdem das FBI 2013 OneCare: früherer Sicherheitsdienst von die Silk Road website geschlossen hatte Microsoft für Privatkunden. Enthielt Viren- begann 2014 die Entwicklung an einer schutz, Spywareschutz u. ä. Funktionalitäten. dezentralen Architektur, die nicht zentral Immer noch kostenlos verfügbar ist MSRT, geschlossen werden kann, da die Angebote für Firmen gibt es kostenpflichtig ForeFront. weltweit verteilt sind. Das wäre eine ideale Ab 2009 durch Microsoft Security Essentials Platform für illegale Handelsaktivitäten, siehe abgelöst Darknet Market One-time-Password: OTP Open Data: Daten die von jedermann zu Onion : (.onion) spezielle Domain-Endung jedem Zweck genutzt, weiterverbreitet und (statt z.b. .com) für Websites, die nur im weiterverwendet werden dürfen. Wenn die TOR-Netzwerk erreichbar sind. Mehr Daten von Behörden zur Verfügung gestellt Information unter TOR werden, so wird dies auch als Open Government bezeichnet. Dabei geht es darum, Onion-Routing: siehe TOR dass diese Daten (leicht) maschinenlesbar und Online-Durchsicht: einmalige Momentaufnah- entgeltsfrei sein sollen. Die Daten sollten me bei RFS-Einsatz (auch) in maschinell auswertbaren Formaten Online Durchsuchung: Online Durchsicht vorliegen, z.B. nicht PDF, sondern XML und Online-Überwachung oder JSON damit eine digitale Weiterver- arbeitung leicht möglich ist. Da geht es Online-Überwachung: RFS-Einsatz über einen Zeitraum, inkl. Keylogger entweder für neue Dienste, z.B. Apps die diese Daten visualisieren, z.B. die Positionen ÖNORM : (Österreichisches Normeninstitut) von Bussen oder Zügen oder auch für Normungsbehörde, hat auch zahlreiche sicher- Barrierefreiheit für Vorlese-Programme für heitsrelevante Standards erlassen. Siehe Sehbehinderte. DIN, ANSI, ISO, NIST Open Government: Bereitstellen von Open ONR 17700: wichtige Önorm zum Thema Data durch Behörden (Exekutive, Legislative, Web Application Security, liegt in engl. vor Judikative). Ein Beispiel kann das Veröffent- und wird vermutlich international genormt lichen von Sitzungsprotokollen oder Urteilen in ONS: (Object Naming Service) zentraler Ser- leicht auswertbarer Form sein (so dass z.B. vice, der nach dem Auslesen des EPC (historische) statistische Auswertungen und (Electronic Product Code) eines RFID-Tags Analysen leicht möglich sind) oder andere
Version 11.1 Seite 132 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Daten wie Verkehrsflüsse die durch die ist vor allem wichtig bei kryptographischer Sensoren der Dienstleister anfallen Software, da nur so die Gefahr von Back- OpenID: dezentrales Identitätsmanagement- doors reduziert werden kann. Leider hat sich system (d.h. Federated Identity Framework im konkreten Fall von OpenSSL und dem wie CardSpace und Geneva) für Web- Heartbleed bug dies als Fehleinschätzung Anwendungen, bei dem der Webserver mit herausgestellt. So bekommen einige Open einem Identity Provider Kontakt aufnimmt, Source Aktivitäten sehr hohe Aufmerksamkeit demgegenüber der Benutzer sich authentifi- und Unterstützung auch durch Firmen (z.B. ziert. Die Sicherheit hängt von der Art dieser Linux), andere werden von nur wenigen Authentifizierung ab. Der Austausch erfolgt Freiwilligen in ihrer Freizeit betrieben und kön- mittels Protokollen wie WS-FS und nen daher nur schwer die notwendige Quali- SAML. Siehe auch OAuth, BrowserID tätssicherung erreichen. Eine wichtige Unter- stützung die Firmen welche Open Source Open Government: Forderung nach Transpa- Produkte einsetzen, liefern können sind z.B. renz in Politik und öffentlicher Verwaltung. Pentests und Programm-Audits, deren Er- Dazu gehören auch Forderungen nach gebnisse den Entwicklern zurück gemeldet Kollaborations- und Partizipationsmöglich- werden. Siehe Open Software Foundation, keiten für einzelne Bürger oder Organisatio- GPL, HackerOne, fork nen. Dies sollte nicht nur technisch/digital implementiert werden, sondern auch durch Open Source Intelligence: Methode die von Workshops, Barcamps, Interviews und andere Polizei und Geheimdiensten genutzt wird. Formen des direkten Kontakts Dabei werden Informationen aus öffentlich zugänglichen Quellen wie z.B. Suchma- Open Graph: 2011 von Facebook angebo- schinen im Internet genutzt. Siehe auch tene API mit deren Hilfe das Konzept des ENLETS Like-Buttons auf beliebige Beziehungen erweitert. Verben können jetzt definiert werden Open Source Research: Vorgangsweise bei wie hört, sieht, kauft, besucht, etc. zusammen der Angreifer oder Spionagebehörden öffent- mit entsprechenden Objekten wie Orten oder lich zugängliche Quellen nutzen um an Infor- Musikstücken. Alle Daten die so anfallen sind mationen zu kommen, die dann für einen Teil des Social Graphs weiteren Angriff genutzt werden können. Wichtig vor allem bei Social Engineering Open Redirect: Schwachstelle bei Web- sites, wenn diese die Funktionalität anbietet, OpenSSL: vermutlich meistgenutzte Bibliothek dass eine URL dieser Website konstruiert für Verschlüsselungsroutinen, verfügbar als werden kann, die auf beliebige andere (böse) Open Source. OpenSSL wird in vielen Websites weiterleitet kommerziellen und nicht-kommerziellen Pro- dukten eingesetzt. Es kam zu trauriger Be- Open Relay: Mailserver, der schlecht konfigu- rühmtheit, als 2014 der Heartbleed Bug riert ist und deswegen eine anonyme Weiterlei- entdeckt wurde und damit 2/3 der Webserver tung von E-Mails von Spam-Versendern im Internet verwundbar waren. Trotzdem gilt erlaubt, heute weitgehend durch Botnets Open Source immer noch als sichere ersetzt. OpenRelays kommen auf eine Alternative zu kommerzieller Software. Blacklist ( DNSBL). E-Mails von diesen OpenSSL unterstützt auch das Protokoll TLS Mailservern werden dann von vielen anderen Mailservern nicht mehr angenommen OpenStack: Framework zur Erstellung und Administration von öffentlichen oder privaten Open Social: von Google 2007 (als Cloud-Lösungen. AT&T, AMD, Brocade Nachzügler in diesem Geschäftsbereich) Communications Systems, Cisco, Dell, EMC, entwickeltes Protokoll ( API) für den Ericsson, F5, Go Daddy, Groupe Bull, Hewlett- Transport persönlicher Daten zwischen Packard, IBM, Inktank, Intel, NEC, NetApp, Social Network Websites. Ziel ist es, dass Nexenta, Rackspace Hosting, Red Hat, SUSE Benutzer eines Netzwerks mit Benutzern Linux, PLUMgrid, VMware, Oracle and Yahoo! oder Funktionen anderer Netzwerke inter- sind beteiligt. Die Software (APIs) sind agieren können, bzw. dass Daten zwischen kompatibel mit Amazon EC2 und S3 Netzwerken ausgetauscht werden können. Könnte eine weitere Bedrohung für die OpenVZ: neues Virtualisierungskonzept, bei Privatsphäre der Teilnehmer darstellen dem ohne Virtualisierungslayer gearbeitet wird, sondern mit sog. Container die alle einen Open Software Foundation: Organisation, gemeinsamen Kernel nutzen. Dadurch gibt es die die GPL (weiter)entwickelt. Siehe nur sehr geringe Trennung zwischen den Open Source „guest“ Systemen. Dies ist von den Resourcen Open Source: Software, die im offenen her effizient, aber bietet nicht die Sicherheit Austausch von Quellcode weiterentwickelt einer wirklichen Virtualisierung wie z.B. wird. Regeln sind: alle haben Zugriff auf den VMware Quellcode und dürfen ihn frei verwenden. Operating System: (OS) Betriebssystem Wenn dabei Weiterentwicklungen entstehen, so unterliegen diese auch diesen Regeln. Dies Operationelles Risiko: (OpRisk) (oft auch operationales R.) Gefahr von Verlusten als
Version 11.1 Seite 133 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Folge unzulänglicher oder fehlgeschlagener explizite Zustimmung geben muss, sondern interner Prozesse (z.B. nicht entdeckter lediglich die Möglichkeit hat, nachträglich Betrug), Menschen und Systeme oder von etwas zu verhindern oder zu blockieren. Opt- externen Ereignissen. Nach Basel II gibt es Out wird von Marketing- und Werbefirmen 7 „event types“: internal fraud, external fraud, gegen über Opt-In bevorzugt, auch employement practise & workplace safety Facebook ist bekannt dafürm maximal Opt- (enthält auch Diskriminierung), clients, pro- Out anzubieten. Z.B. die Möglichkeit der ducts & business practise (Marktmanipulation, Stornierung von unangeforderten E-Mails Antitrust, Bilanzfälschung), damage to physical (UBE, UCE, Spam). Unter gewissen assets, business disruption & systems failure Umständen legal, wenn der Kunde die (Stromausfall, Hardware- und Software- Möglichkeit hat, über eine Website oder ein Fehler), Execution, Delivery & Process Antwort-E-Mail zukünftige Zusendungen zu Management (Dateneingabefehler, Buchhal- verhindern. Bei Mailversand sollte auf jeden tungsfehler). Siehe auch AMA Fall die Robinson Liste respektiert werden. Operatives Risiko: das komplexen Syste- Unterschiedliche Regeln in jedem Land. men und Prozessen inhärente Fehlerrisiko, Opt-Out wird auch bei Behavioural Adver- eine Untermenge des operationellen Risikos tising angeboten. Dabei findet jedoch weiterhin (OpRisk) ein Tracking der Benutzer statt, lediglich Opportunistic Encryption: neues Schlagwort, werden die Werbeeinschaltungen nicht auf der das nach Edward Snowden geprägt wurde. Basis der trotzdem gesammelten Informa- Es beschreibt verschlüsselte Verbindungen, tionen über den Benutzer ( PII) geschaltet. bei denen sich jedoch nicht zuerst die beiden Siehe auch Choice Architecture Gegenstellen ihrer Identität versichern, so Oracle: wie es nötig ist um Man-in-the-Middle US-Unternehmen das durch seine Angriffe zu verhindern (was den Einsatz von Datenbanksoftware bekannt wurde. Ua.a. Zertifikaten auf beiden Seiten erfordern durch Übernahme von anderen Software- würde), sondern eine Verschlüsselung ohne produkten wie Java führt Oracle 2011- Absicherung der Identität der Gegenstelle 2013 oft die Liste der häufigsten Ver- aufbauen. Diese Verbindungen sind dann zwar wundbarkeiten an immer noch mittels Man-in-the-Middle Klasse von Angriffen gegen Ver- angreifbar, jedoch erfordert dies deutlich mehr schlüsselungen Aufwand als ein einfaches Kopieren der Daten Orange Book: TCSEC, Common Criteria/ auf der Leitung ISO 15408 OpRisk: operationelles Risiko Organisierte Kriminalität: (OK) Kriminalität OpSec: (operational security) Hacker-Termi- unter Verwendung gewerblicher oder nologie für Vorsichtsmaßnahmen die die geschäftsähnlicher Strukturen. Seit ca. Mitte Sicherheit und Anonymität im Internet 2004 auch stark im Internet aktiv, z.B. durch erhöhen. Die vielen Data Leakage Fälle seit Finanzierung von Hackern, Erpressung 2014 führen dazu, dass mehr und mehr über dDoS-Angriffe, Durchführung der Menschen OpSec lernen sollten, z.B. dass Geldtransfer und Geldwäsche nach man unterschiedliche Passworte für unter- Phishing-Angriffen. Siehe Hacker, VX, schiedliche Zwecke nutzt, peinliche Dinge nicht Botnetz http://sicherheitskultur.at/spam.htm#OK vom Arbeitsplatz aus tut (da gibt es einen ORIMOR: (Open Risk Model Repository) Open Proxy der alles mitschreibt), dass man sich Source-Projekt für die Entwicklung eines IT- für solche Dinge einen falschen E-Mail- Risiko-Modells, Tools und Handbücher. Account anlegt, etc. http://www.somap.org/repository/default.html Opt-In: Konzept, bei dem ein Benutzer eine OS: (operating system) Betriebssystem explizite Zustimmung zu etwas geben muss. Z.B. Zusenden von E-Mail erst nachdem der OSI Schichtenmodell: von IEEE standardi- Empfänger die Erlaubnis gegeben hat sierte Konzeption für Netzwerke, beruhend auf (Permission Marketing). Ziel ist die 7 Schichten ( Layer) mit unterschiedlichen Vermeidung von Spam. Die Erlaubnis kann Aufgaben und definierten Schnittstellen, durch Anklicken auf einem Anmeldeformular erlaubt die Entwicklung und den leichteren geschehen, erweitert auch durch verified- oder Austausch von Komponenten im Kommuni- confirmed-Opt-In, d.h. der Kunde muss auf ein kations-Stack. TCP/IP nutzt statt 7 nur 4 Bestätigungs-E-Mmail antworten, bevor er Schichten. Siehe Segment registriert wird. Das gleiche gilt für andere OSOR: (Open Source Observatory and Repo- Aspekte wie Speicherung von Cookies sitory) EU-Organisation, die die Nutzung von (geplante EU-Forderung), oder Tracking von Open Source Software für öffentliche Benutzerverhalten. Datenschützer favorisie- Verwaltungen unterstützt ren Opt-In-Verfahren. Siehe auch Opt-out, OSS: (Open Source Software) Software, die Choice Architecture im Quellcode und unter Open Source Opt-Out: Konzept, bei dem ein Benutzer keine Lizens-Schemata verfügbar ist. Siehe GPL,
Version 11.1 Seite 134 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Copyleft, Lizenz Browser erlaubt. Siehe WebReady OSSTMM: (Open-Source Security Testing Document Viewing Methodology Manual) Zusammenstellung von Out-of-Band: (OOB) Sicherheitskonzept, bei Best Practise Regeln für das systematische mehrere Datenkanäle genutzt werden, die Testen von IT-Umgebungen im Hinblick auf nicht gleichzeitig überwacht oder kontrolliert Risiken und Schwachstellen. Es enthält werden können. Z.B. wenn sensible Infor- Penetration Testing als einen Aspekt. mationen erst dann entschlüsselt oder http://www.osstmm.org/ verarbeitbar gemacht werden können, wenn OStatus: offener Standard für Micro- eine zusätzliche Information über einen Blogging zum Aufbau eines föderativen anderen Datenkanal übertragen wurde. Social Networks. Das Protokoll OStatus Beispiel ist auch die Versendung eines PIN- wird implementiert von GNU social, Codes auf Papier oder per SMS Friendica, Mastodon, Pleroma, Hubzilla, Out-of-band Autorisierung: Autorisierung und weiteren. Siehe Fediverse z.B. einer e-Banking Transaktion mit Hilfe Österreichisches eines 2. Kanals, z.B. SMS ( mTAN). Setzt Informationssicherheitshandbuch: aber getrennte Geräte voraus, d.h. verliert die Sammlung von Regeln und Best-Practise Schutzfunktion wenn sowohl e-Banking wie Vorgaben. SMS-Empfang auf demselben Gerät passieren https://www.sicherheitshandbuch.gv.at/ Outsourcing: (Outside Resource Using) osTriage: flexible Forensic-Software, typi- Rückgriff auf Quellen/Ressourcen außerhalb scherweise auf einem USB-Stick, die eine (des Verantwortungsbereiches) des Unterneh- Kurzanalyse eines PCs durchführt und dabei mens. (Als „Nearshoring“ bezeichnet wenn die Dateien, aber auch Logs u.ä. untersucht. Dienstleister in regional nahen Ländern sitzen) Kann über Hash-Codes 500 000 Dateien Dabei müssen durch SLAs die jeweiligen erkennen und nach über 300 Schlüsselworten Sicherheits- und Verfügbarkeitsanforderungen suchen festgelegt werden, einschließlich der Aspekte eines Katastrophen-Falls. Oft wird ange- OSVDB: (Open Source Vulnerability nommen, dass auf diese Weise auch Database) öffentliche Datensammlung zu Verantwortungen übertragen werden können, Verwundbarkeiten auf der Basis von CVEs dies ist jedoch nicht der Fall. Es wird zwischen OTA: (over-the-air), z.B. OTA-Update captive und non-captive outsourcing OTP: unterschieden. Dabei bezeichnet captive 1) (One-time-Password) Einmalpasswort, ein outsourcing einen Dienstleister der Teil des Verfahren um eine Authentifizierung einer Konzerns ist (oder verbleibt). Non-captive sind Person gegen das Abhören und „Replay” alle anderen Nicht-Konzern Dienstleister, z.B. sicher zu machen. Früher waren die Haupt- die vielen cloud computing Anbieter, die oft technologien vorgedruckte TAN-Listen, nur für einzelne Funktionen genutzt werden, besser sind Token, d.h. Geräte die sich z.B. O365 für Office-Funktionen oder SAP ständig ändernde Passworte generieren und (SaaS), bzw. hosting oder housing. anzeigen. Diese Variante ist auch als App Weitestgehende Möglichkeit: Auslagern der auf Smartphones verfügbar. Auch OTPs gesamten eigenen IT-Abteilung zu einem schützen (so wie 2-Faktor-Authentifizierung) externen Anbieter, oft einschließlich nicht 100% gegen Phishing Angriffe, Übernahme der existierenden Hardware, machen aber den Angriff für die Angreifer Räumlichkeiten und Personal. Dabei verbleibt schwieriger. Bei Risk-based-Authentication typischerweise eine Retained Organisation wird automatisiert entschieden, ob der 2. im Unternehmen, oft einige der ursprünglich in Faktor angefordert wird, dies lässt sich der IT arbeitenden Kollegen austricksen. Siehe auch FIDO, HOTP und OVAL: Standard für den Austausch von TOTP sicherheitsrelevanten Informationen, z.B. 2) (Online Transaction Processing) spezielles Sicherheitswarnmeldungen auf der Basis von Datenbankverfahren, das sehr schnellen XML. In OVAL geschriebene Inhalte findet Zugriff auf meist kurze Datensätze erlaubt man beispielsweise in dem von der MITRE OTR: (Off-the-Record Messaging) Corporation betreuten OVAL-Repository. Siehe OTS: (over-the-shoulder) Konzept in Vista CVE, CME bei der der Benutzer mit Standard-Rechten Overnet: Protokoll für P2P, z.B. in arbeitet, aber für bestimmte Aufgaben das eDonkey genutzt, aber auch von Storm lokale Administrator-Passwort eingeben muss. Worm Dies kann auch über Remote Assistance Over-the-Air: (OTA) Over-the-Air Provisioning geschehen (OTAP), Over-the-Air Update oder Over-the-Air Outlook Web Access: (OWA) Web- Programming. Methode zur Installation oder Anwendung, die ein Zugriff auf E-Mails im Aktualisierung von entfernten Geräten, z.B. bei Microsoft Exchange Server mittels Web- IoT, aber auch bei Smartphones. Bei Smartphones gibt es dafür standardisierte
Version 11.1 Seite 135 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Verfahren bei denen mittels SMS Botnets eingesetzt. Siehe jedoch Deep Aktualisierungen in SIM-Karten oder Packet Inspection zur Identifizierung Proto- Handys durchgeführt werden können. 2019 kollen trotz Verschlüsselung, z.B. durch Aus- wurden Schwachstellen in diesem Protokoll nutzung von spezifischen Sequenzen beim gefunden. Generell stellen solche OTA Aushandeln der Schlüssel oder durch typische Aktualisierungen Herausforderungen dar, da Blockgrößen oder Timings. z.B. bei einem Abbruch der Verbindung (z.B. P2P-Netze können durch Sybil Attacks (Sybil bei Verbindungsunterbrechung durch nodes) angegriffen werden Stromausfall) ein Gerät (z.B. ein modernes P300: bei einem EEG (Elektroenzephalo- Auto) funktionslos werden kann ( “brick“). gramm) Signal eine Welle die 300 ms nach Dies ist bei modernen Autos ein großes Thema, da heute das Verhalten eines einem Ereignis auftritt das die Aufmerksamkeit der Versuchsperson erregt. Wird für Brain Fahrzeugs weitgehend durch Software Computer Interfaces (BCI) verwendet, u.a. um bestimmt wird. Dies bedeutet, dass es bei Behinderungen. Problematisch, wenn es fehleranfällig ist, und dass für die Behebung bei der Befragung von Verdächtigen genutzt ein Software-Update notwendig ist ( wird um festzustellen, ob bestimmte Bilder die Patchen). Wenn dies nur im Rahmen einer Rückrufaktion in die Werkstatt möglich ist, so nur der Täter kennen sollte, bei den Befragten ist dies mit hohen Kosten für den Hersteller dieses Signal auslösen (guilty knowledge). verbunden. Anderseits besteht das Risiko des Wissenschaftlich nicht ganz geklärt „bricks“ P3P: (Platform for Privacy Preferences) OWA: Outlook Web Access Verfahren, damit Websites auf einfache Weise ihre Privacy Policy in XML OWASP: (Open Web Application Security ausdrücken können, sodass diese vom Project) gemeinnütziges Projekt für sicherere Nutzerrechner automatisiert ausgewertet Web-Anwendungen. Siehe Application werden kann. Der Nutzer entscheidet dann, ob Security, Sprajax, WAP, ONR 17700 er die Website unter den gegebenen OWASP Top Ten: aktualisierte Liste der wich- Bedingungen besuchen möchte oder nicht. tigsten Verwundbarkeiten von Web- P3P als universeller, technischer Standard Anwendungen erlaubt es, weltweit im ganzen Internet OWL: (Web Ontology Language) formale Datenschutz-Policies für die Nutzer Sprache zur Darstellung von Beziehungen transparent zu machen. Die Nutzer hätten zwischen Objekten, in diesem Fall Informa- damit eine größere Kontrolle darüber, was mit tionen im Web. Siehe Semantic Web, ihren persönlichen Daten geschieht. Siehe FOAF Privatsphäre Oxy Reduct : Anbieter einer Lösung zur PAA: (Protect America Act) Erlaubnis für die Brandvermeidung, der Begriff wird jedoch oft US-Behörden zum Abhören von Kommuni- auch generisch genutzt. Ein anderer Anbieter kation innerhalb der USA ohne Richterbe- ist Permatec. Siehe Brandschutz schluss, solange die Annahme besteht, dass mindestens 1 Partei außerhalb der USA ist. P2P: (Peer-to-Peer Networking) Technologie Siehe Patriot Act bei der Rechner direkt miteinander kommu- nizieren ohne über zentrale Server zu ge- PAC: (proxy auto-configuration) Protokoll zur hen. So findet die Sprach- und Video-Kom- automatischen Konfiguration eines Web- munikation bei Skype ohne den zentralen browser zur Nutzung eines Reverse Proxys. Server statt, der z.B. die Anmeldung durchführt Kann für Umleitung des Datenverkehrs eines oder Teile der Text-Chats. Webbrowser und somit für Man-in-the- Middle Angriffe genutzt werden P2P wird seit 2012 auch eingesetzt, um Botnets weniger anfällig für das Ausschalten PACE: ( Password Authentication Connec- tion Establishment) vom deutschen BSI der zentralen Server ( C&C Server) zu machen. Siehe sinkholing entwickeltes Protokoll für den Aufbau eines sicheren Kommunikationskanals zwischen P2P steckt auch hinter modernen Tausch- börsen ( Filesharing), mit deren Hilfe mehr einem Chip und einem Lesegerät, verwendet für den elektronischen Personalausweis ( oder weniger legal, Dateien (Musik, Filme, Programme, Bilder) zwischen beliebigen ePerso), soll BAC im ePass ersetzen Rechnern direkt, d.h. diskret, ausgetauscht Packet: (engl. für Paket) in der IP Paket, ein werden können. Eine der ersten P2P-Imple- Datenblock, der an eine bestimmte Empfangs- mentierungen war Napster. 2005 machte adresse übertragen werden soll. Kann aus auch KaZaA Schlagzeilen, oft negativ im Integritätsgründen eine Checksum enthal- Sinne einer Sicherheitsbedrohung. Moderne ten oder aus Vertraulichkeitsgründen ver- Systeme (2010) wie BitTorrent arbeiten sehr schlüsselt sein dezentral und sind sehr schwer zu über- Packetfilter: Software, die bestimmte IP- wachen. Aus diesem Grund werden P2P- Pakete analysiert und bei bestimmten Techniken verstärkt bei der Steuerung von Inhalten Aktionen unternimmt. Teil z.B. eines
Version 11.1 Seite 136 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Firewalls um die Daten getrennt vom Betriebssystem Packet Sniffer: Programm oder Gerät, das sichern zu können Daten pakete in Netzen aufzeichnet, kann Passkey: wird bei der Herstellung eines für die Fehlersuche oder als Angriffstool Pairings zwischen zwei Bluetooth-Geräten verwendet werden. Siehe Paketfilter auf beiden Geräten eingegeben und dient der Page: (engl. Seite) Erstellung des Link Keys 1) Struktur von Websites durch einzeln Passphrase: Längere und daher sicherere aufrufbare Dateien, i.d.R. im HTML-Format Version des Passworts, in der Regel aus mehreren Worten bestehend 2) logische Struktur von Hauptspeicher bei Betriebssystemen mit virtueller Speicherver- Passport: Versuch von Microsoft, eine zent- waltung ( virtual memory). Für einzelne rale Stelle für die Authentisierung von Pages können zumeist Sicherheitsattribute Webanwendungen unterschiedlicher Art zu gesetzt werden, z.B. DEP schaffen. Umstritten wegen der zentralen Kontrolle aller Daten durch 1 Hersteller. Pairing: bei Bluetooth der Vorgang, mit dem Genutzt u.a. für hotmail und andere Microsoft- eine Vertrauensbeziehung zwischen zwei Dienste. Siehe federated identity. Geräten hergestellt wird. Wenn diese Be- CardSpace ziehung, wie bei Unit Keys, permanent er- halten bleibt, so kann dies ein Sicherheitsrisiko Pass-the-Hash: Angriffstechnik, bei der ein darstellen. Siehe Bluesnarfing „gefundener“ NTLM- Passwort Hash ver- wendet wird, um sich bei einem anderen Paket: Packet System anzumelden ohne das eigentliche Palladium: von Microsoft entwickeltes Passwort zu kennen, wird bei APTs oft Sicherheitskonzept, heute NGSCB genannt. verwendet um sich weiter im Netz des Palm OS: Betriebssystem für PDAs und Unternehmens zu verbreiten Smartphones Passwort: (in Kombination mit dem Benut- PAM: (process assessment model) SPICE zernamen oft Credential) geheime Zeichen- PAN: folge, die zusammen mit der Benutzer- kennung des Nutzers zur Authentisierung 1) (Personal Area Network) Netz aus des Benutzers dient und den Zugriff auf Bluetooth-Geräten (PAN User = PANU). geschützte Rechner, Websites oder Dateien Dabei kommt manchmal UWB zum Einsatz erlaubt. Ein „starkes“ Passwort hat eine hohe 2) (Primary Account Number) Kreditkarten- Entropy, d.h. ist nicht zu kurz, nummer. Muss nach den PCI-DSS-Regeln alphanumerisch mit Sonderzeichen. Die Stärke gut geschützt werden, durch z.B. nur teilweise eines Passworts wird oft als Zero-order angezeigt werden Entropy gemessen. Dies ist aber Pandemie: länder- und kontinentübergreifende problematisch, da viele Aspekte wie die Ausbreitung einer Krankheit (Epidemie ist lokal Nutzung der Listen von häufig genutzten Pass- begrenzt). Wird durch Nicht-Verfügbarkeit von worten (Passwort Leaks) durch „Cracker“ Personal (entweder durch die Krankheit selbst (siehe Passwort-Recovery, Credential oder durch Quarantäne-Maßnahmen) und Stuffing) nicht berücksichtigt werden. Daher ist dadurch bedingte Knappheit aller Ressourcen die Einmaligkeit von Passworten ein noch schnell sicherheitsrelevant. Notfallpläne und wichtigerer Faktor für die Sicherheit als die BCM sollten daher darauf eingehen. Siehe Stärke. Einmaligkeit bedeutet dass diese 2020 Zeichenfolge auf keiner anderen Website genutzt wird. Dies erfordert vom Benutzer die Parler: Social Network. Eigenbeschreibung: „Twitter ohne Zensur“, viele „rechte“ Inhalte, Nutzung eines Passwort-Safes auch Antisemitismus, QAnon-Inhalte), star- http://sicherheitskultur.at/Passworte.htm#tricks kes Wachstum Ende 2020 (10 Mio registrierte Durch Authentisierung sollen unberechtigte Nutzer, 4 Mio aktive). Jan. 2021 aus den Personen von Diensten ausgeschlossen wer- App-Stores und von AWS entfernt und den ( Authorisierung). Besser sind Einmal- damit vorläufig beendet (gerade als viele passworte (OTP), entweder in Form von „Konservative“ dorthin umziehen wollten) TAN Listen oder über Token, bzw. Partial adversary: anderes Wort für local Authentisierungen über Smartcards. Biometrie ist eine weitere Alternative. adversary 2 wichtige Angriffe sind Passwort Stuffing Partition: Technik, bei der eine Festplatte (oder ein anderes Speichermedium wie SSD und Passwort Spraying. oder Flash-Speicher) in mehrere logische Siehe ZKPP, PStore, Passwort Ablauf, Teile aufgeteilt wird. Jede Partition kann Passwort Hashing möglicherweise ein anderes Betriebssystem Passwort Ablauf: Zwang zum Ändern eines enthalten von dem wahlweise gestartet werden Passworts nach Ablauf einer Periode, zumeist kann. Eine solche Aufteilung kann auch aus 1 Monat. Umstritten, da gute Passworte länger Sicherheitsgründen durchgeführt werden, z.B. sicher sind, und in falschen Händen viel
Version 11.1 Seite 137 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ schneller als in 1 Monat „geknackt“ sind. Siehe Wipe von Geräten Brute Force, Rainbow Table Passwort Safe: Software auf einem IT-Gerät Passwort Hashing: Methode zum Schutz zur sicheren Speicherung von Passworten / gegen Brute Force Angriffe gegen Pass- Credentials (verfügbar für alle Betriebs- worte. Dabei wird jedes Passwort vor dem systeme, inkl. Smartphones). Kann zumin- Hashen mit einem Zufallsstring verlängt, der dest teilweise durch Speicherung der Salz genannt wird. Danach wird ein extra Passworte im Web-Browser ersetzt werden langsamer Hash-Algorithmus eingesetzt, (falls dort mit Master-Passwort gesichert). Dies z.B. PBKDF2, Bcrypt, Scrypt. Zumeist ermöglicht die Nutzung von komplexen wird der Algorithmus noch für eine große Zahl Passworten die jeweils nur auf 1 Website von „rounds“ immer wieder auf das Ergebnis genutzt werden und schützt dadurch gegen des Algorithmus angewendet. Ziel ist, den Angriffe wie Passwort Stuffing Resourcenaufwand für Brute Force Angriffe Passwort Spraying: Angriffstechnik gegen möglichst hoch zu machen Websites bei der häufig verwendete Passwort Leak: Sammlungen von Passwor- Passworte (z.B. 123456 oder 12345678) ten die öffentlich bekannt geworden sind. gegen sehr viele Benutzerkonten durchprobiert Typischerweise gelingt dies durch Ausnutzen werden. Durch das „Probieren“ von wenigen von Verwundbarkeiten in Websites oder Passworten gegen viele Konten wird ein über Phishing. Diese Sammlungen werden Blockieren der Konten wegen zu vielen von Kriminellen weiterverkauft und dann für Versuchen vermieden und da diese Passworte illegalen Zugang zu anderen Konten genutzt. sehr häufig verwendet werden, können immer Sicherheitsforscher bieten auch Zugang für einige (zufällige) Benutzerkonten „geknackt“ alle zu solchen Sammlungen damit man z.B. werden. Sehr erfolgreich wenn es nicht um 1 sehen kann, ob der eigene Account in einem bestimmtes Benutzer-Konto geht. Die dabei Leak enthalten ist oder um zu sehen, ob verwendeten Passworte stammen aus eigene Passworte von Kriminellen genutzt Passwort Leaks werden. 2 prominente Sammlungen für die Passwort Unblocking Key: (PUK) Schlüssel Nutzung durch jedermann sind (dort kann zum Entsperren eines nach mehrmaliger geprüft werden ob ein eigenes Passwort auf Falscheingabe eines Passwortes gesperrten einer Website kompromiert, d.h. leaked wurde: Gerätes. Meist in Verbindung mit einem https://sec.hpi.de/ilc/ und Handy https://haveibeenpwned.com/ PAT: (Port Address Translation) ähnliche Password Recovery: Methode wie NAT um nichtoffizielle in offi- 1) (=Password Cracking) Programme, die zielle IP-Adressen umzuwandeln. Wie bei durch Methoden wie Brute Force und NAT werden dabei Port-Nummern des Dictionary Attack Passworte „knacken“. TCP-Protokolls verwendet Sehr leicht durchzuführen, wenn Zugriff zum Patch: Software-Aktualisierung zur Behe- angegriffenen System besteht, z.B. nach bung von Schwachstellen, zumeist über das Verlust eines Laptops. Diese Programme Internet (oft automatisch) verteilt. Eignet sich sind auch kommerziell erhältlich und können über eine Analyse von „vorher“ und „nachher“ gegen Windows, aber auch Zip-Dateien und auch zur automatisierten Erzeugung von verschlüsselte Office-Dokumente eingesetzt Exploits. Siehe Window of Exposure werden PatchGuard: Konzept in den x64 editions von 2) Passwort Reset Windows zum Verhindern von Root kits Password Renewal: anderes Wort für und anderer Malware, von einigen Anti- Passwort Reset. Viren-Herstellern kritisiert Passwort Reset: Das automatisierte Zurück- Patch Management: Prozesse die notwen- setzen eines Passworts wenn der Be- dig sind um sicherzustellen, dass Informa- nutzer einer Website auf „Passwort ver- tionen über vorhandene Patches bekannt gessen“ geklickt hat. Dabei wird zumeist ein sind und dass bei der Korrektur der Software neues Einmal-Passwort an eine andere Mail- keine neuen Probleme entstehen, beinhaltet Adresse gesendet. Dies ist bei den heutigen auch die Entscheidung, ob ein Patch installiert Webdiensten eine große Schwachstelle da werden soll. Siehe Change Management durch die Übernahme nur 1 Mail-Accounts oft Patch Tuesday: von Microsoft eingeführter alle weitere Accounts dieses Benutzers fester Tag, an dem monatlich Patches zur übernommen werden können (weitere E-Mail- Verfügung gestellt werden. Der feste Patch Dienste, Social Networking, Filespeicher- Cycle hat zu einem gekoppelten Zyklus von dienste wie iCloud, Webshops wie Ama- zero day exploits geführt zon und Netflix, Bezahldienste wie PayPal. Dadurch entstehen für die Opfer zum Teil Path Traversal: Angriff auf eine Website erhebliche Schäden, z.B. Verlust aller E-Mails, durch Verändern, i.d.R. Verkürzen der URL direkte finanzielle Schäden durch betrü- die dem Benutzer angezeigt wird, kann zum gerische Überweisungen, bis hin zu Remote Zugriff auf Bereiche führen, die für externe
Version 11.1 Seite 138 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ nicht zugänglich sein sollten der Werbung im Browser („Impression“) der Patriot Act: USA Patriot-Act Werbende zahlen muss. Häufiger ist Pay- per-click, bei der die Bezahlung nur dann fällig Pattern: (engl.Muster) in der IT ein Muster in ist, wenn der Benutzer auf die Werbung klickt Computer-Malware nach dem ein Anti-Viren- und auf die entsprechende Website Programm checkt oder von Angriffssequenzen weitergeleitet wird auf die ein IDS oder IPS achtet. Siehe Dynamic Code Obfuscation, Targeted Pay-TV: Fernsehen, das nicht durch Werbung Attacks, Polymorphismus sondern durch Zahlungen der Zuschauer finan- ziert wird. Erfordert zum Verhindern von Pawned: (oder pwn3) Leet für den „Verlust“ kostenlosen Nutzern oft Verschlüsselung, meines Passworts (üblicherweise) durch die jedoch sehr oft nach kurzer Zeit „geknackt“ eine unsichere Website. Siehe Passwort ist. Pay-TV ist auf der Basis von digitalen Leak Technologien ( DVB) einfacher zu implemen- Payload: Malicious Code eines Virus oder tieren als analog. Eine spezielle Form ist PPV Wurms, der den Schaden anrichtet, bzw. die (Pay-per-view ), so für jede Übertragung sepa- vom Schreiber gewünschte Aktion ausführt rat gezahlt werden muss. Eine weitere Form Paysafecard: elektronisches anonymes Pre- seit ca. 2017 ist Streaming Dienste wie aid-Zahlungsmittel, gern genutzt im Internet- Netflix, Amazon Prime, Disney+ Untergrund. Durch die Weitergabe eines PBA: (Pre-Boot Authentication) Technik für die PIN-codes kann der Empfänger auf das Festplattenverschlüsselung. Dabei wird, Geld zugreifen. Siehe e-Crime, Bezahl- bevor irgendeines der auf der Festplatte dienste installierten OS geladen wird, zuerst von PayPal: sehr erfolgreicher Bezahldienst im einer separaten Partition ein Programm Internet, gegründet ca. 2000, von 2002 – gestartet, das den Benutzer authentisiert 2015 Teil von eBay (dabei gewann Elon PBKDF2: (Password-Based Key Derivation Musk einen großen Teil seines Startvermö- Function) Teil der PKCS-Serie von Crypto- gens), seitdem als Aktiengesellschaft selbst- graphie Standards, wird genutzt um einen ständig. Zeichnet sich durch bequeme Nutzung Schlüssel aus Benutzer-Passworten und aus, auch für Privatleute die z.B. Geld für Salt zu generieren, indem Hash-Funk- Zimmervermietung einnehmen wollen. 100 tionen mehrfach (>1000-fach) angewendet Währungen werden unterstützt und werden. Siehe auch Bcrypt, Scrypt automatisch konvertiert. Ab 2019 unterstützen PBX: (Private branch exchange) traditionelle sie Online Casinos nicht mehr. Es gibt Telefonanlage, heute oft ersetzt durch VoIP- Hinweise dass PayPal Konten sperrt, wenn sie Systeme. Siehe POT, PSTN vom US-Heimschutz-Ministerium Hinweise auf Terrorverdacht bekommen, dagegen gibt es PC: (Personal Computer) ursprünglich gene- nur schwierige Rechtsmittel reller Begriff für einen Rechner, der von einer einzelnen Person genutzt wurde (im Gegen- Pay-per-click: (PPC) Bezahlmethode für Wer- satz zu Mainframes und Minis, die von vielen bung im Internet. Dabei zahlt derWird Personen gleichzeitig genutzt wurden). Heute genutzt bei Domainnamen-Piraterie und wird damit meist eine spezielle Rechner- Traffic Diversion. Wird mittels Click-fraud Architektur gemeint, die von IBM 1980 ent- ausgenutzt indem automatisiert auf bestimmte wickelt und zum Quasi-Standard wurde („IBM- Anzeigen „geklickt“, z.B. über PCs in Botnets PC“). Eine sehr wichtige CPU-Architektur ist oder Webserver unter Kontrolle der war dabei x86 Betrüger. Microsoft schätzt, dass 20% aller Klicks auf Werbung betrügerisch sind PCAOB: (Public Company Accounting Over- sight Board) US-Behörde, deren Buchhal- Pay-per-Install: Geschäftsmodell von legiti- men und kriminellen Organisationen. Darunter tungsregeln “Audit Standard 2” Teil von SOX fällt, wenn Freeware dadurch finanziert wird, sind indem beim Download und Installieren weitere PCI: 1) (Payment Card Industry) PCI-DSS Software inkludiert wird (oft z.B. Google Data Security Standard. Sicherheitsprogramm Chrome) die der Kunde aktiv desektieren der PCI-Kreditkarten-Organisation. Inhaltlich muss. nur ein Grundschutz, jedoch mit jährlichen Im kriminellen Bereich wird bei diesem Ge- Audits für Händler, die viele Kreditkarten schäftsmodell für jede Infektion eines verarbeiten und mit hohen Geldstrafen bei Ver- Rechners gezahlt. Die Preise hängen davon letzungen ab, in welchem Land das Opfer sitzt und ob es 2) (Peripheral Component Interconnect) Stan- sich um einen Privat-Rechner oder einen dard Interface für den Anschluss von Zusatz- Firmenrechner handelt, letztere bringen mehr karten auf dem Motherboard von Rech- Geld ein, da dort die Chance besteht, an nern, erlaubt wie Firewire den Zugriff auf den brisante Daten zu kommen gesammten Speicherinhalt des Geräts Pay-per-view: Bezahlmethode für Werbung im PCMCIA : ( Personal Computer Memory Card Internet, bei der bereits bei der Präsentatoin
Version 11.1 Seite 139 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
International Association) Standard für externe Cisco Systems entwickeltes Protokoll für die Einschübe in Laptop-PCs. Wurde früher oft Authentifizierung auf der Basis von Pass- für Netzwerkanschlüsse genutzt, ist heute z.B. worten und Server-Zertifikaten für SSL/ für Kartenleser für Smartcards in Einsatz. TLS, wird genutzt in Verbindung mit WPA Die Einschübe gibt es in drei Größen, z.T. sind und WPA2. Gilt als sicherer als LEAP und dann Kombinationen mehrer Einschübe hat gute Windows Unterstützung. Eine möglich. PCMCIA unterstützt DMA und kann Variante verwendet MS-CHAP genutzt werden um sensible Inhalte wie Peering: eine der Grundlagen des Internets, Passworte aus dem Hauptspeicher beschreibt die finanziellen Regeln für den auszulesen Datentransfer im Internet. ISPs, d.h. die PC/SC: (Personal Computer/Smartcard) Spe- Firmen die End-user und Firmen mit dem zifikationen für den Anschluss von Smart- Internet verbinden werden als Tier 3 be- cards an PCs (Hardware-Abstraktion) zeichnet. Sie kaufen Bandbreite von Tier 2 PDA: (Personal Digital Assistant) Rechner in Anbietern, die gegenseitige Peering-Verträge Taschenrechnergröße, der über entsprechende mit anderen Tier 2 Anbietern haben (um Schnittstellen auch in Datennetze eingebunden lokalen Traffic kostengünstig transportieren zu werden kann und daher mehr und mehr können) und von mindestens einem Tier 1 sicherheitsrelevant wird. Beispiel Palm oder Anbieter Bandbreite kaufen (um die ganze iPAC von Compaq, Weiterentwicklung zum Welt erreichen zu können). Tier 1 Anbieter (es Smartphone. Standard-Sicherheitsvor- gibt ca. 12) kaufen keine Bandbreite sondern kehrung sollte Power-On-Schutz sein, d.h. haben Peering Verträge mit anderen Tier 1 nach dem Einschalten muss der Anwender erst Anbietern und verkaufen Bandbreite an Tier 2. ein Passwort oder PIN eingeben Viele der Netzanbindungen finden in sog. IXP statt PDC: (Primary Domain Controller) Server in einer pre-Windows 2000 NT-Umgebung, zum Peer-to-Peer: P2P Zwecke der Benutzer-Authentifizierung. Aus Peertube: open source Implementierung Verfügbarkeitsgründen durch einen Backup einer föderierten Video-Hosting Platform (siehe Controller (BDC) unterstützt. Heute mit Zugriff Fediverse). Instanzen von Peertube können zu Active Directory implementiert über ActivityPub oder WebTorrent ange- PDCA-Zyklus: sprochen werden. Dies ist eine Alternative zu (plan-do-check-act) den traditonellen zentralen Diensten wie von Willliam Youtube, Vimeo oder Dailymotion. Deming entwickel- Durch die Nutzung der P2P Technologie tes Konzept des WebTorrent wird jeder Browser der ein Video Qualitätsmanage betrachtet auch wieder zu einer Quelle des ments zur Imple- Videos, das spart Bandbreite auf dem Server mentierung einer Penetration: in der IT das Eindringen in einen kontinuierlichen Er- fremden Rechner durch Ausnutzung von höhung der Qualität Schwachstellen oder Konfigurationsfehlern. (Deming Cycle). Siehe KVP, TQM Siehe Computer Crime PDF : (Portable Document Format) von Adobe Penetration Test: (Pentest) Test, bei dem ein entwickeltes transportables Datenformat, heute Angriff auf ein Rechnersystem simuliert wird, in ISO standardisiert. Dokumente werden mit um mögliche Schwachstellen/ Verwund- einem geeigneten Programm in PDF-Format barkeiten oder Konfigurationsfehler zu finden. umgewandelt und können dann mit Hilfe eines Dabei können die gleichen Tools zum Einsatz PDF-Readers dargestellt und gedruckt werden. kommen, wie sie auch von den Hackern Vorteil ist, dass das Format der Darstellung auf eingesetzt werden. Diese Tests werden durch diese Weise vom Autor fest vorgegeben die Eigentümer oder Betreiber der Systeme in werden kann und dass der Autor auch diverse Auftrag gegeben. Um eine klare rechtliche Sicherheitseinstellungen festlegen kann, z.B. Situation zu schaffen muss derjenige der den kein Drucken, kein Sichern, kein Entfernen des Test durchführt sicherstellen, dass er eine Textes durch Kopieren/Einfügen. Diese Funk- „Permission to Attack“ hat, und dass tionalität wird durch ein Passwort geschützt, mögliche Betroffene, z.B. andere Nutzer des kann jedoch durch Brute Force Angriffe gleichen Systems ebenfalls zugestimmt haben relativ leicht umgangen werden. PDF-Doku- oder zumindest informiert sind. Ansonsten mente können Schadsoftware enthalten, u.a. könnte es zu einer Gesetzesverletzung auf weil in neuen Versionen auch JavaScript Grundlage der Cybercrime Convention enthalten sein kann, die beim Öffnen des kommen („Eindringen in fremde Computer- Dokuments automatisch ausgeführt wird. Systeme“). Bzgl. der Tools, siehe nmap, Adobe hat daher in der letzten Reader-Version Nessus, Cain, Ethereal, Netstumbler Sandboxing eingeführt Pentest: Penetration Test PEAP: (Protected Extensible Authentication PEP: (politically exposed person) Politiker oder Protocol) von Microsoft, RSA Security und Personen aus ihrem Umfeld. Wird im
Version 11.1 Seite 140 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Zusammenhang mit Geldwäsche und gegeben hat, Ziel ist die Vermeidung von Terrorismusfinanzierung verwendet. Siehe Spam. Siehe Opt-In, Double-Opt-In, World-Check Opt-Out PEPP-PT: (Pan-European Privacy-Preserving Permission to Attack: Penetration Test Proximity Tracing) Protokoll-Vorschlag für Persistence: im Rahmen eines IT-Angriffs eine von Frankreich und Deutschland die Fähigkeit des Angreifers sich im Netz vorgeschlagene Corona App die auf und den Systemen des Opfers so zentraler Datenspeicherung beruht hätte. festzusetzen, dass auch Neustarts, Ändern der Wurde mit Unterstützung von Google und Zugriffsberechtigungen und Umkonfigura- Apple durch DP-3T ersetzt tionen die Angreifer weiter Zugriff auf die Perimeter: die Grenzen eines Grundstückes, Systeme und Zugang zu den Netzen behalten, Gebäudes, aber auch eines Netzwerkes siehe MITRE ATT&CK Matrix Perimeter Security: Verteidigung gegen Personal Firewall: (PFW) Programm, das auf Angriffe, die darin besteht, dass die Grenzen einem Rechner installiert wird und das durch so sicher wie möglich gemacht werden (Kon- die Überwachung des Datenverkehrs zum zept der Burg). Dafür werden Firewall, Netz den Rechner schützen soll. Wie eine Malware-Schutz, Content Scanning, Firewall in einem größeren Netzwerk soll Proxies u.ä. eingesetzt. Heute weitgehend diese persönliche Brandschutzmauer einen als nicht ausreichend betrachtet, da Angriffe einzelnen Computer vor Angriffen von außen auch von innen erfolgen können, schützen. Für alle Rechner, die mit dem Schadsoftware durch Laptops eingeschleust Internet kommunizieren auf jeden Fall not- wird, die außerhalb im Internet waren und weil wendig Firmennetze selbst mehr und mehr Personelle Sicherheit: zusammen mit logi- Verbindungen zum Internet haben. scher und physischer Sicherheit wichtige Moderneres Konzept: de-perimeterisation, Bausteine von IT und Informationssicher- Security in Depth, Jericho Forum heit. Bezeichnet Kontrollen die verhindern sol- Perfect Forward Secrecy: (PFS) durch die len, dass ungeeignete Mitarbeiter in Ver- Snowden-Veröffentlichung der Langzeit- trauenspositionen bekommen, die es ihnen speicherung von verschlüsseltem Daten- ermöglichen, leicht Angriffe durchführen. verkehr durch US-Behörden entstand die Dazu gehört z.B. Überprüfung von Lebens- Forderung, dass solch historischer läufen, Vorstrafenregister, u.ä. Siehe Datenverkehr auch dann noch sicher sein soll Personensicherheit wenn später bessere Methoden zum Knacken personenbezogene Daten: (personal data) der Verschlüsselung zur Verfügung stehen Begriff aus dem Datenschutzgesetz: alle oder die Master-Schlüssel bekannt werden. Daten, die auf natürliche Personen bezogen Das Ziel von PFS wird erreicht, indem bei jeder sind oder bezogen werden können (verlinkt „Sitzung“ (z.B. in einem Messaging Dialog) oder verlinkbar sind), z.B. Name, Anschrift, mittels entsprechendem Key Handling der Alter, Geschlecht. Der Name muss nicht symmetrische Schlüssel mittels Verfahren unbedingt enthalten sein, es bit auch „indirekt wie elliptic curve Diffie–Hellman so bestimmt personenbezogene Daten“ wie Facebook-ID, und ausgetauscht werden, dass der Telefonnummer, Autokennzeichen oder IP- Datenverkehr auch bei späterem bekannt Adresse, die erst über Rückfragen bei anderen werden eines der asymetrischen Schlüssels Stellen einer Person zugeordnet werden nicht entschlüsselt werden kann. Implementiert können. Auch diese fallen unter den Schutz wird dieses Prinzip immer öfter, z.B. in TLS des Datenschutzgesetzes. Verletzungen des seit TLS 1.2 (wenn aktiviert), im Signal Datenschutzes können nicht nur durch Firmen Encryption Protocol, das auch im Facebook passieren. So ist das häufig durchgeführte Messenger, Google Android Messaging Exportieren von Adressbüchern im Rahmen App, Mumble und anderen Diensten von Social Networks durch die Nutzer genutzt wird. PFS schützt aber nicht bei i.d.Regel Datenschutzverletzungen. physischem Zugriff auf das Endgerät (z.B. Smartphone) wenn dort die Nachrichten Besonders geschützt sind sog. sensible nicht gelöscht wurden Daten Personensicherheit: nicht zu verwechseln mit Permissioned data: Begriff den Data Aggregatoren verwenden um zu erklären, dass personeller Sicherheit. Hierbei geht es um den Schutz von Leib und Leben von die Benutzer bei der Installation einer App oder bei der Nutzung eines Cloud Dienstes wie Menschen, dies ist nicht Teil von Infor- Facebook der Datensammlung und der mationssicherheit Nutzung ihrer persönlichen Daten wie ihres Persönlichkeitsprofil: Zusammenstellung von Addressbuchs oder ihrer Aufenthaltsort Daten, die eine Beurteilung wesentlicher (Geolocation) zugestimmt haben Aspekte der Persönlichkeit einer natürlichen Person erlaubt. Ein solches Profil ist heute Permission Marketing: Versenden von E- Mail, nachdem der Kunde die Erlaubnis dazu über die bei Internetnutzung anfallenden
Version 11.1 Seite 141 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Daten technisch leicht zu erstellen, stellt durch das Versenden von E-Mails die zu üblicherweise eine Verletzung der Vertrau- einer Passworteingabe auf einer gefälschten lichkeit dar. Siehe Datenschutz, Consumer Website auffordern. Typischerweise mit Irre- Profiling. Siehe P3P führung des Benutzers verbunden ( Social Pervasive Computing: Schlagwort bei dem Engineering). Heute auch über Man-in-the- es darum geht, dass Computer immer mehr Middle- Angriffe, Keylogger oder Form- in Alltagsgegenstände eingebaut werden und grabbing Trojaner. Mehr oder weniger wirk- diese langfristig über Bluetooth, RFID und same Schutzmechanismen sind z.B. iTAN, andere Technologien untereinander und mit mTAN und smartcard-basierte Zertifika- dem Internet vernetzt werden. Dies wirft te. Angriff auch über SMS möglich, dann neue Probleme für die Informationssicherheit SmiShing. Herausforderung für den Angrei- auf fer ist, den Angriff skalierbar zu machen. Siehe Spear Phishing, Geldwäsche, PESTEL: (Political, Economic, Social, Techni- „Finanzmanager“, APWG. cal, Environment and Legislative) beschreibt http://sicherheitskultur.at/spam.htm#bankraub die externen Faktoren, die ein Unternehmen Einfluss nehmen, auch auf die IT- und Phishing Kit: fertige Software für einen Informationssicherheit Phishing Angriff. Siehe RockPhish PET: (Privacy Enhancing Technologies) Sam- Phone Flood: Form des Denial of Service melbegriff für Techniken zum Schutz perso- Angriffs bei dem ein Telefon mit einer großen nenbezogener Daten. Ziel ist es, Gefähr- Zahl von automatisierten Anrufen belästigt dungen der Privatsphäre zu minimieren wird, so dass keine legitimen Anrufe mehr möglich sind. Solche Angriffe sind kommerziell Pflichtenheft: (auch Sollkonzept oder fach- günstig zu haben: 1 Tag 1 Nummer blockieren liche Spezifikation) vertraglich bindende, für 20 $. Wird z.B. genutzt um in Verbindung detaillierte Beschreibung einer zu erfüllenden mit einem anderen Angriff zu verhindern, Leistung, zum Beispiel der Erstellung eines dass z.B. eine Beschwerdestelle oder Computerprogramms. Im Gegensatz zum Helpdesk erreichbar sind Lastenheft sind die Inhalte präzise, vollständig und nachvollziehbar sowie mit Phorm: Unternehmen das Nutzungsdaten im technischen Festlegungen der Betriebs- und Internet durch Abfangen der Daten beim Wartungsumgebung verknüpft. Während das ISP (derzeit nur in UK) sammelt. Ziel ist Lastenheft vom ursprünglichen Auftraggeber Werbung, die auf die Interessen der Nutzer ab- angefertigt wurde, wird das Pflichtenheft vom gestimmt ist. Siehe Consumer Profiling, Auftragnehmer (Entwicklungsabteilung/-firma) Nutzerprofil. formuliert und vom Auftraggeber bestätigt http://sicherheitskultur.at/notizen_2_08.htm#phorm PFS: Perfect Forward Secrecy PhotoDNA: Technik um Fotos anhand eines robusten Fingerabdrucks zu identifizieren, der PGP: 1) Pretty Good Privacy die Fotos auch nach Veränderungen, z.B. in 2) (Personal Genom Project) Veröffentlichung der Größe weiter erkennt. Wird eingesetzt um der DNA von 46 Freiwilligen zusammen mit Darstellungen von sexueller Gewalt gegen ihren medizinischen Akten zu Forschungs- Kinder beim Austausch im Internet zu zwecken. Mit fallenden Preisen für DNA- idenfitizieren. Dies setzt jedoch voraus, dass Sequenzierung kann dies für viele Menschen zumindest in der zentralen Plattform des möglich werden. Problematisch frü Privat- Austauschs das Bild in unverschlüsselter Form sphäre. Siehe 23andMe vorliegt. Dies ist bei End-to-end Ver- PGPfone: Älteres Programm (1995) des schlüsselung nicht der Fall, warum LE- PGP-Entwicklers Phil Zimmermann zum Behörden diese verbieten wollen ( Crypto Verschlüsseln von VOIP-Verbindungen. Wars Heute ersetzt durch Zfone php: (rekursives Akronym: PHP Hypertext Pre- Pharming: hat sich als Oberbegriff für ver- processor) Skriptsprache mit einer an C bzw. schiedene Arten von DNS-Angriffen etabliert, Perl angelehnten Syntax, die hauptsächlich zur z.B. durch Manipulation der „hosts“ Datei eines Erstellung dynamischer Webseiten verwendet Rechners oder durch DNS Cache Poisoning wird. Bei PHP handelt es sich um Open PHI: (Electronic Protected Health Information) Source-Software. Die Sprache gilt als schützenswerte Gesundheitsdaten in jeglicher Fehleranfällig da sie „schlampiges“ Program- Form. Siehe ePHI, eHealth, HIPPA mieren erlaubt. Fehler bei der Programmierung und fehlendes Entfernen von Beispielscripten Phil Zimmermann: Entwickler von PGP, sind häufige Sicherheitslücken. 2014 stellt 1991 als open source im Internet Facebook eine sicherere Variante namens veröffentlicht. Weitere Produkte sind Hack vor. Siehe Web Applikationen PGPfone, ZRTP, DIME, Zfone, 2012 Silent Circle Phreaking: kostenlos, oder auf Kosten ande- rer, telefonieren (oder surfen), heute nicht Phishing : Kunstwort aus password fishing. mehr so relevant. Caller ID Spoofing Das Erschleichen von Passworten, z.B. Physische Sicherheit: zusammen mit
Version 11.1 Seite 142 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
logischer und personeller Sicherheit Antwort. Bei Erhalten der Antwort weiß der wichtige Bausteine von IT und Infor- Versender, dass das andere Gerät unter dieser mationssicherheit. Bezeichnet die Kontrolle Adresse existiert und aktiv ist. Aus der Laufzeit des räumlichen Zutritts zu kritischen lässt sich auf die Qualität der Verbindung Ressourcen schließen, z.B. die Latency. Ping wird auch PIA: (Privacy Impact Assessment Framework) bei und für Angriffe eingesetzt („Ping of freiwillige Selbstverpflichtung von Firmen über Death“) den Schutz von Privatsphäre beim Einsatz Pinning: Certificate Pinning von RFID-Technologien PISCE: (Partnership for ICT Security Incident Piconet: Bluetooth-Netz, das aus einem and Consumer Confidence Information Ex- Master und bis zu 7 anderen Geräten besteht. change Exchange) von ENISA initierte Die Masterrolle wandert zwischen den Geräten Organisation für den Informationsaustausch zu Pidgin: Instant Messaging System das mit IT-Sicherheit, gibt Studien in Auftrag. ( ISAC) einer sehr großen Zahl von anderen Systemen http://wiki.enisa.europa.eu/ kommunizieren kann und durch Einbindung PitBull: Secure Program Launcher. Spezielles von OTR auch verschlüsselte Kommuni- Programm, das es ermöglicht, eine gefährdete kation bietet Anwendung, z.B. ein Webserver-Programm Pig: Programmiertool für sehr große Daten- in einer Sandbox ablaufen zu lassen. Dies mengen ( Big Data), eingesetzt zusammen bedeutet, dass auch nach Übernahme der mit Hadoop. Implementiert das Kontrolle über diese Anwendung ein Hacker MapReduce Konzept keinen Systemzugriff hätte PII: (personal identifiable information) beim Pixelation: (engl. verpixelt) Verfahren um auf Datenschutz die Datenelemente, die direkt Photos im Internet die Privatsphäre zu oder indirekt zu einer Person führen, z.B. voller wahren in dem das Gesicht mit sehr groben Name, SVN, Wohnadresse, E-mail-Adresse, Pixeln (elementaren Bildelementen) dargestellt Führerscheinnummer, IP-Adresse u.ä. Nicht wird. Siehe Google Streetview dazu gehören Geschlecht, Alter, Gehaltsklas- PixelFed: föderierter Dienst für Photosharing se, Schulbildung. Diese Daten können auch (analog zu Instagram oder Flickr) der das dann einer Person zuordenbar sein, wenn Protokoll ActivityPub unterstützt und dadurch Name oder eindeutige Informationen wie Daten mit vielen anderen Diensten Sozialversicherungsnummer nicht dabei sind. austauschen kann Durch die Kombination verschiedener PJL: (Printer Job Language) Methode zur Datenelemente von verschiedenen Quellen Kontrolle und Konfiguration von Druckern ohne lassen sich sehr oft auch anonyme physischen Zugriff auf das Gerät. Nutzung Informationen nachträglich zuordnen, z.B. in dieser Sprache durch Unbefugte stellt ein dem die gleichen Daten auch auf einer Sicherheitsproblem dar. Siehe Multi- Social Networking Website gefunden funktionsdrucker werden, bei der der Benutzer unter vollem Namen auftritt ( Deanonymisierung). Siehe PKCS: (Public Key Cryptographic Standard) Sammlung von Standards zu unterschiedlichen Privatsphäre, Identity Theft, Data Aspekten, z.B. Algorithmen, Formaten von Breach, Social Graph Smartcards, etc. Durchnummeriert von #1 PIN: (Personal Identification Number) dem bis #15. PBKDF2 Passwort entsprechende Ziffernfolge, in der PKD: (Public Key Directory) spezielle Regel rein numerisch. Wird u.a. auch für die PKI der ICAO um die Authentizität eines Bildschirmsperre bei Smartphones ver- ePass kontrollieren zu können. 2008 noch wendet, leider i.d.Regel in Form von „Trivial- wenig eingesetzt cocdes“ wie 0000 und 1234. Dadurch lassen sich in allen Fällen bei denen die Benutzer die PKG: (Private Key Generator) ID-based Codes selbst wählen können mit 5-7 Ver- Cryptography suchen ca 20% aller PINs erraten. Bei PKI: Public Key Infrastructure Android werden zumeist Swipe für die Bild- PLA: (People’s Liberation Army) Volksbefrei- schirmsperre eingesetzt. Siehe Bankomat- ungsarmee, die Armee der Volksrepublik karte China. Recht aktiv im Bereich Pineapple: winziger Computer, vergleichbar Cyberspionage, siehe APT1 mit Raspberry Pi, aber ausgestattet mit Plakat: wird in Zukunft „intelligent“ sein („digital WLAN und Bluetooth, der viel für Pentests signage“), d.h. mit Kamera versehen, mit deren eingesetzt wird, z.B. Man-in-the-Middle Hilfe Alter und Geschlecht von den Personen Angriffe im Umfeld erkannt und die Werbung ent- Ping: kleines Hilfsprogramm zur Diagnose von sprechend gesteuert werden kann ( targeted Netzwerkproblemen in TCP/IP-Netzen. Ver- advertising). Dies wird manchmal auch als sendet ein Datenpaket ( ICMP-Paket) an eine Face Recognition bezeichnet. Die Tech- IP-Adresse, der Empfänger schickt eine nologie wird bereits vereinzelt eingesetzt, kann
Version 11.1 Seite 143 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ weiterentwickelt werden so dass einzelne PNG-images für Schadsoftware ausgenutzt Personen erkannt werden und direkt ange- werden sprochen.bzw. über aus seinem Verhalten im PnP: (plug and play) Konzept, nach dem Internet bekannte Vorlieben zugeschnitten Peripherie-Geräte in Rechnern installiert werden. Dies erfordert in Europa die werden, ohne dass eine manuelle Konfigu- Zustimmung des Betroffenen, in den USA wird ration (und idealerweise auch kein Neustart) diskutiert, ob ein Hinweisschild reicht benötigt wird. Dies erfordert geeignete Hard- Plattform: in der IT eine technische ware- und Betriebssystemunterstützung. Der Grundlage, auf der Programme ausgeführt Begriff wurde populär durch Windows95, werden können. Die Plattform liegt zwischen andere Systeme hatten eine solche Funk- dem Programm und der darunter liegenden tionalität jedoch zum Teil schon vorher. In der Ebene, z.B. einem Betriebssystem, Windows-Implementierung gibt es leider eine Laufzeitumgebung wie JRE oder Web- Reihe von Schwachstellen, die PnP zu browser, bzw. Hardware wie einer CPU- einem Risiko machen. Siehe UPnP Archítektur P-NP-Problem: ungelöstes Problem der Plausible Deniability: Feature in einigen Mathematik und theoretischen Informatik. Es Datei verschlüsselungsprogrammen, bei der geht um die sog. Komplexitätsklassen P und es darum geht, gegenüber Behörden plausibel NP. Dabei steht P für alle Probleme, die von erklären zu können, dass man keine ver- einer Turing Maschine in Polynomalzeit schlüsselten Daten besitze, um so die Er- lösbar sind. D.h. die Maschine braucht eine zwingung der Herausgabe von Schlüsseln, vorhersagbare maximale Zahl von z.B. durch Erzwingungshaft ( RIPA) zu ver- Rechenschritten, Beispiel Sortieren). Bei NP hindern. Dabei wird z.B. in einem verschlüs- Problemen ist eine maximale Zahl von selten Datencontainer ein weiterer verschlüs- Rechenschritten nicht bekannt. Leider fallen selter Datencontainer versteckt, der ohne eine ganze Reihe von praktischen Problemen Kenntnis des 2. Schlüssels nicht sichtbar ist, in die NP-Klasse. D.h. es ist unklar, ob sie je d.h. der erste Container erscheint leer. mit einer Turing Maschine in endlicher Zeit Plausible Deniability ist auch ein Problem bei bearbeitet werden können der Attribution von Angriffen im Internet PNR: (Passenger Name Record) Daten, die PLC: (Programmable logic controller, speicher- alle Fluggesellschaften speichern und seit programmierbare Steuerung) elektronische 2004 im Fall von USA-Flügen auch an die US- Baugruppe oder Computer, die zur Regelung Regierungsbehörden versenden, die diese 15 einer Maschine oder Anlage eingesetzt wer- Jahre speichern. In der EU werden diese den, wichtiger Bestandteil von SCADA Daten vor dem Flug an die jeweilige Fluggast- Systemen. Ein PLC empfängt Daten von datenzentralstelle gemeldet um so Personen Sensoren (z.B. Druck oder Temperatur), zu finden, die im Verdacht stehen, an verarbeitet diese und kommuniziert dann mit terroristischen Straftaten oder schwerer Steuerungen, z.B. Relays oder Motoren. Kriminalität beteiligt zu sein. Es besteht jedoch Bekannt wurden PLCs durch Stuxnet. PLCs Interesse der LE-Behörden, dies auf andere werden programmiert mittels Programmier- Straftaten zu erweitern. sprachen wie Ladder Logic. Verwendete Enthält neben Name, Flugnummer, Datum Kommunikationsprotokolle sind z.B. Modbus, auch Informationen wie z.B. spezielle Essens- BACnet oder DF1. Siehe auch Auto wünsche Pleroma: Micro blogging und Social PNRP: (Peer Name Resolution Protocol) Networking Dienst der die Protokolle neues Protokoll von Microsoft (Teil von ActivityPub und OStatus unterstützt und Vista), es ermöglicht dynamische DNS dadurch Daten mit vielen anderen Diensten Namensveröffentlichung und -auflösung und austauschen kann. Siehe Fediverse ersetzt das DNS Konzept, nutzbar unter Plug-in: Hardware- oder Software Modul, mit IPv6 dessen Hilfe die Funktionalität eines Systems Pocket PC: PDA, Begriff meist für solche erweitert wird. Oft verwendet im Zusammen- mit Windows CE Betriebssystem hang mit Web Browsern, wo es z.B. dazu dienen kann, zusätzliche Datenformate, wie Podcasting: Kunstwort aus iPod und Broad- casting. Musik, Sprache oder Videos werden z.B. Streaming Media unterstützen. Meist werden solche Plug-ins direkt aus dem Internet im Internet zum Download angeboten. Die installiert, was bei einem bösartigen Plug-in zu Wiedergabe findet zumeist zeitversetzt in großen Sicherheitsproblemen führen kann Multimediaprogrammen oder tragbaren Gerä- ten wie MP3-Playern statt. Podcasts können PML: (Physical Markup Language) ONS auch ohne Clilent über einen Link auf einer PNG: (Portable Network Graphics) Daten- Website aufgerufen werden. In Verbindung format mit verlustfreier Bildkompression, häufig mit RSS und einem Podcatcher ist eine genutzt auf Websites (alternativ zu JPEG Nutzung als Abonnement-Service möglich. [Qualitätsverlust] oder GIF, ebenfalls verlust- Podcasting durch die Mitarbeiter kann für frei). Wie die anderen Formate können auch Unternehmen einen Bandbreitenverlust dar-
Version 11.1 Seite 144 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ stellen und über Sicherheitslücken in der punkt eine weitere Anfrage bei einem bestimm- verwendeten Software zu zusätzlichen Risiken ten anderen Port kommt. Erst nach Abwarten führen einer bestimmten Sequenz von Portnummern Podcatcher: Software zum automatischen und zeitlichen Abständen reagiert das Download von Podcasts Programm auf die Anfrage von außen POE: (power over ethernet) Endgeräte, die Port Scans: systematisches Absuchen des ihre Energie über das Ethernet-Kabel bezie- Internets (oder eines anderen Netzes) mit hen. Sicherheitsrelevant, wenn Verfügbarkeit dem Ziel, verwundbare Rechner mit im Katastrophenfall benötigt wird Schwachstellen zu finden Point-of-Sales: (POS) Port Security: Verfahren, das sicherstellen soll, dass nur bestimmte MAC-Adressen sich Polymorphismus: (Vielgestaltigkeit) Methode zum Port eines Switches im LAN von Schadsoftware, Spam u.ä. durch verbinden können. Zu den Implementierungs- automatisierte Veränderung des Programm- optionen siehe NAC codes (z.B. zufälliges Einfügen von Instruktionen die den Ablauf nicht verändern) Portal: Web-Portal oder Mailinhalts der Erkennung durch POS: (point-of-sales) Geräte an einer La- Pattern-Matching zu entgehen. Siehe denkasse, die für die Bezahlung, inkl. Verar- Dynamic Code Obfuscation beitung von Kredit- und Bankomatkarten Polymorphic Virus: Virus (oder andere geeignet sind. Bei allen Geräten mit PIN- Malware, z.B. Trojaner), das seinen Eingabe ist tamper-proof wichtig, aber Befehlscode so verändert, dass ein schwer zu realisieren. Infektionen der POS- Malware-Schutz, der nach festem Muster Hardware haben 2013 und 2014 zum Verlust vorgeht, die Schadsoftware nicht erkennen der Zahlungsdaten von Millionen US-Bürgern kann geführt. In Europa wird (i.d.Regel) das sichere weil chip-basierte EMV-Protokoll eingesetzt Poodle : (Padding Oracle On Downgraded (Secure Element). POS-Zahlungen sollen Legacy Encryption) 2014 entdeckter Fehler im in Zukunft kontaktlos über MCP und NFC Design von SSL 3.0. Daher sollte (z.B. für ablaufen. 2014 wird immer öfters mPOS HTTPS-traffic) nur noch TLS in der letzten genutzt (mobile POS). Das sind smartphone- Version eingesetzt werden basierte Implementierungen die es einem POP: (Post Office Protocol) eigentl: POP3. Händler erlauben, Kreditkarten mit einem Verfahren mit dessen Hilfe ein Anwender auf Smartphone zu akzeptieren. 2014 wurden seine Mailbox zugreifen kann, um E-Mails zahlreiche Schwachstellen in diesem abzurufen. Dabei findet eine Authentifi- Implementierungen gefunden zierung durch Passwort statt, dieses wird POST: eine der 2 Formen der Datenüber- jedoch meist im E-Mail Client fest einge- tragung mittels http beim Aufruf einer speichert. Ein anderes Verfahren für diesen Webseite mittels URL. (Solche Zweck ist IMAP. Beide werden seit den Datenübertrangen sind notwendig, wenn der Veröffentlichungen von Edward Snowden Nutzer z.B. ein Formular ausfüllt). Bei POST fast immer verschlüsselt implementiert werden die Daten nicht wie beim GET-request POP3: POP in der URL mitgeliefert sondern im Rahmen Pop-up: Technik, mit deren Hilfe Adware der http-Syntax separat übertragen, ist auch durch Öffnen eines zusätzlichen Bildschirm- geeignet für große Datenmengen, z.B. Bilder. fensters Werbung auf einem Rechner präsen- Wird meistens durch Web-Browser tiert. Pop-under ist eine Spezialform, bei der implementiert, geht aber auch mittels cURL. das neue Fenster unter den anderen Fenstern Wird bei modernen Website ( single-page vorborgen ist und nur nach deren Schließung application) durch Datenübertragungen „im gesehen wird. Siehe Adware, PUP Hintergrund“ mittels Javascript ersetzt, siehe Port: REST und SOAP 1) der Eingang in ein Gerät, z.B. Switch im Postel Law: „be conservative in what you do, LAN be liberal in what you accept from others“, d.h. 2) Komponente des TCP Protokolls, mit strenge Einhaltung der (Standard-)Vorgaben, dessen Hilfe einzelne Anwendungen auf einem aber liberales Akzeptieren von Abweichungen. Zielrechner adressiert werden können, siehe Dies kann zu Schwachstellen führen, z.B. IP-Protokoll wenn ein Downgrading von SSL3 auf Port Knocking: (engl. anklopfen am Port) SSL2 erlaubt wird Technik von Hackern um zu verbergen, dass Postkästen: in Firmen oft ein Sicherheits- ein eingeschleustes Programm (z.B. Spy- risiko, z.B. wenn vertrauliche Informationen ware) auf einem bestimmten Port „hört“. unkontrolliert zugänglich sind. Siehe Fax, Wenn ein externer Port Scan diesen Port Druckausgaben testet, so antwortet das Programm nicht, son- Post Privcay: gefährliche Strömung im Netz dern wartet, ob nach einem festgelegten Zeit- die sagt dass in Zukunft keine Privatsphäre
Version 11.1 Seite 145 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ benötigt würde. "Wir sind hoffnungslose Idea- dieses Betrugs können Betrüger Millionen pro listen und wünschen uns eine diskriminie- Monat einnehmen. Dies geht jedoch nur in rungsfreie Welt, in der es nicht notwendig ist, Ländern in denen der Einrichter der Premium sich ins Privatleben zurückzuziehen." Nummer das Geld sofort ausbezahlt bekommt. http://sicherheitskultur.at/privacy.htm#post In Westeuropa werden die Gelder mit 1-2 POT: (Plain old Telephone) Technikerbezeich- Monaten Verspätung gezahlt, d.h. die Benutzer nung mit leicht ironischem Beiklang für die her- haben Zeit, sich nach dem Erhalt der kömmliche Telephonverbindung, die trotz Rechnung noch zu beschweren moderner Kommunikationstechnologien ihre Presence Server: bei Unified Messaging Bedeutung für Datenübertragungen bis heute und VoIP die Instanz, die für jeden Teilneh- nicht ganz verloren hat, aber von VoIP mer anzeigt, ob, wie und wo er erreichbar ist, bedroht ist. Auch gegen traditionelle in Zukunft auch mit Geolocation-Funktiona- Telefondienste werden 2013 DoS-Services lität, kann die Kommunikation vereinfachen, angeboten. Siehe PSTN hat aber Privacy-Aspekte Power Analysis: Side Channel Angriff Pre-paid Karten: können oft wie Kreditkarten gegen Verschlüsselungsgeräte, z.B. verwendet werden, z.B. im Internet. Zum Teil Smartcards, der intern gespeicherte Schlüssel sind sie aber auch für spezielle Zwecke ausspäht, indem der leicht unterschiedliche vorbehalten, oft sind sie auch rein virtuell und Stromverbrauch während der Ausführung ver- bestehen dann nur aus einem Zahlen- und schiedener Befehle des Programmcodes Buchstaben Code ( e-Geld). Da der Geldwert PPC: Pay-per-click bereits bezahlt ist besteht für den Händler kein Risiko mehr. Da diese „Karten“ anonym sind PPP: (Point-to-Point Protocol) Softwaretechno- werden sie auch oft für die Bezahlung illegaler logie, die es ermöglicht, über einfache Tele- Aktionen oder bei kleineren Erpressungen fonleitung das TCP/IP Protokoll zu nutzen. verwendet, z.B. RansomWare Wird für alle modem-basierenden Internet- anbindungen genutzt Pre-shared key: (PSK) PPTP: (Point-to-Point Tunneling Protocol) Pretty Good Privacy: (PGP) populäres unent- Protokoll, das für VPN-Verbindungen ein- geltliches Programm (für Privatnutzung) zur gesetzt wird. Ältere Technologie, vermutlich Verschlüsselung von Daten mit Hilfe eines 2014 durch die NSA emtschlüsselbar, ist Public Key Verfahrens. Die Sicherstellung aber in China nur schwer zu blockieren und der Identität der Besitzer der Public Keys wird daher von VPN-Services angeboten um wird durch ein sog. Web-of-Trust erreicht. die Zensurmaßnahmen zu umgehen Dabei bescheinigen sich Personen gegenseitig ihre Identität. GnuPG ist eine alternative PPV: (Pay-per-view) Pay-TV Verschlüsselungssoftware in der public Prävention: eine der 3 Aufgaben des Sicher- Domain die mit PGP kompatibel ist ( RFC heitsmanagements: der Versuch, Vorfälle und 2440 (OpenPGP)). Ihre Entwicklung wurde damit Schäden zu verhindern. Die anderen durch das bundesdeutsche BSI unterstützt. Aufgaben sind Entdeckung und Reaktion. http://www.gnupg.org/ Siehe auch Mujahe Siehe IPS deen Secrets Präventionsstaat: nächste Stufe nach Poli- Previous Versions: Funktionalität in Vista zeistaat. Die durch Überwachung der Bürger analog zu Volume Shadow Copy gewonnenen Informationen sollen zur Ver- Primary Effect: psychologischer Effekt. Wenn hinderung von Straftaten oder Störungen der Menschen zeitlich nacheinander Informationen öffentlichen Ordnung eingesetzt werden. über eine Situation bekommen, so wird die Beispiele dazu: EDVIRSP, MALINTENT erste Information am stärksten bewertet. Siehe Pre-Boot Authentication: PBA Automation Bias, vigilance decrement Precrime Detection: siehe MALINTENT, PRIME: (Privacy and Identity Management in Minority Report Europe) von der EU-Kommission gefördertes Premium SMS: eingehende oder ausgehende Projekt, das Vorschläge für Identitätsmana- SMS die mit erhöhten Gebühren verbunden gement im Internet mit möglichst geringen sind und zur Bezahlung von Klingeltönen für Eingriffen in die Privatsphäre machen soll Handys oder ähnliches verwendet werden (minimale Offenlegung persönlicher Daten). können. Sie werden auch für kriminelle Siehe Liberty Alliance, P3P Zwecke wie Ransomware genutzt werden. PRINCE2: (Projects in Controlled Environ- Dies wird auch als Toll Fraud bezeichnet. ments) Methodologie für systematisches Pro- Schutz dagegen entsteht erstmal dadurch, jektmanagement, auch für Software-Ent- dass der Benutzer eine weitere Interaktion mit wicklung zur Erzielung einer höheren Quali- dem Dienst durchführen muss um den tät Vertragsabschluss zu bestätigen (double PRISM: Programm der NSA das ihren opt-in). Dies lässt sich jedoch durch eine Mitarbeitern Zugriff auf einige Daten von entsprechende App leicht aushebeln. Mit Hilfe Webdiensten wie Google, Facebook u.a.
Version 11.1 Seite 146 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ gibt, die nach Prüfung durch den geheimen scheidet sich von Server-Virtualisierung FISA-Gerichtshof auf eine Filterliste von zu dadurch, dass Technologien wie Self-Deploy- selektierenden Daten gesetzt wurden. Die ment eingesetzt werden, wie sie z.B. bei Existenz dieses Programmes wurde ver- Amazons EC2 eingesetzt werden. Dies öffentlicht durch Edward Snowden. Nach erlaubt ein schnelleres zur Verfügung stellen Veröffentlichung anderer Aktivitäten wie von Rechenleistung und Services. MUSCULAR, bei dem der Datenverkehr OpenStack will solche Deployment- und zwischen den Rechenzentren von Cloud- Administrations-Lösungen als Open Source Diensten direkt abgehört wurde gibt es die zur Verfügung stellen Theorie, dass PRISM nur eine Aktivität sein Privater Schlüssel: Verschlüsselung könnte um die wirkliche Herkunft der Daten zu verschleiern. Siehe auch Tempora Privatkopie: Kopie eines urheberrechtlich geschützten Werkes für nichtgewerbliche und Privacy: Privatsphäre, Datenschutz nichtöffentliche Nutzung. Siehe DRM, Privacy by Default: in Verbindung mit Privacy Streamripper, Raubkopie, Webradio- by Design wichtige Aspekte die in Art.23 der Recorder 2012 vorgeschlagenen neue EU Data Privatsphäre: (engl.privacy) komplexes Kon- Protection Regulation gefordert werden. zept mit vielen Aspekten. Im angelsächsischen Darunter wird verstanden, dass die eine Recht seit 1890 definiert als ‚right to be let Minimierung der Nutzung von personen- alone’. Seit ca. 1980 werden mehrere bezogenen Daten von vorn herein in der Dimensionen beschrieben: psychologische P. Technologie und den organisatorischen (Intimsphäre), physische P. (z.B. die Woh- Prozessen beinhaltet sein muss. „by Default“ nung), interaktionelle P. (Kontrolle über Inter- bedeutet, dass zu Beginn der Nutzung die aktionen und Kommunikation) und informatio- Einstellungen auf „restriktiv“ gesetzt werden nelle P. ( Vertraulichkeit von Informationen müssen und der Benutzer dann selbst über eine Person). Mehrere der Dimensionen großzügigeres „Teilen“ seiner Daten einstellen der P. sind von vielerlei Entwicklungen, u.a. kann neuen Technologien. Siehe auch PII, Privacy Enhancing Technologies: PET http://sicherheitskultur.at/privacy.htm Privacy Shield: Nachfolge-Vertrag zu Safe Privileged Account: Accounts, die sehr Harbor (das 2015 gekippt wurde, „Schrems-I mächtig sind, zumeist nur 1x existieren, z.B. Urteil“) und dann durch Privacy Shield ersetzt root und oft von mehreren Benutzern wurde und dann 2020 im Schrems-II Urteil geteilt oder von Anwendungen, z.B. ebenfalls für untauglich als Rechtsgrundlage technische Accounts für Datenbankzugrif- für Datentransfer in die USA erklärt wurde. Das fe. Dies erzeugt Probleme mit der Accounta- Problem waren in beiden Fällen die bility und sollte auf jeden Fall vermieden uneingeschränkten Zugriffe der Geheim- werden. Siehe PUPM (privileged account dienste zu den persönlichen Daten der EU- and password management) Bürger. Details siehe Safe Harbor Privilege Escalation : Sehr oft eines Angriffs Privacy Statement: Datenschutzerklärung im Internet (speziell bei targeted attacks). Private Address Space: Reservierte Adress- Der Angreifer beginnt damit, dass er auf einem bereiche bei IP-Adressen. Rechner, z.B. mittels Spear phishing die Für IPv4 sind in RFC 1918 definiert: Kontrolle bekommt. Dabei muss er, falls der Benutzer nicht mit erhöhten Rechten aus- 10.0.0 – 10.255.255.255 (10/8 prefix) gestattet ist, diese erlangen, z.B. durch 172.16.0.0 – 172.31.255.255 (172.16/12prefix) Ausnützen einer entsprechenden Verwund- 192.168.0.0. – 192.168.255.255 (192.168/16 barkeit im Betriebssystem oder einer andere prefix) Software, siehe MITRE ATT&CK Matrix Für IPv6 definiert RFC 4193 den Block PRNG: Pseudo Random Number Generator fd00::/8 für 48-bit große private Blöcke. Im Gegensatz zu IPv4 enthält IPv6 eine 40-bit Problem Management: Prozess in ITIL, Zufallszahl im Kollisionen zu vermeiden, da durch den die nachteiligen Auswirkungen eines diese privaten IP-Adressen global verwendet Incidents minimiert werden. Es analysiert die werden können Störungen, entwickelt Work-Arounds und leitet im Rahmen des Change Managements Private Browsing: (auch InPrivate Browsing) über ein RfC die Störungsbehebung ein ist ein Modus bei modernen Web-Browsern der auf dem lokalen Rechner des Be- Process: (engl. Prozess) nutzers viele Spuren wie Cookies, History, Process injection: Angriffstechnik, bei der Cache Einträge löscht. Dieser Modus bietet man Programmcode im Adressraum eines KEINE Anonymität im Internet, wie Laien anderen Prozesses zur Ausführung bringt, in manchmal vermuten. D.h. Tracking der dem man diesen Prozess zwingt, eine Benutzer findet weiterhin statt programmfremde Dynamic Link Library (DLL) Private Cloud: Implementierung von Cloud zu laden, daher auch DLL-Injection Technologien im Unternehmensnetz. Unter- Processor: Bezeichnung für den Teil eines
Version 11.1 Seite 147 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Rechners, in dem die primäre Abarbeitung Sniffern verwendet der Programme abläuft, heute zumeist Proof-of-Work: Sicherheitsmaßnahme mit der implementiert in Form eines einzigen Chips DoS, Spam und anderer Missbrauch Profil: Repräsentanz eines Benutzer auf verhindert werden soll. Die „Arbeit“ einer Social Networking Website. Profile (Rechenoperationen) wird in der Regel durch werden über friend-requests miteinander einen Computer geleistet (im Gegensatz verbunden und haben dann erweiterte zum CAPTCHA) und muss für den Zugriffsrecht auf vertrauliche Informationen, Ausführenden aufwendig sein, für den bzw. werden automatisiert über Änderungen in Empfänger aber leicht zu überprüfen. Ein anderen Profilen informiert. Siehe auch Bespiel dieses Konzepts ist Client Puzzle Benutzerprofil, Bewegungsprofil, Per- Protocol (CPP). Siehe auch Blockchain, sönlichkeitsprofil Bitcoin Profiling: Consumer Profiling Protect America Act: PAA Programm: Folge von Anweisungen Protected Storage: (Pstore) Technologie in (instructions), die in einem Rechner Windows zum Speichern von Benutzername ausgeführt werden, um eine bestimmte und Passwort für automatisiertes Login zu Aufgabe zu erledigen. Während der Websites. Gilt als unsicher, wird von vielen Ausführung nimmt es meist die Form eines Keyloggern ausgelesen. Daher sollten Prozesses an. Siehe Algorithmus Anwendungen das sicherere DPAPI (Data Programmabsturz: durch Programmier- Protection Application Programming Interface) fehler hervorgerufenes Ende der Ausführung nutzen (Internet Explorer ab V.7) eines Programmes (besser: eines Pro- Protocol Analyzer: (Sniffer) Hardware- oder zesses). Siehe Absturz, Abort Software Werkzeug zur Aufzeichnung und Programmbefehle, Programmcode: Se- Auswertung von Datenverkehr auf Netzen. quenz von logischen Befehlen (instructions) Siehe Ethereal, Switch an die CPU des Rechners. Eine logische Protokollierung: in der IT: chronologische Gruppierung solcher Befehle ist meist ein Aufzeichnung von Ereignissen in Logs Programm. In Programmen kann es durch Provider: ISP Programmierfehler zu einem Absturz kommen, bzw. zu Verwundbarkeiten, die Provisioning: in der IT: Schwachstellen darstellen können 1) Server Provisioning: das Einrichten eines Programmieren: Nutzung einer Program- Servers durch Installation und Konfiguration miersprache für die Erstellung eines von Software Programmes, siehe Programmierfehler 2) User Provisioning: das Einrichten, Ver- ändern oder Löschen eines Benutzer- Programmierfehler: häufiger Anlass von Programmabstürzen und Verwundbarkei- Accounts, einschließlich sinnvoller Auditie- rungsprozesse. Dies ist, für die IT-Systeme im ten von IT-Systemen. Siehe Buffer Overflow, Race condition Finanzbereich, in wichtiger Teil von SOX. Siehe Identity Management Programmiersprache: künstliche Sprache für die Programmierung von Rechnern. Heute Proxy: (engl. (Rechts)vertreter) jemand der im zumeist nicht mehr auf der Ebene der Namen oder Auftrag eines anderen aktiv ist Programmbefehle des Rechners Proxy Server: Rechner oder Software zwi- schen einem Client Rechner und einem Progressive Web App: (PWA) spezielle Form Server, z.B. Webbrowser und Webserver. einer Website auf der Basis von HTML, CSS und JavaScript, mit deren Hilfe auch Dabei kann entweder eine Caching-Funktion zur Beschleunigung des Verkehrs oder lokale Dateien bearbeitet werden können Entlastung des Servers oder eine Filterfunktion ohne dass eine Internetverbindung besteht. (Content Filtering) genutzt werden oder auch Solche Implementierungen können Smart- eine Kontrolle der Benutzerzugriffe ( UAM) phone Apps ersetzten. 2019 will Microsoft oder auch eine Anonymisierung der Zugriffe das Mailprogramm Outlook auch in dieser Form anbieten. stattfinden. Proxy Server sind applikations- spezifisch, d.h. sie behandeln jeweils nur einen PRO-IP: US-Gesetz (Prioritizing Resources Dienst (nur ein oder mehrere Protokolle), and Organization for Intellectual Property Act z.B. entweder Mail, Webseiten oder DNS of 2008) zum Vorgehen gegen Raubkopien. Verkehr, etc. Anders ist das beim Socks- Sollte 2012 durch SOPA verschärft werden. Proxy. Siehe auch ACTA, DMCA Reverse Proxys sitzen zwischen einem Rech- Promiscuous Mode: Einstelllung einer Netz- ner und dem Internet und leiten den Inter- werkkarte, so dass alle Daten die in einem netanfragen nach außen weiter und verteilen Kabel übertragen werden, von dieser empfan- die „Antworten“ dann intern. Sie können mit gen werden können, nicht nur die für diesen Hilfe des PAC (proxy auto-configuration) Rechner bestimmten Daten. Wird in Packet automatisch im Webbrowser eingestellt
Version 11.1 Seite 148 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ werden. PAC wird auch von Schadsoftware Information aus den Konten mehrerer Banken genutzt um den Datenverkehr des Opfers in 1 Interface anzeigen und Payment Initiation umzuleiten und so Man-in-the-Middle Services Provider (PISPs) – Zahlungsauslöse- Angriffe durchzuführen. Siehe Application dienste, die in Shopping Websites einge- level gateway. bunden werden und eine direkte Zahlung vom Prozess: in der IT Konto des Kunden zum Händler auslösen. Als problematisch kann sich herausstellen, dass 1) Computer Programm während der Aus- damit jedes Unternehmen mit entsprechenden führung, einschließlich der Daten im Lizenzen mit Zustimmung des Kunden auf die Hauptspeicher und der ausführbaren Version Bankdaten des Kunden zugreifen darf. Dies des Programmcodes könnte die Datensammlungen von Konzernen 2) schematische Darstellung von Abläufen. wie Google, Facebook, etc. deutlich erhöhen. Wichtig in der Informationssicherheit zur Siehe Sicherstellung von korrekten und sicheren https://sicherheitskultur.at/Internet_politik.htm# Arbeitsabläufen. Beispiel sind die ITIL-Pro- psd2 zesse. Gartner definiert die 4 wichtigsten Pseudonymisierung: Ersetzen der Identifi- Sicherheitsprozess als: Network access control zierungsmerkmale in personenbezogenen (NAC), Identity and Access Management Daten durch einen anderen eindeutigen Code, (IAM), vulnerability management und z.B. damit Finanz- oder Gesundheitsdaten für intrusion prevention. Zusätzlich fordern sie Forschungs- oder Testzwecke verwenden zu einen Datensicherheits- Prozess. Wichtig ist können ohne den Datenschutz zu verletzen. für sie nicht nur die Existenz dieser Prozesse Der Vorgang der Anonymisierung genannt sondern deren Integration. Siehe Geschäfts- wird ist häufig in Wirklichkeit eine Pseu- prozess, Kontinuierlicher Verbesserungs- donymisierung. Anonymisierungen und Pseu- prozess donymisierungen lassen sich leider zumeist Prozessor: Einheit in einem elektronischen rückgängig machen, siehe De- Gerät das auf Grund eines Programmes Anonymisierung digitale Operationen ausführen kann. Bei Pseudonymität: im Gegensatz zur einem Computer zumeist in Form einer Anonymität, bei der gar nichts über eine CPU, bei anderen Geräten oft in anderer handelnde Person bekannt ist, wird hierbei ein Form, z.B. DSP oder GPU einer (evtl. permanentes) Pseudonym („Nickname“) Graphikkarte verwendet, das eine Zuordnung zu früheren Prüfsumme: schwache Methode zur Ent- Handlungen dieser Person ermöglicht. deckung von Fehlern in Datenübertragungen Pseudonymität wurde 2011 zu einem Thema oder Dateneingaben, z.B. CRC oder in den weil Social Networks wie Facebook Kreditkartennummern Pseudonyme nicht nur in den PSD2: (Payment Service Directive 2) Benutzungsbedingungen verbieten, sondern Zahlungsdiensterichtlinie, gilt ab 2019 und hat solche Accounts auch recht willkürlich löschen. im Wesentlichen 2 neue Elemente: die sog. Das Verbot kann zu erheblichen Gefahren in SCA (strong customer authentication) totalitären Gesellschaften führen. Mehr unter besagt, dass alle kritischen Vorgänge beim http://sicherheitskultur.at/anonymity.htm e-Banking (Login, Überweisungen) über 2 Pseudo Random Number Generator: Faktor Authentifizierung ( 2FA) abgesichert (PRNG) wichtiger Algorithmus bei Simula- werden müssen. Dafür haben eine Reihe von tionen und auch in Sicherheits programmen. Banken spezielle Smartphone Apps im Mit gleichem Startwert („ seed“) liefern sie Einsatz, andererseits ist aber auch mTAN typischerweise eine vorgegegene Zahlenfolge ausreichend, nicht jedoch iTAN. Das ist (für Simulationen zumeist als Gleitkomma- eigentliche eine gute Idee, die mehr Sicherheit zahlen zwischen 0 und 1). Ihre Qualität wird verspricht. Nach meiner Einschätzung hat dies durch ihre Periodizität bestimmt und ob durch jedoch zu einer Professionalisierung der Abhören der Folge auf zukünftige Zahlen Angriffe geführt, denn einfache Phishing- geschlossen werden kann. Zu Angriffen siehe Angriffe oder Credential Stuffing führen jetzt Random nicht mehr zum Erfolg. Die Websites hinter PSK: (pre-shared key) bei symmetrischen den Phishing-Angriffen müssen jetzt auto- Verschlüsselung das manuelle Eintragen der matisiert sein und sofort bei der Zielbank die Schlüssel in beiden Endpunkten der Anforderung des 2. Faktors triggern, damit der Kommunikation, alternativ dazu z.B. Diffie Kunde den auch noch preisgibt. Dies wird Hellman durch entsprechende Automatisierung erreicht. Pstore: (Windows Protected Storage) Das 2. Element ist Open Banking . Dies ist eine Trennung zwischen sog. ASPSPs (Account PSTN: (Public Switched Telephone Network) Servicing Payment Service Providern - die traditionelles Telefonnetz. Siehe POT, traditionellen Banken) die Konten ihrer Kunden PBX, SS7, SCTP führen und neuen Diensten Account Psychologie: traditinell bei der Informations- Information Service Provider (AISPs), die sicherheit viel zu sehr ignoriert. Siehe
Version 11.1 Seite 149 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Benutzerpsychologie, Risikopsychologie informiert und kann die Nachricht(en) abrufen. Public Domain: Programme (oder andere Bespiele sind MQ-Series von IBM, Tibco geistige Werke), die frei verwendet, kopiert und oder MQTT weitergegeben werden dürfen, weil der Autor PUK: Passwort Unblocking Key sich damit einverstanden erklärt hat. Oft sind Pump-and-dump: mittlerweile häufigste Form Bedingungen daran geknüpft, z. B. GPL, der Spam-E-mails. Aktienbetrug durch Urheberrecht, GNU project massenweises Bewerben von „penny stocks“, Public Key Verfahren: Verfahren, bei dem ein d.h. von Aktien die im Cent-Bereich gehandelt Schlüsselpaar erzeugt wird. Dabei wird der werden. Der Betrüger kauft eine große Zahl Private Key geheimgehalten (z.B. Speichern der billigen Aktion, die er nach Anstieg des auf Smartcard), der Public Key (meist in Kurses verkauft, während die anderen, die Form eines Zertifikates) öffentlich zur Verfü- auch verdienen wollen, noch am Kaufen sind gung gestellt. PUP: (Potentially Unwanted Program) Um- Das Prinzip des Public Key Verfahrens besteht schreibung für unerwünschte Software, wie darin, dass beim Verschlüsseln die Daten, mit Spyware oder Adware. Der Begriff rührt dem Public Key des Empfängers, verschlüsselt daher, dass Anti-Virus-Software Firmen die werden. Der Empfänger kann die Daten dann Media-Firmen die Pop-Ups installieren, nicht mit seinem eigenen Private Key entschlüsseln mit Firmen in einen Topf werfen wollen, die (die technische Implementierung ist i.d.R. Keylogger u.ä. installieren und daher die etwas komplizierter). meiste AV-Software Spyware ignoriert. Für die digitale Signatur wird ein Hash Andererseits sind für die meisten Benutzer alle (Prüfsumme) über die Daten erzeugt und mit Programme unerwünschte, die sie nicht aus- dem Private Key des Unterzeichners ver- drücklich installiert haben und/oder die sie bei schlüsselt. Jeder Empfänger kann mit Hilfe des der Arbeit behindern. PUP umfasst alle diese Public Keys des Unterzeichners die Integrität Programme verifizieren PUPM: (privileged account and password Public Key Infrastructure: (PKI) beschreibt management) die Infrastruktur, die für die sichere Erzeugung PUS: (Potentially Unwanted Software) auch und das Management von digitalen Zerti- PUSSware (Potentially Unwanted Software fikaten für Public Key basierende Verfahren Services), PUP nötig ist. PXE: (Preboot Execution Environment) Fea- Eine allgemeine PKI besteht aus: ture von Intel-Chips das mittels DHCP und 1. Certificate Authority (CA), die die öffent- TFTP ein Boot über ein Netz erlaubt. Kann lichen Schlüssel der Kunden oder Teilneh- für Angriffe genutzt werden mer signiert. Die Regeln für den Betrieb einer Python: Programmiersprache die meist Certificate Authority werden in einem interpretiert (und nicht compiliert) wird. Es Certification Practice Statement (CPS) im liegen aber auch JIT-Compiler vor. Python Detail beschrieben wurde ca. 1990 für die Lehre entwickelt mit 2. Registration Authority (RA), die Anträge dem Ziel Einfachheit und Übersichtlichkeit für die Austeilung der Digitalbescheinigungen QA: (Quality Assurance) TQM validiert, d.h. die Identität der Person oder QAnon: Gruppe die seit 2017 Verschwörungs- Behörde überprüft. Die Ausrichtungsberech- theorien mit teilweise rechtsextremem Hinter- tigung autorisiert die Signierung der grund im Internet verbreitet. Zentrale These öffentlichen Schlüssel der Kunden ist eine einflussreiche, weltweit agierende, 3. Verzeichnisdienst, der Zertifikate im satanistische Elite entführe Kinder, halte sie X.509 Format öffentlich zur Verfügung stellt. gefangen, foltere und ermorde sie, um aus Dies kann in der Form eines LDAP- oder ihrem Blut eine Verjüngungsdroge zu gewin- X.500 Directory geschehen. Stornierungen nen. US-Präsident Trump bekämpfe diese Elite von Zertifikaten werden als CRL (certificate und einen angeblichen „Deep State“. revocation list) veröffentlicht, oder über einen Gegründet in den USA, aber die Gruppe hat OCSP-Server auch in D. und Ö. Anhänger. Die Gruppe Public Key Server: Server, auf dem ausge- wurde 2018 wegen Doxing und ‚Aufruf zu stellte Zertifikate durch die Certificate Gewalt‘ aus Reddit entfernt, unterwanderte Authority der Allgemeinheit zugänglich ge- dann #SaveTheChildren auf Facebook und macht werden, Teil einer PKI Instagram und spielt weiter eine sehr aktive Rolle in „rechten“ Kreisen Publish-Subscribe: Implementierung von Messaging bei der der Sender nicht auf eine QHSE: (Quality, Health, Safety, Environ- Antwort des oder der Empfänger wartet, ment) Abteilung oder Verantwortlicher für alle sondern die Daten unter einem bestimmten diese Themen, die Vorschriften und Reg- Identifier zur Verfügung stellt. Der Empfänger lementierungen unterliegen. Manchmal auch wird automatisch über die Verfügbarkeit noch zuständig für Security. Siehe Compliance
Version 11.1 Seite 150 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
QKD: (Quantum Key Distribution) Generierung Qualität, Qualitätsmanagement: synergis- und Verteilung eines Schlüssels auf Grund tisch mit Informationssicherheit. Siehe TQM quantenmechanischer Prozesse auf der Basis Quantencomputer: Theoretische Implemen- von „verschränkten Teilchen”. Das besondere tierung auf der Basis von Quantentheorie, daran ist, dass ein Abhören der Schlüs- bisher nur als Proof-of-Concept verfügbar. selübertragung zu einer Störung führt, die Dabei werden ganz andere Algorithmen entdeckt wird (da bei der Quantenmechanik eingesetzt, mit deren Hilfe Qubits manipuliert eine Beobachtung immer zu einer Verän- werden. Diese können nur 0 oder 1, sondern derung führt). Daher theoretisch vom Konzept beliebige Zwischenwerte annehmen, die her abhörsicher. Die Problematik liegt aber in Wahrscheinlichkeiten entsprechen. Damit der physischen Umsetzung, bei der Schwach- sollen die meisten der bisherigen Verschlüs- stellen entstehen können die ein Angreifer selungsalgorithmen knackbar sein (mit ausnutzen kann ( side channel attacks). Ausnahme z.B. von Lattice-based Cryptogra- http://arstechnica.com/security/2012/09/quantum- phy), Shor-Algorithmus cryptography-yesterday-today-and-tomorrow/ http://arstechnica.com/security/2012/09/quantum- QM: (Qualitätsmanagement) TQM, Six cryptography-yesterday-today-and-tomorrow/ Sigma Quantified Self: (auch self-tracking, self- QR-Code: 2D-Barcode, in der Werbung hacking, body hacking) Aktivitisten dieser gern verwendet um mittels Smartphone- Bewegung versuchen, durch viele Sensoren Kamera eine URL zu kommunizieren. Wird ( wearable computing) möglichst viele 2011 für Angriffe genutzt, indem auf eine Daten über sich selbst, ihren Körper und ihre Website mit Schadcode verlinkt wird. Aktivitäten zu sammeln und diese dann mittels Neues Schlagwort: Attagging. Gefährlichere Data Mining auszuwerten. Dabei werden die Angriffe lassen sich vermutlich über USSD- Daten in der Regel auf zentrale Server Codes an Handys schicken. Es gibt auch geladen, wo sie auch mit den Daten anderer Verfahren zur Standardisierung der Abbildung Teilnehmer verglichen werden können und von Zahlungsinformationen in QR-Codes. Auch öffentlich werden. Solange dies freiwillig hier besteht das Risiko darin, dass diese (z.B. geschieht, könnte man dies als unproble- durch Aufkleber) gefälscht sein könnten. matisch betrachten, aber auf Grund des großen (wirtschaftlichen) Interesses z.B. durch QR-codes werden ansatzweise auch für Ab- Versicherungen die für Teilnehmer gezielt Ra- sicherungen (Ersatz 2. Kanal, out-of-band batte anbieten wird oder durch Arbeitgeber, die Kanal) verwendet, da es jedoch von sich aus durch Gesundheitsapps eine gesundere keine Verschlüsselung enthält ist es zwar Belegschaft fördern möchten wird vermutlich schwieriger zu knacken, aber ohne zusätzliche bald ein Druck entstehen bei so etwas kryptographische Absicherung nicht wirklich mitzumachen und die Daten zu teilen. Siehe sicher. P300, Datenschutz, Privatsphäre In China werden QR Codes in den Dies muss unterschieden werden von life- Zahlungssystemen Alipay und WeChat logging ( Lifebits). Dabei werden alle Daten Pay genutzt (die ab 2019 auch noch Europa aus der Umgebung des Betroffenen z.B. kommen). Händler und Käufer identfizieren mittels Fotos, Video und Sprache aufge- sich dabei über temporäre QR Codes, die in zeichnet. Dies soll ein perfektes Gedächtnis den internen Systemen dann verknüpft erzeugen und kann verbunden werden mit werden. Ein ähnliches System auf Basis des frictionless sharing. Dadurch wird natürlich EAN auch in die Privatsphäre der Menschen in der In Europa kam der QR-Code 2021 zu einer Umgebung eingegriffen gewissen Prominenz, da er die Basis für die QUANTUM: Aktivität der NSA, bei der durch europäischen Corona-Impfbescheinigungen einen Man-on-the-Side Angriff der Daten- darstellt, eine sehr datensparende Lösung verkehr vom Webbrowser zum Webserver QoS: (Quality of Service) meist über SLA zusätzlich zu einem weiteren Webserver vereinbartes Serviceniveau, z.B. bzgl. Verfüg- umgeleitet wird, der in die Antwort des barkeit, Übertragungsleistung, etc. In Netz- korrekten Webserver zusätzliche Datenpakete werken bezieht sich QoS auf die Wahrschein- einfügt, z.B. ein Javascript, oder eine lichkeitenn für Dropped Packets, zu lange Verlinkung auf einen weiteren Webserver, von Verzögerungen bei der Zustellung eines dem aus dann ein Exploit zum Webbrowser Datenpaketes, Zustellungen in der falschen gesendet wird. Dadurch ist die gezielte Reihenfolge, die Reservierung von Bandbreite Übernahme von Rechnern möglich ( RSVP) oder Zustellung fehlerhafter Pakete Quarantäne: 1)im Zusammenhang mit End- Quadplay: neues Schlagwort von CISCO das point Security: wenn der Status des externen besagt, dass die gleiche Netzinfrastruktur für Gerätes ( PC oder PDA) überprüft und als Daten, Sprache, Video und mobile Kommu- unzureichend empfunden wurde (z.B. ver- nikation genutzt wird. Es ist nicht klar, ob sich alteter Virenschutz oder Patch-Zustand) die Sicherheit dadurch erhöht oder erniedrigt und das Gerät in einem speziellen Netz-
Version 11.1 Seite 151 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ werksegment zuerst aktualisiert wird Radio Frequency Analysis: Side Channel 2) Aspekt von BCM wenn bei einer Pande- Angriff, z.B. gegen kontaktlose Smartcards mie Mitarbeiter zu Hause bleiben müssen. durch Analyse der Veränderungen im Firmen sollten für solche Fälle planen und zum elektromagnetischen Feld während der Aus- Beispiel entsprechende Zugänge aus dem führung von Computerbefehlen Internet vorsehen RADIUS: (Remote Access Dial-In User Ser- Quellcode: (engl. Source code) Version eines vice) älteres Protokoll für Authentisierungs- Computer-Programmes vor der Übersetzung informationen. Wird heute noch oft eingesetzt, (Umwandlung) in ausführbare Form. Nur die auch z.B. in Verbindung mit Token für Quellcode-Version erlaubt die Änderung von OTP. http://www.ietf.org/rfc/rfc2865.txt Programmen und die Inspektion auf mögliche RAID: (Redundant Array of Independent Disks) Sicherheitslücken. Zum Verhindern des Ein- Verfahren bei dem mehrere Magnetplatten baus von Trojanern in den Quellcode sollte so zusammengefasst werden, dass sie wie eine unabhängige Verwaltung des Quellcodes eine logische Platte erscheinen. Erlaubt in stattfinden. Quellcode sollte aus Sicherheits- einer spez. Ausprägung, dass die Daten und gründen in Quellcode-Verwaltungssystemen eine Prüfsumme so auf mehrere Magnetplatten verwaltet werden. Siehe Open Source, verteilt werden, dass auch bei Ausfall einer OSS Platte der Betrieb aufrechterhalten werden Quellcode-Verwaltung: ein wichtiger Aspekt kann. Wird für Hochverfügbarkeit eingesetzt einer sicheren Software-Entwicklung. Diese Rainbow Table: sehr große Tabellen (> 100 Systeme unterstützen Aspekte wie Proto- GB) mit vorberechneten Passwort- kollierung aller Änderungen, Wiederherstellen Hashes, die für ein schnelles „Cracken“ von früherer Zustände, Änderungen nur durch Passworten genutzt werden. Auf diese Weise spezielle Personen, etc. Produkte sind z.B. wird das „Knacken“ von Passworten sehr GitHub, CVS, PVCS, SCCS, RCS,.... beschleunigt, als Schutz gegen diese Angriffe Siehe auch SCM – Software Configuration wird Salz eingesetzt, bzw. Passworte die Management länger sind als 8 Zeichen. Wird 2013 kaum Quellen-TKÜ: Telekommunikations überwa- noch genutzt, da GPU-basierte Brute chung) auf dem Endgerät selbst, d.h. Abhören Force und Dictionary Attacks schneller sind von Messaging Apps, VoIP oder E-Mail RAM: 1) (random access memory) Speicher vor der Verschlüsselung für die Übertragung 2) ( Reliability, Availabilty, Maintainability) im Internet. Dies setzt in aller Regel den Schlagwort rund um Hochverfügbarkeit. Es Einsatz eines Bundestrojaners voraus und geht um hohe Verfügbarkeit durch Ausfall- ist daher politisch sehr umstritten. Siehe sicherheit und vereinfachte und dadurch RFS schnelle Reparatur (vereinfachte Fehlersuche, QUIC: neues Transportprotokoll für das gute Diagnostic Tools, schneller Komponen- Internet das gegenüber seinen Vorgängern tenaustausch) insbesondere eine höhere Geschwindigkeit Random: (engl. zufällig, zufallsbedingt) bei sowie konsequente Verschlüsselung auch Zufallszahlengeneratoren (random number von Metadaten bietet, wird bei HTTP/3 generator) wird unterschieden zwischen verwendet pseudorandom number generator) PRG Quick-Karte: frühere, angeblich anonyme oder PRNG die auf Grundlage eines Startwerts Speicherkarte für die österreichischen Ban- („seed“) eine vorgegebene Zahlenfolge komatkarten ( Geldkarte). Nach der Bezah- produzieren und random number generator lung erfolgt ein Abgleich mit einer Verrech- (RNG). nungsstelle (Evidenzzentrale), damit bei einer Bei Sicherheitsanwendungen, z.B. bei der Zerstörung des Chips der Kontostand wieder- Erzeugung von Schlüsseln, z.B. beim hergestellt werden kann. Die Bezahlung erfolgt Starten einer HTTPS-Verbindung, ist es ohne Eingabe von PIN. Siehe e-Geld wichtig, dass ein Angreifer der die Verbindung Qwant: französische Suchmaschine als abhören will, nicht in der Lage ist, die einzige EU-basierte Alternative zu Google. Zufallszahl zu erraten oder über brute force Da die Anfragen der Benutzer nicht registriert Angriffe zu bekommen. Schwächen bei den werden bietet sie auch keine personallisierten Zufallszahlen sind daher sehr oft ein An- Ergebnisse. Dies vermeidet auch die Filter griffspunkt auf die Verschlüsselungsalgo- Bubble. Sie verwenden ihren eigenen rithmen. Noch problematischer ist allerdings, Crawler dass Programmierer die Zufallszahlen benöti- gen oft glauben, dies sei einfach und RA: Registration Authority selbstgeschriebene Algorithmen nutzen, bei Race condition: (auch race hazard) der die Zahlenfolge sich schnell wiederholt Schwachstelle in Programmen, bei der der oder leicht vorherzusagen ist. Schwächung zeitliche Ablauf von meist mehreren parallelen von Zufallszahlengeneratoren ist einer der Vorgängen eine entscheidende Rolle spielt Angriffe der NSA. 2014 wurde bekannt, dass Rack: 19-Zoll Rack die NSA die RSA (mehr oder weniger direkt)
Version 11.1 Seite 152 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ dafür bezahlt hat, dass ein pseudorandom entstanden ist. Eine Gruppe erstellt den number generator mit einer Backdoor in Zugang zum Netz des Opfers („access dealer“) einer RSA-Software als Default eingesetzt wird und verkauft den dann weiter an andere, die (Dual_EC_DRBG) die Verschlüsselung und oft auch das Random Number Generator: (RNG) Gene- Entwenden von Daten vornehmen (Zwecks rator für Zufallszahlen, wichtiger Algorithmus weiteren Erpressungsoptionen für den Fall, in Sicherheits programmen. Kann in Soft- dass das Opfer die Daten aus einer Sicherung ware nur schwer implementiert werden (wirk- wiederherstellt). Andere wiederum sind für die lich zufällig sind nur Ereignisse wie z.B. Verhandlungen zuständig und wiederum Kernzerfall oder Rauschen). Dies wird bei andere kümmern sich um die finanziellen RNGs in Rechnern zumeist simuliert, indem Geldflüsse sog. Entropie aus der Hardware bezogen RaaS: Ransomware-as-a-Service wird (z.B. Plattenzugriffe oder Tastaturtimings). rar-Format: Komprimierungsformat für Daten, Wichtige Algorithmen sind Yarrow in siehe auch Decompression Bombs MacOs, iOS und FreeBSD und Fortuna in RAS: (Remote Access Service) Dienst der Windows. Oft werden in RNGs krypto- einen Zugang zum internen LAN / Local Area graphische Funktionen wie Hash-Algo- Network/ internes Netzwerk erlaubt. Über rithmen und PRNGs genutzt call-back kann dabei die Zugangssicherheit RansomWare: Schadsoftware, die z.B. erhöht werden durch Verschlüsselung von Dateien den Raspberry Pi: (Himbeerkuchen) kreditkarten- Rechner unbenutzbar macht und dann Löse- großer Einplatinen-Computer, entwickelt geld für die Entschlüsselung einfordert. Zuerst 2012 von Privatleuten für Schulungsszwecke, gesichtet ca. 2013, aber seit Ende 2015 zum dominierenden Angriff im Internet gewor- erhältlich für < 50 €. Es stehen mehrere open-source Betriebssysteme und mittler- den, sowohl gegen Private wie Firmen. weile jede Menge Software zur Verfügung. Hauptschutz ist Aktualisieren aller Pro- Siehe auch Pineapple gramme aller IT-Systeme, Vermeiden des Ausführens von Schadsoftware durch ent- Rasterfahndung: (engl. Dragnet) frühe (1970) sprechende Schutzprogramme (aber Mal- Form von data mining für polizeiliche ware-Schutz kann auf neue Varianten oft nicht Zwecke, in D. geregelt durch Landes- und sofort reagieren), das Erschweren von Bundesgesetze, in Ö zwar theoretisch möglich, Phishing-Angriffen (z.B. durch 2 Faktor aber angeblich nie eingesetzt. Erstmals Authentisierung auf allen Verbindungen von genutzt bei der Fahndung nach RAF- außen ins Firmennetz und ausgelagerte Mitgliedern. Es ging damals darum, z.B. durch Datensicherung. Auswertung aller Rechnungsdaten für Elektri- zitätsunternehmen Wohnungen zu finden, Zum Teil können Programme von Anti- deren Stromrechnung bar bezahlt wurde und virenfirmen Dateien auch entschlüsseln. Hilfe nicht über eine Bankverbindung. Es wurden gibt es auf den Websites der Antivirenfirmen. Herausforderung für die Angreifer ist das Gesetze geschaffen die dies unter bestimmten Bedingungen ermöglichen. Inkasso, hier riskieren sie, dass man ihnen auf die Spur kommt. Dabei kamen früher Services Heute gibt es auf Grund der umfassenden wie Western Union oder Bezahldienste Datenbestände dafür viel mehr technische wie paysafecard, heute vor allem Bitcoin Möglichkeiten, z.B. über die Daten die bei der zum Einsatz ( e-Geld). Auf Grund der recht Vorratsdatenspeicherung anfallen. Diese einfachen Umsetzung zumeist über per E- technischen Möglichkeiten sind jedoch durch Mail versendete Schadsoftware und die relativ die Gesetze in D. und Ö eingeschränkt, d.h. es sicheren Bezahlmöglichkeiten immer dominie- darf auf diese Daten immer nur einzeln render. Wird auch für Firmen immer mehr zum zugegriffen werden, ein Durchsuchen der Problem, so es ist bereits zahlreiche Kliniken Datenbestände ist nur unter sehr einge- 2016 in zahlreichen Kliniken zu Betriebs- schränkten Umständen erlaubt. In anderen ausfällen gekommen. 2021 ist über einige sehr Ländern bestehen diese Einschränkungen oft spektakuläre Fälle mit großen Kollateral- nicht, so plant das FBI im Rahmen von NGI schäden und hohen Forderungen (die sehr oft einen automatisierten Abgleich ihrer Foto- bezahlt wurden) zu einer deutlichen Eskalation Datenbank mit öffentlichen zugänglichen Fotos der Situation gekommen. Die Tatsache, dass und den Bildern von Überwachungskameras. sog. Cyberversicherungen die Lösegeldzah- Ähnliche Rasterfahndungen sind mittels lungen oft übernehmen kurbelt wohl die Stimm-Erkennung gegen großflächig über- Situation weiter an. Siehe auch wachte Telefonsysteme möglich. http://sicherheitskultur.at/spam.htm#ransom Problematisch ist, dass bei der Durchführung Ransomware-as-a-Service: (RaaS) ein kaum eine Diskriminierung vermeiden lässt Schlagwort, das die Tatsache beschreibt, dass und die Vorgehensweise mit dem Konzept der durch den großen Erfolg bei dieser Form von Unschuldsvermutung nicht kompatibel ist. Kriminalität eine sehr hohe Arbeitsteilung RAT: (Remote Access Trojan) Begriff, der ur-
Version 11.1 Seite 153 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ sprünglich nur ein spezielles Schadprogramm die Rechte eines Benutzers im System varia- bezeichnete, jetzt aber oft für die Klasse von bel von seiner jeweiligen Rolle abhängen, Programmen benutzt die sich als Trojaner damit eine Erweiterung von Mandatory auf einem Rechner einnisten und dann eine Access Control und Discretionary Access Fernsteuerung dieses Rechners, z.B. für Control. Implementiert z.B. in Active Direc- dDoS-Angriffe oder im Rahmen von APT- tory, SELinux, FreeBSD, Solaris, Oracle, Angriffen, erlauben. Beispiele sind Poison SAP. Siehe Authentisierung, Autorisierung Ivy RAT, Xtreme RAT, Gh0st RAT. RATs sind RBN: Russian Business Network eine Form von Backdoors. Rechner mit RC4 : meistgenutze Stromverschlüsselung, solchen Backdoors werden manchmal auch Zombies oder Drohnen genannt obwohl sie als geknackt gilt (angeblich kann die NSA sie „in-realtime“ entschlüsseln) und Rating: 1) Ratings sind Zeugnisse, in denen es Patentstreitigkeiten zu RC4 gibt. Sie ist sehr z.B. die Kreditwürdigkeit von Menschen schnell und wird in allen Webbrowsern benotet wird. Diese sind ein wichtiges untersützt. Problematisch ist dies, da ein Instrument für die Festlegung der Konditionen Man-in-the-Middle die Verbindung zum bei Finanzierungen. Problematisch ist dabei, Webserver auf jeden Algorithmus herun- dass zunehmend auch Informationen aus tersetzen kann, der von beiden Seiten Social Networks und anderen Quellen unterstützt wird einbezogen werden, was zu sozialen Unge- rechtigkeiten und falschen Ablehnungen führen RC5: (Rivest Cipher) Blockverschlüsselung kann (z.B. wenn solche Ratings von mit geringem Ressourcenverbrauch, bei Personalabteilungen genutzt werden um zu Schlüssellängen von 72-bit auch 2011 noch entscheiden wer zu einem Vorstellungsge- sicher spräch eingeladen wird. In China wird an RCE: (remote command execution) eine der einem umfassenden System gearbeitet, mit gefährlicheren Schwachstellen – erlaubt das dem Menschen und Firmen über ihr Verhalten Ausführen von Befehlen ohne direkten im Internet (inkl. Konsumverhalten) ein Zugriff auf das Gerät, z.B. über das Rating bekommen, das dann von allen Internet (z.B. nachdem das Opfer eine anderen Menschen, Firmen und Behörden präparierte Webseite besucht hat) eingesehen werden kann RCS: 2) im Rahmen von e-Commerce gibt es 1. (Rich Communication Services) Kommuni- Ratings bezüglich Vertrauenswürdigkeit von kations protokoll für Nachrichten zwi- Händlern im Internet. Hierfür gibt es schen Mobilgeräten als Ablöse von Organisationen, wie z.B. Cybertrust SMS. In 2019 wird diskutiert dass RCS 3) im Rahmen von eBay werden Ratings für zwar mehr Funktionen enthält aber aus Käufer und Verkäufer interaktiv, auf Grund von Sicherheitssicht kein so großer Fortschritt Feedback der Teilnehmer, automatisch errech- ist, da im RCS-Protokoll zahlreiche net Schwachstellen gefunden wurden, so dass Rational Unified Process: (RUP) es nicht viel besser als das unver- schlüsselte SMS ist, das über das Raubkopie: (Slangbetriff Warez) illegale Ver- ebenfalls problematische Protokoll SS7 sion kommerzieller Software oder anderer versendet wird. Wird zum Teil auch als geschützter Inhalte (Musik, Filme), wobei SMS+ bezeichnet. Die Einführung hängt zumeist der Kopierschutz „geknackt“ wurde davon ab, ab wann der jeweilige (cracking). Viele der im Internet erhältli- Telefonprovider seinen SMS-Versand auf chen Raubkopien sind mit Trojanern oder dieses Protokoll umstellt. Genutzt wird Spyware-Programmen gekoppelt. Auf diese RCS über die Messaging App des Weise kann der Raubkopierer durch die dabei Smartphones, Apple denkt 2019 noch anfallenden Daten oder durch Nutzung des über die Unterstützung nach Rechners als Teil eines Botnets Geld ver- dienen. Bei Smartphone Apps werden oft 2. (Revision Control System) ältere Software zur Quellcode-Verwaltung zusätzliche Funktionalitäten eingebaut ( Re- Engineering), z.B. für den Diebstahl per- von Programmen sönlicher Daten oder Nutzung des Handys RDF: (Resource Description Framework) Spe- für Anrufe oder SMS auf Mehrwertnummern. zifikation für ein Modell zur Repräsentation von Siehe Urheberrecht, Copyright, ACTA, Metadaten (Informationen über Webseiten und PRO-IP, SOPA andere Objekte). Dies wird auch als Seman- RAV: (Risk Assessment Value) Teil von tic Web bezeichnet. Dies wird sicherheitsrele- vant, da dadurch eine automatisierte Auswer- OSSTMM zur Quantifizierung von Sicherheitsrisiken tung und Zusammenführung von Websites unterschiedlicher Inhalte möglich wird, was die RBA: Risk-based-Authentication Möglichkeiten zu Überwachung durch Data RBAC: (Role-based access control) modernes Mining in Social Network Sites sehr Sicherheitskonzept in IT-Systemen, bei dem vereinfacht. RDF wird u.a. in RSS verwendet
Version 11.1 Seite 154 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ rDNS : ( reverse DNS Lookup) gung, USV, Brandschutz und Doppelbo- RDP: 1) (Remote Desktop Protocol) Grundlage den für eine bequeme Kabelführung und vielen für den Windows Terminalserver Dienst. Reihen von 19-Zoll Racks. Siehe Blitz- Erlaubt nicht nur die Präsentation eines schutz, Data Center Bildschirminhalts auf einem anderen (Client)- Rechnungslegungsvorschrift: Regeln für die Rechner, sondern unterstützt auch den Zugriff ordnungsgemäße Durchführung der Buchhal- auf Drucker und Peripherie des Clientgerätes. tungsaktivitäten. Durch die Nutzung von IT ist Wird, ebenso wie Citrix, für eine Absicherung Informationssicherheit eine Voraussetzung. des Fernzugriffs auf Firmennetze genutzt, da Siehe Compliance, US-GAAP, IFRS, eine solche Vorgehensweise keinen direkten GoB Durchgriff zum Firmennetz wie bei einem ReCoB: (Remote-Controlled Browsers VPN-Tunnel erlaubt System) von der deutschen BSI favorisiertes 4) (Right to Data Portability) Konzept für die Darstellung von AJAX- Reaktion: eine der 3 Aufgaben des Sicher- basierten Webseiten. Grundlage ist das heitsmanagements: Vorfallsbehandlung. Die separate Hosten des Webbrowsers in einer anderen Aufgaben sind Prävention und DMZ und Präsentation durch Terminal- Entdeckung serverkonzepte REAL ID: umstrittenes US-Gesetz zur Einfüh- Recorded Future: kommerzielles Unterneh- rung eines Minimum-Standards für State- men, finanziert von Google und In-Q-Tel Identification cards für US-Bürger, vergleichbar (Investmentarm der US-Intellegenzbehörden) mit einem Personalausweis. 2009 weigerten das auf Grund von Auswertungen des sich alle 50 Staaten, es zu implementieren. Internets Aussagen über den Zeitraum von 1 Mittlerweile (2019) ist es für alle Staaten der Woche anbietet ( Data Mining). Die USA verpflichtend einfachste Variante kostet 2011 149$ pro Monat Real-time Bidding: (RTB) die Technik mit der entschieden wird, welche Werbung auf einer Recovery: Wiederherstellen eines ursprüng- Website platziert wird. Dabei bieten Dienste lichen Zustandes, z.B. nach einem Schadens- wie DoubleClick (von Google) oder DSP fall, oft durch Zurückladen von Datensicher- (von Amazon) in dem Augenblick in dem ein ungsmedien. Siehe Disaster Recovery Nutzer eine Website aufruft die Charakteristik Recovery CD: Datenträger, der eine Wie- dieses Nutzers an ihre Werbekunden an. derherstellung des Betriebssystems nach Diese können auf der Basis dieser Daten (oder einer Beschädigung von Systemdateien er- ergänzt durch Daten die der Werber selbst laubt. Kann aber auch als Angriffswerkzeug über diese Person hat) innerhalb von eingesetzt werden, z.B. um neue Admini- Millisekunden entscheiden, wie viel dem strator-Accounts auf gestohlenen Laptops Werber eine Werbungsschaltung für diesen einzurichten. Schutz dagegen bietet nur Nutzer wert ist. Auf diese Weise können auch Festplattenverschlüsselung Werber die nicht zum Zug kommen zusätzliche Reddit: seit 2008 ein Social Network in dem Daten über diese Person gewinnen. Alle diese Inhalte der ca. 430 Mio Nutzer in sog. Aktionen kommen ohne den realen Namen des Subreddits angeordnet werden, d.h. nicht wie Nutzers aus, es werden Pseudonyme wie z.B. bei Facebook nach Algorithmen aktiv Advertising ID oder spezifische Cookie- verteilt werden. Umstritten, da sehr wenig Be- IDs genutzt schränkungen bzgl. der Inhalte bestehen. Real-time Protection: Funktionalität in Verboten sind Doxing, Aufruf zu Gewalt und Virenschutz-Software und Anti-Spyware Bedrohung. Wegen dieser Punkte wurde 2018 Software bei der ein Starten des inkriminierten QAnon aus Reddit entfernt, dies bedeutet Programmes verhindert wird nach Reddit-Regeln, dass zu den QAnon- ReCAPTCHA: von Google angebotener Themen nie wieder ein Subreddit angelegt Captcha Dienst zum Erkennen von Bots. werden kann und die Nutzer permanent Dabei mussten früher kleine Fotos erkannt, gesperrt sind (anders als bei den anderen bzw. interpretiert werden, in Version 3 wird dies Netzwerken wo diese Themen immer wieder durch eine Analyse der Interaktion des Nutzers neu eingebracht werden können). 2021 hat ein mit der Website unter Einbeziehung der Subreddit aktiv Aktien des kleinen Unter- Daten die Google bereits über jeden Nutzer nehmens GameStop gepusht und damit gespeichert hat versucht. Dies führt zu einer Hedgefonds die auf einen starken Absturz der weiteren Anreicherung der Nutzerdaten bei Aktien „gewettet“ hatten (shorten) in große Google Bedrängnis gebracht Rechenzentrum: Rechnerraum Red Flag Rules: Sections 114 und 315 aus FATCA, das Finanzunternehmen zu mehr Rechner: (engl.: Computer) Vorsicht in Bezug auf Identity Theft zwingt Rechnerraum: zumeist speziell ausgestatteter red team: aus dem militärischen Sprachge- Raum für den Betrieb von Rechnern. Enthält brauch: Gruppe, die den Feind spielt, in der IT Klimaanlage, oft eine separate Stromversor-
Version 11.1 Seite 155 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ z.B. im Rahmen eines Penetrationstests. Wiederholung aller früheren Tests nach jeder Siehe tiger team Änderung der Software. Ziel ist es, zu Redundanz: mehrfache Auslegung einer Res- vermeiden, dass frühere Fehler durch neue source um Hochverfügbarkeit zu erreichen. Änderungen wieder auftauchen oder Siehe common mode failure bestehende Funktionalitäten verloren gehen. Siehe Capture& Replay, SCM Re-Engineering: Analyse von (zumeist frem- den) Programmen mit dem Ziel, ihre Funk- Regulation: EU-Regulation. Eine EU-Verord- tion zu verstehen, bzw. sehr oft zusätzliche nung wird sofort geltendes Recht in den Mit- Funktionen ( Schadcode) zu implementieren. gliedsländern. Der Nachfolger zur Data Pro- Dies geschieht z.B. bei Smartphones um in tection Directive ist/war als Regulation beliebte Apps Funktionen zum Diebstahl geplant, d.h. diese Verordnung würde natio- persönlicher Daten oder Anruf zu nales Recht sofort außer Kraft setzen. Da Mehrwertnummern einzubauen. Für diesen diese Regulation strengere Vorschriften enthält Zweck steht, abhängig von der eingesetzten ist sie 2013 (vorerst) am Widerstand von Irland Programmiersprache und Betriebssystem, und Großbritannen gescheitert. Siehe EU spezielle Software zur Verfügung, die diese Reifegrad: (engl.maturity) Qualität einer Analyse erleichtert Implementierung. Kann zertifiziert werden, z.B. Referrer: (in ‚http referer header‘ fehlt das ‚r‘) nach CMM oder SSE-CMM Wenn ein Objekt von einem Webserver Release Management: Prozesse, die es er- angefordert wird, z.B. ein Image, so übermittelt mlichen, Veränderungen an Hardware oder der Webbrowser die ursprüngliche URL, Software in geordneter Weise in eine Produk- z.B. die Webpage indem der Link zum tionsumgebung einzuführen. Teil des ITIL- Objekt enthalten war. So entstehen mittels Prozesses und verwandt mit Change Mana- Web beacon oder Web bug gement und Configuration Management Nutzerprofile für Werbezwecke Remailer: Anonymer Remailer Reflection: (auch Reflected attack oder Remanence: das nur langsame „Verfallen“ der Reflective Amplification Attack) dDoS- Speicherinhalte von (an sich flüchtigen) Angriff im Internet. Der Angreifer trägt im Halbleiter-Speichern (DRAM), lässt sich IP-Paket die IP-Adresse des Opfers als für Angriffe ausnutzen in dem die Quelle ein ( spoofing) und sendet dies an Speicherinhalte auch nach dem Ausschalten Reflectors, d.h. Hosts, die eine erheblich eines Geräts manchmal noch lesbar sind größere Datenmenge an den vermeintlichen Absender „zurück“senden (z.B. kurze Anfrage Remediation: Beheben eines Problems oder einer Schwachstelle, Teil des Incident mit langer Antwort, bis Amplification Faktor 1000) Managements. Siehe ITIL Reflexion: in der Programmierung die Fähig- Remote Access: Zugriff auf Rechner über keit eines Programms, sich selbst während eine größere Entfernung, in der Regel von außerhalb des Firmennetzes. Siehe VPN, der Ausführung zu analysieren und verändern. Dies verlangt nach Meta-Informationen wie RAS, ICA, RDP Datentypen und ermöglicht Sicherheitsfunk- Remote Access Service: RAS tionen wie Typenüberprüfung. Unterstützt, z.B. Remote Assistance: Konzept bei dem bei Java, C#, VB.NET oder IronPython Administratoren sich mit Desktops verbin- regedit: Registry den können um dort Administrationsaufgaben, Registar: zumeist Registrierungsstelle für auch mit ihren erweiterten Rechten, durchzu- führen. Unter Windows seit Windows XP. Domains im Internet. Spielt eine wichtige Rolle vom Domain-Squatting und beim VNC Brand-Protection Remote Forensic Software: (RFS) Registration Authority (RA): PKI Remote Wipe: Löschen von Daten auf Registry: in der IT: einem Smartphone oder anderem Gerät (z.B. unter MacOS) mittels Fernzugriff, z.B. 1) spezielle Datenbank auf MS Windows bei Diebstahl des Geräts. Der Dieb kann dies Rechnern, in denen das Betriebssystem und verhindern indem er die SIM-Karte entfernt, Anwendungen vor allem Programmpara- womit das Gerät seine „Identität“ gegenüber meter ablegen. Die Informationen sind für den dem Remote-Zugriff verliert. Anderseits ist Anwender nur über ein spezielles Programm diese Technik auch schon genutzt worden um ( regedit) zugänglich, auch Malware nutzt bei Übernahme eines entsprechenden Ac- dies aus und benutzt Registry Einträge für ihre counts im Internet (z.B. iCloud-Account) Zwecke alle Daten auf dem Gerät des Opfers zu 2) Registrierungsstelle, z.B. im Rahmen des löschen. Remote Wipe wird bei Firmen oft im DNS-Systems Rahmen von MDM eingesetzt. Siehe auch 3) Krankenaktenindex bei ELGA Wipe von Festplatten Regression Testing: bei Software Tests die Rendering: (bzw. Rendern) Übersetzung in
Version 11.1 Seite 156 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ eine graphische Darstellung, auch bei 3D zusammen mit Exploits), bei der der Darstellungen mittels GPU). Meist jedoch Hersteller zuerst eine Frist für die Erstellung verwendet zur Beschreibung der Übersetzung eines Patches erhält. Siehe auch Bug von HTML Code einer Webseite in die Bounty, ethical hacker, L0pht Darstellung im Browser. Dies ist eine der REST: (Representational State Transfer) zentralen Komponenten im Web-Browser und ist zum Teil separierbar. So werden bei fast Programmierkonzept für den Austausch von Daten zwischen Rechnern. Wird heute allen Browsern in 2020 entweder Chromium (von Google Blink – enhalten in Chrome) auch sehr oft zwischen Browser und oder die Rendering Engine von Firefox Webserver eingesetzt um single-page genutzt applications zu implementieren (ähnlich wie WSDL und SOAP). Es werden dafür auf Replay-Angriff: Angriff durch Abhören eines Datenverkehrs während des Austau- Javascript basierende Programmierbiblio- sches von Authentisierungsinformationen theken angeboten die solche Entwicklungen und das Wiederholen dieser Informationen zu stark vereinfachen einem späteren Zeitpunkt um unbefugt in ein Restore: Zurückladen von Daten aus System eindringen zu können. Gegenmaß- Datensicherungen, oft Teil eines Recovery nahmen sind OTP, rolling code oder Vorganges Challenge Response Restrisiko: Risiken können nie 100% ver- Replikator: 3D-Drucker, der sich selbst mieden werden (selbst Untätigkeit birgt Risi- herstellen kann ken). Als Restrisiko wird bezeichnet, was nach Reputation Repair: Dienste die den „guten einer Risikoanalyse und –bewertung von der Ruf“ im Internet wiederherstellen sollen, z.B. Person oder dem Unternehmen als akzep- wenn auf Websites verleumderische Infor- tables Risiko akzeptiert wird. Dazu kommen mationen verbreitet werden. Dazu gehören allerdings auch noch alle die Risiken, die bei z.B. juristische Schritte (oder der Kontakt mit der Analyse nicht erkannt wurden dem Diensteanbieter wie Youtube oder Retained Organisation: Outsourcing Facebook) um die Inhalte zu entfernen. Retargeting: Variante des Trackings von Andererseits können übereilte Aktivitäten zum Website-Besuchern für die Platzierung von Entfernen von unerwünschten Inhalten, z.B. Werbung. Dabei wird beim Besuch einer von Youtube schnell zum Vorwurf der Zensur bestimmten Website, z.B. des Werbenden führen (und zur weiten Verbreitung auf vielen oder auf einer Website zu einem bestimmten anderen Websites), was aus einer kleinen Thema, ein Cookie gesetzt so dass dieser Krise leicht eine große Krise für das Benutzer beim Besuch anderer (themen- Unternehmen machen kann. Wenn ein neutraler) Websites wiedererkannt wird und Entfernen nicht möglich ist oder nicht ratsam, durch Werbung zu einer Handlung (Kauf o.ä.) so beraten diese Firmen dabei, wie ein eigener aufgefordert wird. Auch im US-Wahlkampf Webauftritt so genutzt werden kann, dass bei eingesetzt, dadurch werden Internet-Nutzer Suchanfragen die unerwünschten Inhalte auf auch auf Grund ihrer politischer Ausrichtung den hinteren Seiten erscheinen ( SEO). getrackt Siehe auch Sexting, Revenche-Porn, Retina-Erkennung: Identifizierung von Per- Cyber Bullying sonen durch Analyse der Struktur der Retina Reputation System: Konzept zur Herstellung am Augenhintergrund. Erfordert eine große von Trust in Web-Communities. Ein gutes Nähe zum Gerät und wird daher als stärkerer Beispiel ist eBay, bei dem Käufer und Eingriff empfunden als andere biometrische Verkäufer sich gegenseitig bewerten und auf Erkennung, wie z.B. Iris-Erkennung oder diese Weise ein Rating entsteht, das Face Recognition. Wird z.B. für den reflektieren soll, ob der (virtuellen) Person Zugang zu einem Rechnerraum eingesetzt vertraut werden kann. Der Erfolg ist gemischt, Revenche-Porn: (Rache-Porno) Versenden da auch dieses System manipuliert werden von pornographischen (oder freizügigen) Dar- kann, z.B. durch Sybil Attacks (Sybil nodes). stellungen um einer anderen Person zu Siehe auch Gamification schaden, oft trifft dies eine Ex-Partnerin. Dafür Resilience: Die Fähigkeit von Systemen (jeg- gibt es spezielle Websites, die zum Teil Geld licher Art) mit unerwarteten Situationen fertig damit verdienen, gegen Geld diese Dar- zu werden, z.B. auch mit Ausfällen von stellungen wieder zu löschen. Natürlich ist dies Komponenten oder mit Angriffen. Biolo- illegal, aber leider durchaus verbreitet (auf gische Systeme zeichnen sich typischerweise Facebook allein wurden 2018 monatlich durch einen hohen Grad von Resilience aus. 54.000 Racheporno-Fälle geprüft). Dafür Siehe auch Netze-von-Netzen können z.B. Bilder verwendet werden, die als Resource Provider: Federation Services Sexting entstanden sind. Manchmal wird Responsible Disclosure: Form der Ver- empfohlen, bei solchen Fotos sicherzustellen, dass Identifikationsmerkmale, wie z.B. das öffentlichung von Schwachstellen (zum Teil Gesicht nicht mit drauf sind. Gegen-
Version 11.1 Seite 157 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ maßnahmen sind begrenzt. Man kann den von RFID-Geräten, auch zum Lesen und Täter anzeigen, aber oft kann nicht sicher Clonen von ePassports. http://rfidiot.org/ bewiesen werden, wir das Foto veröffentlicht RFID Pass: umstrittene moderne Reisepässe, hat. Man kann jedoch auch von der Website die drahtlos lesbare persönliche Informationen, und Suchmaschinen eine Löschung einschließlich biometrischer Daten (derzeit verlangen (Recht auf Vergessenwerden), oft ein Foto des Gesichts) enthalten. Dabei wird wird man dafür jedoch einen spezialisierten eine Verschlüsselung verwendet. Siehe Anwalt brauchen. Dies fällt auch unter MRZ, ePass Reputation Repair RFS: (remote forensic software) Software für Reverse DNS Lookup: (rDNS) Feststellen die Überwachung von „informationstechni- eines hostnames und Domäne bei gege- schen Systemen“ über das Internet. Instal- bener IP-Adresse, genutzt als Anti-Spam lation entweder nach Eindringen in die Woh- Technik. Siehe DNS nung oder analog zu sonstiger Schad- Reverse Engineering: Analyse von Pro- software. Funktionen können sein: grammcode z.B. zum „Knacken“ von a) Quellen-TKÜ (Telekommunikations- Kopierschutz zum Erstellen von Raub- überwachung), d.h. Abhören von VoIP vor kopien. Siehe Code Obfuscation der Verschlüsselung oder E-Mail, bzw. Reverse Proxy: Proxy b) Online Durchsuchung, d.h. Online- Revision: unabhängiger, neutraler Vergleich Durchsicht (einmalige Momentaufnahme) oder zwischen dem tatsächlichen und dem vorgege- Online-Überwachung (über einen Zeitraum, benen Zustand (Soll/Ist-Vergleich) eines inkl. Keylogger) Umgangssprachlich auch Regelwerkes hinsichtlich seiner Zweckeignung Bundestrojaner. Siehe Forensic und/oder Einhaltung. Siehe Audit RIAA: (Recording Industry Association of Revocation: (engl. Rückruf) Prozess der bei America) Interessenvertretung der US Musik- Kompromittierung eines Authentisierungs- industrie, die Digital Right Management elementes, z.B. Smartcard, digitales Zer- (DRM) fordert und derzeit mit Hilfe von tifikat, abläuft um eine weitere Nutzung zu Prozessen versucht, Filesharing über verhindern ( CRL, OCSP). Bei Biometrie P2P-Netze zu verhindern, siehe Copyright nicht möglich RICO Act: (Racketeer Influenced and Corrupt RFC: Organisations Act) US-Gesetz gegen organi- 1. Request for Comment: Mechanismus der sierte Kriminalität, wird von Microsoft zur IETF Organisation zur Schaffung von de- Bekämpfung von Botnets genutzt. facto Standards für Internet-Anwendungen. Oft RID: sicherheitsrelevant, z.B. RFC 1244 Site Security-Handbook. a. (Real-time Inter-network Defense) Draft http://www.ietf.org/rfc/rfc1244.txt IETF Standard zum Austausch von Infor- mationen über Angriffe wie Würmer oder 2. Request for Change : auch “Change DoS zwischen ISPs Request”. Im Rahmen von ITIL der Vorgang, der ein Problem vom Problem Management b. (Recorder Identification Code ). Serien- an das Change Management übergibt nummer eines CD- oder DVD-Brenners, wird auf jedes Medium gebrannt. Siehe RFID: (Radio Frequency Identification) gene- Fingerprinting rell jede Technologie, bei der Identifikations- daten drahtlos ausgetauscht werden. Dies Ring: siehe Doorbells reicht von älteren kontaktlosen Smartcards Right to Data Portability: (RDP) Article 18 in für Zutrittssysteme bis zu den kleinen preis- der Draft Data Protection Regulation der EU. werten Chips, die eingesetzt werden, um Der data subject muss “without hindrance” Produkte und anderes zu identifizieren. In seine Daten von einem Service Provider zu beiden Fällen ist eine Kennung enthalten, die einem anderen transportieren können, z.B. von über ein Funksignal aktiviert wird. Der Chip einem Social Network zu einem anderen. wird bei passivem Betrieb mittels Funk auch Die Details sind derzeit noch unklar, es mit Energie versorgt. In der Form von EPC könnten auch mögliche neue Risiken dadurch (Electronic Product Code) (oder UPC) als entstehen. Diese Regel klingt wie eine gute Ersatz für die Barcodes des EAN einge- Idee, könnte aber auch negative Effekte für setzt. Wichtigster Angriff ist Cloning, er- den Wettbewerb haben: so wäre (so wie im schwert durch Verschlüsselung und Draft formuliert) auch ein Start-Up bereits in Authentifizierung. Mit geeigneten Antennen der ersten Version gezwungen, Datenkom- sind RFID Übertragungen über Entfernungen palitibilität mit dem Marktführer anzubieten. bis zu mehreren 100 Metern möglich. 2006 gibt Facebook hat bereits eine Datenexport- es erste RFID-Pässe, ePass, die sich als Funktionalität implementiert angreifbar erwiesen haben. Aspekte der Rijndael: symmetrischer Verschlüsselungs- Privatsphäre weden in PIA behandelt algorithmus, der 2002 das ursprüngliche Stan- RFIDIOt: open source Tools zur Nutzung dard Verfahren DES als AES (Advanced
Version 11.1 Seite 158 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Enrcyption Standard) des amerikanischen Risiko erkannt und verstanden ist und durch NIST ersetzt hat. Es kann Schlüssellängen von die Möglichkeit von ausreichenden Vorteilen 128, 196 und 256-bit verwenden und gilt als belohnt wird. D.h. Risiko muss nicht unbedingt sehr sicher. minimiert werden, sondern erkannt, bewertet http://www.esat.kuleuven.ac.be/~rijmen/rijndael/ und kontrolliert. Keine Geschäftstätigkeit ist RIM: (Research in Motion) eigentlich der Name ohne R. Siehe operationelles R., der Firma, die das Blackberry E-Mail operatives R. Restrisiko, Marktrisiko, Gerät entwickelt hat. Wird jedoch auch für das Kreditrisiko, Kursrisiko, Risiko- Protokoll verwendet, das ein Blackberry be- akzeptanz, Risikoanalyse, VaR, ALE nutzt, um mit dem entsprechenden Server zu http://sicherheitskultur.at/Eisberg_risk.htm kommunizieren Risikoanalyse: methodische Ermittlung aller RIPA: (RIP Act, Regulation of Investigatory Risiken eines Systems durch Abschätzung der Powers Act, 2000) englisches Gesetz, regelt Eintritts wahrscheinlichkeit eines schädigen- Überwachungsaktionen. Wird z.T. auch von den Ereignisses und des damit verbundenen Gemeinden bei „anti-social behavior“ einge- Schadensausmaßes (unter Einbeziehung von setzt, z.B. Lärm, Grafiti, u.ä. Enthält auch Bedrohungsanalyse und Verwundbarkeiten). Erzwingungshaft für die Herausgabe von Formale Vorgehensweisen sind u.a. beschrie- Schlüsseln, z.B. für Festplattenverschlüs- ben in NIST SP800-39, OCTAVE, ISO selung, vorsieht. Gegenmaßnahme ist z.B. 27005, Black Swan Plausible Deniability Risikoakzeptanz: Dokumentieren der Nicht- RIPE: (Reseaux IP Européens) Vereinigung Behandlung von aufgezeigten Risiken, z.B. der europäischen Organisation zur Vergabe weil die erwarteten Schäden geringer sind als von IP-Adressen und Domänen, auch die Kosten für die Vermeidung oder weil sich aktiv in Sicherheitsfragen, z.B. bzgl. DNS. durch das Akzeptieren der Risiken Vorteile Hat das Hash-Verfahren MD 160 entwickelt. ergeben, die das Akzeptieren der möglichen www.ripe.net . Andere regionale Organisationen Schäden akzeptabel erscheinen lassen sind APIN, APNIC, LACNIC, AfriNIC Risikomanagement : (Risk Management) Ver- RISC: (Reduced instruction set computer) fahren zur Identifizierung, Kontrolle, Mini- CPU-Architektur bei der die Komplexität der mierung oder Vermeidung von Sicherheits- (im Gegensatz zu CISC) die Befehle risiken unter Aufwendung von akzeptablen zugunsten einfacherer Implementierung und Kosten (Def. ISO 17799) Dazu gehören damit zumeist auch Stromverbrauch reduziert Prozesse wie Datenklassifizierung, werden. Fehlende Befehle, z.B. für ‚editierende Change Management, Event Monitoring, Speichertransfer in Cobol) müssen dann Architekturfragen wie Netzwerk-Struktur, vom Compiler in eine Folge von Befehlen Trust-Strukturen, z.B. zwischen Windows umgesetzt werden. Dabei werden typischer- Domains und die Auditierung von weise die Befehle weggelassen, die von Maßnahmen. Siehe ISO13335, Octave Compilern selten benutzt werden. Ein heutiges Risikopsychologie: menschliche Fehl- Beispiel einer solchen Architektur ist z.B. einschätzungen von Risiko. Menschen kon- ARM zentrieren sich auf Risiken die in der Presse Risk-based-Authentication: (RBA) Authen- berichtet werden, die sehr selten aber bizarr tisierungsverfahren bei dem ein Algorithmus sind und schätzen alltägliche Risiken (wie im Webserver dynamisch entscheidet, ob Autounfälle), Probleme die sie nicht ändern zusätzlich zum Passwort noch ein 2. Faktor können oder wo sie sich selbst in Kontrolle angefordert werden soll (z.B. ein PIN der glauben, zu niedrig ein. Auch werden Schäden mittels SMS übertragen wird). Dies soll die die erst in Zukunft realisiert werden (z.B. Sicherheit erhöhen ohne die Bequemlichkeit verminderte Gesundheit durch Rauchen), einzuschränken. Die Entscheidung basiert auf durch „ discounting“ mental abgewertet Faktoren wie der IP-Adresse oder RKE: (remote keyless entry) RFID- oder Eigenschaften des Geräts (Device- Infrarot-Systeme zum Öffnen von Türen, z. . Fingerprint oder Browser-Fingerprint). 2021 auch Autos. Anfällig gegen Angriffe, z.B. können Angreifer aber auch diese Systeme side channel attacks, trotz der Nutzung von durch vorherige Infektion des Geräts rolling code (code hopping ), z.B. in austricksen KeyLoq Risiko: Nach NIST SP800-30: die Wahr- RL: (real live, wirkliches Leben) in der Internet- scheinlichkeit, dass eine bestimmte Be- Szene, z.B. bei Gamern (MMORPG) oft drohungsquelle ( threat) unter Ausnutzung genutzte Abkürzung zur Abgrenzung der einer Verwundbarkeit ( vulnerability) ein Aktiviäten im Internet zu Aktitäten ohne Ergebnis ( impact) produziert das abträglich Computer und Smartphone. Wird für das Unternehmen ist. D.h. es geht um manchmal verwendet um zu sagen, dass die Gefahrensituationen, in denen nachteilige Fol- ethischen Regeln des RL auch in Internet- gen eintreten können, aber nicht müssen. Kommunikationen gelten sollen. Es gibt Risiko ist an sich nicht negativ, so lange das Soziologen die von einer zunehmenden
Version 11.1 Seite 159 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Verschmelzung der Identitäten von RL und im Aber bei derzeit eingesetzten Robotern sind Internet ausgehen solche oder ähnliche Regeln sowieso nicht rlogin: Applikation, die es dem Nutzer erlaubt, implementiert, es gelten die üblichen auf einem entfernten UNIX-Rechner zu ar- Sicherheitsnormen der physischen Sicherheit. beiten. Sehr ähnlich zu telnet. Auf Grund der Bei autonomen Waffen, z.B. Drohnen geringen Sicherheitsimplementierung stellt würden diese Gesetze den Einsatz des Geräts diese Anwendung ein Sicherheitsrisiko dar verhindern. Es gibt jedoch im Forschungsbereich AI sehr wohl Aktivitäten RMAN: (Oracle Recovery Manager) Tool zur dazu, wie die Menschheit vor autonomen Datensicherung von Oracle Datenban- Geräten oder Intelligenzen geschützt werden ken. Erkennt auch Datenkorruption auf könnte (autonome Intelligenzen könnten auch Blockebene und wird von vielen kommerziellen ohne Körper Menschen erheblichen Schaden Tools intern genutzt zufügen, wenn sie z.B. in die Steuerungen von RMI: (remote method invocation) Kommuni- Geräten ( Autos, Industrieanlagen) eingreifen kationsprotokoll und Programmierschnittstelle können in Java (sehr ähnlich zu RPC), sehr oft robots.txt: Datei auf einem Webserver, genutzt zwischen Clients und Servern. die den Bots der Suchmaschinen mitteilt, Nutzt Ports 1098 und 1099 und arbeitet welche der Webseiten und/oder Images für ohne Verschlüsselung eine Suche indiziert werden sollen. Wichtiges Road Pricing: Sicherheitsrelevant, da bei Mittel um Inhalte aus den Suchmaschinen fern allen bargeldlosen automatischen Verfahren zu halten. Soll durch ACAP erweitert werden Bewegungsdaten von den Fahrzeugen RockPhish Gang: Hackerorganisation, der anfallen. Siehe Data Mining die Angriffssoftware Neosploit und ca. Robinson Liste: Liste von Personen oder 50% aller Phishing-Angriffe zugeschrieben Firmen, die keine unangeforderten Zusen- werden. Hat angeblich 2008 das moderne dungen (Brief oder E-Mail) erhalten Fast-Flux Botnet Asprox übernommen möchten. Siehe Spam, Opt-Out. In Ö: Rogue Call Center: illegale Dienstleistung, bei http://www.fachverbandwerbung.at/de/faq/faq_5.sht der gegen entsprechende Zahlung Social , [email protected] ml#59 Engineering Angriffe (in vielen Sprachen) Roboter: Maschine die auf Grund von durchgeführt werden, z.B. das Erschleichen artificial intelligence selbständig (d.h. auto- von Zugangs-Passworten oder TANs nom) handelt. Dadurch entstehen eine ganze ROI: (return on investment) Verfahren der Reihe von Herausforderungen, z.B. die Ab- Wirtschaftlichkeitsberechnung. Gewinn, der sicherung solcher Systeme gegen Angriffe durch eine Investition verursacht wird. Proble- die das System missbrauchen könnten (analog matisch für Sicherheitsprojekte, da sich hier zu Angriffen auf SCADA), aber auch im nur eine Vermeidung oder Verminderung von Bereich Ethik, z.B. bei selbstfahrenden Schäden erwarten lässt (Reduzierung des Autos (autonomous car) und Drohnen, ALE). Siehe ROSI, NPV, IRR bzw. allgemein bei autonomen Waffen- systemen Rolling code: (auch code hopping) Konzept zum Verhindern von Replay Attacks. Ver- Robotergesetze: von Isaac Asimov in 1942 wendet z.B. in RKE-Systemen wie KeeLoq (!!) im Rahmen einer Science Fiction Kurzgeschichte entwickelte Regeln die in der root: in der IT: Firmware von autonomen Geräten als 1) unter Unix oder Linux der Benutzer- Ethik dienen sollen. name, der Zugriff auf alle Teile des Systems 1. Ein Roboter darf kein menschliches hat und keinerlei Einschränkungen unterliegt. Wesen (wissentlich) verletzen oder Die Nutzung dieses Benutzernamens sollte so durch Untätigkeit gestatten, dass weit wie möglich eingeschränkt werden und das zugeordnete Passwort sollte so wenig einem menschlichen Wesen wie möglich bekannt sein. Entspricht dem (wissentlich) Schaden zugefügt wird. „administrator“ auf anderen Systemen. Siehe 2. Ein Roboter muss den ihm von einem sudo Menschen gegebenen Befehlen gehorchen – es sei denn, ein solcher 2) in hierarchisch aufgebauten Ordnungs- Befehl würde mit Regel eins systemen, z.B. Verzeichnisdienst oder File System, das „tiefste“ (bzw. „höchste“) Element, kollidieren. von dem aus alle anderen Elemente 3. Ein Roboter muss seine Existenz verzweigen beschützen, solange dieser Schutz nicht mit Regel eins oder zwei Rooting: Entfernen von Restriktionen bei einem Android Smartphone. Dadurch ge- kollidiert. winnt der Benutzer volle Kontrolle über sein Es wurde zwischenzeitlich gezeigt, dass diese Gerät, die verwendete Software kann das Regeln nicht ausreichend sind. http://philipps- welt.info/robots.htm#asimovlaws Gerät jedoch auch anfälliger gegen Angriffe machen. Siehe auch jail-break bei iOS,
Version 11.1 Seite 160 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
NAND lock RPG: 1) (Role Playing Game). Spiel, bei Root jail: unter Unix oder Linux das dem die Spieler Rollen verkörpern. RPGs Konzept, dass ein Programm, das für seine können IRL (in real live) gespielt werden Ausführung „root-Rechte“ braucht, trotzdem in (entweder als LARP oder auf Papier als seinen Auswirkungen eingeschränkt ist. Siehe „tabletop RPG“) oder elektronisch. Wenn Pittbull, DropMyRights elektronisch dann entweder allein (z.B. Dungeons & Dragons ) oder als MMORPG Rootkit: Software, die von Hackern nach (z.B. World of Warcraft) einem Eindringen in ein IT-Gerät genutzt wird, um Spuren (z.B. Einträge in Logfiles) zu RPO: (Recovery Point Objective) maximaler zerstören und die Schadsoftware für den zeitlicher Abstand zwischen letzter gesicherter Anwender unsichtbar zu machen (diese Transaktion vor einem Ausfall und dem Dateien werden dann nicht angezeigt). Oft wird Ausfall, siehe RTO, Desaster Recovery dabei die Schadsoftware auch in den MBR RSA: 1) Verschlüsselungsverfahren. Die Ab- eingetragen und ist dann nur sehr schwer zu kürzung RSA steht für die drei Entwickler des entfernen. Siehe Bootkit Algorithmus: Ron Rivest, Adi Shamir und Len RosettaNet: Initiative zur Standardisierung der Adleman. Der RSA Algorithmus wird für Formate von Geschäftsdokumenten und allge- asymmetrische Verschlüsselungsverfahren meinen Informationen auf der Basis der XML verwendet. Seine Sicherheit basiert darauf, Technologien. Wird von vielen als Zukunft von dass es zwar einfach ist, zwei große Prim- EDI gesehen. Arbeitet zusammen mit zahlen miteinander zu multiplizieren, umge- OASIS kehrt aber schwer, ohne Kenntnis dieser Prim- zahlen das Produkt in seine Faktoren zu ROSI: (return on security investment) Ansatz, zerlegen. der eine Monetarisierung der Informations- http://arstechnica.com/security/2013/10/a- sicherheit versucht. Siehe ROI relatively-easy-to-understand-primer-on-elliptic- Router: Geräte, die die Verbindung zwischen curve-cryptography/ zwei Netzen herstellen. Router können auch 2) RSA Data Security Inc., US-amerikanische von Hackern missbraucht werden, z.B. durch Firma, die Sicherheitsprodukte anbietet. Ge- Ausnützen und Manipulation der Protokolle gründet von den RSA-Entwicklern Rivest, mit denen Router sich gegenseitig automati- Shamir und Adleman. 2011 wird bei einem siert über ihre Verbindungen informieren. Über Angriff auf das RSA-Netz der Algorithmus Port-Nummern und IP-Adressbereiche und wichtige Elemente der 2-Faktor- kann ein begrenzter Zugriffsschutz imple- Authentifizierungs-Token von RSA entführt. mentiert werden. Diese Informationen werden später für ein Der Begriff wird seit ca.2010 auch für inte- Eindrucken bei Lockheed genutzt. 2013 wird grierte Geräte verwendet, die in Privat- bekannt, dass die NSA die RSA (mehr oder wohnungen den Internet-Zugang herstel- weniger direkt) dafür bezahlt hat, dass ein len und Router, Kabelmodem, Firewall und Zufallszahlengenerator mit einer Backdoor WLAN-Access Point enthalten. Diese in einer RSA-Software als Default eingesetzt Massengeräte die nicht von geschultem wird (Dual_EC_DRBG) Personal betreut werden, sind oft über das RSS: (Really Simple Syndication oder auch Internet angreifbar und werden dann manch- Rich Site Summary) beruht auf XML und mal für Angriffe auf die Rechner im Haushalt wird verwendet, um Kurzbeschreibungen von oder auch zum Aufbau eines Botnets Artikeln auf Websites (insbesondere Zei- verwendet. Sie verwenden oft eine Firmware tungsartikel) zu speichern und in maschi- namens DD-WRT. Fast alle Anbieter wie nenlesbarer Form bereitzustellen. Ein speziel- Linksys, Netgear, Fritzbox, ASUS, D-Link, ler RSS-Browser ruft diese Überschriften nach Cisco. 2014 wird bekannt, dass die NSA mit Kategorien ab und zeigt Headline, kurze ihrer TAO Group weltweit sehr viele Router Zusammenfassung und Link zum Artikel übernimmt, um damit den gesamten Datenverkehr abhören zu können. Siehe auch RSVP: (Resource ReSerVation Protocol) MPLS, VRF, HNAP Reservierung von Bandbreite zwischen Routern. Wird für QoS und zur Abwehr Routing: Weiterleiten von Daten paketen von Denial of Service Angriffen eingesetzt. in Netzen, z.B. mittels Routern. Kann für Die beiden wichtigesten Konzepte sind DoS manipuliert werden (route hijacking). Flowspec für die Reservierung von Resourcen Siehe Cyberwar und Filterspec für die Definition der RPC: (remote procedure call) Protokoll, das es Datenpakete für die die Flowspec Regeln einem Rechner erlaubt, Programme auf gelten sollen einem anderen Rechner aufzurufen, ähnlich zu RTE: (run-time environment) hardware- und RMI. Die Daten werden unverschlüsselt betriebsssystem-unabhängige übertragen. Wird bei Microsoft Systemen oft Laufzeitumgebung wie Java-JVM (virtual als Angriffspunkt für eine Penetration genutzt machine) oder .NET, die (port 135/TCP) Systemfunktionalitäten für eine oder mehrere
Version 11.1 Seite 161 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Programmiersprachen anbietet. Aus zu übertragen, die über kein dem EU-Recht Kompatibilitätsgründen werden bei JVM ältere vergleichbares Datenschutzniveau verfügen. verwundbare Versionen nicht gelöscht Dies trifft auf die USA zu. US-Unternehmen RTO: (Recovery Time Objective) maximale konnten dem Safe Harbor beitreten und sich Zeit vom Eintritt des Ausfalls bis zur Wieder- auf der entsprechenden Liste des US- aufnahme des Betriebs. Siehe RPO, Handelsministeriums eintragen lassen, wenn Disaster Recovery sie sich verpflichteten, die so genannten Safe RTB : Real-time bidding Harbor Principles zu beachten. Problematisch RTCP: (RTP Control Protocol) in Verbindung ist Safe Harbor weil US-Unternehmen jederzeit mit RTP eingesetztes Protocol für out-of- die Teilnahme an Safe Harbor einstellen band Informationen zu einem RTP-Datenfluss, konnten und andererseits die Sicherheit nur eingesetzt z.B. in für die Überwachung der über Selbst-Assessment bescheinigt wurde. Qualität von VoIP. Siehe MOS Das Problem waren in beiden Fällen die RTP: SRTP, ZRTP, RTCP uneingeschränkten Zugriffe der Geheim- dienste zu den persönlichen Daten der EU- RTU: (Remote Terminal Unit, Fernbedienungs- Bürger. Speziell im Zusammenhang mit den terminal) bei SCADA Systemen die Regel- Entüllungen zur NSA durch Edward elemente die eine Fernsteuerung, z.B. von Snowden gab es viele Stimmen für eine Aus- einem Leitstand aus, erlauben setzung oder Abschaffung des Abkommens, RUP: (Rational Unified Process) objektorien- was dann aber erst durch das Urteil Schrems-I tiertes Vorgehensmodell zur Softwareent- gelungen ist wicklung und kommerzielles Produkt von Safer: API unter Windows, das es Rational Software, seit 2002 Teil von IBM. Siehe UML Anwendungen wie E-Mail erlaubt, sicher- heitsrelevante Informationen abzurufen, bevor Russian Business Network: (RBN) ISP in ein externes Programm oder Scripts Russland, das angeblich für die organisierte ausgeführt wird. Siehe DropMyRights Kriminalität im Internet arbeitet Safety: Security SaaS: Salami-Angriff: Hacker-Attacke ( Hacker), 1) (Software as a Service) spezielle Form des aus vielen kleinen, schwer zu entdeckenden Cloud Computing. Nutzung von Anwen- Angriffen - sozusagen scheibchenweise. Auf dungen die im Web zur Verfügung stehen, diese Weise kann der Hacker vermeiden, von wie z.B. Webmail. Mittels Technologien wie einem IDS aufgespürt zu werden AJAX können heute auch andere Anwen- dung sinnvoll angeboten werden, Beispiele Salt, Salz: zusätzliche Zufalls-Bits die bei einer Hash-Funktion verwendet werden um einen sind salesforce.com oder die Office Anwen- dungen, die Google zur Verfügung stellt. Da Angriff über vorberechnete Hash-Tabellen zu zumeist die Anwenderdaten bei dem Service- erschweren. Angeblich hat die NSA von Firmen anbieter gespeichert werden, kann dies eine wie Google eine Tabelle der verwendeten Salts für jeden Benutzer angefordert. Siehe auch Gefährdung der Vertraulichkeit darstellen und zwar mit skalierbaren Angriffen. Siehe PBKDF2, Bcrypt, Scrypt, Passwort Outsourcing Samba: Unix und Linux Implementierung des Dateizugriffs zu SMB/ CIFS angebun- 2) (Security as a Service) Schlagwort für Security Dienstleistungen, z.B. Services wie denen Magnetplattensystemen ( Shares) das Untersuchen des Mailverkehrs auf Same Origin Policy: 1) (SOP) Sicherheits- Spam oder zentral angebotenes konzept in Browsern. JavaScript und Vulnerability Scanning ActionScript sollen nur dann auf Objekte wie Cookies, XML- oder HTML-Dateien zu- Safari: Web-Browser von Apple. Siehe Browser greifen können, wenn diese in Domain, Protokoll und Portnummer übereinstim- Safeguard: Begriff der Informationssicherheit. men, gilt jedoch nicht für GET-requests. Soll Verfahren, mit dem einem Risiko begegnet XSS und CSRF verhindern, ist jedoch wird. deutsch Schutzmaßnahme nicht wirklich effektiv. Wird in HTML5 durch Safe Harbor: im Datenschutz von 2000 - Cross-Origin Resource Sharing ersetzt, was 2015 die Vereinbarung zwischen der EU und neue Risiken bietet. Siehe CSP USA, die es europäischen Unternehmen 2) (Standard Operating Procedure) schriftlich ermöglichte, personenbezogene Daten legal in fixierte Arbeitsanweisungen, wichtig zur die USA zu übertragen. Wurde 2015 im sog. Einhaltung von Qualität und Sicherheit Schrems-I Urteil gekippt und durch Privacy SAML: (Security Assertion Markup Language) Shield ersetzt, das 2020 in Schrems-II auf XML basierender Standard der OASIS ebenfalls für untauglich erklärt wurde. Die EU- Organisation, mit dessen Hilfe Authentisie- Datenschutzrichtlinie verbietet es grund- rungs- und Autorisierungsinformationen aus- sätzlich, personenbezogene Daten in Staaten getauscht werden können, eine Implemen-
Version 11.1 Seite 162 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ tierung von Federation Services. Implemen- können tierungen sind Shibboleth, AD FS, WS FS. Sarbanes-Oxley Act: (SOX) (Public Company SAML unterstützt auch targeted IDs, d.h. Accounting Reform and Investor Protection Pseudonyme, d.h. der Service Provider (SP) Act, 2002) US-Rechnungslegungsvorschrift für muss vom Identity Provider (IdP) nicht Unternehmen, die an US-Börsen gelistet sind, unbedingt Informationen über die wahre Identi- Reaktion des Gesetzgebers auf den Enron- tät bekommen, es kann auch ausreichen, dass Skandal. Ziel ist eine stärkere Verankerung der eine Behauptung des Benutzers (z.B. bzgl. Verantwortung des Managements durch seines Alters) bestätigt wird ( claims-based Sicherstellen, dass die finanziellen Statements authentication). SAML definiert Assertions, d.h. korrekt sind und vom Management abge- Aussagen über Personen, Protocols, die den zeichnet werden. Section 404 verlangt einen Austausch von Fragen und Antworten jährlichen Report über alle internen Controls zwischen IdP und SP definieren, Bindings die für IT-Systeme, die im Finanzreporting genutzt definieren wie diese Nachrichten physisch werden. Section 302 verlangt eine Offenlegung übertragen werden (z.B. http) und Profile, von Schwachstellen jedes Quartal. Konkre- z.B. das Webbrowser SSO Profil. Kann tisiert werden die Regeln durch PCAOB sinnvoll mit OAuth für die Autorisierung Audit Standard 2, der ein internes Kontroll- von Zugriffen zwischen Benutzerprofilen auf system ( IKS) ähnlich zu COSO verlangt. unterschiedlichen Websites kombiniert wer- EuroSOX, KontrAG den http://www.law.uc.edu/CCL/SOact/soact.pdf Samurai: Hacker, der angeheuert wird, um SAS: (Statements on Auditing Standards) US- legal ein Firmensystem auf interne Sicherheits- Regeln für Audits, herausgegeben durch das lücken zu testen “Auditing Standards Board” des “American SAN: (Storage Area Network) Netz zum Institute of Certified Public Accountants” Anschluss von Enterprise Storage Syste- (AICPA). Einzelne der Regeln sind durchaus men, wird häufig mit Fibre Channel Techno- relevant für die Informationssicherheit, z.B. logie gleichgesetzt. Es kann aber auch über SAS 70 (www.sas70.com), die den Umfang andere Technologien, z.B. iSCSI realisiert eines standardisierten Audits beschreibt, oder werden und verwendet spezielle Switches. SAS No.99 (Consideration of Fraud in a Siehe Virtualisierung Financial Statement Audit). Auch durch den Sandbox: Konzept, bei dem ein Programm in Sarbanes-Oxley Act, Section 404, gewinnt einer kontrollierten Umgebung ausgeführt wird, z.B. SAS 70 immer mehr Bedeutung, 2012 damit verhindert werden kann, dass dieses jedoch ersetzt durch ISEA 3402 und/oder Programm Schaden anrichtet. Java Applets SSAE 16 laufen normalerweise in einer Sandbox ab. SAS 70: SAS Über das Signieren von solchen Applets lassen sich Anwendungen entwickeln, die auch über SASL: (Simple Authentication and Security die Festplatte u.ä. zugreifen können. Andere Layer) genereller Standard für die Beispiele von Sandbox-Implementierungen Authentisierung von IP-Verbindungen. Da- sind die Apps auf vielen Smartphones, bei können unterschiedliche Verfahren Adobe Reader X und PC-Programme wie eingesetzt werden, z.B. Kerberos, NTLM Sandboxie oder NaCL. Auch mit Hilfe von SATAN: (Security Administrator Tool for virtuellen Maschinen ( VM) lassen sich Analyzing Networks) eines der ersten Sandboxes implementieren. Dies wird von Freeware Programme zur Suche von Firmen eingesetzt, die Programme zum Schwachstellen in Netzwerken und Rech- Schutz gegen Malware entwickeln einge- setzt, um in dieser virtuellen Umgebung das nern. Siehe nessus Verhalten von unbekannten Programmen SB 1386 (California): Datenschutzgesetz in besser und automatisiert beobachten zu Kalifornien, das eine Veröffentlichung von können. Die Entwickler der Malware setzen Sicherheitsvorfällen mit personenbezogenen dahe sog. Sandbox-Evasion Techniken ein und Daten erzwingt der Entdeckung zu entgehen. Siehe PitBull, SCA: (strong customer authentication), siehe IEController, chroot PSD2 Sandbox-Evasion: Techniken von Malware- SCADA: (Supervisory Control and Data Entwicklern um der Entdeckung innerhalb Aquisition) Verfahren um Netze von Senso- einer virtuellen Testumgebung zu entgehen, ren und Reglern mittels PLCs zu über- z.B. das Erkennen, dass es sich nicht um wachen und zu steuern, d.h. das das Über- einen orginären PC sondern eine simulierte wachen und Steuern technischer Prozesse Umgebung handelt mittels eines Computer-Systems. Wird z.B. bei Sandboxie: Software für Windows, das es der Wasser- und Energieversorgung einge- erlaubt, Programme, z.b. Web brwoser, so setzt, heute oft verbunden mit dem „Office- auszuführen, dass sie nicht direkt auf die Netz“ und zum Teil mit Internetzugang. Festplatte oder die Registry zugreifen
Version 11.1 Seite 163 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Dies ist eine Schwachstelle die bei terro- Betriebsablauf eines Computers oder IT- ristischen Angriffen ausgenutzt werden Netzes zu stören. Implementierungen sind kann. Jedoch auch ohne eine solche Verbin- Viren, Würmer, bösartige Java Applets, dung können SCADA-Systeme erfolgreich bösartige ActiveX Programme, bösartige angegriffen werden, wie Stuxnet gezeigt hat. Javascripts, Trojaner, Ransomware, Dabei werden oft USB-Sticks als Transport- Scareware. Wird seit 2004 verstärkt und medium für den Schadcode eingesetzt (be- systematisch für kriminelle Zwecke eingesetzt wusst durch einen Saboteur oder unbewusst, (organisierte Kriminalität). Siehe Malware- weil ein Mitarbeiter nicht weiß, dass sein USB- Schutz, Obfuscation, Drive-by-Infektion, Stick Schadcode enthält). Dies ist dann Mebroot, TDL-4, Polymorphismus, notwendig, wenn die Systeme mittels Airgap mobile Malware, crypting geschützt sind. Schengen-Informationssystem (SIS) II: um- Mittlerweile wurden Schwachstellen in vielen strittene biometrische Datenbank, die eine Steuerungssystemen gefunden und dokumen- große Zahl von Informationen über EU-Bürger tiert. SCADA ist eine Untermenge von ICS. und Visa-Antragsteller enthält, einschließlich ihrer biometrischen Daten. Siehe ePass Schichtenmodell: IEEE 802.2 Schleppnetzfahndung: (eng. drift net) Einsatz von Data Mining, um aus einer großen Zahl von (personenbezogenen) Daten, z.B. Telefon- oder Kreditkartenrechnungen, Bewegungs- daten aus dem Road Pricing oder Handy- standortdaten Hinweise auf gesuchte Perso- nen zu finden. Siehe NIMD Schlüssel (digital): Verschlüsselung Schüsselverwaltung: Key Handling Schredder: Gerät zum sicheren Entsorgen von Altpapier zum Schutz von Vertrau- Siehe HMI, RTU lichkeit. Schreddern nur in Längsrichtung kann von professionellen Organisationen durch ge- Scareware: neue Klasse von Schadsoft- eignete Software nach Einscannen der ware, die nach einer Infektion des PCs be- Schnippsel wieder rekonstruiert werden, ist hauptet, der PC sei infiziert und müsste jedoch für mittlere Vertraulichkeitsanforder- durch eine kommerziell erhältliche Software ungen ausreichend bereinigt werden. Nach der Bezahlung wird eine Software zum Download angeboten, die Schufa: wichtigste Kreditschutz-Organi- in der Regel zu einer weiteren Infektion des sation in D. Erstellt Bewertungen auf Grund Geräts führt der ihnen verfügbaren (oft unvollständigen) Daten. Daher wird kritisiert, dass auf Scatternet: bei Bluetooth die Möglichkeit, Grundlage dieses Scorings oft Menschen dass mehrere Piconets zu einem Netz mit benachteiligt werden mehr als 8 Teilnehmern verbunden werden Schutzmaßnahme: Verfahren, mit dem einer SCCM: (System Center Configuration Mana- Bedrohung begegnet wird. Siehe control, ger) System Management Tool von Micro- safeguard soft, enthält auch Patch-Management. Nachfolger von SMS, siehe SCE Schwache AI: artificial intelligence SCE: (System Center Essentials) System- Schwache KI: artificial intelligence Überwachungs- und –Konfigurations-Tool von Schwachstelle: Vulnerability, Verwund- Microsoft für KMUs, enthält WSUS barkeit SCEP: Simple Certificate Enrollment SCM: (Software Configuration Management). Protocol Quellcode-Verwaltung Schadcode: Programme oder Programmtei- SCOM: (System Center Operations Manager) le, die bei ihrer Ausführung Schäden verursa- System Überwachungstool von Microsoft, chen. Beispiele sind Viren, Würmer, etc. Konfiguration auf der Basis von SML. Nach- Dies können entweder Programmteile sein, die folger von MOM, siehe SCE in andere reguläre Programme (oft Systempro- Scoring: Bewertung von Menschen, Geräten gramme) eingeschleust werden um dort eine oder Firmen. Heute entweder durch anderen Schadfunktion auszuüben oder selbstständige Menschen (z.B. Bewertung von Lehrern, Fir- Programme. Siehe Re-Engineering men, Hotels, Restaurants) mittels ent- Schadsoftware: (auch Malware oder Mali- sprechender Apps oder Websites oder cious Code genannt) Sammelbezeichnung für Algorithmen, die eine Bewertung auf Grund Software, deren Sinn und Zweck es ist, den von Tracking-Daten durchführen. Wird ein- gesetzt bei vielen automatisierten Ent-
Version 11.1 Seite 164 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ scheidungen kann recht problematisch sein. wird Multihome und Multistream unterstützt Bei der Bewertung durch Algorithemen und SDK: (software development kit) hilfreiche Artificial Intelligence (AI) werden alle Vor- Sammlung von Programmteilen für abge- urteile die in den Daten stecken in den grenzte Funktionalität. Hat in der Program- Algorithmus übernommen. Fast keiner der AI- mierung on Smartphone Apps, aber auch Systeme kann seine Entscheidungen begrün- den. Damit werden diese Entscheidungen nicht modernen Websites eine sehr große Bedeu- verifizierbar. Rating durch Menschen bietet tung. Teilweise problematisch aus 2 Gründen: viele Möglichkeiten der Manipulation und 1. werden sehr oft veraltete (unsichere) Erpressung. Siehe auch Social Credit Versionen verwendet da es dem Entwickler zu System mühsam ist, ständig neue Versionen seiner Software zu veröffentlichen wann immer eine SCP: 1) (secure copy) Protokoll und Programm für verschlüsselte Dateiübertra- der von ihm genutzten SDKs eine neue Version herausbringt. Zum anderen senden gung über SSH. Siehe FTP, SFTP viele dieser Programmteile Daten an die 2) Situational Crime Prevention Anbieter dieser (meist kostenlosen) SDKs. Auf Scrambling: systematisches Verändern eines diese Weise bekommen z.B. Facebook und Textes oder Programmcodes aus Sicher- Google eine große Menge zusätzlicher heitsgründen ohne Verwendung eines Nutzerdaten geliefert (was für sie das Schlüssels, d.h. von Verschlüsselung zu kostenlose Anbieten der SDKs lukrativ macht). trennen. Bietet daher nur wenig Sicherheit Siehe Gesundheitsapp sondern nur Security through Obscurity SDL: 1) (Security Development Lifecycle) Soft- Screening: in der Biometrie die Suche nach ware-Entwicklungsmethode von Microsoft Personen (mit einer gewissen Eigenschaft) in einer Datenbank mit noch mehr Personen 2) (Specification and Description Language) (N:M, N in M). Ziel kann sein, bestimmte Per- von der ITU definierter Standard zum sonengruppen in der Bevölkerung zu Beschreiben von State-Machine Systemen, identifizieren, z.B. „Terroristen“ oder anfällige kann für die automatische Codegenerierung für eine bestimmte Krankheit. Sehr schwer zu verwendet werden realisieren SDM: (System Definition Model) heute SML Screenlock: Bildschirmsperre SDN: (Software-defined networking) Script: Programmiersprache, die vor allem SDP: für kleine überschaubaure Probleme genutzt wird, oft als Teil von fertigen Software- 1) (Site Data Protection) Sicherheitspro- Anwendungen. Siehe JavaScript gramm der Mastercard- Kreditkarten- Organisation. Inhaltlich ein minimaler Script Kiddy: unerfahrener, junger Hacker, der versucht, mit einfachen Programmen (= Grundschutz 'scripts') ein Computersystem zu stören oder 2) (Session Description Protocol) bei VoIP gar zum Absturz zu bringen, oder in ein häufig genutztes Verfahren zur Computersystem einzudringen. Wird heute Übertragung der Metadaten. Die (2004/05) immer mehr durch professionelle Audiosignale werden dann meist mittels Angreifer ergänzt RTP übertragen. Siehe SIP Scrubbing: (engl. Schruppen) das “Reinigen” SDR: Software-defined Radio von Daten, z.B. durch Löschen von Daten SE: (Secure Element) auf temporär belegten Speichermedien, Berei- Searchable Encryption: um Daten sicher in nigung von Daten in Datenbanken oder auch das Filtern von unerwünschten Datenpaketen der Cloud verarbeiten zu können, wäre es zur Abwehr eines dDoS-Angriffs wichtig, dass die Daten vor dem Transfer in die Cloud veschlüsselt werden. Dann kann aber Scrypt: Password Hashing Funktion die bei herkömmlicher Verschlüsselung in den bewusst auf großen Resourcenverbrauch Daten nicht mehr gesucht werden. Eine teil- programmiert wurde um Brute Force Angriffe weise Lösung liegt darin, die Daten blockweise zu erschweren. Siehe auch PBKDF2, oder wortweise zu verschlüsseln, dadurch Bcrypt kann bei einer identitischen Verschlüsselung SCS: Social Credit System in China der Suchbegriffe auch in den verschlüsselten SCSI: (Small Computer System Interface) Daten gesucht werden. Wenn dies für E- wichtige Technik für IO-Busse mit parallelem Mails angewendet wird so sind dadurch dass Interface. Das SCSI-Protokoll wird heute je- der Beginn und das Ende der E-Mails stark doch auch über alternative Techniken, wie z.B. standardisiert sind, plain-text Angriffe leicht iSCSI, genutzt möglich. Siehe auch homomorphic SCTP: (Stream Control Transmission Protocol) encryption Layer-3 Protocol (analog zu TCP), wird Search Arbitrage: Technik zur Nutzung von verwendet in PSTN. Im Gegensatz zu TCP Websites im Rahmen von Domain
Version 11.1 Seite 165 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Parking. Ausnutzen, dass Anzeigen für gewis- Elemente die für eine sichere Programmierung se Suchbegriffe, z.B. über Google Adwords, von Apps, z.B. im Bankenbereich genutzt sehr teuer sind, die Interessenten jedoch zum werden könnten (auf die SIM-Karten haben Teil günstiger gelockt werden können Apps aus Sicherheitsgründen keinen Zu- Search Engine Optimization: SEO griff). Problematisch bleibt aber immer noch die Sicherung des Zugriffs auf das Secure Second Life: (SL) seit 2003 virtual world in Element. Dafür müssen Device Driver des der Personen durch Avatare repräsentiert Betriebssystems genutzt werden und falls werden. Da die interne Währung (Linden $, dieser kompromitiert ist, können die Daten virtual currency) konvertierbar ist, auch ein trotzdem manipuliert werden. Beispiel für Ziel von Betrügern Ort von Cyber Bullying ähnliche Angriffe sind die kompromitierten und Übergriffe auf Minderjährige. Siehe POS-Terminals, die trotz des Secure Problem der Altersverifikation, Cyber- Elements in einer Bankomatkarte Zahlungen grooming. Seit 2017 lag die Zahl nur noch bei manipulieren können. Apple hat 2014 erstmals 800 000 Nutzern, angeblich wird an einer im A7 Prozessor „Secure Enclave“ eingebaut Nachfolge gearbeitet Secure Flight: Nachfolgeprogramm in den Section Control: Überwachung von Fahrzeu- USA zum wegen Widerstand eingestellten gen durch automatische Erkennung der CAPPS II-Programm. Ziel ist das Nummernschilder (ANPR), hauptsächlich auf Screening von Flugpassagieren. Streitpunkt Autobahnen. Dient der Geschwindigkeits- ist zusätzlich zum Abgleich gegen eine Watch- überwachung. Die Nummernschilderkennung List die von der TSA gewünschte Profilierung kann natürlich auch für Tracking eingesetzt aller Passagiere auf der Basis von werden kommerziellen Datensammlungen, z.B. Sector: grundlegende Datenstruktur auf einer Acxiom. Siehe No Fly List Magnetplatte, die bereits von Hersteller vor- Secure Multipurpose Mail Extension: gegeben ist. Wird bei der Formatierung neu (S/MIME) Erweiterung des MIME-Formates, geschrieben. Cluster geben eine weitere das die Verschlüsselung und digitale Datenstruktur innerhalb der Sektoren hinzu Signatur von E-Mails unterstützt Secure Boot: Prozess der bei Windows 8 Secure Remote Password Protocol: (SRP) in zwischen UEFI (Nachfolger von BIOS) SSL/TLS, EAP, SAML implementierte und dem Betriebssystem geteilt wird und Methode zur Authentifizierung mittels Zero- Rootkits verhindern soll. Bei Secure Boot knowledge password proof, d.h. mit sehr können nur digital signierte Installationsmate- eingeschränkten Möglichkeiten zum Abhören rialien verwendet werden können, was z.B. auch ältere Versionen von MS Windows Secure Shell: SSH verhindern würde Secure Socket Layer: SSL Secure by Default: Sicherheitskonzept bei Secure Viewer: Konzept“You sign what you dem die Grundeinstellungen einer Software see”, d.h. das Programm mit dem eine digitale oder eines Rechners nach der Installation Unterschrift getätigt wird, zeigt den Inhalt, der bereits sicher sind. D.h. keine voreingestellten signiert wird, an. Siehe Signatur allgemeinen Passworte, Firewalls sicher Security: zusammen mit Safety einer der aktiviert und restriktiv eingestellt. Kann sich mit beiden Aspekte, die im deutschen mit Benutzerfreundlichkeit beißen Sicherheit zusammengefasst werden. Secure by Design: Sicherheitskonzept bei Security ist auf theoretischer Ebene nur sehr dem bereits beim Entwurf der Software Be- schwer von Safety abzugrenzen. Safty schütz drohungen und die potentielle Böswilligkeit der vor „Murphys Law“, Security schützt auch Nutzer einkalkuliert werden. Ein solches gegen Angriffe. In der Praxis spricht man Design hat es nicht nötig, „geheim“ zu sein, da von IT-Security, National Security, Computer die Sicherheit bereits im Design enthalten ist Security, wohingegen Safety als Material (keine Security through Obscurity) Safety, Road Safety, Workplace Safety genutzt Secure Desktop Mode: verhindert in Vista, wird, siehe QHSE dass andere Tasks mit dem offenen UAC- Security Breach Disclosure: aus den USA Fenster interagieren können stammende Gesetzesinitiativen wie Califor- Secure Electronic Transaction: SET nia Security Breach Information Act, die eine Offenlegung erfordern, wenn Kundendaten Secure Element: (SE) Gerät oder Kompo- „verloren“ gehen. Siehe Identity Theft nente, die mittels kryptographischen Tech- niken gegen Manipulation gehärtet ist („tamper Security Envelopes: Sicherheitskonzept resistant“) und geeignet ist, sensible Daten von DHS, bei dem zwischen Trusted sicher zu speichern und zu verarbeiten. Systems (und Personen) und Untrusted Beispiele sind TPM, HSM, Chipkarten Systems unterschieden wird. Die Eingrup- Chips zB. In Bankomatkarten, SIM-Karten pierung geschieht auf der Grundlage von (UICC). Leider enthalten heutige (2014) Authentisierungen Smartphones nur in Ausnahmefällen solche Security in Depth: Sicherheitskonzept,
Version 11.1 Seite 166 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ wobei unterschiedliche, eigentlich redundante FSB (dem Nachfolger des KGB) gesammelte Sicherheitsmaßnahmen dafür sorgen sollen, Internet-Datenverkehr analog zu den dass auch Angriffe abgewehrt werden entsprechenden methoden der NSA mittels können, die bereits einige Verteidigungen Big-Data Methoden analysiert wird überwunden, oder umgangen haben. Beispiele Semantic Forest: Technologie die von der sind IDS, Malware-Schutz auf Arbeits- NSA genutzt wird, um (abgehörte) Doku- plätzen, Netztrennung durch VLAN, etc. mente (zum Teil durch Speech to Text Gegensatz zu Perimeter Security erzeugt) nach dem Inhalt zu klassifizieren. Security information and event manage- Geht über die Erkennung von Keywords ment: (SIEM) Realtime analyse aller Logs, ink. hinaus Netzwerkhardware wie Router und Fire- Semantic Traffic Analysis: Narus wall und allen Anwendungen. Weiterhin können auch die Audit-Logs von Zugangs- Semantic Web: Web 3.0, RDF systemen inkludiert werden. Ziel ist es, durch Sender ID: von Microsoft vorgeschlagenes Techniken aus dem Bereich Data Mining, Verfahren zur Lösung des Spam- und wie Korrelation zwischen den Events Phishing Problems. Es enthält 3 Komponen- Angriffe und vor allem auch Datenabflüsse ten: Sender Policy Framework ( SPF ), Caller bei APTs zu entdecken ID for E-Mail und Submitter Optimization. Security Policy: Information Security Policy Dabei werden im DNS SPF-Datensätze für alle Domainen gehalten. Wenn ein Mailserver Security through Obscurity: falsches ein E-Mail empfängt, so vergleicht er die IP- Sicherheitskonzept das davon ausgeht, dass Adresse von der das E-Mail kommt, mit der der Sicherheit dadurch entsteht, dass die Details Absender Domaine. Nur bei Übereinstimmung dem Implementierung nicht bekannt sind. wird akzeptiert Richtiger ist Secure by Design, d.h. die Sicherheitskonzepte sind bekannt und geprüft Sendmail: SMTP worden. In der Kryptographie wird das sensible Daten: nach dem österreichischen Vermeiden von S.t.O. durch das Kerckhoff Datenschutzgesetz: Daten natürlicher Principle beschrieben. Siehe Obscurity Personen über ihre rassische und ethnische Security Usability: Konzepte die es dem Herkunft, politische Meinung, Gewerkschafts- Benutzer ermöglichen sollen, sicherheits- zugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexual- relevante Entscheidungen zu treffen. Beispiel ist NEAT leben. Siehe Datenschutz, personen- bezogene Daten Seed: Pseudo Random Number Generator Sensor: Messeinheit, heute fast immer an Segment: digitale Prozessoren angeschlossen, ur- 1) Struktur in Daten-Netzen, unterschied- spünglich hauptsächlich im Bereich SCADA lich pro OSI Schicht und Industriesteuerungen ( ICS) genutzt. 2) Form der Organisation von Hauptspeicher Heute sind Sensoren zusätzlich in vielen in Computern zur Sicherheits-Implemen- Geräte, vor allem in Smartphones und tierung, nicht unterstützt in MS Windows, und wearable computing zu finden. Dies reicht von nur rudimentär in Linux Bewegungssensoren bis zu Sensoren für Blutdruck und andere Gesundheitswerte. Da Segregation of duties: 4-Augen-Prinzip diese Sensoren ihren Daten letztendlich alle Selbstbestimmung, informationelle: (engl. ins Internet schicken, ist dies ein erhebliches Informational self-determination) nach dem Privatsphäreproblem. Extrem wichtig sind Volkszählungsurteil in D definiertes Recht, Sensoren auch bei autonomen Fahrzeugen über die Preisgabe und Verwendung seiner und autonomen Waffen personenbezogenen Daten selbst zu Sentiment Analysis: (Stimmungsanalyse) bestimmen. Siehe Datenschutz Spezialgebiet von Big Data. Die Auswertung Self-XSS: spezielle Variante von XSS die von Kommunikation in E-Mails, Social Verwundbarkeiten im Webbrowser aus- Network Postings, Tweets, die Stimmung in nutzt Teilen der Nutzer analysiert wird. SELinux: RBAC-basierte Sicherheitserwei- Problematisch wird dies, wenn diese Analyse terungen für Linux, implementiert von der zu Folgen für den Einzelnen führen, so wird NSA mittels LSM 2014 versucht, potentielle Selbstmörder auf Semacode, Semapedia: Bezeichnung für ein diese Weise zu finden und einer Behandlung 2D-Barcodesymbol, in dem eine URL kodiert zuzuführen. Dabei kommt es aber zu einer ist, das von Foto- Handys erkannt wird und großen Zahl von falschen Diagnosen, die zu ein Öffnen einer Webseite bewirken kann. konkreten Nachteilen für die Betroffenen Diese Verlinkung kann genutzt werden, um auf führen können. Diese Auswertungen von dem Handy Schadsoftware zu installieren Social Network Postings werden 2014 sogar auf eine Analyse von Persönlichkeitsstrukturen Semantic Archive: russische Software, mit einzelner Personen (Myers-Briggs Test) deren Hilfe der vom russischen Geheimdienst
Version 11.1 Seite 167 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ genutzt Servers ausgenutzt wird um Teile des SEO: (search engine optimization) (legale oder Servers zu erreichen, die normalerweise nicht illegale) Bemühungen in Suchmaschinen auf zugänglich sein sollten, verwandt mit CSRF den vorderen Seiten gelistet zu werden, z.B. in Service Desk: nach ITIL die zentrale Stelle, dem wichtige Suchbegriffe im Text deutlich die alle Störungsmeldungen entgegennimmt. hervorgeheben werden oder über sog. Meta- Aufgaben des Service Desks werden im Tags angezeigt oder auch über sog. Link- Incident Management beschrieben Farmen. Eine Suchmaschinen-Listung auf der Service Level Agreement: SLA ersten Seite der Ergebnisliste ist für viele Unternehmen existentiell. Illegale Methoden Service Level Management: (SLM) nach ITIL stellt das SLM sicher, dass die Service- werden auch als ‚black SEO’ bezeichnet. Sie verwenden z.B. sog. Doorway-Sites, die auf Ziele in Service Level Agreements ( SLAs) der Basis der Ergebnisse von Google Trends dokumentiert und geregelt werden, außerdem automatisiert erstellt werden, indem Texte überwacht und überprüft es den tatsächlich legitimer Sites wie Wikipedia geplündert und erbrachten Service auf Einhaltung der neu arrangiert werden, verbunden mit einem Vorgaben Link auf den zu bewerbenden Webshop. Session: Kommunikationsverbindung, die zu Eine weitere Technik fügt automatisiert Links in einem bestimmten Zeitpunkt gestartet wurde Gästebücher und Diskussionsforen ein und (zumeist) definiert beendet wird. Dies kann SEPA: (Single Euro Payment Area) Verein- z.B. eine Authentifizierung am Beginn und heitlichung des bargeldlosen Zahlens (Über- ein Logout am Ende sein. Es gibt session- orientierte Protokolle wie TCP und weisung, Lastschrift, Kartenzahlungen) über Ländergrenzen. Schließt neben den EU- sessionlose wie UDP Ländern auch andere ein. Sicherheitsrelevant Session Cookie: Session Management da solche Überweisungen im Rahmen von Session Management: Sicherstellen, dass Phishing leicht über Ländergrenzen hinweg der zu Beginn hergestellte Kontext einer möglich sind und per Gesetz sehr schnell Session erhalten bleibt, kann z.B. im Web ausgeführt werden muss. D.h. die Angreifer oft durch Cookies mit geeigneten Inhalten haben eine Chance das Geld zu bekommen erreicht werden (session cookies). Angriffe bevor das Zielkonto gesperrt ist. Der SEPA gegen das Session Management können bei Raum ist größer als die EEA, die wiederum Anwendungen wie e-Banking schwerwie- größer als die EU ist. Die PSD2 Richtlinie gende Folgen haben der EU gilt für den SEPA Raum. Im SEPA- SET: (Secure Electronic Transaction) Spezifi- Raum werden nach und nach neue innovative kation eines Protokolls für den gesicherten Dienste eingeführt. Nach der SEPA Lastschrift Austausch von Kreditkartendaten bei einem gibt es SCT Inst, eine Überweisung (SEPA Kauf im Internet. SET wurde von VISA und Credit Transfer) die innerhalb von 15 Sek Mastercard mit IT- und Kryptographie-Unter- abgeschlossen sein muss und in Zukunft eine nehmen entwickelt. Die Sicherheitsmechanis- Abbuchung in ähnlicher Geschwindigkeit, was men bestehen aus einer Kombination symme- besonderns für eCommerce sehr interessant trischer und asymmetrischer Kryptographie, sein sollte. Siehe auch IBAN, BIC sowie Authentifizierung der Beteiligten durch Separation of Duty: Sicherheitsprinzip mit 2 digitale Zertifikate. Im Gegensatz zu SSL möglichen Ausprägungen: 4-Augen-Prinzip beschränkt sich die Anwendbarkeit von SET (dual control) und Funktionstrennung auf den reinen Zahlungsverkehr. Ein Vorteil (functional separation). Beides ist z.B. in von SET ist die klare Identifikation des Kunden Banken- und Buchhaltungssystemen realisiert und die Tatsache, dass die Kreditkarteninfor- Server: Variante eines Rechners zumeist im mation nicht dem Händler zur Verfügung steht. Geschäftsumfeld, der mehr als einem Nutzer Auf Grund der Notwendigkeit von Software- zur Verfügung steht, zumeist in ein Rack Installation und der Verfügbarkeit und Einfach- eingebaut ohne eigenen Bildschirm oder heit von SSL hat sich dieses Verfahren nicht Tastatur. Server bezeichnet aber heute durchsetzen können zumeist einen virtuellen Server (siehe virtual Sexting: Variation von Texting (engl. für machine), bei dem durch geeignete Software SMS - d.h. Versenden von kurzen Nach- mehrere Betriebssysteme auf einem richten). Sexting bezeichnet das Versenden physischen Server implementiert sind. von Texten und Bildern sexuellen Inhalten. Beispiele für beide Typen von Servern: Solche Nachrichten haben in den USA bereits Webserver, Datenbankserver oft die Karriere von Politikern beendet. Daher Serverraum: Raum in dem viele physische wird gern SnapChat verwendet, ein Dienst, Server betrieben werden. Es muss bei dem die Nachrichten nach einer physische Sicherheit gegeben sein. Siehe festgesetzten Zahl von Sekunden gelöscht Data Center, Colocation wird (indem ein Schlüssel zerstört wird). Server-Side Request Forgery: (SSRF) Sexting kann problematisch sein wenn die Angriff, bei dem Funktionalität eines Bilder Minderjährige darstellen (siehe Cyber-
Version 11.1 Seite 168 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ grooming). Dann kann dies unter Kinder- an die internen Sicherheits- oder andere pornographie, d.h. Herstellen, Besitz oder Regeln zu halten, z.B. separate Authen- Verbreitung von pornografischen Darstellungen tisierungsimplementierungen in das Unterneh- Minderjähriger, fallen. „Kann“ weil in D. und Ö. men einbringen. Es kann sogar so weit gehen, pornografische Darstellungen Jugendlicher dass Fachabteilungen mit technischem Know- (14–17 Jahre) mit Einwilligung (d.h. typischer- how ganze Server bei Diensten wie AWS weise zwischen 2 Partnern) OK sind. Absolut anmieten. Ebenfalls gehört dazu, dass nicht OK ist das Versenden an andere Mitarbeiter ohne Rücksprache Firmendaten auf Menschen (oder das „Rumzeigen“), dies kann Cloudspeicher-Dienste wie Dropbox ausla- unter Revenche-Porn, Cyber Bullying oder gern Cyber Mobbing fallen, bzw. sehr wohl unter shall: (engl. muss) wichtiges Wort in Stan- Verbreitung von Kinderpornographie. Aber dards und Best Practise Dokumenten. Es auch unter Erwachsenen können explizite bezeichnet eine Vorschrift. Siehe should, Darstellungen bei Weiterbreitung zu must not Problemen sorgen (z.B. Erpressungsversuche Shannon: 2001 verstorbener Informations- wie bei Bezos, bzw. Karriereende wie bei US- theoretiker, Begründer der information theory Politikern). Daher wird manchmal empfohlen, bei der Aufnahme solcher Fotos sicherzu- und information entropy. Sicherheitsrelevant ist Shannon’s Maxim: „the enemy knows the stellen, dass Identifikationsmerkmale, wie z.B. system“, siehe Obscurity, Kerckhoffs’ das Gesicht nicht zu sehen sind. Gegen- principle maßnahmen siehe Revenche-Porn Share: SFTP: (secure FTP) nicht ganz klar definier- ter Begriff für sichereren Dateiaustausch, 1) Datenbereiche auf zentralen Magnet- entweder auf der Basis von SCP oder FTP plattensystemen, auf die mehrere Be- über SSL nutzer zugreifen können, unter Windows mittels SMB, unter Unix und Linux SGML: (Standard Generalized Markup Langu- mittels Samba. Bei falscher Rechte- age) Kodierungsstandard, der für die Text- vergabe oder Eindringen in das Netzwerk verarbeitung entwickelt wurde, um Forma- ein Sicherheitsprobleme. Mit Windows 7 tierungen in einer standardisierten Form wiedergeben zu können. Eine stark verein- und Windows Server 2012 können solche Zugriffe mittels SMB 3 auch ver- fachte Variante wurde zur ersten Version von schlüsselt erfolgen HTML. XML ist ebenfalls aus SGML hervorgegangen 2) Ereignis in einem Social Network: Ein SHA: (Secure Hash Algorithm) Mehrere Benutzer klickt auf einer anderen Website auf einen „Share“-Button und Verfahren, um aus großen Dateien eine vergleichsweise kurze „checksum“ zu „teilt“ dieses Ereignis mit seinen „friends“. erzeugen,so dass auch geringe Änderungen in Im Roman „The Circle“ auf die Spitze den Daten ein ganz anderes Ergebnis getrieben mit Slogans wie „sharing is caring“ und „everything that happens must erzeugen. Wird heute in den Familien SHA-1, SHA-2, SHA-3 eingesetzt. Für SHA-1 wurde be known“. Siehe auch Zuckerberg’s Anfang 2005 bereits ein Verfahren zum Law Erzeugen einer Collision aufgezeigt (Erzeu- Shareware: Programm(e), die zunächst gung einer anderen Datei mit dem gleichen kostenlos getestet werden können, für deren Hash-Wert). Durch das neue Verfahren hat Benutzung der Autor dann aber einen Kosten- sich die Zeit für die Berechnung der Kollision beitrag verlangt, ohne den die weitere verkürzt. Damit sind die SHA-1 Algorithmen Benutzung eine Verletzung des Urheber- nicht viel sicherer als MD5. Besser sind die rechts darstellt. Z.T. mit eingeschränkter SHA-2 Versionen SHA-256 und SHA-512. Funktion (erst nach Zahlung des Kostenbei- SHA-3 ist noch in Entwicklung trages wird die Vollversion zur Verfügung Shadow IT: Begriff der beschreibt, dass heute gestellt und ggf. Unterstützung bei Problemen angeboten). Siehe Public Domain, (214) IT-Abteilungen mehr und mehr die Kontrolle über die Firmen-IT verlieren. Gründe Freeware, GPL sind z.B. die ByoD-Welle, wo Mitarbeiter und Shell: in der IT eine Form des Computer- Vorstände mit neuen Smartphones oder Zugriffs, typischerweise mittels Texteingaben Tabletts kommen und ihre E-Mails auf die- („command line interface“, CLI), das in aller sen Geräten bearbeiten wollen, bzw. über- Regel Zugriff auf Funktionalitäten des haupt auf Tabletts ihre Arbeit erledigen. Dies Betriebssystems ermöglicht. Der Name rührt wirft ganz neue Herausforderungen für die IT- daher, dass damit die Schale um das Abteilungen in Bezug auf Sicherheit und Betriebssystem gemeint ist. „getting shell“ Benutzer-Support auf. Dazu gehört aber auch, bedeutet unter Hackern, dass er/sie dasss Fachabteilungen an der Firmen-IT vor- Betriebssystemzugriff erlangt hat bei Verträge mit Cloud Diensten (SaaS) Shell account: Account auf einem Rechner, wie z.B. salesforce.com abschließen ohne sich der ein Arbeiten auf diesem Rechner er-
Version 11.1 Seite 169 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ möglicht, entweder durch einen GUI oder Strahlung. Auch möglich durch Ausnutzen von durch ein Fenster, in dem Kommandos als Text shared Komponenten wie Cache. So wurde eingegeben werden können. Hacker 2012 gezeigt, dass es möglich ist aus dem versuchen, auch über Zugriff vom Internet Cache einer virtuellen Maschine einen aus eine solche Shell zu eröffnen, um dann auf Schlüssel einer anderen virtuellen Maschine dem fremden Rechner Kommandos ausführen auszulesen. Siehe Hamming zu können Sidewalk Labs: Tochterfirma von Google Shield Icon: Anzeige in Vista und Windows (d.h. Alphabet) mit dem Fokus auf ‚urban 7, dass eine Funktion Admin-Rechte innovation organization‘. Sie wollen städtische benötigt, Teil von UAC Infrastruktur durch technische Lösungen Shockwave: Datenformat von Macromedia verbessern um damit die Kosten und den (jetzt Adobe) mit dessen Hilfe Inhalte (Sound, Energieverbrauch zu reduzieren und den Bilder) komprimiert und im Webbrowser Komfort zu erhöhen. Das größte Projekt ist in dargestellt werden können. Director-Shock- Toronto, wo die Stadt der Firma 2017 ein wave Dateien haben die Dateiendung ".dcr". Erneuerungsprojekt für ein Stadtviertel über- Schwachstellen in älteren Versionen lassen lassen hat. Aus der Zivilgesellschaft gibt es sich für Angriffe ausnutzen Widerstand dazu, es wird eine Übertech- nisierung und Datensammelwut vorgeworfen. Shodan: spezielle Suchmaschine zum Eine Tochtergesellschaft Intersections hat in Auffinden von ICS-Anlagen, d.h. Industrie- New York 7500 Telefonzellen auf kostenloses steuerung, die wenn sie Verwundbarkeiten WLAN und andere Internetdienste (wie enthalten (was sie fast immer tun) für z.B. öffentliches Websurfing an Bildschirmen Angriffe gegen Infrastrukturen wie Wasser- der Telefonzellen) umgerüstet ( LinkNYC). versorgung, Stromgewinnung, und alle Arten Dagegen gibt es viele Bürgerproteste denn es von IoT-Geräten missbraucht werden werden nicht nur die Daten aller Nutzer können dieser Kioske gesammelt, sondern aller Shor-Algorithmus: Algorithmus für Quan- Menschen die an den Kiosken mit ihren ten-Computer für die Berechnung der Faktoren Smartphones vorbeigehen ( Tracking), zur von Primzahlen. Würde, wenn realisiert, Erklärung siehe unter Access Point asymetrische Verschlüsselungen auf der SIDF: (Sender ID Framework) von Microsoft Basis von Primfaktoren „knacken“ können. vorgeschlagenes Verfahren zur Vermeidung 2013 erst bis zur Zahl 15 (=5x3) möglich von Spam. Enthält das SPF-Verfahren should: (engl. sollte) wichtiges Wort in SIEM: Security information and event Standards und Best Practise Dokumenten. management Es bezeichnet eine Empfehlung, die nicht zwingend ist. Siehe shall, must not. SigG : Signaturgesetz http://www.kan.de/pdf/brief/deu/1999-1- SIGINT: (Signals Intelligence) Spionage durch sprachen.pdf Auswertung von Kommunikation, heute Sicherheit: im Deutschen unklar definierter zumeist durch Überwachung von Internet- Begriff, der Security (Sach- und Informa- Datenverkehr. Früher durch Überwachung von tionsschutz, auch gegen vorsätzliche Telex, Fax, Telefon, Sprechfunk, Morse- Angriffe) und Safety (Schutz von Leben signalen, etc. Im Gegensatz dazu HUMINT, und Gesundheit, z.B. durch Unfälle) beinhaltet human intelligence, der Einsatz von Spionen und Informanten im jeweiligen Land. Siehe Sicherheitskonzept: Grundlegende Vorge- auch ECHELON, Edward Snowden, hensweisen und Annahmen zur Erreichung NSA, LOVINT, ENLETS von Sicherheit, z.B. 4-Augen-Prinzip, Defense in Depth, Kerckhoff’s Principle, Signal: Open-Source Messaging Client Compartmentalization, Fail-safe, Minimal- der für seine Datensparsamkeit und gute prinzip, Need-to-know, Out-of-band, Verschlüsselung ( PFS) bekannt ist Secure by Default, Secure by Design, ( Signal Encryption Protocol). Nachrichten, Privacy by Default, Privacy by Design, aber auch Nutzerprofile u.ä. sind auch für die nicht Security through Obscurity. Siehe (dezentralen) Betreiber eines solchen Dienstes Information Security Policy nicht einsehbar. Die Daten werden über RTP übertragen und können auch Sprache Sicherheitslöcher : Verwundbarkeiten und Video sein Sicherheitspolicy, Sicherheitspolitik: Signal Encryption Protocol: Verschlüs- Information Security Policy selungs-Protokoll das von Signal genutzt wird, Side Channel Angriff: Angriff über die aber mittlerweile auch von Facebook Analyse von Nebeneffekten des Betriebs von Messenger, Google Android Messaging IT-Systemen, z.B. gegen Smartcards über App, Mumble und anderen Diensten. Sehr Stromverbrauch ( Power Analysis, differential gute Implementierung von End-to-end power analysis, DPA) oder elektronische Perfect Forward Secrecy Abstrahlungen ( Electromagnetic Analysis, Signator gem: § 2/2 SigG: "Signator: eine Radio Frequency Analysis) oder Van Eck
Version 11.1 Seite 170 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ natürliche Person, der Signaturerstellungs- Computer mit einem Prozessor, RAM und daten und die entsprechenden Signaturprüf- ROM in Form einer kleinen Smart Card daten zugeordnet sind und die entweder im (UICC) die in ein Handy gesteckt wird und eigenen oder im fremden Namen eine elektro- dort u.a. die IMSI verwaltet die mit der nische Signatur erstellt, oder ein Zertifizie- Telefonnummer des Geräts verknüpft ist. Die rungsdiensteanbieter ( CA), der Zertifikate für SIM wird vom Mobilfunkprovider bei Vertrags- die Erbringung von Zertifizierungsdiensten abschluss ausgegeben und die IMSI wird einer verwendet." Telefonnummer zuordnet so dass sie eine Der Signator ist demnach eine natürliche Per- sichere Identifizierung und Authentisierung son. Die einzige Ausnahme im österreichi- der Karte (und damit des Geräts) ermöglicht. schen SigG stellen die qualifizierten Zertifikate Die IMSI und zugehörige kryptographische von Trust Centern dar, die diese im Rahmen Schlüssel werden im Chip der Karte ihrer Leistungserbringung einsetzen ( Secure Element) gespeichert. Durch Austausch einer SIM-Karte wandert die Signatur, digitale: digitale Signatur Telefonnummer in ein anderes Handy. Signaturgesetz (SigG): Gesetz in D. und Ö, Vergleiche mit IMEI. Eine SIM wird in der das die rechtlichen Grundlagen für die Nutzung Regel über 1 oder 2 PINs geschützt, denen von digitalen Signaturen schafft wiederum PUKs zugeordnet sind. Siehe Signaturkarte: Smartcard, die mittels eines Java Card, IMSI, USIM. 2013 werden Lesegerätes für die Erzeugung einer digita- Angriffe bekannt, bei denen mittels SMS len Signatur und damit auch zur Identifizie- Schadsoftware in einer SIM-Karte installiert rung einer Person geeignet ist. Bürgerkarte wird. SIM sind ein Beispiel für ein secure Silent Circle: neue Firmengründung von element. 2014 wird bekannt, dass die NSA Phil Zimmermann mit dem Ziel sicherer Software hat, mit deren Hilfe sie die SIM- Kommunikation auf Smartphones. Silent Karten manipulieren kann, so dass sie an die Daten der Nutzer kommen ( GOPHERSET, Phone bietet end-to-end verschlüsseltes Tele- fonieren und Silent Text bietet verschlüsselte MONKEYCALENDER). SMS. Die Software ist als open source Neue Entwicklungen sind embedded SIM die verifizierbar. Die Software bildet auch die Basis aus einem Gerät nicht entfernt werden können des Blackphones, einer sicheren Android (z.B. Apple SIM) und z.B. in Autos für Variante eCall, Verkaufs-oder Fahrkartenautomaten Silent Commerce: (SC) Transaktion von oder für einige eReader eingesetzt werden. Ein Rechner zu Rechner, ohne Eingriff des anderes Konzept sind remote provisioning Menschen. So könnte z. B. der Computer des SIM, d.h. ein oder mehrere Mobilfunkanbieter Herstellers beim Zulieferer automatisch den können ihre Authentisierungsinformationen in der Karte ablegen. Das würde z.B. ermög- benötigten Nachschub bestellen, Auftrags- abwicklung, Rechnungsstellung, selbst die lichen, dass Tablets oder Autos in jedem Bezahlung ließen sich automatisieren. Ein Land einen lokalen Mobilfunkanbieter nutzen anderes häufig genanntes Beispiel für Silent können. Commerce ist der Kühlschrank, der selbst- Eine SIM unterstützt noch viele weitere ständig nachbestellt, wenn ein Lebensmittel Software-Elemente, z.B. einen S@T-Browser zur Neige geht. Entsprechende Systeme und Java-Programme, die in einer Java-VM werden z.B. im Einzelhandel für Nach- ablaufen. Durch SMS kann der Mobilfunk- bestellungen bereits eingesetzt provider (oder Angreifer) Aktionen im Handy Silent SMS: spezielles SMS, das vom triggern. Deutschland, Österreich und die Handy nicht angezeigt wird und der Schweiz sollen von diesem Simjacker Angriff Ortsbestimmung des Handys dient, z.B. bei nicht betroffen sein Überwachung. Kann in Notsituationen 2) (Security Information Management) Sam- gerechtfertigt sein. Siehe Geolocation meln, Auswerten, Korrelieren und Analysieren von Sicherheitsinformationen und Events, Silverlight: Konkurrenzprodukt von Micro- soft gegen Adobe Flash, Adobe Shock- zumeist gesammelt aus Logfiles, IPS, IDS, aber auch in Bezug auf Zugriffe, wave, Apple Quicktime zur Darstellung von 2-D Graphiken und Multimedia. Basiert auf IAM Systeme, Audit trails, Vulnerability Mgmt., Change Mgmt., Verbrauch von XAML und ist damit für Suchmaschinen besser indizierbar. Unterstützt MP3, wma- System Resourcen ( Capacity Mgmt.). Ziel und wmv-Format. Der Silverlight Code hat kann eine Verbesserung bei Compliance Anforderungen sein, z.B. PCI-DSS, HIPAA keinen Zugriff außerhalb „local stores“, z.B. auf Peripherie oder lokale APIs. Allerdings oder im Rahmen von DLP ist dieser Plattenbereich nicht geschützt. SIM Application Toolkit: (STK) API das Silverlight enthält eine reduzierte Version das einer Anwendung auf einer SIM-Karte .NET-Runtime und ist keine Implementierung ermöglicht, Dienste der Handy-Software oder des SVG-Standards das Mobilfunknetz anzusprechen. STK ist auf SIM: 1) (Subscriber Identity Module) ein kleiner in den meisten SIM-Karten installiert. In Kenia
Version 11.1 Seite 171 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ baut das mobile Zahlungssystem M-PESA von anderen infizierten Systemen die jeder auf dem SIM Toolkit auf Teilnehmer am Botnetz vorhält nach und nach Simple Certificate Enrollment Protocol: durch IP-Adressen ersetzt, die von durch (SCEP) Methode zum großflächigen Ausrollen diejenigen kontrolliert werden, die das Netz von digitalen Zertifikaten auf eine große lahmlegen wollen (optimalerweise die Zahl von Geräten, z.B Smartphones. Dies Sicherheitsprofis, möglicherweise auch die sollte daher in MDM Software unterstützt „Konkurrenz“) werden um automatisiert alle Geräte die z.B. Sinowal: (alias Torpig) Banken Trojaner, der auf das Firmen-E-Mail zugreifen wollen, an für eine große Zahl von kompromittierten Hand dieser Zertifikate automatisch zu Bankkonten und Kreditkarten verantwortlich authentisieren gemacht wird. Er wird aktiv, wenn ein Nutzer Simple Object Access Protocol: SOAP eine von 2700 Banken websites aufruft und fragt dann innerhalb dieser Webseite Daten SIM-Swapping: Angriff gegen Sicherheits- ab. Er zeichnet sich dadurch aus, dass er systeme, z.B. 2FA, bei denen SMS die an kaum entdeckt wird (er schreibt sich in den ein Handy gesendet werden, indem über MBR) und seit 3 Jahren (Stand 2008) sehr Social Engineering eine neue SIM-Karte für erfolgreich aktiv ist. Siehe Fast Flux die Telefonnummer des Opfers beantragt wird. Danach gehen alle SMS für das Opfer an den SIP: (Session Initiation Protocol) häufig ver- Angreifer, z.B. mTANs wendet für den Aufbau von VoIP-Sitzungen (Signalling), nicht nutzbar hinter NAT- SINA-Box: (sichere Inter-Netzwerk-Architek- Firewalls. Für die Datenübertragung wird tur) entwickelt vom BSI zur Verarbeitung von dann SDP oder RTF verwendet. Siehe sensiblen Daten in unsicheren Netzen. Sie H.323, SS7 dienen bei Behörden in D. der sicheren Datenübertragung mittels VPN, auch für Siri: Service unter iOS der Benutzern auf Daten, die beim Abhören entstehen. Sie Grund von gesammelten Daten persönliche müssen für diesen Zweck bei jedem ISP mit Ratschläge für ihr Verhalten gibt ( personal über 10000 E-Mail Konten installiert sein assistant), Fragen beantwortet und einfache Aufgaben erledigt. Wird meist über Sprach- Single Point of Failure: Ressource, deren steuerung genutzt. Zur Problematik siehe Ausfall zum Gesamtausfall führt. Siehe Contextual Computing Common Mode Failure, Choke Point, Hochverfügbarkeit SIS: (Schengen Information System) seit 1995 aktive Datenbank der EU-Staaten, die ab Single Sign-On: (SSO) Authentisierungs- 2004 auf SIS II erweitert wird und Hinweise auf verfahren, bei dem ein Benutzer Zugriff gesuchte Personen und Gegenstände oder auf mehrere Computersysteme oder Appli- vormals in der EU abgewiese Personen ent- kationen bekommt ohne sich jeweils neu hält. anzumelden. Diese erhöht die Benutzer- http://www.statewatch.org/news/2005/may/sisII- freundlichkeit deutlich, erleichtert den Ver- analysis-may05.pdf waltungsaufwand und vermeidet eine große Zahl an Passworten. Hauptverfahren sind Situational Crime Prevention: (SCP) das die Speicherung der jeweiligen Credentials Implementieren von Technologie dergestalt, im Benutzer-PC oder zentrale Authentisierung dass unerwünschtes Verhalten technisch mittels Software-Token wie bei Kerberos, verhindert wird, Beispiel ist DRM. Solche SAML, AD FS Lösungen werden heute immer öfter imple- mentiert, speziell auch bei Software-Lösungen Single-page Application: spezielle Form (ist aber auch in Hardware möglich, z.B. einer Webseite bei der mittels Javascript- Zugangssschranken die „schwarz-fahren“ Aufrufen alle Inhalte dynamisch auf Grund von sicher verhindern). SCP wird heute oft als Benutzerinteraktionen nachgeladen werden. „große Lösung“ gesehen da es (vermutlich) Dies führt zu einer Interaktion mit dem Nutzer viel unerwünschtes Verhalten verhindert, wirft Dies ermöglicht Interaktionen die ähnlich zu aber anderseits auch Probleme auf, z.B. wer konventionellen PC-Programmen z.B.Text- definiert was unerwünscht ist? Zum anderen Editieren oder Smartphone Apps ist. Wird spricht viel dafür, dass wenn Bürger nicht hin oft bei modernem e-Banking genutzt. Bei der und wieder ethisch-moralische Entscheidun- Implementierung werden Protokolle wie gen treffen müssen, diese Fähigkeit REST oder SOAP genutzt, für die verkümmert. Relevant wird dies z.B. bei vielfältige fertige Javascript Bibliotheken wie autonomen Fahrzeugen, die so pro- z.B. angularJS und jQuery angeboten grammiert sein könnten, dass Geschwindig- werden keitsübertretungen u.ä. gar nicht möglich sind Single-page Webseite: single-page appli- Six Sigma: (6 ) Begriff aus dem Qualitäts- cation management, basierend auf statistischen Ar- Singularity: siehe intelligence explosion beiten von Joseph Juran. Sigma bezeichnet Sinkholing: Trick um ein Peer-to-peer die Abweichung vom Zustand der Perfektion. Botnetz zu deaktivieren. Dabei wird die Liste Sechs Sigma bedeutet 3,4 Defekte in 1 Million.
Version 11.1 Seite 172 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Durch Messung der Defekte wird ein syste- Skype-Benutzernamen die IP-Adresse. matisches Reduzieren und Eliminieren Solche Dienste werden gemeinsam mit möglich. Siehe TQM, FMEA Denial of Service Diensten angeboten, d.h. skalierbar: (engl. scalable) bei dem Thema sie bieten an, den Skype-Zugang einer Person Verfügbarkeit die Möglichkeit, das System oder einer Firma zu stören. Die IP-Adresse für höhere Anforderungen leicht zu erweitern. lässt sich mittels Geolocation auch zu einem Bei Angriffen auf Systeme oder Rechner die Ort zurückverfolgen. Siehe auch Neural Möglichkeit des gleichzeitigen Angriffs auf viele Network Systeme, z.B. beim Phishing. Ein Angriff der Skype Resolver: Skype nicht skaliert ist z.B. Abhören über IMSI- SL: (Second Life) Catcher, dies geht nur für targeted attacks SLA: (Service Level Agreement) Vertrag Skimming: Abfangen der Daten auf dem zwischen einem Information Owner Magnetstreifen der Bankomatkarten (der (Fachabteilung) und einem Informationstreu- sog. Track 2) durch ein geeignetes Lese- händer (Information Custodian, IT-Dienst- gerät das von den Betrügern im oder am leister), die sich zu bestimmten Services und Bankomaten eingebaut wird plus Ausspähen Qualitäten verpflichten, Teil des IITL- der PIN-Eingabe entweder über gefälschte Konzepts. Siehe auch Tastatur oder optisch. Deswegen in Europa nur http://sicherheitskultur.at/SLA_Checklist.htm noch Nutzung des EMV-Protokoll auf der SLAAC: (Stateless address autoconfiguration) Basis einer Chipkarte. Betrüger weichen automatisierte Adressevergabe bei IPv6, daher für die Nutzung der gewonnenen implementiert über ICMPv6; im Gegensatz Daten auf andere Regionen aus, in denen nur Magnetstreifen genutzt werden. Um dies zu DHCPv6 = stateful zu verhindern wurde 2015 Geoblocking Slack: eingeführt, d.h. die Karten sind für alle nicht- 1. als File Slack der nicht für die Daten- europäischen Länder gesperrt und müssen vor speicherung verwendete Teil eines einem Urlaub durch den Kunden freigeschaltet Clusters auf einer Magnetplatte werden 2. Messaging Software für Team- Skype: unentgeltliche VoIP-Software von Communication, analog zu Teams von Microsoft die Telefonieren und Videochat Microsoft zwischen Rechnern, aber auch mit Slacktivism: Schlagwort zum Thema politi- Festnetzgeräten erlaubt. Wurde 2020 auch als sche Aktivierung durch das Internet. Unter- Webkonferenzsystem eingesetzt. suchungen zeigen, dass starke Unterstützung Sicherheitsrelevant, da kein Quellcode einer Aktion auf Social Networking Websites verfügbar ist, nicht ganz klar ist, welche wie Facebook sehr oft geringe Aktivitäten im möglicherweise unerwünschte Zusatzfunk- „richtigen Leben“ bedeuten. Die Nutzung des tionalität enthalten ist und weil das P2P- Like-Buttons kann dazu führen, dass ein Konzept eine Kontrolle z.B. in Hinblick auf mögliches schlechtes Gewissen wegen verborgene Kommunikation erschwert. Ver- Inaktivität zu politischen Fragestellungen. Ein wendet nicht das SIP-Protokoll und Beispiel ist Bank run 2010 funktioniert auch hinter NAT- Firewalls (UDP hole punching). Es wird eine SLAX: modulare Software für Penetrations- test auf Linux-Basis. Weiterentwicklungen: Verschlüsselung eingesetzt, die Polizei klagt über Probleme bei der Überwachung da es BackTrack, TeaM-TL, SLAMP, Wolvix, keinen zentralen Server gibt, bei dem Sprach- Planktum und Video-Kommunikation zentral abgehört Small world network: 6-degree of freedom werden könnte. Daher muss eigentlich eine S.M.A.R.T.: (Self-Monitoring, Analysis, and solche Überwachung am Endgerät selbst Reporting Technology) Technologie zur stattfinden und erfordert so etwas wie den automatisierten Überwachung von Magnet- Bundestrojaner. Es gibt jedoch Versionen, platten z.B. für China, bei denen Teile der Chat-Daten Smart: siehe Smart Devices an zentrale Server geliefert werden. 2014 wurde bekannt, dass auf Wunsch der NSA Smartcard: standardisierte Plastikkarten eine Backdoor eingebaut wurde, deren (ISO/IEC 7816, ISO/IEC 7810-kontaktbehaftet, genaue Funktionalität noch nicht bekannt ist. ISO/IEC 14443-kontaktlos, NFC) die ent- Anderseits liegen wie bei fast allen dieser weder nur über Speicher oder über einen Systeme auch bei Nutzung von Prozessorchip verfügen. Damit können Daten Verschlüsselung für die Datenübertragung direkt auf der Karte verarbeitet, z.B. trotzdem am zentralen Server zumindest die verschlüsselt werden. Erfunden 1982 durch Verbindungsdaten, meist aber auch die Bull in Frankreich. Smartcards werden u.a. als vollständigen Daten vor (Ausnahme z.B. Signaturkarten für Authentisierungs- Messaging Dienst Signal) zwecke und bei PKI-Projekten, sowie zur verschlüsselten Aufbewahrung digitaler Sog. Skype Resolver liefern zu jedem Schlüssel eingesetzt. Angriffe auf Smart-
Version 11.1 Seite 173 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ cards können auch Side Channel Angriffe Smartphone: Handy mit erweiterten Funk- sein. Siehe Bürgerkarte, e-Card, eGK tionalitäten. Zu Beginn waren dies nur Funk- EMV, Geldkarte, Quick, edu-card, tionen eines PDAs, d.h. E-Mail, Kontakte, HSM, COS Notizen, Kalender, Web-Surfing und Synchro- Smart Contract: Computerprotokolle, die nisieren mit Desktop-Rechnern. Geprägt wurde Verträge abbilden und sogar deren Einhaltung der Begriff bereits 2000 durch Firma Ericsson. verifzieren können. Die Idee ist, dass solche Ab ca. 2007 ( iPhone) wurden aber nahezu Verträge eine erhebliche Automatisierung alle Funktionalitäten eines herkömmlichen ermöglichen könnten und dadurch die sog. Rechners wie unter Windows oder Transaktionskosten von Verträgen (und damit MacOS angeboten. Diese Funktionalitäten des Handels) drastisch senken, z.B. machen die Geräte auch anfällig gegenüber elektronische Zahlungen unter bestimmten Angriffen. Diese finden über E-Mail oder Bedingungen auszulösen. Ein Projekt der Social Networking Nachrichten statt, aber Implementierung ist Ethereum, als bereits auch über SMS, WLAN, MMS oder bestehende Beispiele werden DRM und (seltener) Bluetooth und erfordern zumeist Crypto currencies genannt. Siehe auch (noch) die Mithilfe des Benutzers (mittels Legal Technology Social Engineering). Verwendete Betriebssysteme bei Smartphone sind iOS, Smart Devices: Geräte, z.B. Haushaltsgeräte Android, Windows Mobile - heute ersetzt (IoT) oder persönliche Geräte wie Uhren durch Windows Phone 7 (8), Blackberry, oder Sensoren, die über eine Vernetzung WinCE, Palm OS und Symbian OS (die verfügen und dadurch von der Ferne (z.B. über letzten 4 stark abnehmend, bzw. 2015 kaum Smartphone) gesteuert werden können. noch im Einsatz).Smartphones mit Tabletts. Dazu gehören auch Smart TV, Smart Geräte mit (und auch ohne) A-GPS Trainer, Smart Doorbells und Smart ausgestattet können mittels entsprechender Speaker. Stellen auf Grund von Anwendungen (wie alle Handys) zu vielfältigen Verwundbarkeiten sehr oft Bedrohungen für Verletzungen der Privatsphäre führen. die Sicherheit und/oder Privatsphäre dar Wenn Smartphones Firmendaten enthalten Smart Grid: Konzept einer weiteren Automa- sollten sie über Mobile Device Management tisierung der Stromnetze bei dem auch Da- verwaltet werden. Die modernen Versionen ten von Verbrauchern (siehe Smart Meter) dieser Geräte sind vom Konzept her im bei der Steuerung der Netze berücksichtigt Vergleich zum PC oder MacOS-Gerät werden. Dies wird vor allem notwendig, da vergleichsweise sicher, hervorzuheben sind immer mehr Stromerzeugung dezentral ge- Sandbox-Konzept für die Apps und weit schieht, z.B. durch privat aufgestellte Son- verbreitete Speicher -Verschlüsselung. nenkollektoren oder Windräder. Dadurch ist die Steuerung des Stromflusses deutlich kom- Größte Sicherheitsschwäche ist, dass diese plexer geworden und es kann, speziell auf Geräte immer in Verbindung mit Cloud- Grund der schlechten Vorhersagbarkeit vieler Diensten genutzt werden und dass diese Quellen für umweltfreundlichen Strom leicht zu notorisch unsicher sind. Verschlüsselung der Instabilitäten im Netz und dadurch maximal zu auf den Servern im Internet gespeicherten einem Blackout kommen Daten ist extreme selten. Maximal wird die Datenübertragung über HTTPS abgesichert. Smart Home: Home Automation Außerdem werden diese Geräte unsicher weil Smart Meter: Umstrittenes Konzept von digita- eine sehr große Zahl von Apps installiert wird, len Stromzählern die angeblich helfen, den die zwar in einer Sandbox laufen, aber Stromverbrauch zu reduzieren in dem sie den Zugriff auf fast alle Gerätefunktionen haben, Verbrauch der Haushalte sofort anzeigen und wie z.B. Kontakte, E-Mails, SMS, auch an die Netzbetreiber und Elektrizitäts- GPS und darüber nicht nur Privatsphäre- versorger zurückliefern. Dies soll Tarife ermög- Verletzungen auslösen, sondern auch lichen bei denen lastabhängig unterschiedliche finanzielle Schäden anrichten können. Tarife berechnet werden, z.B. billiger Strom Ebenfalls problematisch ist, dass unklar ist, wenn ein großes Angebot vorliegt. Diese Rück- welche Komponenten in einem Gerät, das meldung des Stromverbrauchs ermöglicht ausgeschaltet ist, immer noch aktiv ist. jedoch auch viele Einblicke in die Haushalte Gerüchte besagen, dass die NSA auch und verletzt damit die Privatsphäre. Ander- abgeschaltete Geräte orten kann. Sicher ist, seits enthalten diese Zähler fast immer dass nur ein Entfernen der Batterie wirklich Mechanismen für den Umgang mit säumigen sicherstellen kann, dass das Gerät „tot“ ist. Zahlern, z.B. Abstellen des Stroms aus der Dies ist bei einem iPhone aber nicht Ferne oder Begrenzung der abrufbaren möglich, daher hat Edward Snowden die Leistung. Smart Meter sind Teil des Smart Smartphones während vertraulicher Sitzungen Grids. Durch Manipulation dieser Netze bieten in den Kühlschrank getan. sich zahlreiche neue Angriffe. Smart meter sind 1 Aspekt von M2M. Siehe auch AMR, Siehe auch GeoLocation, Markets, Kill IoT, CPS Switch, Contextual Computing
Version 11.1 Seite 174 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Smart Speaker: Virtual Assistants die als 1) ( Short Message Service ) (engl. text) Hardware verfügbar sind und nicht nur auf Verfahren, bei dem mittels Handy Textnach- Smartphone. Zu ihrer Problematik mehr richten bis 160 Zeichen versendet werden. unter Virtual Assistant und Smart TV. Siehe Kann auch zum Versenden von OTPs im auch Amazon Echo. Das BSI macht e-Banking eingesetzt werden und als „2. Vorschläge für eine sichere Konfiguration: Kanal“ („out-of-band“) eine bessere Sicherheit https://www.youtube.com/watch?v=oRA18JUy bieten ( mTAN). Diese Sicherheit geht jedoch XGc verloren seit Smartphones für e-Banking ein- Smart Trainer: Trainingsgerät das an das gesetzt werden und dadurch die Infektionen Internet angebunden ist und mittels Daten- eines Gerätes sowohl den Datenverkehr wie austausch mit zentralen Plattformen auch den 2.Kanal des SMS beeinflussen kann. Funktionalitäten bietet, die lokal nicht zur erbringen sind. Siehe z.B. Zwift Kann für Betrugsversuche genutzt werden SmiShing, 2008 wird auch Spam durch die Smart TV: Moderne Fernseher, die typischer- Nutzung von SMS-Gateways zu einem weise mit dem Internet vernetzt sind und Problem. In der Form von Premium SMS über Sprachsteuerung gesteuert werden auch für kriminelle Aktivitäten wie Ransom- können. Die Sprachsteuerung muss IMMER ware eingesetzt. Siehe auch Twitter, auf die Sprache im Zimmer hören und stellt dadurch eine potentielle Verletzung von Sexting, Mehrwertnummern. Privatsphäre dar. Da die Geräte üblicher- Wird von der NSA großflächig abgefangen weise auch für Streaming-Dienste Wie und ausgewertet ( DISHFIRE program). Inter- Netflix eingesetzt werden sollen haben sie essant sind vor allem SMS wie „entgangene uneingeschränkten Zugang zum Internet und Anrufe“, „roaming Hinweise“, Benachrichti- senden meist auch Nutzungsdaten ihrer gungen über Kreditkartenrechnungen und Besitzer, die auch sensibel sein können andere Banknachrichtungen, z.B. Zahlungen SMB: und auch die mTAN SMS die Hinweise auf 1) (Server Message Block) Zugriffsprotokoll auf Zahlungen und damit Vernetzungen bieten Shares in Windows-Netzen (usprünglich von 2) ( Systems Management Server ) kosten- IBM entwickelt). Wurde auf Windows pflichtiges Software Management und Soft- Systemen früher über NetBIOS genutzt, ware-Verteilungsprogramm für Windows heute über TCP/IP. Heute zu CIFS Systeme. Kann in neueren Versionen auch für weiterentwickelt. SMB 3.0 kann auch die Verteilung von Patches und Virenschutz- verschlüsselte Verbindungen nutzen. Siehe Updates verwendet werden. Abgelöst durch Samba SCCM. Siehe auch WSUS 2) (Small and Medium-sized Businesses) SMS-Flood: Form des Denial of Service KMU Angriffs bei dem an ein Handy eine so SME: (Small and Medium-sized Enterprises) große Zahl von SMS gesendet werden, dass KMU die legitimen SMS darin untergehen. Solche S/MIME: Secure Multipurpose Mail Angriffe sind kommerziell günstig zu haben: Extension 1000 SMS für 15 $ SMiShing: in Anlehung an Phishing, SMS SMS-TAN: mTAN mit betrügerischer Absicht, oft mit Link zu SMTP: (Simple Mail Transfer Protocol) Über- Website mit Malware, Spezialform des tragungsprotokoll für E-Mails zwischen E- Social Engineering Mail Servern im Internet. Wird auch von E- SML: (Service Modeling Language) auf XML Mail Clients für das Senden von E-Mails ver- basierender Standard für maschinell lesbare wendet. Für den Abruf von E-Mails aus Mail- (IT)-Systembeschreibungen für die Nutzung in boxen verwenden die E-Mail Clients hingegen System-Management-Werkzeugen, z.B. POP oder IMAP. Sicherheitsrelevant ist SCOM. Vormals SDM SMTP, erstens auf Grund von Schwach- stellen (d.h. Programmierfehlern) in der Imple- SMM: (security maturity model) vom Frauen- mentierung, zweitens durch fehlende Ver- hofer-Institut entwickeltes Modell, das den schlüsselung und Authentifizierung des Sen- Reifegrad eines Unternehmens in Bezug auf ders und drittens durch die Tatsache, dass es Informationssicherheit angibt. Stufe 0: für den Austausch von Malicious Code über Vertrauen in den jeweiligen Hersteller, Stufe 1: E-Mail genutzt wird. Daher wird der SMTP- kurzfristige Lösungen, keine Strategie, reaktiv, Verkehr heute oft durch Content Scanning Stufe 2: Sicherheitspolitik, Stufe 3: Sicherheits- bzgl. Malicious Code überwacht. Verschlüs- prozesse durchgehend im Unternehmen selung von Server zu Server kann sehr leicht verankert. ISO/IEC 21827 durch aktivieren der TLS Feature erreicht http://www.isst.fraunhofer.de/englisch/download/32 werden. ESMTP ist eine Erweiterung, die 195_sec-model-pb-engl.pdf u.a. auch Verschlüsselung unterstützt. SMS: SMTP wird oft durch das Public Domain
Version 11.1 Seite 175 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Produkt Sendmail implementiert (EJB) implementiert werden. Sicherheits- Snapchat: Messaging App, die speziell für relevant, da sich auch über diese Schnittstellen den Austausch von Bildern gedacht ist und bei Angriffe realisieren werden lassen. Siehe denen sich die Bilder nach wenigen Sekunden ESB automatisch löschen. Sehr beliebt, da es (mehr SOAP: (Simple Object Access Protocol) auf oder weniger) sicherstellt, dass diese Fotos XML basierendes Verfahren, das erlaubt, nicht weitergeleitet werden. Wenn der strukturierte Daten zwischen Anwendungen Empfänger einen Screenshot macht, so wird zu übertragen, z.B. auch zwischen Browser der Sender darüber informiert. Wird für und Webserver (zur Implementierung einer Sexting verwendet. 2014 lehnen die Gründer single-page application). Ein W3C- einer Übernahme durch Facebook ab. Standard, wird z.B. auch für ebXML Problematisch an Snapchat ist, dass zwar ein eingesetzt. Sicherheit kann mittels WSS Schutz gegen Privatsphäre-Verletzung durch implementiert werden den Empfänger besteht, aber die meisten Social Adertising: Werbung bei der mittels Nutzer nicht realisieren, dass der Betreiber der durch Data Mining gewonnenen Daten natürlich sehr wohl die Möglichkeit hat/hätte, und den Informationen des Social Graphs die Daten oder Bilder zu analysieren und/oder Werbebotschaften mit dem Foto von Friends zu speichern, bzw. dass Regierungsbehörden des Betroffenen versehen werden, bzw. mit der die Betreiber dazu zwingen können Information, wie viele der Kontakte dies Snapshot: ältere Kopie eines aktuellen Daten- ebenfalls gekauft haben oder “like“n. Auf bestandes, z.B. einer Magnetplatte, verwen- diese Weise wird ein stärkerer Werbe-Effekt det für Datensicherung oder schnelle Wie- erreicht, da sich Menschen leicht über ihr derherstellung. Siehe Volume Shadow Copy. Umfeld beeinflussen lassen. Diese Technik Bei der Betriebssystem Virtualisierung die könnte unter Verwendung von Social Bots Möglichkeit eines Hauptspeicherabzugs des auch zu Social Engineering im ursprüng- laufenden Betriebssystems auf Magnetplatte lichen Sinne verwendet werden für Forensic oder schnelle Wiederherstellung Social Bot: Schlagwort für Software mit de- Sniffer: ('Schnüffler') Programme, die an der ren Hilfe Angreifer versuchen in Social Netzwerkkarte sitzen und alle Datenpakete Networks viele Friends zu sammeln. Die auswerten. Sie sind für Netzwerkadministrato- Software beginnt mit Friend-requests an ren wichtig. Manchmal werden sie aber auch Zufallspersonen und hat dabei eine Erfolgs- von Hackern eingesetzt, weil die Sniffer quote von ca. 20%. Dann sendet sie Friend- auch unverschlüsselt übertragene Passwörter request an friends-of-friends (FOAF) und darstellen können. ( Protocol Analyzer) bekommt damit eine erheblich höhere Erfolgs- SNMP: (Simple Network Management Proto- quote. Wegen den mit dem Friend-Status ver- col) Technologie zum Austausch von Zu- bundenen Zugriffsrechten und dem Ver- standsinformationen in komplexen Netzwer- trauensstatus können diese Bots dann ken. Auf diese Weise können Geräte und Malware verteilen oder private Daten Systeme ihren Zustand an Netzwerk Manage- auslesen und verkaufen. Die Beziehungen ment Systeme kommunizieren. Die Geräte könnten auch für Social Advertising genutzt (agents) speichern dafür die Zustandsinfor- werden. mationen in einer MIB (Management Infor- Seit ca. 2017 werden Social Bots auch im mation Base) und können sie auf Anfrage Rahmen von Trollfabriken zur Beeinflussung abgeben. Diese Technologie ist sicherheits- von Meinungen und/oder Verhalten z.B. durch relevant, da sie Verfügbarkeitsüberwachungen den Einsatz von automatisierter Software auf ermöglicht. Siehe Monitoring Twitter oder Facebook genutzt. Snooping: unerlaubtes „Mithören“ von Daten http://www.webecologyproject.org/ in Datennetzen. Abhören Social Circle: Funktion in der Google Such- Snort: Open Source Variante eines maschine bei der die Suchergebnisse auf Grund der Inhalte der Social Networking Intrusion Prevention Systems. Überwacht den Datenverkehr und vergleicht ihn mit Profile seiner Kontakte optimiert werden. Pattern von bekannten Angriffen Microsoft hat eine ähnliche Funktion in seiner Suchmaschine Bing Snowden: Edward Snowden Social Credit System: (SCS) In China SOA: (Service Oriented Architecture) Mana- eingeführtes System, das alle Bürger nach gement- und Systemarchitektur-Konzept, das einheitlichen Kriterien bewerten will ( Sco- auf Geschäftsprozessen und deren Abbil- ring) um ein sozial angepasstes positives dung in Services beruht. Kann über Web Verhalten zu erzwingen. Dabei werden die Services auf der Basis von Standards wie Daten die bei den Behörden über die Bürger SOAP, WSDL und UDDI eingesetzt, anfallen mit den Tracking-Daten der Betrei- doch kann eine SOA prinzipiell auf jeder ber der großen Internetplatformen (vor allem dienstbasierten Technologie wie zum Beispiel Alibaba und Tencent) kombiniert. Diese CORBA, DCOM oder Enterprise Java Beans Bewertung wird dann für viele Aspekte des
Version 11.1 Seite 176 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ realen Lebens verwendet, z.B. Jobsuche, Personen. Der zweite Fall bezieht sich auf Wohnungssuche, Zugang zu Verkehrsmitteln, Beziehungen die Benutzer entweder aktiv Krediten, etc. Mittels Gesichtserkennung und kundtun (Like-Button, Facebook Open flächendeckenden Kameras werden dann Graph) oder die bei einer Auswertung ihrer Reiseverbote u.ä. konsequent und recht Aktivitäten im Internet entstehen ( Track- effektiv durchgesetzt. ing). Siehe Social Networks, Data Mining, Was ist der Unterschied zu der Metadaten, Verbindungsdaten Überwachung im Westen? In China hat der Social Media: Social Network, aber auch Staat auch Zugriff auf die gesammelten (kommerzielle) Websites wie amazon auf Daten. Dies war in den USA nur bis zu den denen Benutzer Produkte, Dienste, Filme, Veröffentlichungen von Edward Snowden Musik, Spiele oder ähnliches kommentieren der Fall. Bis dahin hat die NSA z.B. die und diskutieren. Auch dazu gezählt werden Datentransfer von Google zwiwschen ihren virtual worlds wie Second Life und social Datacentren systematisch mitgeschnitten games wie Farmville oder CityVille und auch den meisten Datenverkehr zwischen Social Network: Dienst zur Kontaktaufnahme Web-Browsern und Web-Servern. Nach und/oder dem Austausch zwischen Personen der Veröffentlichung hat Google alle internen (Web 2.0) (z.B. Facebook, TikTok, Datenströme verschlüsselt und auch die Myspace (mittlerweile obsolet), Xing, Webseiten dazu gezwungen, auf HTTPS LinkedIn, aber auch Dienste wie Flickr, umzustellen. Stark geholfen hat bei Letzterem, Youtube, Yelp und alle Blogs bei denen dass mit Let’s Encrypt eine kostenlose Nutzer sich registrieren können und dann z.B. automatische Implementierung zur Verfügung durch das Kommentieren von Äußerungen der steht. Natürlich gibt es weiterhin Bestrebungen anderen Nutzer mit diesen interagieren) und von staatlichen Behören, Zugriff auf mehr die damit dem Aufbau von Web-Communities Datenströme zu bekommen, z.B. durch sog. dienen. Die meisten solcher Plattformen Staatstrojaner oder Bundestrojaner. Siehe werden kommerziell betrieben und optimieren https://sicherheitskultur.at/china_social_credit_score die Verweildauer der Nutzer mittels Social Engineering: ursprünglich sozialpoli- Algorithmen die stark emotionalisierende tischer Begriff für die Idee, Menschen mit und radikalisierende Postings bevorzugen. Es Ingenieursmethoden zu “formen” (siehe auch gibt, z.B. im Fediverse auch nicht-kommer- Choice Architecture). Heute zumeist eine ziell betriebene Plattformen die diesen spezielle Form des Angriffs, bei dem nicht Vermarktungsdruck nicht haben. die Software oder elektronische Systeme direkt Für den Nutzen solcher System gilt angegriffen werden, sondern die sog. „Wet- Metcalfe’s Law, d.h. der Nutzen (und Wert) ware “, also der Mensch mit seinen Stärken und des Systems steigt mit dem Quadrat der Schwächen. Der Angreifer versucht, vertrau- Nutzerzahl. Dies führt dazu, dass es neue liche Informationen zu erlangen, indem er Anwendungen gegen zahlreich genutzte recht seine "Social Skills", also sozialen Fähigkeiten schwer haben. einsetzt (human-based social engineering). Diese Angriffe nutzen oft Neugier, Hilfs- Das Geschäftsmodell der kommerziell betrie- bereitschaft oder Respekt vor Autoritäten aus, ben Netzwerke beruht auf dem Verkauf von Werbung auf der Basis von Benutzerprofilen. z.B. über das Telefon, indem sich der Angreifer als Kollege des Opfers ausgibt und versucht, Die von Benutzer- Daten ( Profil) oder ihre Äußerungen berühren i.d.Regel Aspekte der an die gewünschten Informationen (z.B. Passwörter) zu kommen. Eine Unterform des Privatsphäre. Social Engineering ist „computer based social Die expliziten Äußerungen der Nutzer engineering“. Damit werden Angriffe bezeich- (Postings) sind für Zielgruppen einsehbar net, die den Anwender zur Ausführung oder (public, friends, friends-of-friends { FOAF}), Download von Malware verleitet. Phishing die durch den Betreiber vordefiniert (und fällt auch unter diese Form. Die Informationen begrenzt durch den Benutzer steuerbar) sind. in Social Networks sind oft eine Grundlage Da Friends zumeist nicht nur „reale“ Freunde für solche Angriffe. Siehe: Kevin Mitnick, The sondern auch Arbeitskollegen, Familienmit- Art of Deception, Open Source Research, glieder oder gänzlich unbekannte Personen http://sicherheitskultur.at/social_engineering (oder Socialbots) sind (siehe Friend- request) kommt es zu einem Effekt, der als Social Graph: logisches Netzwerk zwischen Menschen die in irgendeiner Verbindung context collapse bezeichnet wird: unter- schiedliche Zielgruppen wie Freunde, Kollegen zueinander stehen, aber auch zwischen Men- schen und Objekten. Die erste Variante ent- und Familie bekommen dabei Zugriff auf dieselben Informationen. Social Networks steht, wenn Aktivitäten wie Telefonate oder Chat Kontakte oder Friend-Listen und die dienen auch als Chat room. Wenn es sich Konnektivität des Netzes mathematisch um Auftritte von Firmen handelt („fan pages“) so sind viele der Einträge von den ausgewertet werden. Ziel sind dabei nicht nur die direkt zugreifbaren PII sondern auch die Unternehmen selbst beautragt, meat puppet. Struktur der Verbindungen zwischen den Die von den Nutzern erstellten Inhalte (Daten)
Version 11.1 Seite 177 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ stellen für die Betreiber einen großen Wert dar, Börsenaufsicht oder andere Gesetze da diese heute mittels data mining sehr verstoßen wird genau ausgewertet werden können um auf Sock puppet: (engl. Sockenpuppe) bei diese Weise targeted advertising Social Networks wenn jemand mehrere durchführen zu können. Die Geschäftsmodelle Accounts anlegt ( Fake Account) und sich sehen entweder so aus, dass die Daten direkt damit an Diskussionen beteiligt, damit es so verkauft werden, oder dass andere Unter- aussieht, als gäbe es andere Personen die mit nehmen zielgruppen-orientierte Werbung im ihm/ihr übereinstimmen. Solche Dienste Social Network platzieren können. werden kommerziell angeboten. Dabei bedient Social Networks lösen spätestens seit 2011 in ein Angestellter i.d.Regel 20 solcher falschen der Kommunikation der Jugendlichen E-Mail Identitäten gleichzeitig. Der Begriff wurde stark ab. bereits 1993 in Usenet geprägt. Ein anderer Bedrohungen können entstehen, wenn Begriff dafür ist Astroturfing. Siehe Meat Angreifer (die sich zum Teil als Friends puppet einschleichen) mittels dieser Funktionen auf SOCKS: Protokoll um TCP Datenverkehr Malware verlinken oder direkt einstellen, z.B. durch einen Proxy Server zu schleusen. über HTML- oder andere Inhalte (z.B. MP3). Socks Proxys zeichnen sich dadurch aus, dass Auch SPAM, Phishing und Malware sie viele Protokolle weiterleiten können. Da- werden über Social Networks verteilt. Eine bei können, ähnlich wie bei einem Firewall, weitere Angriffsmöglichkeit sind Social die IP-Adressen verborgen werden Network Apps, d.h. in diese Netzwerke Socks bot: bei Malware ein Software- eingebundene Programme die mehr oder Prozess im infizierten Rechner der als „driver“ weniger vollen Zugriff auf alle Profildaten der Datenverkehr an der Firewall vorbei Benutzer haben. transportieren kann Solche zentralen Anbieter von Social Networks SoD: segregation of duties werden auch als walled garden bezeichnet. Softphone: Programm, das die Nutzung von Mittlerweile gibt es auch alternative Implementierungen von verteilten Social VoIP-Diensten ermöglicht Networks ohne zentrale Kontrolle, zB. auf Soft SIM: noch nicht implementiertes Konzept Fediverse oder ActivityPub. Beispiele sind das ein SIM-Karte im Betriebssystem z.B. für ActivityPub Mastodon, Nextcloud simuliert und ohne secure element arbeitet. (file hosting), Peertube (video upload und Dies würde die SIM Informationen sehr leicht streaming), Friendica, PixelFed (Photo angreifbar machen sharing) und WriteFreely ( Blogging). Software: Programmcode, der in einem IT- Justische Probleme können für die Nutzer Gerät (im weitesten Sinne, einschließlich entstehen, denn sie sind als Medieninhaber Embedded Systems in Gebrauchsgeräten) für die von ihnen erstellten oder weiter- ausgeführt wird. Enthält als Untermenge verbreiteten Inhalte verantwortlich. Betriebssystem und Anwendungsprogram- Siehe Drive-by-Infektion, RDF, Open me. Software ist i.d.R. komplex und daher fehlerbehaftet, was leider immer Schwach- Social, Contact Scraping, Apps, sock puppet, Astroturfing, Social Graph, stellen bedingt. Siehe Software Test COPPA, FoMo, Dunbar Number, fake Software-Agenten: Konzept von Program- news, fake accounts men, die selbständig im Auftrag des Benutzers Aktionen durchführen. Dabei ist der rechtliche http://philipps-welt.info/social networks.htm Status dieser Aktionen noch unklar. Siehe http://www.webecologyproject.org/ bots Social Reading: automatisiertes Überwachen Software Configuration Management (SCM): von Leseauswahl, Lesegeschwindigkeit und Quellcode-Verwaltung anderen Parametern zur Weitergabe („sha- ring“) in einem Social Network, zur Bewer- Software-defined Networking: (SDN) Kon- tung des Bildungseifers im Fall von Online- zept bei dem die beiden logischen Ebenen Kursen oder einfach zu Marketingzwecken eines Routers („control plane“ für die Verwal- Social Viewing: Wurde 2020 populär, tung der Routing Tables, Neighbor Tables, Link State Database) vom „data plane“ das die erlaubt es, dass mehrere Zuschauer gleich- zeitig einen Film sehen und parallel kommen- Pakete weiterleitet) getrennt werden. Dabei tieren können (als wären sie in 1 Raum). Kann wird das Control Plane in einen separaten bei Disney+, Amazon Prime und bei Rechner ausgelagert, und kommuniziert mit Netflix genutzt werden dem Data Plane. Ein Beispiel für diese Sock-puppeting: Nutzung einer falschen Kommunikation ist OpenFlow. Die Sicherheits- Online-Identität um sich selbst positiv zu aspekte dieses Konzepts sind noch umstritten kommentieren oder Werbung für sich und Software-defined Radio: (SDR) Hardware seine Firma zu machen. In jedem Fall und Software mit deren Hilfe sehr unterschied- unethisch, illegal wenn z.B. gegen Regeln der liche drahtlose Techniken implementiert
Version 11.1 Seite 178 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ werden können. Dabei wird z.B. Software wie nigung des Betriebssystems von Desk- GNU Radio und Hardware wie DSP tops. Aus Sicherheitssicht gilt für alle diese eingesetzt. Eine Implementierung ist USRP. Speicher, dass ein wirklich permanentes Mit Hilfe von von Software-defined Radio Löschen deutlich schwieriger ist als bei verwischt sich die Unterscheidung zwischen Magnetplatten, Details unter Flash-Speicher Sender und Empfänger. Die gleiche Hardware, Sony : Unterhaltungs- und Elektronic Konzern z.B. im Smartphone, kann durch entspre- mit einer sehr gemischten Geschichte zu Infor- chende Änderung in der Software oder mationssicherheit. 2005 kam heraus, dass seit Firmware zum Empfangen oder Senden einiger Zeit über Sony Musik-CDs rootkits verwendet werden und zwar auf einem nur von auf Rechnern installiert werden, die Sony-CDs der Geometrie der Antenne angeschränkten abspielen, die ein Weiterkopieren verhindern relativ großem Frequenzbereich. sollen. Nach der Entdeckung wurde eine Software-defined Radio wird oft zur Demon- angebliche Lösch-Software veröffentlicht, die stration von Verwundbarkeiten bei draht- weitere Software installiert. Später wurde auf losen Übertragungen jeglicher Art verwendet, solchen CDs eine andere Form von Kopier- z.B. RFID, LTE, usw. Könnte aber natür- schutz eingesetzt, pikanterweise unter Ver- lich auch für Angriffe, d.h. Abhören oder letzung des Copyrights von Open Source Stören ( DoS) verwendet werden. Siehe Projekten. ADS-B Positiv ist zu vermerken, dass Playstation 3 zu Softwareentwicklung: Erstellen von Pro- Beginn mit der Möglichkeit kam, andere Be- grammen für Computer. Mangelnde Qua- triebssysteme darauf zu nutzen, dies wurde lität und Programmierdisziplin führen dazu, jedoch 2010 durch Firmware-Upgrade ge- dass viele Schwachstellen in den Program- sperrt. Ein Hacker/ Hacktivist wurde juris- men zu Angriffsmöglichkeiten für Schadsoft- tisch verfolgt (eine außergerichtliche Einigung ware führen. Siehe CMM, SPICE, V- wurde erreicht). Modell, RUP 2011 muss Sony verkünden, dass aus dem Software Test: Qualität von Software kann PSN (Playstation Network) 77 Mio. Kunden- nur durch systematische und strukturierte daten gestohlen wurden und von SOE (Sony Tests gesichert werden. Tools dafür z.B. Online Entertainment) 24 Mio. Von Sony Eclipse TPTP, Mercury QuickTest, Rational Pictures wurden 1 Mio Benutzerdaten und Functional Tester, Compuware TestPartner. Passworte kopiert, ebenso 3,5 Mio Siehe Capture&Replay Gutscheincodes. LULZSEC bekennt sich dazu. Software-Verteilung: automatisiertes Installie- ren von Software (Betriebssystemkomponen- Ende 2014 drangen Hacker bei Sony Pictures ten oder Anwendungen) oder Patches auf ein, stahlen alle Daten und löschten dann die einer großen Zahl von Rechnern. Bei der sog. Computer-Platten vollständig. Die Wieder- Paketierung werden die Installationsmateria- herstellung des Betriebs wird auf ca. 10 lien des Softwareherstellers in ein geeignetes Wochen geschätzt. Die Attribution des An- Format für das jeweilige Verteilungstool umge- griffs ist umstritten, die US-Behörden beschul- wandelt. Siehe MSI, SMS digen Nordkorea (die wegen eines satirischen Films sauer auf Sony Pictures waren). Kurz Solarwinds: in 2020 kam es zu einem der danach fiel die Internet-Anbindung von umfangreichsten Data breaches in US- Nordkorea für einige Tage aus. Ein wirklicher Behörden. In die IT-Security- und Netzwerk- Nachweis der Täterschaft ist aber sehr Software Orion des US-Anbieters Solarwinds schwierig und die Anschludigungen sind war mindestens 1 Backdoor eingebaut umstritten worden. Dies öffnete dann die Netze von über 250 US-Behörden die Orion einsetzen für die SOP: 1) (Standard Operating Procedure, ur- ausländischen Angreifer (plus einige andere, sprünglich aus dem Militär) schriftlich definierte z.B. Microsoft). Peinlich für die US-Behörden Regeln für den Betrieb der IT. Wichtig, wenn es ist weiterhin, dass dieser Angriff erst durch die darum geht, Qualität und Sicherheit zu Sicherheitsfirma FireEye und nicht durch die gewährleisten zuständigen US-Behörden entdeckt wurde 2) Same Origin Policy (z.B. Cyber Command des Militärs, der SOPA: (Stop Online Piracy Act) Versuch eines National Security Agency (NSA) oder dem US-Gesetzes das strengeres Vorgehen gegen Department of Homeland Security) Raubkopien erreichen sollte. Wurde nach Solid state disk: (SSD) heute oft eingesetzte weltweiten Protesten zurückgezogen. Die Alternative zu Magnetplatten, die einen Inhalte sind jedoch weitgehend bereits in schnelleren Zugriff zu Daten liefert und PRO-IP Act, ACTA, DMCA die z.B. aus- weniger Strom verbraucht. Wird vor allem in reichten um gegen Megaupload vorzugehen Laptops eingesetzt, aber auch zur Beschleu- Source code: Quellcode
Version 11.1 Seite 179 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Source Code Management: Quellcode- Commerce-Firmen, in diesem Augenblick Verwaltung gelten die Privacy Regeln der Originalfirma Sousveillance: Kunstwort, das die Überwa- nicht mehr, der Konkursverwalter macht chung nicht durch den Staat ( Surveillance), alles zu Geld sondern durch die Mitbürger bezeichnet 2009 und 2010 oft in Form von Stock-Pump- Sovereign Keys: 2012 Vorschlag für eine and-Dump-Spam. Messungen zeigen für bessere Absicherung von Websites als dies Werbe-Spam nur Erfolgsraten von 0,00001%, derzeit über SSL möglich ist. Die Absiche- die durch massenhaften Versand ausgeglichen rung der Webbrowser beruht darauf, dass werden. Zum Schutz siehe auch SIPF, Sen- diese die Zertifikate der Websites überprü- der Policy Framework ( SPF), Sender ID, fen. 2011 ist es jedoch zu zahlreichen Sicher- DomainKeys Identified Mail ( DKIM), heitsverletzungen bei Certificate Authorities Blacklist, Whitelist, Greylist, SURBL. gekommen. Wenn ein Browser Verdacht auf Ab 2010 word Spam auch immer öfter in eine Fälschung hat, so wird eine Warnung Social Networks und Blogs eingestellt. angezeigt, die jedoch sehr oft ignoriert wird. Dies soll durch Verfahren wie CAPTCHAs Das neue Verfahren verifiziert Websites über verhindert werden, darum wird dann zum Teil Erweiterungen im DNSSEC Protokoll Handarbeit wie der Mechanical Turk eingesetzt. Siehe auch Crowdturfing SOX: Sarbanes-Oxley Act http://sicherheitskultur.at/spam.htm Spam : ursprünglich unerwünschte Zusendung SPAM: (Switched Port Analyzer) Funktionalität von Werbung mittels Massen-E-Mails, oft mit von Cisco-Switches um Protocoll Analyzer gefälschtem Absender ( Spoofing). Heute zu unterstützen (RSPAN=Remote SPAN) werden für Spam auch Blogs und Social Networks verwendet. Dies wird auch als Spambot: automatisierte Programme die Spamvertising bezeichnet. Dafür muss der Websites nach E-Mail-Adressen durch- Spammer Zugang zu Accounts von suchen oder falsche Webmailer-Accounts registrierten Personen haben oder neue anlegen um dann Spam-Mails zu versenden Accounts anlegen, z.B. in Wikis. Accounts Spanning tree protocol: STP stehen auch zum Kauf, sortiert nach Thema: Spamvertising: Kunstwort aus Spam und Dating, Jobsuche, oder andere. Advertising (d.h. Werbung). Der Begriff wird E-Mail-Spam kann direkt über den Verbrauch speziell dann verwendet wenn nicht E-Mail von Bandbreite, oder indirekt, z.B. über genutzt wird, sondern z.B. Links die in Blogs Sperrung des gefälschten Absenders für oder Wikis eingebaut werden. Beworben diesen zu einem Sicherheitsproblem werden. wird zu einem großen Teil für 3P (pills, porn Der Schutz geschieht über Ausfiltern der E- and poker), d.h. Medikamente die übers Mails, entweder über Listen von Versendern Internet bestellt werden können wie z.B. oder über den Inhalt der Mails. Der Name Viagra, Pornographie und Glückspiel- bezieht sich auf eine Szene von „Monty Pyton“ Websites. Oft wird dabei oft das und ist englisches Kunstwort, das sich aus den Geschäftsmodell Affiliate Network verwendet Anfangsbuchstaben der Wörter „spices, pork SPD: (surge protective device) Überspan- and ham“ ableitet. nungsschutz, wichtig für elektronische Geräte, Woher bekommen die Spammer Ihre Adresse? sowohl in der Stromversorgung wie auch in - Ernte von Websites (postings, etc.), Datenleitungen, auch TVSS genannt. Diese Spambot „surge“ entstehen durch Entladungen, Induk- tion, z.B. bei Blitz oder beim Einschalten von - Ernte von korrumpierten Websites großen Verbrauchern (Registrierungs-E-Mail-Adressen) Spear Phishing: (engl. Speer(p)fischen) Vari- - Dictionary Attack gegen große ISPs ante des Phishing Angriffs, bei der gezielt oder Free-mailer einzelne Personen oder eine Gruppe E- - korrumpierte Privatrechner ( Würmer, Mails mit entsprechender Spyware (z.B. Spyware, Trojaner, Hackerangriff), Keylogger) erhält. (targeted email trojans). deren Adressbuch ausgelesen wird Ziel ist dabei oft Industriespionage. Siehe - Verkauf durch Firmen, die die Adresse targeted attack legitim erfahren haben (z.B. Speech to Text: automatische Erkennung von Registrierungen, Mailing Lists oder gesprochenem Text. Wird von der NSA zum Shopping im Internet, Kunde hat Abhören von Telefonaten eingesetzt. Wird vergessen, das Häkchen von "meine vor allem in Verbindung mit Google Glass Adresse darf an Partnerfirmen oder Lifebits sehr problematisch wenn Aus- weitergegeben werden" zu entfernen) sagen anderer Menschen auf diese Weise - Kauf aus der Konkursmasse von E- maschinell verarbeitbar werden. Siehe Semantic Forest
Version 11.1 Seite 180 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Speicher: 1) (Memory, auch Hauptspeicher mit menschlichem Verhalten in Entscheidungs- oder Arbeitsspeicher) Datenspeicher, in dem situationen beschäftigt. Dabei wird von ko- binäre Informationen gespeichert werden. operativen und nicht-kooperativen Modellen Diese Informationen sind entweder Com- ausgegangen, ein wichtiges Beispiel ist das puterbefehle (d.h. Programme) oder sog. „Gefangenendilemma“. Solche Algorith- Daten. Aus diesem Speicher „liest“ die men spielen bei dem Übergang von Über- CPU die Informationen (bits) aus und führt wachung zum Vorhersagen von persönlichem die Verarbeitung durch. Speicher können auf Verhalten durch Big Data Analysen eine verschiedenen Technologien beruhen, z.B. wichtige Rolle. Durch die Möglichkeit, Verhal- Halbleiterspeicher, wie auf dem Mother- ten vorherzusagen entsteht auch die Möglich- keit, bestimmte Optionen (wie z.B. Kredite, board, bei Heimrechnern gemessen in Mega- Kreditschutz oder Informationen) gar nicht byte (1 Mio. Byte), im Vergleich dazu 9 erst anzubieten (weil die „virtuelle Persön- Plattenspeicher, gemessen in Gigabyte (10 , lichkeit“, die sich aus den Daten ergibt ent- deutsch 1 Millliarde, engl. 1 billion), Terabyte 12 weder kein Interesse haben wird oder die (10 , deutsch 1 Billion, engl. trillion) und heute Option missbrauchen könnte ( Pre-crime), 15 oft bereits Petabyte (10 , deutsch 1 Billiarde, falsch wie die virtuelle Persönlichkeit sein mag) engl quadrillion). Umgangssprachlich ist mit SPIM: (SPAM over IM) Versand von SPAM Speicher / Memory heute meist der Halbleiter- mittels Messaging Dienst speicher auf dem Motherboard gemeint, der SPIT: (SPAM over Telephone) bei der Nutzung auch Hauptspeicher oder DRAM genannt wird. Diese Speicher sind flüchtig und bleiben eines VoIP-Systems das automatisierte typischerweise nur erhalten solange der Senden von großen Mengen von telefonischen Sprachnachrichten in die Voicemail-Inbox Speicher mit Strom versorgt wird. D.h. beim des Nutzers. SPIT ist noch schwerer zu filtern Starten eines PCs oder Smartphones als SPAM werden diese Daten aus dem permanenten Split: Konzept der Datensicherung von Speicher ( Festplatte oder SSD) geladen (boot). Smartphones werden daher Datenbanken, bei der die Datenbank kurz typischerweise fast nie ausgeschaltet, daher gestoppt wird, dann eine Auftrennung der gespiegelten Magnetplatten ( Mirror) durch- sind die Geräte beim Einschalten sofort aktiv. geführt wird ( BCV) und danach das 2. Durch Kühlung lässt sich die flüchtige Volume gesichert wird, während die Datenbank Information eines Speichers jedoch auch weiter in Produktion ist länger konservieren ( Remanence), dies lässt sich für Angriffe, z.B. die Schlüssel einer Split traffic: wenn ein VPN-Client bei Festplattenverschlüsselungen nutzen. Siehe Verbindung zur VPN-Gegenstelle jeglichen anderen externen Datenverkehr verhindert. Virtual Memory, Page, Segment Sehr zu empfehlen 2) Jedes Gerät, auf dem binäre Daten SPF: (Sender Policy Framework) Erweiterung aufbewahrt werden können. Siehe zur Vermeidung von Spam und Phishing. Speichersystem Dabei wird im DNS Record jeder Domaine Speichersystem: Gerät, in dem Daten ab- ein Datensatz abgelegt, der alle legitimen IP- gelegt werden, auf die dann später wieder Adressen der SMTP-Server dieser Domaine zugegriffen werden kann, z.B. Magnetplatten beschreibt. So wird Spoofing erschwert. Soll oder Magnetbänder 2012 durch DMARC erweitert werden Spiele: Games Spontane Vernetzung : automatische Inte- SpyEye: Schadsoftware, Konkurrenz zu gration von IT-Geräten und darauf eingerich- Zeus, genutzt um Rechner zu infizieren und teten Diensten in ein lokales Netz, dass die zu manipulieren und Botnetze aufzubauen Nutzung dieser Dienste, oder den Zugriff auf und zu betreiben, vor allem gegen e-Banking weitere Ressourcen im Netz ermöglicht. Ein eingesetzt. Enthält u.a. Keylogging Features, Notebook, ein Drucker, usw. werden in kann aber als Man-in-the-Browser auch einem Raum automatisch in das Netz konfiguriert werden um dynamisch mit 2- integriert, das die übrigen IT-Komponenten Faktor-Authentisierungen wie SMS-TAN verbindet, ohne dass eine Installation umzugehen und Geld zu überweisen erforderlich ist. Dies ist speziell bei Bluetooth SPICE: (Software Process Improvement and der Fall und kann dann eine Verwundbarkeit Capability Determination), ISO 15504. Ein darstellen Modell für das zur Beurteilung von Unterneh- Spoofing: (engl.Spoof = Parodie) Technik der mensprozessen rund im Software ( PAM), Vortäuschung einer falschen Identität oder verwandt mit CMM, allerdings mit 6 Absenderadresse, oft mit der Absicht, durch Reifegraden. Ebefalls relevant ist ISO 12207- die gefälschten Daten authentifiziert zu wer- Prozesse im Software-Lebenszyklus den. Ziel ist zumeist die Erlangung von Infor- SpiderOak: Cloud service, siehe Dropbox mationen durch Benutzer oder System- Spieltheorie: mathematische Disziplin die sich Instanzen ( Address-Spoofing, DNS-Spoo-
Version 11.1 Seite 181 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ fing, Caller ID Spoofing, Mail-Spoofing), und an den Autor der Spyware sendet. Eine manchmal Masquerade genannt. Siehe spezielle Form sind Key Logger. Auf diese Fake, Accountability, Hacker, SPF, Weise finanzieren sich z.B. manche Raub- Twitter kopierer oder P2P-Programme. Die Abgren- Spotify: seite 2006 Streamingdienst für zung zu Adware ist umstritten. Hersteller Musik, Konkurrenz zu Apple mit mittleweile dieser Software wehren sich gegen den Begriff 2020 größtem Marktanteil und damit stark Spyware, obwohl ihre Programme zwecks bestimmend für die Finanzierung von Optimierung der in Form von Pop-ups Musikereinnahmen. Netflix, Amazon Prime dargestellten Anzeigen oft das Surfverhalten und Spotify sind Beispiele die die oft der Benutzer weiterleiten. Spyware beschreibt behauptete These widerlegen, dass im (normalerweise) ungezielte Infektionen, im Internet alles kostenlos (d.h. über Gegensatz zu APT, bei der es sich um Werbung und Überwachung der Nutzer zielgerichtete Angriffe handelt. Um solche finanziert) sein muss (wobei Spotify auch ein handelt es sich bei Federal Spyware eingeschränktes kostenloses Angebot mit (CIPAV) und dem Bundestrojaner, die Werbung anbietet) damit eigentlich zur Klasse APT gehören. Siehe auch Spy-App Sprachanalyse: automatische Auswertung von Sprachsignalen, z.B. bei VoIP wie SQL: (Structured Query Language) ursprüng- Skype. Damit kann z.B. bei bestimmten lich nur verwendet als Bezeichnung für eine Begriffen oder bei emotionaler Erregung im Datenbankabfragesprache, 1986 von ANSI Gespräch mit einem Call-Center ein Alarm standardisiert. Heute oft verwendet im ausgelöst werden. Siehe auch Stimm- Zusammenhang mit Microsoft SQL Server Erkennung oder SQL Server- Port (1433), bzw. dem Open Source Tool MySQL. In letzterem Sprajax: Open-Source Security Scanner für Zusammenhang sicherheitsrelevant, siehe Ajax-basierte Web-Applications von der SQL Injection OWASP, eine Alternative zu Hailstorm SQL-Injection: Angriffsmethode gegen SPRUCE: siehe NEAT Websites bei der Datenbankbefehle in Spy-App: Software auf Smartphone die Eingabefelder auf Webseiten eingegeben zur Überwachung von Kindern oder (Ex-) werden, in der Hoffnung dass Programmier- Partnern eingesetzt wird ( digitale Gewalt). fehler einen direkten Zugriff auf die Dafür ist es lediglich notwendig, dass der Datenbank des Webservers ermöglichen. Angreifer Zugriff auf das entsperrte Gerät Eine spezielle Variante ist SQL-Injection mit hat, dann kann er oder sie eine solche App Conversion Error. Diese wird angewendet, installieren. Diese Apps werden NICHT wenn zwar SQL-Kommandas von der Daten- angezeigt und senden typischerweise Stand- bank ausgeführt werden, aber der Angreifer ort, alle Kommunikationen (wie Whatsapp, die Ergebnisse nicht sieht. In diesem Fall etc.) und Fotos an ein anderes Smartphone. versucht der Angreifer, die Textdaten in eine Wenn Frauen in ein Frauenhaus kommen so Zahl umzuwandeln, was zu einem Conversion ist sehr oft ein solchermaßen infiziertes Handy Error führt, der bei falscher Einstellung der dabei. Solche infizierten Smartphones können Datenbank im Web-Browser ausgegeben durch Factory Reset auf den Kaufzustand wird. Eine weitere Variante ist „blind SQL- zurückgesetzt werden, die Opfer verlieren Injection“. Diese kommt zum Einsatz wenn der dabei typischerweise alle ihre Daten und Angreifer keine Daten im Browser angezeigt Kontakte. Das heimliche Installieren einer bekommt. Trotzdem kann über eine solchen App ist bei Erwachsenen sicher Auswertung der Antwortzeiten erkannt werden, verboten, bei Kindern hängt es vom Alter des ob im Hintergrund ein SQL-Kommando Kindes ab, ob dies noch zulässig ist. Bei ausgeführt wurde. Der Angriff (in der einen älteren Kindern sollte das Kind zumindest oder anderen Form) gelingt leider viel zu oft, darüber informiert sein. Eine Verurteilung auch in prominenten Fällen wie HBGary und wegen Installation der Software bei einem Sony Partner ist extrem selten, die die Anwesenheit SQO-OSS: (Software Quality Observatory for der App auf dem Gerät kein Beweis ist, dass Open Source Software) Initiative der EU zur der (Ex-)Partner die App installiert hat. Siehe Beurteilung und Verbesserung der Software- https://sicherheitskultur.at/spyware Qualität von Open Source Software SpyNet: Online-Community von Microsoft SRP: (Secure Remote Password Protocol) zum Austausch von Informationen zu kryptographisches Protokoll mit dessen Hilfe ein Spyware geheimer Schlüssel ausgehandelt werden kann Spyware: Software, die oft in der Form eines ohne dass eine zentrale vertrauenswürdige Stelle Trojaners, oder unter Ausnutzung von benötigt wird, vergleichbar mit Diffie-Hellman Schwachstellen, auf dem Rechner des Be- SRST: (Survivable Remote Site Telephony) nutzers installiert wird und die dann dort, z.B. Feature von Cisco IP-Phones, damit auch ohne Passworte, das Surf-Verhalten des An- CallManager eine Verbindung hergestellt warden wenders oder E-Mail-Adressen ausspioniert
Version 11.1 Seite 182 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ kann FunkLAN. Sie sollte aus Sicherheitsgründen SRTP: (Secure Realtime Transport Protocol, keine unnötigen Informationen, z.B. Firmen- RFC 3711) sichere Version von RTP, genutzt name oder Abteilung enthalten. Ihre Aussen- von Unicast und Multicast Anwendungen, dung kann z.T. auch ganz unterdrückt werden z.B. Videoconferencing und VoIP. Setzt auf SSJC: OASIS UTP auf SSL: (Secure Socket Layer) Protokoll, das SS7: (Signalling System No. 7) 1975 von AT&T ursprünglich 1993 von Netscape entwickelt entwickeltes und von der ITU-T standardi- wurde, aber bald als de-facto Standard siertes System zum Austausch von Kontroll- anerkannt war. Es dient zur Authentisierung informationen in Telekommunikationsnetzen von Webservern mittels Zertifikaten und (PSTN) (als Ersatz für frühere In-band der Verschlüsselung von Daten die über Signalisierung). Wichtig sind dabei Verfahren HTTP versendet werden (das dann zu zur schnellstmöglichen Fehlerbehebung und HTTPS wird). Theoretisch ist auch die zum Finden von alternativen Pfaden in Authentisierung von Browsern möglich, Millisekunden. In 2014 wird bekannt, dass entsprechende Zertifikate haben sich jedoch mittels SS7 Regierungsbehörden (z.B. die (leider) nicht durchgesetzt. Seit 2006 ergänzt NSA) und auch zivile „Dienstleister“ die durch die Alternative TLS. Seit 2014 (u.a. Zugriff auf die Netze von Telefongesell- durch Heartbleed und Poodle) gilt selbst schaften in einem Land der Welt haben, die letzte Version (3.0) als zu unsicher und es weltweit Telefongespräche umleiten und damit sollte nur noch TLS verwendet werden. 2015 abhören können und den Ort von beliebigen erklärt die Organisation hinter PCI-DSS SSL Handys feststellen. Durch die fehlende offiziell als nicht geeignet für die Zertifizierung, Sicherheit im Konzept von SS7 werden auch da keine sichere Implementierung mehr bereit alle handy-basierten Verfahren wie mTAN bereit steht. unsicher. Telefonanbieter haben zusätzliche Google konzipiert ein Verfahren, bei der Sicherheitsmaßnahmen implementiert so dass ersten Authentisierung des Benutzers auf in Europa Angriffe gegen Telefone üblicher- einem Gerät die App oder der Chrome- weise nicht über SS7 sondern mittels Über- Browser ein SSL/TLS-client Zertifikat erzeugt nahme der SIM-Karte durch Social und damit dieses Gerät fest an diesen Kanal Engineering stattfinden ( SIM-Swapping). In bindet („channel binding“). VoIP-Systeme ersetzt durch SIP oder H.323. Siehe Media Gateway SSL und TLS verwenden Zertifikate nach X.509 (wenn dabei MD5 als Hash SSAE 16: (Statements on Standards for verwendet wird, so ist das Zertifikat seit Ende Attestation Engagements) ist ein Nachfolger 2008 fälschbar, besser ist SHA-1). Das SSL- von SAS 70 bei der Auditierung von Service- Protokoll wird vom Browser dadurch initiiert, Organisationen. Siehe http://ssae16.com/ dass dem bekannten http ein „s“ angehängt SSD: (solid state disk) wird (https://www.firma.at). Es wird ein anderer SSE: (server-side encryption) Verschlüsse- Port des IP-Protokolles verwendet, meist lungsimplementierung bei Cloud Computing 443. Das ist für den Browser der Anlass, vom bei der die Schlüssel jedoch unter Kontrolle angesprochenen Server zur Authentisierung der Betreiber stehen ( SSE, z.B. Amazon ein Zertifikat und seinen öffentlichen Schlüssel Webservice S3, im Gegensatz zum AWS JDK (Public Key) anzufordern. Dieser Schlüssel for Java, das client-seitige Verschlüsselung wird zusammen mit einer Prüfsumme ( erlaubt). Für die Benutzer zwar bequem, da Fingerprint) und einer ID an den Browser keine eigenen Schlüsselverwaltung, aber auch zurückgemeldet. Wegen der fehlenden Compliance-Gründen sehr oft nicht Authentisierung der Client-PCs ist das akzeptabel Verfahren anfällig gegen Man-in-the-Middle Angriffe. Seit 2009 erweitert durch EV SSE-CMM: (System Security Engineering - Certificate. Siehe auch HSTS Capability Maturity Model) Dokument der ISSEA (International Systems Security Auf Grund der immer stärkeren Nutzung von Engineering Association) zum Reifegrad von Smartphone Apps stellt die Wirksamkeit Sicherheitsprozessen. Sehr ähnlich zu von SSL (oder TLS) gegen Man-in-the- ISO/IEC 21827. Siehe CMM Middle Angriffe kaum noch gegeben, da der Benutzer keine Möglichkeit hat, das Zertifikat SSH: (Secure Shell) auf dem IP-Protokoll des Webservers zu überprüfen, mit dem die basiertes Protokoll zum interaktiven Arbeiten App kommuniziert. Diese Überprüfung muss in auf einem Rechner mit Hilfe eines Textinter- der App selbst durchgeführt werden, was faces. Auf Grund von Verschlüsselung und zumeist unterbleibt. Authentisierung sicherer als Telnet. 2012 schreibt die NSA, dass sie solche 2010 und 2011 werden zahlreiche Schwächen Verbindungen manchmal entschlüsseln im Protokoll veröffentlicht, aber die eigentliche können Schwäche liegt in der Anfälligkeit von Zertifikatsherausgebern ( CAs) gegen SSID: Kennung eines Access Points im Angriffe bei denen gefälschte Zertifikate
Version 11.1 Seite 183 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ erstellt werden, denen die Browser automa- Technik (state of the art), shall, should tisch vertrauen, da dort eine Liste von über 600 Stand der Technik: Best Practise Regeln, angeblich vertrauenswürdigen CAs hinterlegt wie etwas implementiert oder durchgeführt ist. 2011 werden zahlreiche CAs erfolgreich werden soll. Das Nicht-Einhalten kann eine angegriffen, offenbar zum Teil um politische Verletzung der erforderlichen Sorgfalt dar- Dissidenten mit Man-in-the-Middle Angriffe stellen und dadurch eine Haftung nach sich abzuhören. Siehe TLS, Sovereign Keys ziehen. 2006 ergibt sich in Ö. eine Pflicht zum http://sicherheitskultur.at/notizen_1_11.htm#iran Einhalten des „Stands der Technik“ nur durch SSL/VPN: Implementierung eines VPN zum SOX, Basel II oder andere Corporate Zugriff mittels Webbrowser. Im Gegensatz Governance Regeln (z.B. GmbH-Gesetz, zu IPsec kommt es dabei zu einem Aktiengesetz), in D. aus dem KonTraG „Medienbruch“ ähnlich wie bei einem Standleitung: heute sehr selten genutzte Terminalserver, d.h. es werden nicht 2 Netze dedizierte Kommunikationsanbindung im verbunden, sondern eine Benutzeroberfläche Nahbereich, bei der ein einzelner wird präsentiert Kommunikationsstrang (4-Draht Telefon, SSN: (Social Security Number) US-Version der Lichtleiter oder Coax) für einen einzelne SVN. Mangels anderer lebenslanger Verbindung genutzt wird. Gilt als sicherer als Identifikation und fehlenden Personalausweise z.B. Wahlleitungen und bietet einen festen wird die Kenntnis der SSN in den USA sehr QoS. Im Fernbereich sehr teuer, daher wird häufig als Authentifizierung, z.B. beim Bean- dort meist ATM oder Frame Relay einge- tragen eines Kredits, verwendet. Sie ist daher setzt, bzw. Datentransfer über Internet Hauptangriffspunkt bei Phishing für Standortdaten: Daten die notwendigerweise Identity Theft beim Betrieb eines Mobilfunknetzes anfallen SSO: Single Sign-On da der Betreiber den Standort (d.h. die nächste SSRF: Server-Side Request Forgery „Zelle“ kennen muss um eingehende Gespräche zum nächsten Handymasten Staatstrojaner: Bundestrojaner [= base station]) zustellen zu können Stablecoin: eine Cryptocurrency die an eine (home location register). Diese Daten sind oder mehrere Währungen gebunden ist und u.a. Ziel der Vorratsdatenspeicherung. daher geringeren Kursschwankungen unter- Standortdaten entstehen auch in jedem liegen sollte als traditionelle Cryptocurrencies, Smartphone, da typischerweise dort ein wie Bitcoin. Da würden z.B. "Central Bank GPS-Modul eingebaut ist, bzw. der Standort Digital Currencies" ( CBDC) gehören, aber über Datenbanken von WLAN-Netzen be- auch die von Facebook geplante Währung stimmt werden ( Google war in diesem Libra. Zusammenhang in die Schlagzeilen Stack: 1) alle Schichten ( Layer) die für eine gekommen als die WLAN-Sammlung im Rah- Datenkommunikation genutzt werden. Siehe men von Google Streetview publik wurde, OSI Schichtenmodell aber andere Dienste bieten ähnliche 2) spezifische Datenorganisation, oft Datenbanken an). hardware-unterstützt. Dabei wird das zuletzt Viele Apps greifen auf diese Standortdaten gespeicherte Datenelement als erstes wieder zu und machen diese dann zu Geld. entnommen (Last In – First Out) Standortdaten sind begehrt, da sie sehr viel Stakeholder: Begriff aus der Businessethik, über das Verhalten der Menschen aussagen. Länger andauernde Bewegungsprofile einer der im Gegensatz zu den Shareholdern alle von Handlungen eines Unternehmens Betrof- Person sind die wirklich anonym, da sich aus fenen, inkl. der Natur und Umwelt, bezeichnet dem Aufenthaltsort am Tag (Arbeitsplatz) und in der Nacht (Wohnort) in den meisten Fällen Stalking: (deutsch: Nachstellung) willentliches die Person bestimmen lässt. Die NSA und wiederholtes (beharrliches) Verfolgen oder sammelt täglich weltweit Milliarden ent- Belästigen einer Person, heute oft auch im sprechender Datensätze Internet Starke AI: artificial intelligence Stammdaten: Daten zumeist Personen be- treffend, die für Abrechnungszwecke im Rah- Starke KI: artificial intelligence men von Geschäftsverbindungen gesammelt Stateless Tracking: Methoden um Benutzer werden, z.B. durch Handy netzbetreiber. im Internet wiederzuerkennen ohne Daten Deren Herausgabe ist unter bestimmten auf dem PC oder Smartphone des Nutzers Umständen gesetztlich vorgeschrieben. abzulegen (z.B. Cookies). Wird z.B. mittels Verkehrsdaten Device Fingerprinting erreicht. Tracking ist whichtig für gezielte Werbung, aber auch für Standard: (auch Normen) Regeln tech- nischer und organisatorischer Art, die mehr Surveillance oder weniger verbindlich sein können. Siehe State-Machine: Konzept der Computerwissen- ANSI, DIN, ISO, ÖNORM, NIST, schaft. Dabei werden die Details des über eine RFC, IEEE, Best Practise, Stand der Zeiteinheit erhaltenen Inputs auf Verände-
Version 11.1 Seite 184 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ rungen einer begrenzten Anzahl von Zustän- Designs. Ein anderer Aspekt ist FOMO (fear den (States) reduziert. Dies vereinfacht die of missing out). Diese Techniken stehen im Programmierung von Systemen, bei denen der Kern des Überwachungskapitalismus Output nicht nur vom direkten Input, sondern Stimme: Stimm-Erkennung auch früheren Ereignissen abhängt. Wird z.B. Stimm-Erkennung: automatische Analyse von in Firewalls verwendet. Siehe SDL Stimmen zum Zwecke der Identifizierung von State-of-the-Art: deutsch Stand der Technik Personen oder deren Gefühlszustand, z.B. ob Status-Anzeigen: Implementierung von sie ärgerlich sind oder verliebt. Technisch Human-in-the-Loop. Das Programm zeigt werden dabei DSP eingesetzt. Wenn an mehr oder weniger prominenter Stelle Zugang zu vielen Telefonverbindungen besteht Hinweise an, die Der Benutzer als Basis für kann damit auch eine großflächige Fahnung eine Sicherheitsentscheidung nehmen sollte, ( Rasterfandung) durchgeführt werden. Siehe z.B. das Fehlen des SSL-Indikators im Sprachanalyse, Überwachung, NGI Webbrowser. Dies führt sehr oft zu sub- STK: SIM Application Toolkit optimalen Sicherheitsentscheidung Stock-Pump-and-Dump-Spam: Pump-and- Steam: Internet Vertriebsplattform für dump Spiele ( Games). Über diese Plattform wird Storage Area Network: SAN nicht nur der Verkauf, sondern auch die Verwaltung der Kunden / Gamer, die Verteilung Storm Worm: Botnet auf P2P-Basis mit verteilten Control Center, daher schwer der Software sowie die Überwachung von Lizensen ( DRM) durchgeführt. D.h. andere angreifbar. Overnet
Spieleanbieter wie Valve nutzen diese http://www.heise.de/security/artikel/106686 Plattform auch STP: (spanning tree protocol, IEEE Standard 802.1D) Verfahren für Redundanz in Steganographie: Verstecken von Daten, z.B. Layer-2 IP-Netzen, das es erlaubt, alter- in großen Datenmengen. Dabei geht es um native Pfade zwischen Switchen vordefiniert Verschlüsselungsverfahren, bei dem so kommuniziert wird, dass die Kommunikation und verkabelt zu haben. Siehe Hochver- fügbarkeit selbst für Uneingeweihte nicht erkennbar ist. Zu diesem Zweck wird eine (möglicherweise Streaming: Streaming bezeichnet die Über- verschlüsselte) Nachricht in einer anderen tragung von Tönen und Videos über Nachricht, oder in Daten, z.B. einem digita- Computer-Netze und in „nicht-linearer“ Form lisierten Bild versteckt. Ähnlich wie bei einem (d.h. Nutzer können im Gegensatz zu Rund- digitalen Wasserzeichen werden zusätzliche funk und Fernsehen selbst den Zeitpunkt und Informationen in eine Datei codiert, die nur mit die Inhalte auswählen – eine Ausnahme stellt einem speziellen Programm oder Tool wieder Webradio dar). Ein wichtiger Aspekt ist, dass lesbar gemacht werden können. So kann ein bei Streaming (im Gegensatz zum Kauf einer digitalisierter Text, z. B. in einer Bilddatei, ver- DVD) kein Erwerb der Inhalte entsteht, schwinden und nur vom Inhaber des Decodier- sondern nur ein Nutzungsrecht. Social Schlüssels wieder ausgelesen werden. Eine Viewing bezeichnet Systeme mit deren Hilfe andere Anwendung von steganographischen mehrere Zuschauer gleichzeitig einen Film Verfahren wird bei TOR versucht, indem der sehen und parallel kommentieren können, Datenverkehr mittels „bridges“ und „pluggable wurde 2020 populär. transports“ so verändert wird, dass er nicht als Genutzt werden Streaming Media, bekannte TOR-Datenverkehr erkannt werden soll (z.B. in Beispiele solcher Dienste für Filme sind einem Land in dem TOR verboten ist). Siehe Netflix, Amazon Prime, Disney+ und Deniability Spotify. Diese Anbieter produzieren seit ca. Stickyness: häufige Forderung der Betreiber 2016 eigene Inhalte und sind eine ernsthafte von Social Networking Websites oder Bedrohung für die traditionelle Film-Industrie ähnlichen Apps. Sie beschreibt den Sucht- und ihre traditionellen Vermarktungswege. Im charakter den diese Anbieter für ihre Angebote Bereich Videostreaming dominert Google erreichen wollen damit die Nutzer möglichst Youtube, Dailymotion und Vimeo, als viel ihrer Lebenszeit auf dieser Plattform alternative gibt es Peertube. Bei Musik verbringen und während dieser Zeit streiten sich Spotify und Apple um Markt- personalisiterte Werbung geschaltet werden anteile. Da Streaming hohe Anforderungen an kann. Dabei werden zum Teil Erkenntnisse aus die Bandbreite stellt gab es erste Dienste erst der Optimierung von Spielautomaten einge- ca. 2000. 2020 gab einen erheblichen Schub setzt, wie das Wechseln zwischen Gewinn und für Streaming. Streaming Dienste sind einer Verlust, zwischen Up und Down, z.B. durch der Streitpunktpunkte bei Net Neutrality da abwechselnd negatives Feedback und oft gewünscht wird dass die großen positives, z.B. Likes. Ein dafür manchmal Datenmengen priorisiert und/oder für die gebräuchlicher Begriff ist dark pattern. Auch Nutzer kostenfrei übertragen werden bei Computerspielen (Games), z.B. (außerhalb der Datenlimits). Die Nicht- Pokémon ist ein Suchtelement Teil des Linearität bedeutet, dass Inhalte als Unicast
Version 11.1 Seite 185 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
übertragen werden müssen, d.h. wenn 1000 ein Kernkraftwerk im Iran mittels Manipulation Personen dasselbe Video schauen, so muss der PLC Software mit dem Ziel der Zer- der Server trotzdem die Inhalte 1000x über störung von Anlagenkomponenten. Dieses Ziel die Leitungen senden. Deswegen werden die wurde offensichtlich erreicht. Verwendet wur- Inhalte möglichst nahe bei dem Empfängern den Techniken des APT, inkl. mehrere auf CDN-Servern gespeichert. Trotzdem Zero Day Exploits, gestohlene X.509 stellen Videodaten mittlerweile ca. 80% des Zertifikate zum Signieren von Code und Internet-Verkehrs dar. Rootkit-Technologien. Eingeschleust wurde Seit ca. 2013 gibt es Streaming von Video- der Schadcode über USB-Stick zur Über- spielen ( Games). Führend ist dabei die windung des Air gaps. Plattform Twitch (Teil von Amazon) auf der Neu war die konkrete Umsetzung eines bis Zuschauer anderen beim Spielen zusehen dahin theoretischen Angriffs auf Hardware- können. Dies ist überraschend populär. Es Komponenten durch Manipulation ihrer finden dort jedoch auf andere Auftritte statt. elektronischen Steuerungen. Der Angriff war Eine weitere Form des Streamens von Spielen sehr aufwendig, ziemlich sicher wurden Teile bezeichnet Spiele die rein im Web-Browser der Anlage mit Originalkomponenten nach- genutzt werden und daher nicht an Gaming- gestellt um die Software zu testen. Verdächtigt PCs gebunden sind (z.B. Dienste wie wird eine Allianz aus USA und Israel, aus den Google Stadia, Microsoft xCloud, USA gibt es eine inoffizielle Bestätigung. Amazon Luna, Onlive oder Gaikai). Dies 2013 wird herausgefunden, dass bereits seit wird auch Cloud-Gaming genannt 2007 eine noch komplexere Variante in der Streaming Media: Technologie die es ermög- Natanz im Einsatz war, die den Druck in den licht, auf Töne und Bilder die auf Websites Zentrifugen so erhöhte, dass die Lebensdauer angeboten werden, kontinuierlich zuzugreifen der Zentrifugen reduziert wurde. Diese und ohne Abspeichern auf der eigenen Variante war direkt vor Ort installiert worden. Festplatte direkt darzubieten. Wird z.B. für Ab 2009 wird dann die 2. Variante eingesetzt, Internet Radio benutzt. Für Audio wurde zu die die Frequenz der Zentrifugen erhöht und Beginn Realaudio von Progressive Media oder mittels USB-Stick übertragen wurde. auch MP3 oder Vorbis eingesetzt. Verwendete Stuxnet wird als Beispiel für Cyberwar Protokolle sind RTSP (Real-time Streaming gesehen, aber Cyber Sabotage ist vermutlich Protocol), RTP (Real-time Transport treffender. Siehe Protocol), RTCP (Real-time Control http://sicherheitskultur.at/notizen_1_10.htm#stux Protocol). Inhalte können in Smartphone Sub-Domain: Namenselement vor dem Apps, Web-Browsern oder Smart TVs abgespielt werden. Siehe Streamripper Domain-Name einer URL. Z.B. books.google.com (books ist die Sub-Domain Streamripper: Software, die es erlaubt, die von google.com). Websites auf einer Sub- kontinuierlichen Audio-Ströme von Webradio Domain können auf Cookies zugreifen, die in Dateien im MP3-Format umzuwandeln. von der übergeordneten Domain geschrieben Dabei wird im Fall von Privatkopien in Ö das wurden Urheberrecht nicht verletzt. Siehe Webradio-Recorder Suchmaschinen: Webdienste, die mit Hilfe von bots ein Verzeichnis des World Wide Streetview: Google Streetview Webs erstellen. Dabei wird jedoch auf Grund Stresser: dDoS-as-a-service Dienst um IP- der Größe des Webs nur ein kleiner Teil Adressen für eine begrenzte Zeit nicht katalogisiert, das sog. Surface Web, geschätzt erreichbar zu machen. Details siehe Denial als ca. 16%. Das Deep Web ist noch bis zu of Service 500 mal größer, da es viele Seiten gibt, die von Stromverschlüsselung: (engl. stream cipher) Suchmaschinen nie erreicht werden können, Verschlüsselung eines kontinuierlichen entweder weil dies ein Passwort voraussetzt Datenstroms. Siehe A5 oder weil dies Datenbankanfragen sind oder weil sie nicht mittels http erreichbar sind. STUN: (simple traversal of UDP through Suchmaschinen verlieren an Relevanz wenn NATs) Technik um eine Verbindung zwischen mehr und mehr Inhalte, die für Benutzer 2 Rechnern hinter NAT-, bzw. NAPT - wichtig sind, nicht erreichbar sind, z.B. weil sie Firewalls oder Routern zu ermöglichen in den Facebook Profilen nicht-öffentlich (RFC3489). Es wird bei einem externen STUN- sind. Google versuchte daher, die Inhalte Server angefragt, was die eigene externe IP- von Google+ (jetzt obsolet) auch in den Adresse und Port-Nummer ist. Mit deren Suchergebnissen zu liefern, konnte dies Hilfe kann eine Peer-to-peer Verbindung jedoch für andere Social Networks nicht tun. hinter Firewalls aufgebaut werden, z.B. Da Suchmaschinen keinen Zugriff auf den wichtig bei WebRTC Webvideokonferen- Social Graph der Nutzer hat, endet jede zen. Siehe UDP hole punching Suche nach einem persönlichen Bekannten bei Stuxnet: Name der Software für einen irgendwelchen Prominenten im Web. Angriff auf die Kernwaffenanreichung und Suchmaschinen sind problematisch durch ihr
Version 11.1 Seite 186 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Data Mining der Suchanfragen, die sensible und mit nicht-aktueller Software, Patch) wäre Daten enthalten und (speziell bei nach dieser Zeit infiziert. Die Messungen Weitergabe) zu Verletzungen der Privat- schwanken zwischen 5 und 10 Minuten sphäre führen können, siehe Spear fishing, SUS: (Software Update Services) kostenloses targeted attack, Google, Swoogle, Programm für die Verwaltung von Patches SEO, Social Circle, contextual in Windows-Netzen. Verwendet MSUS als discovery. Alternative Optionen sind z.B. Server-Komponente und „Automatic Update“ DuckduckGo oder das französische als Client-Software. Soll von WSUS abgelöst qwant. Bei solchen Suchmaschinen werden werden oft die Anfragen nach Google weitergeleitet, SVG: (Scalable Vector Graphics) Standard der aber dadurch auch anonymisiert W3C-Organisation für die Präsentation von Suchtcharakter: sehr erfolgreichen Web- 2-D Graphiken im Webbrowser auf XML- sites vor allem in Bereich Social Networking, Basis. Alternative zu Flash und Silverlight, wie Facebook, aber auch Youtube wird aber derzeit (2008) nicht sehr gut unterstützt Suchtcharakter nachgesagt, auch stickyness SVN: (Sozialversicherungsnummer) in D., Ö, genannt. Zweck des Designs und der CH verwendete lebenslange Identifizierungs- Konzepte ist es, die Nutzer möglichst lange auf nummer für Zwecke der Sozialversicherung. der jeweiligen Website oder App zu halten Die in den USA verwendete SSN wird auch um einen möglichst großen Anteil an den für viele andere Zwecke eingesetzt Werbeeinnahmen zu erhalten. Die Methoden werden oft als Dark Pattern bezeichnet. SVP: (Spectralink Voice Priority ) spezielles Pro- Siehe Werbung tokoll für VoWLAN sudo: Programm auf Unix Systemen, das SWATting: vor allem in den USA verbreitete es erlaubt, dass bestimmte Benutzer Pro- extreme Form des Cyber Bullying (Cyber Mob- gramme ausführen können, die normalerweise bing): Anruf bei der Polizei dass in einem Haus als „superuser“ (su) ausgeführt werden müs- ein bewaffnetes Verbrechen passiert mit dem sen, ohne dass diese Anwender diese Rechte Ziel, dass die Polizei mit einem Großeinsatz „haben“. http://www.courtesan.com/sudo/ das Haus umstellt. Wird oft als Racheakt Super-App: WeChat verwendet, zum Teil angewendet gegen Cybercrime-Journalisten, wie z.B. Brian Supercomputer: ein Computer, der erheb- Krebs. Wird jedoch auch gegen beliebige lich schneller ist als die zu einer gewissen Zeit üblichen Computer. Die Geschwindigkeit wird Personen eingesetzt, oft in der Gamer-Szene in der Regel in FLOPS ( floating point und sehr oft gegen Frauen. Sehr schwer zu operations per second) gemessen, da solche verfolgen, da bestehende Gesetze auf Geräte fast immer für Gleitkomma- körperliche Gewalt abzielen und die Täter oft operationen wie z.B. große Simulationen (z.B. mehrere Anonymisierungsdienste verwen- Wettervorhersage, Kernenergie und Kern- den um den Anruf bei der Polizei mittels waffenforschung) genutzt werden. In den VoIP abzusetzen. 60igern gebaut von Control Data oder Cray SWIFT: (Society for Worldwide Interbank Research in der Form von Vektorrechnern, Financial Telecommunication) internationale Leistungen einige 100 MFLOPS), heute durch Genossenschaft der Geldinstitute, die ein extreme Parallelisierungen Leistungen im Peta Telekommunikationsnetz (SWIFT-Netz) für den FLOPS Bereich Nachrichtenaustausch und Geldtransfer zwi- Supplicant: Software auf einem Gerät, das schen diesen unterhält, gegründet 1973. Ziel über NAC (IEEE 802.1x) authentisiert des Netzes ist ein Bank-zu-Bank Nachrich- werden soll tenaustausch mit Sicherheit in Bezug auf SURBL: (Spam URI Realtime Block Lists) Non-repudiation und Authentisierung. Dies Liste von Domains, die früher in Spam wird durch Hash und mehrfaches Logging referenziert wurden errreicht. Vertraulichkeit wird über Hardware- Surfen: auch Web Surfing. Die Nutzung eines Verschlüsselung der Verbindungen erreicht. Die heutige Version setzt digitale Signaturen Web Browsers um Informationen im Internet abzurufen. Ein wichtiger Aspekt ist ein. Siehe BIC das Verfolgen von Hyperlinks von einer Die eigentliche Sicherheit, auch gegen Betrug, Webseite zur nächsten. Sicherheitsrelevant, entsteht durch doppelte Buchführung weil über Verwundbarkeiten der verwen- (entwickelt bereits 1494) . 2006 wird bekannt, deten Software und Malware auf Websites dass SWIFT seit 2001 alle Daten über Angriffe erfolgen können internationale Geldtransfer an den CIA liefert, Surveillance: (engl. Überwachung) Big die europäischen Behörden haben jetzt auch Brother, Sousveillance Interesse an den Daten geäußert. survival time: durchschnittliche Zeit bis zu 2016 finden eine Reihe von Angriffe statt bei einer Infektion durch Würmer im Internet. denen das Geld mittels SWIFT-transfer auf Ein nicht geschütztes System (ohne Firewall Konten der Angreifer überwiesen wird. Durch
Version 11.1 Seite 187 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ geschicktes Weitertransferieren, z.B. zu Casi- System: komplexes Gebilde aus Einzelkompo- nos können die Gelder zum Teil nicht verfoglt nenten, die auf Grund ihrer Komplexität kaum und zurückgeholt werden. Die Zentralbank von zu durchschauen sind und dadurch Bugs, Bangladesh hat dabei 81 Mio USD verloren. d.h. unterwünschtes Verhalten, und damit Die Angriffe sind nicht gegen das Netz selbst Schwachstellen für Angriffe zeigen. Bei- sondern die Angreifer dringen in die spiel: IT-Netze, Computer, Betriebssystem Banksysteme ein und verwenden diese Systemüberwachung: Verfahren zur kontinu- illegalerweise ierlichen Überwachung des Zustands aller Swipe: genutzt für das Entsperren einer Komponenten der (IT-) Infrastruktur (Hardware Bildschirmsperre, zuerst bei Android und Software). Bei Fehlern werden Inci- Smartphones. Dabei wird ein Code durch das dentmeldungen generiert. Teil der System- Abfahren von quadratisch angeordneten Punk- überwachung ist die Netzüberwachung ten auf einem Bildschirm eingegeben. Es Tablett: mobiler Computer der im Gegen- entstehen in der Regel längere Sequenzen als satz zum Laptop keinen aufklappbaren die üblichen 4-stelligen PINs. Jedoch Bildschirm hat sonder nur aus den hinterlässt die „Figur“ deutliche Schmierspuren Bildschirm besteht (ein großes Smartphone). auf dem Glas, wodurch diese Technik wieder Es werden auch Lösungen angeboten die wie sehr unsicher wird ein Laptop aufgeklappt werden können, aber Switch: Verkabelungstechnologie, bei der Bildschirm und Tastatur separiert werden jedes einzelne Gerät eines Datennetzes können, zumeist mit MS Windows. Erste (LAN oder SAN) an einem eigenen Port Geräte gab es bereits in den 90igern, zum des Switches angeschlossen ist. Ursprünglich Erfolg kam diese Form erst durch das iPad entwickelt um den Durchsatz von Ethernet- von Apple, später auch mit Android Netzen zu erhöhen (im Gegensatz zum verfügbar. Von den Bedrohungen her gelten Hub). Dies erschwert jedoch den Einsatz die gleichen Regeln wie für mobile Geräte und von Protocol Analyzern, siehe SPAN. Wird andere Computer, im Detail abhängig vom in Verbindung mit der VLAN Technologie oft genutzten Betriebssystem (das von Handy- zu Sicherheitszwecken eingesetzt. Virtuelle Systemen bis zur vollen Desktop-Software Server ( Vmware) enhalten oft virtuelle reichen kann). Siehe auch Shadow-IT Switches in Verbindung mit virtuellen Netz- Tag: einem Objekt eine Beschreibung oder werkadaptern ( Ports). Siehe Port Security einen Namen zuordnen. Siehe Image Swoogle: Suchmaschine für das seman- Tagging, Meta Tags tische Web Tails: (The Amnesic Incognito Live System) Sybil: Sybil Nodes sind Knoten in Social spezielles Betriebssystem auf Linux-Basis Networks, P2P-Systemen und reputations- mit dem Ziel Privatsphäre und Anonymität basierten Systemen künstliche Knoten besser zu schützen. Es wird von einer DVD (Mitglieder) die für Angriffe (Sybil Attacks) oder einem schreibgestützten USB-Stick genutzt warden können gestartet, nutzt keine Festplatte und kann daher keine Ergebnisse und Verlaufsprotokolle Synchronisation: automatischer Abgleich von abspeichern. Alle Verbindungen nach außen Speicherbereichen, zum Teil für Daten- werden über TOR geleitet. Gewinnt sicherung verwendet. Siehe Mirror Popularität durch die Enthüllungen von Symbian: Betriebssystem für Smart- Edward Snowden, bei denen es zum Einsatz phones und PDAs, das von der Firma Sym- kam (und kommt). Leider konnten Forscher bian angeboten wird und eine Alternative zu zeigen, dass auch dieses System durch WinCE und PalmOS ist. Kam auf Nokia- Angriffe über die Schwachstellen im BIOS Smartphones zum Einsatz. Anfang 2005 gab angegriffen werden kann es eine Reihe von Schwachstellen, die zu Take-down: wichtigste Verteidigungsmaßnah- Angriffen genutzt werden können, Symbian me gegen eine aktive Phishing-Website spielt seit ca. 2012 keine Rolle mehr (oder andere kriminelle Aktivitäten). Das ange- Synflood: Angriff auf Rechner ( DoS) bei griffene (imitierte) Unternehmen kontaktiert der durch das Senden einer sehr große Zahl den Hoster der falschen Website oder den von syn-Paketen zur Eröffnung einer TCP- Registrar der Domaine und verlangt die Verbindung ein Rechner lahmgelegt wird. Stillegung („vom Netz nehmen“). Die Kontakt- Siehe Denial of Service stelle ist oft der Compliance-Officer. Syslog: Standard-Verfahren zur Weiterleitung Kommerzielle Services bieten diese Dienst- von Logging-Daten in IP-Netzen. Der leistung an, oft als im Rahmen von Brand- Syslog-Server (syslogd) empfängt die Daten Protection via TCP oder UDP, es kann mittels Tampering: Tamper-proof SSL/TLS verschlüsselt werden. Logs die auf Tamper-proof, tamper resistance: Schutz vor diese Weise auf separate Server gespiegelt Veränderung an Geräten oder Software. Ein werden können für Audit-Zwecke oder Manipulieren des Geräts oder der Software soll Sicherheitsmonitoring verwendet werde entweder sehr schwierig sein oder deutlich
Version 11.1 Seite 188 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ sichtbare Spuren hinterlassen. UICC-Karten unter P2P. Siehe auch Napster, KaZaa, (z.B. SIM) gelten als tamper resistant eDonkey, BitTorrent TAN: (Transaktionsnummer) hauptsächlich in TCG: (Trusted Computing Group) Konsortium Europa eingesetztes Verfahren von One-time- von Computerfirmen (u.a. Intel, AMD, HP, IBM, passwords ( OTP) zur Authentisierung von Microsoft und Sun). Es geht um einen Hard- Finanztransaktionen. Die TANs werden von warestandard, der eine eindeutige Identifizie- der Bank erzeugt und per Brief versandt. rung eines Rechners und eine kryptogra- Mittlerweile (2005) auch einzeln im Bedarfsfall phische Absicherung seiner Komponenten per SMS verschickt oder an Hand einer erlaubt. Implementiert durch einen TPM Nummerierung gezielt angefordert. Siehe (Trusted Platform Module) Chip auf dem iTAN, mTAN, Phishing Motherboard. TCG standardisierte auch eine TAO: (Tailored Access Operations) Einheit Festplattenverschlüsselung, die bereits in der innerhalb der NSA die für Angriffe auf Hardware aller zukünftigen Festplatten inte- Endgeräte ( PCs, Server, Router, etc.) griert ist. Siehe auch NGSCB, EMSCB, zuständig sind. Sie verwenden dafür Exploits Palladium, ESS, Trusted Storage (implants) um Zero-Day Verwundbar- TCP: (Transmission Control Protocol) neben keiten ausnutzen zu können ( Targeted UDP das wichtigste Kommunikationsproto- Attacks). Mit Hilfe der TURBINE Aktivität koll im Internet, dessen Datenpakete mit können 2013 solche „Implants“ auch dem IP-Protokoll transportiert werden. Daher automatisiert auf vielen Millionen Rechnern wird in der Umgangssprache oft fälsch- installiert und verwaltet werden. TAO wird z.B. licherweise der Begriff TPC/IP verwendet. dafür eingesetzt, um Schlüssel zu stehlen, Applikationen werden in TCP über Port- die für das Entschüsseln von IPsec oder TLS- Nummern adressiert, z.B. Port 80 an einen Verbindungen verwendet werden. Webserver Ähnliche Einheiten wie TAO gibt es auch in anderen Ländern, dokumentiert ist APT1 in source destination China. Ein wichtiger Punkt dabei ist, dass address 88.88.1.67 99.45.12.1 solche Einheiten deutlich billiger sind als port 3345 80 andere militärische Einheiten und daher auch von Ländern eingesetzt werden, die nicht für High-Tech bekannt sind, z.B. Nordkorea oder "high port" "well-known port" Iran TCPA: (Trusted Computing Platform Alliance) Targeted Advertising: Fähigkeit, Werbung an früherer Name der TCG. eine identifizierte Zielgruppe oder Person zu richten, z.B. durch Auswertung des Kauf- oder TCP Wrapper: open-source Software zur Surfverhaltens ( data mining). Kann im Kontrolle von IP-basierenden Netzzugriffen Internet, aber auch bereits „im richtigen von Programmen auf dem Rechner selbst Leben“ eingesetzt werden, z.b. mittels intel- TCSEC: (Trusted Computer System Evalua- ligenter Plakate. Siehe auch retargeting, tion Criteria) auch Orange Book genannt. tracking 1985 von der amerikanischen Regierung veröf- Targeted Attack: wichtige Angriffsform u.a. fentlichter Zertifizierungsstandard, der Kriterien für Industriespionage. Malware wird genau für unterschiedliche Sicherheit für Computer für 1 Unternehmen oder 1 Person program- vorgibt ( MLS). Die heute üblichen Systeme miert und getestet, so dass sie dort als legitim fallen in die unterste Klasse D (minimal akzeptiert wird und vom Malwareschutz nicht Security), in der Klasse A (highly secure) erkannt wird, oft mittels Informationen in finden sich nur einige Spezialsysteme. Von Social Networking Websites oder über einer Reihe von Systemen, wie z.B. MS Suchmaschinen. Oft werden dabei Zero- Windows oder Sun Solaris sind Spezialver- Day Verwundbarkeiten eingesetzt. Siehe sionen verfügbar, die entweder der C2 oder Spear fishing, TAO, Breach Detection der B1 Sicherheitsklasse entsprechen. In System, Kill chain diesen Systemen wird die sog. MAC (Mandatory Access Control) implementiert, Tastatur: (engl.Keyboard) Standardeingabe- d.h. alle Objekte im System haben Autori- gerät für Rechner für Texte, bei Laptops sierungslevel, ebenso alle Benutzer. Eine integriert, bei Servern über einen KVM- weitere Feature is Discretionary access control Switch angeschlossen. Keyboard-Logger ( DAC). Diese Systeme liegen aber bezüglich zeichnen die Texteingaben, z.B. Passworte Features normalerweise mehrere Jahre hinter illegal auf. Außerdem können elektromagn. den Standardversionen zurück. Heute ersetzt Abstrahlungen bis 20 m Entfernung durch Common Criteria und FIPS-140. aufgefangen werden Siehe Bell-LaPadula Tauschbörse: Vernetzungen von Internet- TDDSG: (Teledienstedatenschutzgesetz) deut- Benutzern um Musik, Filme oder Software sches Gesetz, 1997, das den Datenschutz untereinander austauschen. Sicherheitsaspek- für Informations- und Kommunikationsdienste te unter Filesharing, mehr technische Details
Version 11.1 Seite 189 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ regelt, z.B. Vertraulichkeit von Daten auf dienst GCHQ bei dem ein sehr großer Teil Webservern und Aufbewahrungsvorschriften der internationalen Glasfaserverbindungen auf für Logdaten. Es soll durch ein Telemedien- denen die Datenverkehr im Internet beruht, gesetz ersetzt werden. abgehört und ausgewertet werden. Dabei gibt http://bundesrecht.juris.de/tddsg/index.html es intensive Zusammenarbeit mit der NSA, TDE: (Transparent Data Encryption) Oracle- die speziell für das Knacken der Ver- Funktionalität zum automatischen Ver- und schlüsselungen zuständig ist. Siehe auch Entschlüsseln von Spalten einer Datenbank. PRISM, Edward Snowden Setzt dafür Wallets ein. Vorteil ist, dass auf Tempest: Lauschangriff auf Informationen diese Weise vertrauliche Daten in Daten- unter Ausnutzung der Abstrahlung von sicherungen nicht lesbar sind elektrischen oder elektronischen Geräten, z.B. TDL-4: 2011 Variante einer Malware, die seit Bildschirmen, Tastaturen u.ä. oder von 2008 weiterentwickelt wurde. Die ältere Kabeln. Tempest (Transient Electromagnetic Version TDL-3 wird seit Mitte 2010 kon- Pulse Emanation Standard) bezeichnet kurrierenden Cyberkriminellen zur Verfügung eigentlich den Schutz gegen solche Angriffe. gestellt. Die neue Variante infiziert ebenfalls 2015 konnte gezeigt werden, dass selbst aus über den MBR, wird jedoch über ein niedrigfrequenten Abstrahlungen im MHz öffentliches P2P-Netz Kad gesteuert und Bereich PGP Schlüssel entziffert werden zwar über verschlüsselten Datenverkehr. Die konnten. Die Geräte lassen sich heute mittels Software installiert bis zu 30 Payload- fertiger Komponenten wie SDR extrem Programme, u.a. eine Proxy Software, so kostengünstig herstellen dass die Betreiber gegen Gebühr anonymes Template: (engl. Vorlage) in der Biometrie Surfen anbieten die Umwandlung des analogen biome- Teams: Webkonferenzsystem von trischen Merkmales in eine digitale Form. Microsoft primär für Firmen. Der große Dabei wird z.B. statt des Images eines Durchbruch kam 2020 mit dem Einsatz für Fingerprints die geometrische Anordnung Home Office. In vielen Firmen im Einsatz, der Verzweigungen und Unterbrechungen der weil damit auf die Daten und Anwendung Linien (ridges) gespeichert von O365 sehr gut zugegriffen werden kann Tencent: Riesiger Internetkonzern in China (im Gegensatz zu reinen Webkonferenz- der (so wie Alibaba) umfassende Services lösungen wie Zoom). Wurde aber auch bei im Web und vor allem auf Smartphones Hochschulen eingeführt da dadurch die anbietet. Ihr Dienst WeChat umfasst dabei Internet-Anbindung der Hochschulen Dienste wie Social Networks, Messaging entlastet wird (direkte Kommunikation zu den und auch Zahlungsdienste. Ihr Dienst Weibo Cloud-Servern) ist einer der 2 größten Micro-Blogs in China. Telebanking: MBS, e-Banking Die dabei anfallenden Daten der Nutzer müssen auch mit der Regierung geteilt Telecom Hotel: Siehe IXP werden, siehe Social Credit System Telemedizin: Konzepte wie das Fern-Monito- Terahertz Imaging: Nutzung von elektro- ring der Vitalwerte von Patienten im eigenen magnetischer Strahlung mit Wellenlängen im Haus, zum Teil kombiniert mit Gesprächen Milimeterbereich, die Kleidung durchdringt und über Videokonfernzsysteme. Bekam 2020 deswegen auch als Nacktscanner bezeich- einen guten Anschub, problematisch da es um net wird. Solche Darstellungen werden besonders schützenswerte Daten geht die zahlreiche Privatsphäre-Probleme auf, wer- zum Teil über Dienste durchgeführt wurden die den vor allem an Flughäfen eingesetzt. Dabei dafür nicht zugelassen sind. Siehe e-Health können sowohl aktive Methoden (Abtasten Telex: Kommunikationsmethode für berufliche durch einen Strahl und Messung der Zwecke, ca. 1930 -1980, dann abgelöst durch Reflektion) wie auch passive Methoden (Dar- Fax. Basierte auf speziellen Geräten, sog. stellung der natürlichen Infrarot-Strahlung) Fernschreiber. Dies waren Schreibmaschinen genutzt werden mit einem Anschluss an ein spezielles Telex- Teredo: Tunneling-Protokoll, mit dem IPv6- Netz, in dem Buchstaben mit 5 Bit zu einem Pakete mit UDP über IPv4 gekapselt wer- anderen Fernschreiber übertragen wurden, 5 den. Im Gegensatz von 6to4 kann Teredo bit erlauben nur Großbuchstaben auch mit nicht-öffentlichen IP-Adressen arbei- Telnet: auf dem IP-Protokoll basierendes ten, kann also mit Geräten hinter einem NAT Protokoll für interaktives Arbeiten mit Hilfe kommunizieren. Auf diese Weise können eines textbasierenden User Interfaces. Da die- jedoch auch Angriffe an einer Firewall ses Programm keine Verschlüsselung enthält oder IPS vorbei geführt werden. Benutzt Port und auch das Passwort in Klartext überträgt, 3544. Siehe ISATAP, TSP, AYIYA ist es nicht sehr sicher und seit ca 2010 kaum Terminal: alter Begriff für Bildschirm. noch genutzt. SSH ist eine sichere Gemeint waren damit zumeist text-orientierte Alternative Bildschirme die zumeist über Modem mit TEMPORA: Programm des britischen Geheim- einem Mainframe Computer verbunden
Version 11.1 Seite 190 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ wurden. Berühmt war z.B. das Modell VT100, access, siehe auch ICA. Auch ein dessen Schnittstellen und Funktionen sich zu Webbrowser ist ein Thin Client einem Industriestandard entwickelten und von Threat: Bedrohung vielen anderen Geräten emuliert wurden, bzw. Threat Modelling: Methode die von 3270 für die Geräte die mit IBM-Mainframes verbunden waren. Der Begriff lebt heute in Microsoft propagiert wird um Bedrohung von Software, z.B. Websites, systematisch zu Terminalserver weiter. Siehe auch BBS erkennen. Risikomanagement. Terminal wird in der Technik auch als Endpunkt http://msdn.microsoft.com/security/securecode/thre einer Leitung verstanden, z.B. einer Pipeline atmodeling/default.aspx zur Beladung von Schiffen. In diesem Sinne ist Three-strike-Verfahren: (three strikes out) auch das Terminal als Teil eines Flughafens zu Hadopi verstehen, dort wo statt der Schiffe die Flugzeuge „andocken“ Thumb Drive: (engl. für USB-Stick) Terminalserver: Konzept um Bildschirminhalte TIA: (Terrorism Information Awareness) eines Rechners auf einem anderen Rechner 2002 gestartetes US-Programm zur Sammlung betrachten und nutzen zu können. von personenbezogenen Daten und Erstellung Implementiert z.B. in Windows Terminal Server von Personenprofilen mittels Datamining in (RDP), Citrix, Tarantella, GraphOn GO- (auch kommerziellen) Datenbanken, z.B. Global und VNC. Es wird oft für Axciom, 2003 vom Congress gestoppt. Lebt Fernwartung und –diagnose genutzt. Stark heute weiter als Matrix, bzw. Tangram, bzw. eingesetzt in 2020 für Home Office. Ein die vielen anderen Aktivitäten der NSA. ähnliches Konzept ist mit dem VMware Siehe Server möglich http://www.cio.com/archive/080104/cold.html Terrorismus: „das öffentliche Töten von vielen Tibco: Anbieter von Messaging Software Zivilisten mit dem Ziel, Schrecken in der TIFF: Format für Dateien mit grafischen Bevölkerung zu erzielen“, von der Statistik her Inhalten. Kann wie fast alle grafischen Formate weit überschätzt (verglichen mit realen Schadsoftware enthalten. Siehe JPEG, Bedrohungen wie Autounfall). Wird als GIF Vorwand für viele Überwachungsmaß- tiger team: n. [U.S. military jargon] nahmen verwendet. Siehe http:// 1. ursprünglich ein Team, das durch Eindringen sicherheitskultur.at/notizen_2_06.htm#fliegen in militärische Einrichtungen deren Sicherheit Text: testet. Siehe red team Nachrichten auf der Grundlage von 2. heute auch oft gebraucht für ein Team, das Buchstaben, Zahlen und Sonderzeichen. eine Inspektion jeglicher Art durchführt oder Sehr komprimierte Form der Darstellung. eingesetzt wird, um eine schwierige Situation Kann in strukturierter Form (z.B. im zu lösen XML-, CSV-Format oder Datenbank) TikTok: Social Network Dienst der vor allem oder in unstrukturierter Form (als „Fließ- von jungen Nutzer genutzt wird. Primäres text“) vorliegen. Die strukturierten Texte Merkmal sind kurze Videos die oft für Karaoke- sind beser maschinell auswertbar. Darstellungen genutzt werden. Seit 2016 in Darstellung auf der Basis von Codie- China aktiv, ab 2017 unter dem neuen Namen rungen, z.B. ASCII, UTF-8 weltweit angeboten. Unter jungen Leute Englisch fürb SMS weltweit in 2019 extrem populär Texting: Versenden von kurzen Nachrichten Timeout: in der IT: wenn nach einer vorge- entweder per SMS, oder über Chat- oder gebenen Wartezeit ein Ereignis ausgelöst wird, Messaging Protokolle wie WhatsApp und z.B. das Sperren eines Bildschirms Twitter, aber in der Variation Sexting vor Time Server: zentrale Rechner im Internet, allem über SnapChat die von einer offiziellen Referenzuhr die Zeit TFTP: (Trivial File Transfer Protocol) sehr erhalten, z.B. über Langwelle und von dem einfaches Programm für Dateiübertragung auf andere Geräte die aktuelle Zeit abfragen der Basis von UDP, sehr oft genutzt in können. Diese Abfrage geschieht in der Regel embedded systems für Konfigurationsdateien über NTP. Solche Server stehen im Thin Client: Konzept, bei der Anwendungen Internet kostenlos zur Verfügung. Wichtig mittels eines standardisierten Clients (Hard- z.B. für die Synchronisierung von Log- ware oder Software) dargeboten werden, statt Informationen über eine Client-Server Implementierung Time stamp: Zeitstempel (fat-client), die für jede Anwendung ein spezielles Client-Programm benötigt. Imple- Tinfoil hat: (engl. Aluminiumhütchen) abwer- mentierungen auf Basis von Citrix oder tender Begriff für Personen mit extremer Webbrowsern. Vorteil des Konzeptes ist die Paranoia, basiert darauf, dass der leichtere Wartbarkeit der Anwendungen und Aluminiumhut vor fremden Strahlungen das Vermeiden von VPN für remote schützen soll
Version 11.1 Seite 191 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
TKIP: (Temporal Key Integrity Protocol) in von Vasco, Kobil, Gemalto Wireless Networks in den Standards IEEE 2) Datenobjekt das ausgetauscht wird, z.B. 802.1x, 802.11i und WPA für die Authen- verwendet für Authentisierung, siehe tifizierung verwendet werden. Es schließt SAML, OAuth, Kerberos einige Sicherheitslücken in WEP, wurde jedoch 2008 geknackt. In WPA sollte Tokenization: stattdessen CCMP a) Technik, bei der z.B. bei einer Kredit- TKÜ: Telekommunikationsüberwachung. kartentransaktion nach der Authentisie- Abhören von Telefon oder E-Mail rung durch den Herausgeber der Karte die Kreditkartennummer durch eine 16-stellige TLP: (traffic light protocol) in der IT-Security Zufallszahl ersetzt wird. Der Händler kann übliches Schema um die Vertraulichkeit von für spätere Referenzen diese Zahl statt der Security Informationen zu bezeichnen: Kreditkartennummer speichern ohne RED – nur für namentlich genannte Empfänger PCI-DSS zu verletzen AMBER – für andere in derselben Organisation b) Bei der Analyse von natürlicher Sprache die für diese Inkformation einen „ need to das Zerlegen von Text in einzelne know“ haben Elemente, die dann z.B. einer lexikalischen Analyse zugeführt werden können GREEN – innerhalb einer beschriebenen Community, nicht für Veröffentlichung oder Token Ring: ältere Netzwerktechnologie (ab anderweite Verbreitung 1980), IEEE 802.5, heute von TCP/IP fast vollständig abgelöst WHITE – unterliegt nur den Copyright, bzw. Urheberrechten Toll fraud: Angriff vor allem bei Telefonie (auch VoIP) oder durch Premium SMS bei TLS: (Transport Layer Security) Protokoll dem das Opfer die Gebühren für Dienste für zur Absicherung von Internetverbindungen andere übernimmt durch Verschlüsselung. Nachfolge und Erwei- terung von SSL seit 2006 (SSL und TLS sind Toolbar: zusätzliche Zeile unterhalb der sehr ähnlich, aber nicht kompatibel). Moderne Menüleiste in Bildschirmfenstern, die zusätz- Webbrowser unterstützen beides, ebenso liche Funktionalitäten anbieten, z.B. leichter die meisten Mailserver die das SMTP- erreichbare Such-Funktionalitäten. Das Ange- Protokoll unterstützen (siehe MTLS). Zu den bot solcher Toolbars wird zum Teil für die Schwachstellen bei der Nutzung von TLS Installation von Malicious Code benutzt siehe SSL). TLS enthält Compression, was Toolkit: (engl. Werkzeugkasten) in der IT- für den sog. CRIME-Angriff genutzt wird. Siehe Security oft eine Sammlung von Angriffs- Sovereign Keys, HSTS werkzeugen. Beispiele sind Mpack, NeoSploit, TLS state: seit 2018 sind fast alle Websites IcePack, WebAttacker, WebAttacker2, Multi- mit TLS verschlüsselt und nun werden TLS Exploit, random.js, vipcrypt, makemelaugh, session IDs und session tickets für das dycrypt Tracken von Personen im Web verwendet TOR: (The Onion Router) Anonymisierer, TNC: (Trusted Network Connect) standard- der auf dem Proxy-Prinzip beruht und ver- basiertes Konzept der TCG mit dem Ziel hindern soll, dass ein Benutzer, der z.B. eine Endpoint Security, d.h. Überprüfung des Website besucht, über seine IP-Adresse Sicherheitsstatus von Endgeräten bevor diese identifiziert werden kann. Dies ist zum Schutz in ein Firmennetz gelassen werden. Bisher von bedrohten Personen wichtig, z.B. sind diese Standards jedoch erst teilweise Oppositionelle in Polizeistaaten, aber z.B. auch definiert und erfordern den Sicherheitschip Menschen (speziell Frauen), die bedroht TPM werden. Die Tatsache, dass TOR die IP- Adresse verschleiert, wird auch als unlinkability TOE: (Target of Evaluation) Konzept der bezeichnet. Common Criteria. Bei einer Sicherheits- bewertung muss das Gesamtsystem betrachtet Um dies zu erreichen wird der Datenverkehr werden, nicht nur die Einzelkomponenten zwischen mehreren, zufälllig ausgewählten Rechnern (TOR-Knoten), die alle die TOR- TOGAF: (The Open Group Architecture Software enthalten, verschlüsselt weiter Framework) Rahmenvorgaben für eine IT- übertragen, so dass der Datenverkehr dann an Architektur für Unternehmen. Die 4 einer anderen, nicht nachvollziehbaren Stelle Hauptbereiche sind: Business, Application, im Internet (unverschlüsselt) wieder auftaucht. Data, Technology Dadurch wird die IP-Adresse des Senders Token: (engl. Zeichen, Gutschein, Spielmar- verschleiert. Zusätzliche Verschlüsselung ke). oft verwendet im Zusammenhang mit der Daten vom Browser des Benutzers zum Authentisierungsverfahren. Zielrechner ( End-to-end) ist notwendig, um 1) Token-basierte Authentisierung nutzt ein Vertraulichkeit zu erreichen. Die Entwicklung Gerät, das auf elektronischem Wege ein von TOR als Open Source wird ca.60% Einmalpasswort ( OTP) zur Verfügung durch die US-Regierung gefördert, um damit stellt. Beispiel: RSA SecureID oder Geräte freie Meinungsäußerung in Diktaturen zu
Version 11.1 Seite 192 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ fördern. werden. Die Fingerprint-Daten werden in TOR ist nicht zum Schutz gegen Global einem Secure Element gespeichert und sind Adversary ausgelegt. Es ist angreifbar, z.B. daher nicht direkt auslesbar. durch die NSA, der diese Anonymität durch TPM: (Trusted Platform Module) Chip zur eine umfassende Analyse der Datentransfers kryptographischen Absicherung von Rechnern unter zeitlichen Aspekten „knacken“ kann. mittels Sicherheitsoperationen wie digitale Wenn der Datenverkehr an vielen Stellen im Signatur geeignet ist (Secure Element). Netz gesammelt und ausgewertet wird, so Dazu gehört die Generierung von Schlüssel- lässt sich ein sehr großer Teil der Daten paaren, das Erstellen von Hashes und deren zuordnen. Identifzierung der Nutzer ist aber Signatur. Kritisiert wird an TPM-Implemen- auch über Device Fingerprinting möglich, tierungen, dass solche Techniken auch speziell weil die Tatsache der TOR-Nutzung verwendet werden können, um alternative bereits eine weitgehende Einengung der Betriebssysteme wie z.B. Linux, von Nutzerzahl darstellt. Anonymität im Internet Rechnern fern zu halten indem im UEFI nur die ist nicht wirklich möglich. Signaturen eines oder mehrerer Hersteller Eine Verwendung für illegitime Zwecke sind implementiert sind. Das System würde dann TOR-basierte Botnets. Siehe WikiLeaks, jedes andere Betriebssystem als „ Infektion“ TOR Hidden Service betrachten. Zum Thema wird TPM da Windows 11 TPM 2.0 als Voraussetzung haben wird. TOR Hidden Service: Website, die über Siehe TCG, TXT eine spezielle Onion-Domain-Adresse erreichbar ist (xxxx.onion statt xxxx.com). TPMS: (Tire Pressure Monitoring Systems) Dadurch kann der Datenverkehr vom TOR- System zur drahtlosen Übertragung des Netz direkt zum Webserver fließen und Reifendrucks zu einem Computer im Auto. dieser Webserver ist im „richtigen“ Internet Erfordert Pairing der 4 Sensoren mit dem unter Umständen gar nicht sichtbar. 2013 TPM-controller (ECU). Die ID des Sensors gelang es dem FBI trotzdem, die Handels- lässt sich für Überwachungszwecke nutzen. platform Silk Road „vom Netz zu nehmen“ und Mittels GNU-Radio und USRP lassen sich die Betreiber zu verhaften. Die Summe der unautorisierte Kommandos zu dem System Websites mit .onion Domain-Adressen wird übertragen. In den USA für neue Fahrzeuge auch oft als „DarkNet“ bezeichnet. Die bereits Pflicht, in der EU geplant Suchmaschine Grams will seit 2014 diese TQM: (Total Quality Management) umfassen- Services ähnlich zu Google indizieren, die des Qualitätsmanagement. Das Konzept von Ergebnisse beruhen jedoch auf Selbst- Qualitätsmanagement wurde in den 40iger Meldungen der Betreiber. Auf vielen dieser Jahren in den USA entwickelt (William Edward Websites werden illegale Produkte angeboten, Deming), jedoch erst in den 50igern in Japan daher werden sie immer wieder von Strafver- stark eingesetzt. Sicherheitsrelevant, da folgungsbehörden geschlossen ( darknet Qualität und Sicherheit stark miteinander market, OpenBazaar). Freenet verfolgt verzahnt sind. Siehe Six Sigma, FMEA eine andere Intention. Traceroute: Diagnostic Programm für TOTP: (Time-based One-time Password TCP/IP Verbindungen. Zeigt, auf welchem algorithm) Erweiterung von HOTP, benutzt Weg von Router zu Router die Daten in in vielen 2 Faktor Authentisierungen. Dabei einem konkreten Fall durch das Internet wird auf der Basis der Uhrzeit und einem transportiert wurden. Sendet UDP-Data- eindeutigen Wert für dieses Gerät ein gramme mit manipulierten IP-Time-to-live- Passwort berechnet, das sich in (TTL)-Header-Feldern und sucht nach regelmäßigen Intervallen, z.B. 30 Sekunden, ICMP-Meldungen „Time to live exceeded in verändert. Um Zeitungenauigkeiten zur transit“ und „Destination unreachable“ in den berücksichtigen verwenden manche Antworten Implementierungen ein längeres Zeitfenster, Track 2: Bei Bankomatkarten und Kredit- was aber die Gefahr von Replay-Attacken karten eine der beiden Spuren auf dem erhöht. Siehe auch keyless system das für Magnetstreifen. Beim Skimming wird diese Autos und Gebäude verwendet wird aber Spur ausgelesen. Sie enthält alles was be- anders funktioniert nötigt wird, um eine gefälsche Karte irgendwo Touch ID: Feature von moderneren iPhones auf der Welt zu erstellen und dort einzusetzen, bei der ein integrierter Fingerprint-Leser für wo EMV noch nicht im Einsatz ist das Entsperren des Geräts genutzt werden Tracking: kann. Der Chaos Computer Club konnte a) Tracken physischer Bewegungen durch bereits mehrfach zeigen, dass Fingerabdrücke Peilsender, z.B. auf GSM-basis ( Han- keine sichere Authenisierungsmethode sind, dys) oder auf Grund der Standort-Daten da Fingerabdrücke nicht vertraulich sind. Sie die bei Telefonbetreibern routinemäßig sollten nur als zusätzliches Element eingesetzt anfallen und durch die Vorratsdaten- werden. Mittels Touch ID können 2014 auch die Zahlungen von Apple Pay autorisiert speicherung erfasst werden. Ab ca. 2016 weitgehend durch das Anbieten von
Version 11.1 Seite 193 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
kostenlosen WLANs, bei denen sich scheint Handys mit ihrer MAC-Adresse Trello: Projektmanagement Software für anzmelden versuchen gemeinsames Arbeiten in Arbeitsgruppen b) Tracken von Benutzer-Aktivitäten im Tripwire: Programm, das durch kontinuierliche Internet durch Advertising Networks, Überwachen eines Rechners sicherstellen soll, z.B. durch das Setzen von Cookies, dass keine unautorisierten Veränderungen Flash Cookies, HTML 5 Storage oder vorgenommen werden. Ist als kommerzielles web-bugs beim Webbrowsen. Ziel ist Produkt und als Open Source verfügbar. behavioural advertising. Es können Siehe Change Management, Monitoring Benutzer oder Geräte getrackt werden. Technische Details unter web bug. Trojaner: bzw. besser Trojanisches Pferd, (historisch das Holzpferd, mit dem es Einige Internetnutzer versuchen Tracking zu verhindern durch Opt-Out, DNT- Odysseus gelang, sich Zutritt zur stark befestigten Stadt Troja zu erschleichen). In der Header oder Blocking Tools. Siehe auch data mining, Private browsing, modernen Fassung ein Programm, das UDID, IDFA, Retargeting, stateless vordergründig eine definierte Aufgabe erfüllt, tracking, device fingerprint, Canvas aber zusätzliche verborgene Funktionen enthalten. So werden bei der Installation von Fingerprinting, Advertising ID, Freeware sehr oft zusätzliche Programme Tracking Pixel, Access Point, installiert, oft wird sogar korrekt im EULA http://sicherheitskultur.at/spuren_im_internet.ht m darauf hingewiesen. Im harmlosesten Fall ist dies Adware, aber es kann auch Spyware Tracking Pixel: (Web bug) oder Backdoor-Software sein. Im Finanz- Traffic Diversion: Nutzung von fremden bereich gegen e-Banking werden vor allem Brandnames in Text (auch unsichtbar), Titel, Zeus und SpyEye eingesetzt. Siehe Meta-Tags einer Website um durch Form-grabbing, Webinject, CIPAV, Suchmaschinen höher als der eigentliche Bundestrojaner Brand eingestuft zu werden, ähnlich zu Troll: (nord. Sagenwesen, Unhold) im Inter- Cybersquatting und damit Verkehr zu dieser net jemand, der in Diskussionsforen, per E- Website umzuleiten Mail oder ähnlichem andere Personen oder Transaction log: Protokoll der Änderungen in Gruppen gezielt provoziert, bis hin zu Todes- einer Datenbank. Verwendet für die Wie- drohungen und Cyberbullying. Sicher sehr derherstellung.Siehe auch Journal oft unethisch, nur in Ausnahmefällen derzeit Transaktionsdaten: generell Daten über strafbar. Trolls wird mit den Persönlichkeits- Transaktionen, z.B. Verkäufe oder Kommu- merkmalen Narzissmus, Psychopathie und vor nikationen. Dies können die eigentlichen allem Sadismus in Verbindung gebracht Inhaltsdaten der Transaktion sein, z.B. bei Trollfabriken: Firmen die eine große Zahl von einem Verkauf, oder Metadaten. wie bei Menschen damit beschäftigen, auf Social einer Kommunikationsverbindung. Auswertun- Networks und anderen Plattformen Stimmung gen beider Arten von Daten können leicht die für oder gegen etwas zu tun. Dabei können zur Privatsphäre beeinträchtigen. Siehe Data Verstärkung der Wirkung auch Social Bots Retention, Vorratsdatenspeicherung zum Einsatz kommen. Eine bekannte Transhumanismus: Denkrichtung die die Trollfabrik ist die Internet Research Agency Grenzen menschlicher Möglichkeiten durch (IRA) in Petersburg den Einsatz technischer Mittel erweitern will. TrueCrypt: kostenloses Open Source Diese Denkrichtung ist sehr aktiv rund um die Verschlüsselungsprogramm für Datenspei- IT-Firmen in Silicon Valley. Dabei werden je cher. Wurde 2014 überraschend von den nach Forschungsreichtung Aspekte der AI- Entwicklern als unsicher zurückgezogen, Ge- Forschung (z.B. „starke AI“) mit brain- rüchte besagen, dies wäre evtl. auf Druck von computer interface Forschungen und Neuro- Regierungsbehörden geschehen- ist daher prothesen kombiniert und über Konzepte wie zum Teil noch im Einsatz. Legt verschüsselte das „Hochladen“ von menschlichem Bewusst- Container an in denen ein Dateisystem sein in Maschinen zum Zwecke der „versteckt“ ist, das über eigenen Laufwerks- Unsterblichkeit nachgedacht. Es gibt aber buchstaben verfügbar ist. Kann daher auch mit grundlegenede Zweife daran, dass so etwas ja Cloud-Speichern genutzt werden, die ein funktionieren könnte: „mappen“ auf Laufwerksbuchstaben erlauben. https://www.newscientist.com/article/mg24532652- Unterstützt auch Hidden Volumes, d.h. ein 900-uploading-your-brain-will-leave-you-exposed-to- Deniable File System, Version 6 unterstützte software-glitches/ ein Deniable Operating System. Als Die EU unterstützt ein Forschungsprojekt Nachfolgeprogramm positioniert sich das VERE (virtual embodiment and robotic re- ebenfalls Open Source Program VeraCrypt embodidment) bei dem die Grenzen zwischen Trust: wichtiges Konzept der Informations- Mensch und Maschine aufgehoben werden sicherheit: welchen Personen, Systemen sollen, das ähnliche Aspekte zu behandeln oder Stellen darf vertraut werden, darf man
Version 11.1 Seite 194 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ sich verlassen. Ohne Trust in irgendwas ist Grundlage für alle unsere heutigen digitalen keine Sicherheitsimplementierung möglich. Computer. Turing hat mathematisch gezeigt, Siehe Certificate Authority, Reputation dass eine solche Maschine jede andere System, SAML, virtual currency, Web- Maschine emulieren kann (sofern sie über of-Trust geeignete maschinelle Peripherie verfügt), was Trust Boundary: Sicherheitskonzept, dass wir bei den heutigen Computern immer nur solche Teile einer Client-Server An- deutlicher sehen: Jeder Computer kann alle wendung (d.h. auch web-browser-basiert) Aufgaben lösen, die von einem Computer außerhalb sicherer Umgebungen liegen lösbar sind (Beschränkungen liegen lediglich in dürfen, deren Manipulation keine Sicher- der benötigten Rechenzeit, d.h. es gibt neben heitsverletzungen darstellen kann. D.h. der Geschwindigkeit und Speichergröße keine sicherheits-relevante Daten oder Programm- grundsätzlichen Unterschiede zwischen teile dürfen nicht im Benutzerzugriff sein, z.B. Smartphone und Supercomputer). Siehe in der Form von JavaScript. Siehe Jericho Turing Complete, P-NP-Problem Forum Turing Test: vom britischen Mathematiker Trust Center: Certificate Authority Alan Turing in den frühen fünfziger Jahren entwickeltes Konzept, mit dessen Hilfe Trusted Computing Platform: TCG entschieden werden soll, ob ein Rechner als Trusted Execution Technology: Sicherheits- intelligent zu bezeichnen ist. Dabei geht es konzept von Intel für zukünftige Prozessoren. darum, dass ein Mensch nicht mehr erkennen Beinhaltet spezielle Instruktionen, Virtuali- können soll, ob er mit einem anderen Men- sierungen und TPM. AMD arbeitet an einem schen oder dem Rechner kommuniziert. Wird ähnlichen Konzept seit einigen Jahren in der Form von Trusted Storage: Spezifikation der TCG zur Captchas von Anbietern wie yahoo oder Verwendung von TCM in Verbindung mit hotmail gegen Spammer eingesetzt. Siehe Verschlüsselung oder Zugriffsschutz z.B. AI, für Festplatten http://philipps-welt.info/Turing Test.htm Trusted System: 1) im Security Engineering TVSS: (transient voltage surge suppressor) ein System, dem vertraut werden MUSS, weil Siehe SPD eine Verletzung die Gesamtsicherheit gefähr- Tweet: eine Kurznachricht in Twitter den würde. D.h. es müssen besondere Sicher- Twitter: Social Network (ähnlich zu Blog), heitskriterien angelegt werden, z.B. was die bei dem Nachrichten von früher max. 140 Authentisierung der Benutzer betrifft. Zeichen, jetzt 280, an alle „Follower“ versendet Ebenso sind Risikoanalysen notwendig. werden ( Micro-Blogging). Socialbots auf Siehe Security Envelopes Twitter werden eingesetzt um Meinungen 2) ein System, das über einen TPM authen- und/oder Verhalten von Followern zu beein- tisiert ist flussen. 1% der Twitter-User erzeugen 30% TSA: (Transportation Security Organisation) der Tweets, d.h. auch dieses Medium wird US-Behörde für die Zivilluftfahrt. Siehe von wenigen Benutzern dominiert und lässt CAPPS II sich für Manipulationen nutzen (z.B. Twitter TSP: (Tunnel Setup Protocol) eine der Mög- Bombe). So wurde in 2012 in Indien eine Panik lichkeiten, IPv6 Datenverkehr durch IPv4 ausgelöst und falsche Tweets zur Lage in Netze zu tunneln, benutzt Port 3653. Siehe Syrien wurden erfolgreich genutzt um den Teredo, AYIYA Ölpreis zu beeinflussen. Außerdem ist es in prominenten Kreisen üblich, sich über Turaya: open-source Software zur Unter- entsprechende Services falsche Follower zu stützung von TPM als Alternative zu kaufen, ähnlich zu sock-puppets. Die NGSCB, erstellt durch EMSCB. Turaya- automatisierte Auswertung von Tweet verrät Crypt erlaubt z.B. die Verschlüsselung von leider sehr viel über die Persönlichkeit von Daten oder Geräten und Turaya-VPN ver- Personen, siehe Big Five. 2014 gab Twitter schlüsselt Verbindungen zu, dass 23 Mio, d.h. 8,5% seomer 270 Mio TURBINE: NSA Aktivität mit deren Hilfe seit account „fake“ sind. Siehe auch Click farm. ca 2013 TAO Implants automatisiert auf 2019 gehört Twitter (noch) zu den walled vielen Millionen Rechnern installieren und garden Diensten, man erwägt aber, sich für ein verwalten kann föderatives Netzwerk zu öffnen, z.B. Turing Complete: in der Informatik ein System Fediverse (siehe auch Direct Market Act). zur Manipulation von Daten (Instruktionssatz Seit verstärkt rechtsradikale oder rassistische eines Computers, Programmiersprache oder Inhalte zu Sperrungen führen weichen diese manuelles Regelwerk), mit dem eine Turing Nutzer auf Gab oder Parler aus Machine implementiert werden kann Twitter Bombe: das Absetzen von Botschaf- Turing Machine: theoretische (mathema- ten („ tweets“) mit dem gleichen Hashtag (#) tische) „Konstruktion“, die Symbole auf einem um eine bestimmte Idee oder Information Speicherstreifen manipulieren kann, die (Falschinformation) zu verbreiten, z.B. im
Version 11.1 Seite 195 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Rahmen von Wahlen. Dabei kommen u.a. nikation ( Data Retention), heute zumeist Fake Accounts oder Sock Puppets zum durch den Einsatz von IKT. Führt zu einem Einsatz. Bei einem Vorfall erzeugten 9 Fake Verlust an Privatsphäre. Früher ein Privileg Accounts 929 Tweets in 138 Minuten, über des Staates ( Surveillance), heute auch durch Re-Tweets wurden 60 000 Benutzer erreicht Private und Firmen ( Suchmaschinen, bevor Twitter diese Bombe stoppte Speicherung des Kaufverhaltens auf Web- TXT: (Trusted Execution Technology) site, etc., Sousveillance), Lawful Intercept, Quellen-TKÜ, Überwachungskapitalis- Typosquatting: Registrieren von Domain mus, Überwachungssoftware, Spyware, Namen mit Variationen der Namen anderer Spy-App Websites (z.B. einzelne Buchstaben ausge- lassen, ‚wwwname’ statt ‚www.name’, ‚.cm’ Überwachungskapitalismus: Schlagwort statt ‚.com’ u.ä.). Ziel ist es, Besucher auf geprägt von Shoshana Zuboff in ihrem Buch Websites zu locken auf denen i.d.R. Werbung ‚Das Zeitalter des Überwachungskapitalismus‘ angeboten wird. Mittels Pay-per-Click kann mit dem sie beschreibt, dass die großen dann Geld verdient werden. Siehe Domain Datensammler ( Google, Amazon, Squatting, NXDOMAIN Facebook, Microsoft, u.a.) ausreichend Daten über jeden Nutzer des Internets U2F: (Universal 2nd Factor) sammeln um eine Persönlichkeitsanalyse und UAC: (user account control) Emotionserkennung durchzuführen, sehr UAF: Universal Authentication Framework gezielte Werbung zu platzieren ( behavioural protocol advertising) und sogar in gewissem Maße eine UAM: (User Access Management) Verwaltung Steuerung der Menschen zu erreichen. Dies ist der Zugriffsrechte der Anwender zu Syste- ein äußerst lukratives Geschäftsmodell das men, Anwendungen und Netzen, auch zum seit ca. 2010 alle anderen Bereiche der Internet ( Proxy) Wirtschaft zu dominieren beginnt. Für China siehe Social Credit System UAV: (unmanned areal vehicle) (deutsch: Drohne, drone) unbemanntes Fluggerät, Überwachungssoftware: Spy-App genutzt für visuelle Überwachung, aber Überwachungsstaat: ein Staat der seine mittels Funktionalitäten wie GILGAMESH Bürger mit allen zur Verfügung stehenden und auch für Handy-Ortung und VICTORY- staatlich legalisierten Mitteln überwacht. So DANCE für WLAN-Ortung. Können zum Teil sollen Gesetzesverstöße besser und schneller mittels GPS autonom fliegen, werden aber erkannt und verfolgt werden. Befürworter zumeist aus der Ferne gesteuert, was eine führen die Verhinderung von Straftaten, hohe Bandbreite erfordert. Ab 2009 stellen in organisierter Kriminalität und Terrorismus den USA die UAV-Piloten die Mehrheit aller an. Nächste Stufe ist dann der Präventions- Militärpiloten. UAVs werden in Nicht- staat. Siehe Big Brother Kriegsgebieten auch für Tötungen eingesetzt, UCE: (Unsolicited Commercial E-Mail) vor- oft lediglich auf Grundlage von SIGINT, d.h. nehmer Ausdruck für Spam Auswertung von Metadaten mit hoher UCS: (Universal Character Set) Implemen- Fehlerrate tierungsoption(en) von Unicode. Sie unter- UBE: (Unsolicited Bulk E-Mail) vornehmer scheiden sich durch die Zahl der bits pro Ein- Ausdruck für Spam heit. Beispiele: UCS-4, UCS-2. UCS-2 benutzt Uber: US-Unternehmen, das 2015 auch in bei Bedarf eine weitere Speichereinheit Europa aktiv wird. Mittels einer Smartphone UDDI: (Universal Description, Discovery and App können Benutzer eine Taxifahrt bestellen, Integration) auf SOAP basierendes Verfah- die jedoch sehr oft von nicht-lizensierten ren, mit dessen Hilfe eine Anwendung selbst- Privatleuten angeboten wird. Problematisch ist ständig erkennen kann, auf welche Weise u.a. dass sowohl Fahrer wie Mitfahrer bewertet Dienste auf einer anderen Website genutzt werden und diese Bewertungen anderen werden können Benutzern der App zur Verfügung stehen, so UDID: (Unique Device Identifier) eindeutige dass sie sich entscheiden können, ob sie die Identifizierung der iOS-Geräte von Apple. Fahrt annehmen. Taxiunternehmen wehren Die UDID war vor iOS 6 für Apps verfügbar sich gegen diese Konkurrenz. Die Preise für und wurde daher gern für Tracking von Fahrten mit Uber hängen von Angebot und Benutzern über mehrere Apps hinweg Nachfrage ab und werden frei ausgehandelt eingesetzt. Das soll mit iOS 6 nicht mehr Überwachung: Beobachtung von Personen gehen, jede App wird eine spezifische ID dafür oder Orten, entweder durch direkte Beob- haben. Zusätzlich wird die IDFA eingeführt, achtung ( Videoüberwachung, Webcam, die wieder Geräte-Tracking erlaubt CCTV) oder durch Auswertung seines UDP: (User Datagram Protocol) Mitglied der Verhaltens, z.B. durch Abhören der Kom- IP-Protokoll-Familie. Es ist „verbindungslos“ munikation, Auswertung von elektronischen und wird zusammen mit TCP/IP im Internet Fahrscheinen, der Spuren im Internet eingesetzt. UDP wird z.B. verwendet für DNS, (Data Mining) oder der Sprachkommu-
Version 11.1 Seite 196 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Multimedia-Streaming und für einige Multi- Empfängern auf CDN-Servern gespeichert. Player Spiele ( MMORPG) Trotzdem stellen Videodaten mittlerweile ca. UDP hole punching: u.a. von Skype ver- 80% des Internet-Verkehrs dar wendetes Verfahren zum Aufbau von Unicode: Verfahren der Textdarstellung, das Sitzungen zwischen Rechnern hinter NAT- über eine Million Zeichen unterstützt, d.h. Firewalls. Dabei verbinden sich beide auch asiatische Alphabete und die vielen Teilnehmer zuerst mit einem „supernode“ der neuen Smileys. Nachfolger von ASCII (nur 7 nicht hinter NAT ist. Dieser teilt dann beiden bit, US-Zeichensatz), verschiedenen ISO 8859 Teilnehmern die Verbindungsdaten des Variationen, die jeweils länder-, region- oder anderen Teilnehmers mit und ermöglicht damit sprachspezifische Zeichensätze definieren, ein Durchdringen des Firewalls. Siehe STUN z.B. ISO8859-1 für Westeuropa. Auf UDRP: (Uniform Domain Name Dispute technischer Ebene sind viele unterschiedliche Resolution Policy) Vorgehensweise der Implementierungen vorhanden, z.B. (UTF ICANN bei Disputen zu Domain Name (Unicode Transformation Format) und UCS Fragen, z.B. Domain Parking (Universal Character Set). Sie unterscheiden sich in der Zahl der bits pro Zeichen. Beispiele UEFI: (Unified Extensible Firmware Interface) sind UTF-32, UCS-4, UTF-16, UCS-2, UTF-8, Nachfolge der BIOS-Firmware die zum UTF-EBCDIC und UTF-7. URLs, die in Starten eines Intel- PCs verwendet wird. Unicode sind, können für Phishing-Angriffe Durch ein Verhindern des Bootens von verwendet werden, da auf diese Weise „untrusted“ Betriebssystemen wird manch- Domain-Namen verschleiert, bzw. imitiert mal der Boot von Linux, auch von CD, werden können (z.B. kyrillisches a statt verhindert. Wenn UEFI auf „ secure boot“ westliches a, gleiche Darstellung, aber andere eingestellt ist, so können nur digital signierte Web-Domain, d.h. andere Website) Installationsmaterialien verwendet werden können, was z.B. auch ältere Versionen von UNCID: (Uniform Rules of Conduct for the MS Windows verhindern würde. Details Interchange of Trade Data by Teletransmis- unter TPM sion) einheitliche Durchführungsregeln für den Handelsdatenaustausch via Telekommunika- UICC: (Universal Integrated Circuit Card) von tion, entwickelt durch die Internationale Han- der ETSI standardisierter Typ von delskammer ( ICC) Smartcard zu der auch SIM-Karten von GSM-Handys gehört und die USIM für Unified Messaging: Zusammenfassung von UMTS-Netze gehören. Beispiel für ein E-Mail, Instant Messaging, Fax, Video- secure element. Soll als sicherer Speicher conferencing, Voicemail und VoIP in einer für MCP-Lösungen genutzt werden. Leider Anwendung. Siehe OCS, Presence Server fehlen 2014 in Smartphones secure ele- Unit Key: Möglichkeit des Link Keys bei der ments, die von Apps genutzt werden Herstellung eines Pairings zwischen zwei könnten. Siehe auch eUICC Bluetooth-Geräten. Unit Keys bleiben Ultra-Wideband : (UWB) Funktechnik die z.B. permanent gespeichert und können ein bei Apple Airtags eingesetzt wird. Dabei Sicherheitsrisiko darstellen kommen sehr geringe Energiemengen zum Universal 2nd Factor: (U2F) von Google Einsatz, das Verfahren ist für Ortungen oder vorgeschlagener (und im Google Authenticator zum Aufbau von PANs implementierter) Standard für 2-Faktor- UM: (Unified Messaging) Authentisierung, 2014 übernommen von FIDO Alliance. Es sollen USB oder NFC UMA: ( Unlicensed Mobile Access) Geräte genutzt werden, und kryptografisch UMTS: (Universal Mobile Telecommunications ähnlich zu Smartcards sein. Bei Google ist System) 3. Generation von Mobilfunktechnolo- dies für PCs und Laptops über USB- gie. Ermöglicht höhere Datenübertragungs- Stick und für Smartphones über Bluetooth raten und hat eine deutlich bessere Sicherheit implementiert. gegenüber Abhören und anderen Angriffen Universal Authentication Framework: eine auf Datenübertragungen als GSM und der von der FIDO Alliance vorgeschlagene GPRS. Siehe HSDPA, 3G Authentisierungsmethode, die Passworte Undo: Operation um einen früheren Stand zu ersetzen soll erreichen, z.B. nach einem Fehler. Siehe UNIX: Betriebssystem, das bereits 1969 von after image Bell Labs entwickelt wurde. Im Laufe seiner Unicast: das im Internet üblicher Verfahren für bewegten Geschichte wurde der Quellcode das Streamen von Musik und Videos. Die speziell an Universitäten stark weiterentwickelt. Nicht-Linearität bedeutet, dass Inhalte als Heutige Implementierungen sind Solaris von Unicast übertragen werden müssen, d.h. wenn Sun, AIX von IBM, HP/UX von HP und Linux, 1000 Personen dasselbe Video schauen, so das von einer Open Source Community muss der Server trotzdem die Inhalte 1000x ehrenamtlich gepflegt und weiterentwickelt über die Leitungen senden. Deswegen werden wird. Auf Grund der Beliebtheit, besonders in die Inhalte möglichst nahe bei dem der akademischen Welt, wurden auf UNIX
Version 11.1 Seite 197 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ viele Sicherheitstechnologien entwickelt UPX: (Ultimate Packer for eXecutables) Unlicensed Mobile Access: (UMA) Roaming Freeware Tool zum Kompromieren von zwischen Bluetooth, GSM, UMTS und Programmen, oft eingesetzt zum Codieren WLAN-Netzen. Heute meist Generic von Schadsoftware, so dass sie von Access Network (GAN). In Verbindung mit Virenschutzprogrammen nicht erkannt wird anonymen SIMs ermöglicht dies anonyme Urheberrecht: bezeichnet das ausschließliche Angriffe auf VoIP-Systeme Recht eines Urhebers an seinem Werk. Es Unterlassungsanspruch: Haftung eines dient dem Schutz von Geistesschöpfungen. Es Diensteanbieters (z.B. Betreiber einer schützt den Urheber in seinem Persönlichkeits- Website) für das Entfernen von unerlaubten recht und seinen wirtschaftlichen Interessen. Inhalten (auch z.B. Beleidigungen in Be- Urheberrecht ist „vertragsfest“ und kann in D, nutzerkommentaren oder im Gästebuch) oder Ö und CH auch in einem Vertrag nicht bei Verletzungen des Urheberrechts abgegeben werden (auch nicht durch Arbeits- oder Werksvertrag). Teilweise wird auch von Unternehmenskultur: umfasst das gesamte geistigen Eigentum (englisch: IPR) gespro- gewachsene Meinungs-, Norm- und Wertge- chen. Siehe Copyright, Creative Com- füge, welches das Verhalten der Führungs- mons, Public Domain, Haftung, fair use kräfte und Mitarbeiter prägt. Positive Unternehmenskultur ist wichtig für Produktiviät, URI: (Uniform Resource Identifier) Name oder aber auch sicherheitsbewusstes Verhalten. Adresse einer Ressource im Internet. Siehe Nachhaltigkeit, Businessethik, Spezialformen sind URL und URN CSR URL : (Uniform Resource Locator) kompakte http://sicherheitskultur.at/business_ethik.htm Beschreibung von Ressourcen, die als Zei- UPC: (Universal Product Code) amerikani- chenkette dargestellt und über Internet abge- sches Barcode System. Als EAN·UCC mit rufen werden können. URLs werden in erster dem europäischen EAN verschmolzen. Wird Linie zum Abrufen von Dokumenten und Infor- jetzt durch EPC ersetzt mationen im WWW verwendet. Syntax und Semantik ist in RFC 1738 definiert. Meistens Upload-Filter: Software um das Hochladen enthält eine URL Informationen über das von Daten zu verhindern, die unter dem Zugriffsprotokoll (http://), die Adresse des Copyright eines Rechteinhabers stehen Servers und weitere Details, wie z.B. einen ( Lizenz-, Urheberrecht), zumeist ist damit Pfad oder Filenamen, oder sogar Passworte Musik gemeint. Deren Einsatz im Rahmen der für Websites. Eine der Formen ist URI. Diskussionen rund um die neue EU-Urheber- rechtsreform (implizit). Kritiker sehen das Nach der ursprünglichen Definition konnten in Risiko dass es dadurch zu einem Overblocking URLs nur ASCII-Zeichen abgebildet werden, kommt, d.h. dass die Betreiber der Systeme d.h. keine Umlaute oder Zeichen aus anderen (OCSSP) zur Risikovermeidung im Zweifel Alphabeten. Um dies zu ermöglichen wurde zu viel blockieren würden. PunyCode entwickelt. So wird dann z.B. „österreich-testet“ zu „xn--sterreich-testet- UpnP: (Universal Plug and Play) auf TCP/IP, lwb.at“. Der Webbrowser zeigt jedoch in der UDP, HTTP und XML beruhendes URL-Zeile nicht diesen String, sondern Protokoll um eine automatische Konfigu- „österreich…“ an. Dies wird zu einem rierung von Geräten in Heim- oder Firmen- Sicherheitsproblem, da auf diese Weise Fake- netzen zu ermöglichen. 2013 wird veröffent- URLs erzeugt werden können, die optisch licht, dass im Internet 6900 verschiedene nicht von den korrekten zu unterscheiden sind Gerätetypen unter 81 Mio IP-Adressen (z.B. wenn ein „a“ durch die gleich aussehende extern erreichbar sind. Dazu gehören Drucker, kyrillische Variante von „a“ ausgetauscht wird. Heim-Router von ISPs für den Zugang Dies bietet gute Möglichkeiten für echt zum Internet, Firewalls, Webcams und viele aussehende Phsing-Mails Überwachungskameras. UPnP-Geräte lassen sich leicht erkennen und sehr oft auch URL-Blocking: wichtiger Aspekt des Con- manipulieren. So lassen sich oft die Video- tent Filtering. Dadurch soll verhindert werden, streams ansehen, bzw. Daten abrufen oder dass Angestellte oder Kinder auf unerwünschte auf den Druckern ausdrucken. Das UPnP- Webseiten zugreifen. Diese reichen von Protokoll war für Windows XP entwickelt Pornographie bis Freemailern. Zwei Haupt- worden um es einfach zu machen, externe techniken sind a) Datenbanken von unerwün- Geräte an PCs anzuschließen. Dabei schten Adressen und b) Aufspüren uner- wurden Themen wie Authentisierung wünschter Schlüsselworte. Ersteres produziert vollkommen ignoriert viele False Negatives, d.h. unerwünschte Seiten kommen durch, letzteres produziert UPS: (Uninterruptable Power Supply) nicht- False Positives, d.h. Aufklärungsseiten und unterbrechbare Stromversorgung, in der Regel Seiten über „breast cancer“ werden als Porno durch Batteriebetrieb, jedoch oft auch Diesel- identifiziert. Neuere Lösungen verwenden die generator. Deutsch: USV. Wichtige Maßzahl für statistische Methode der Cluster-Analyse oder die Auslegung ist VA. Siehe SPD, TVSS Bayesian Analysis zur genaueren Klassi-
Version 11.1 Seite 198 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ fizierung cious Code übertragen und Daten aus URL-Shortening: Dienste wie tinyURL.com Unternehmen entfernt werden. Auf diese oder bit.ly, mit deren Hilfe eine lange URL in Weise wurde z.B. Schadcode im Fall von eine kurze URL umgewandelt werden kann Stuxnet in den vom übrigen Firmennetz (z.B. http://tinyurl.com/ngIfC ). Dies kann für getrennten Netzbereich eingeschleust. Auch Angriffe genutzt werden, da der Benutzer auf von US-Kraftwerken werden solche Fälle diese Weise nicht sieht, auf welche „böse“ berichtet, Stichwort: SCADA. Website er weitergeleitet wird. Auch URL- Da USB-Sticks auch einen Prozessor Blocking wird auf diese Weise evtl. ausge- enthalten der beliebige Daten senden kann, hebelt und Phishing-Angriffe werden er- d.h. auch selbständig erkennen, wo er jetzt leichtert eingesteckt wurde und welche Schwach- URN: (Uniform Resource Name) Format für stellen dort ausgenutzt werden können. Wegen die einheitliche Bezeichnung von Ressourcen, diesen zahlreichen Angriffsmöglichkeiten z.B. "urn:isbn:0451450523" für Bücher. werden in einigen Organisationen USB-Sticks Spezialform einer URI ganz verboten (im US Pentagon seit 2008), bzw. mittels DLP überwacht, bzw. Usability: (engl. Benutzbarkeit) Aspekt des zwangsweise verschlüsselt. Siehe Daten- HMI (human machine interface). Eine einfache, diebstahl verständliche Benutzbarkeit verringert die Wahrscheinlichkeit von Bedienfehlern. Siehe Usenet: frühe Form von Social networking auch Clickstream und chat room USA Patriot-Act: 2001 (Providing Appropriate User: Benutzer Tools Required to Intercept and Obstruct User account control: (UAC) Sicherheits- Terrorism) Grundlage für eine ganze Reihe von konzept in Windows Vista. Benutzer, die Aufhebungen der Privatsphäre und anderer ohne Admin-Rechte arbeiten und privile- Rechte in den USA. U.a. kann das FBI (nach gierte Funktionen aufrufen ( shield icon) wer- einem Hearing vor dem geheimen FISA den aufgefordert, eine separate Autori- (Foreign Intelligence Surveillance Act) court die sierung einzugeben, um diese Funktionen Daten aller "american-based" Firmen nutzen zu können. Benutzer, die Admin- einsehen, auch bzgl. Geschäftsvorgängen mit Rechte haben, arbeiten trotzdem erst mal im ausländischen Kunden (SEC. 215) Dies kann Standard Modus. Wenn für sie der auch die Daten von europäischen Personen Administrator Approval Mode aktiviert ist, öffnet oder Firmen betreffen die US-Cloud Dienste sich bei privilegierten Funktionen ein Fenster, nutzen. Zusätzlich verlagert die US-Regierung in dem sie bestätigen müssen, dass sie jetzt diese Aktivitäten weitgehend auf private administrative Funktionen ausführen. Datenbanken, siehe Acxiom Corp, Gleichzeitig wird der Secure Desktop Mode ChoicePoint, LexisNexis. PAA. Alle US- aktiviert, der verhindert, dass andere Tasks Gesetze: http://thomas.loc.gov/ mit dem offenen Fenster interagieren können USB: (Universal Serial Bus) Standard (1996) User permission fatigue: beschreibt die zum Anschluss von Geräten (Computer-Peri- Problematik, dass Benutzer sehr oft pherie, aber auch Fotoapparate, MP3-Spieler, überfordert sind, wenn sie z.B. bei einer etc.) an Rechner. Erlaubt Übertragungsraten Smartphone App entscheiden sollen, bis 12 Mbps und bis zu 127 Geräte. Wird mehr welche Zugriffsrechte diese App haben darf. und mehr auch für Speicher ( USB-Sticks Ähnliche Effekte treten auch auf wenn oder USB Festplatten) oder als Ersatz für Benutzer, wie bei Vista oder Windows 7, Smartcards verwendet. Über die USB- sehr häufig um Freigaben befragt werden Schnittstelle kann Schadsoftware in das Username: Benutzerkennung Unternehmen und können Daten aus dem User tracking: Tracking Unternehmen übertragen werden. USB 3 unterstützt DMA und kann genutzt werden US-GAAP: (United States Generally Accepted um sensible Inhalte wie Passworte aus dem Accounting Principles) Rechnungslegungs- Hauptspeicher auszulesen. Siehe Fire- vorschriften der USA. Relevant für die Informa- wire, Bus tionssicherheit durch den Zusammenhang mit Compliance-Vorschriften wie SOX US-CERT: (US Computer Emergency Readi- ness Team) hervor gegangen aus dem USIM: (Subscriber Identiy Module) Anwendung CERT der Carnegie Mellon University, jezt auf einer UICC, entspricht bei UMTS- Teil vom DHS Geräten der SIM-Karte bei GSM. Moderne USB-Stick: (USB-Speicherchips, engl. thumb Versionen können mehr als nur die Identität eines Handys zu bestätigen (durch sichere drive) Flash-basierter Datenspeicher der Speicherung einer IMSI und zugehöriger über die USB-Schnittstelle an geeignete Schlüssel -Secure Element). Dies kann bis Rechner angeschlossen werden kann. zu NFC-Chips und integrierten Webserver Durch die USB-Sticks (auch in der Form der und Webbrowser gehen integrierten Flashspeicher in Handys, Foto- apparate und MP3-Spieler) kann auch Mali- USRP: (Universal Software Radio Peripheral)
Version 11.1 Seite 199 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ mittels GNU Radio programmierbares Gerät über eine Verbindung (permanent oder mit dem sich sehr leicht drahtlose Geräte temporär) zu einem VAN durchgeführt. Der entwickeln lassen. Dies ist eine Implementie- VAN hat dabei eine Transport- und Mailbox- rung eines Software-defined Radios. Ermög- Funktion licht Angriffe auf Geräte mit drahtlosen Van Eck Strahlung: Side Channel Angriff Verbindungen, wie z.B. RFID, kontaktlose auf Bildschirme, ursprünglich nur über Smartcards, ePässe in Frequenzberei- Ausnutzung der elektromagnetischen Abstrah- chen bis 2,9 GHz lung von Bildschirmablenkungen. Flachbild- USSD: (unstructured supplementary service schirme haben dieses Problem nicht mehr, data) Zeichenfolgen wie *#06#, die von aber mittels Richtantenne und spezielle Handys automatisch interpretiert werden und Hardware lassen sich Graphikkarten, Kabel, Schäden anrichten können, z.B. SIM Tastaturen u.ä. weiterhin Abhören. Schutz sperren. Solche Codes können auch in QR- durch Abschirmung, notfalls des gesammten Codes versteckt sein (z.B. in Form tel:
Version 11.1 Seite 200 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Verbindlichkeit: Non-Repudiation langasam (z.B. Multiplikation von 2 Primzahlen Verbindungsdaten: Daten bez. eines Kom- geht schnell, die Zerlegung ist sehr langwierig, munikationsvorganges, der i.d.Regel Datum, diese Zerlegung muss für ein Knacken des Uhrzeit und die beiden Teilnehmer enthält. Im Schlüssels erfolgen). Alternatives Verfahren ist Fall einer Handykommunikation enthalten die Elliptic Curve Cryptography (ECC) Daten auch den Aufenthaltsort der Teilnehmer. Angegriffen werden Verschlüsselungen durch Umstritten ist die Länge der Aufbewahrung Brute Force, d.h. ausprobieren vieler Schlüs- dieser Informationen und die Weitergabe ein sel (z.B. über Graphikkarten), oder durch Behörden, z.B. zwecks Aufklärung von Ver- Auffinden von Schwächen in den Algorithmen, brechen oder prophylaktischer Terrorismus- oder durch Fehler beim Generieren der immer bekämpfung. Data Retention. Studien haben notwendigen Zufallszahlen. Andere Angriffe gezeigt, dass eine systematische Auswertung sind side channel attacks. (data mining) von Verbindungsdaten, z.B. in In der Zukunft wird erwartet, dass Quanten- einem Unternehmen oder privat, tiefe computer viele der jetzigen Algorithmen Einsichten, z.B. in informelle Strukturen und knacken können. Neue Algorithmen wie das soziale Netz einer Person, d.h. ihren Lattice-based Cryptography sollten immun Social Graph, geben können. Daran sieht dagegen sein. man nicht nur ob eine Person eine zentrale oder Randrolle im Kommunikationsnetz spielt, Siehe auch Stromverschlüsselung, Block- verschlüsselung, Festplattenverschlüsse- interessant ist auch ob eine Person typischer- weise Initiator oder Ziel einer Kommunikations- lung, Quantencomputer, QKD, Diffie- Hellman, AES, DES, Rijndael, CSP, anfrage ist, ob auf ihre Anfragen reagiert wird oder nicht und Cryptochip, Opportunistic Encryption, Homomorphic Encryption, Multi-Party Siehe Stammdaten, Metadaten Computation, Zero knowledge proof, Verfügbarkeit: Sicherstellen, dass autorisierte Searchable Encryption, Perfect Forward Nutzer zum jeweils notwendigen Zeitpunkt Security Zugriff zu Information und zugeordneten http://sicherheitskultur.at/Eisbergprinzip.htm#schlu Systemen haben. (Def. ISO 17799) esssel Verifzierung: an die Identifizierung anschlie- Vertrauen: Gewissheit einer erwünschten Zu- ßender Vorgang, bei dem die mutmaßliche kunft. Beruht auf der Kontinuität des regel- Identität durch Authentisierungsverfahren haften und erwünschten/erwarteten Verhaltens verifiziert wird der Umgebung/ Person oder der eigenen Verkehrsdaten: Verbindungsdaten Kenntnis und Beherrschung der Lage Verschlüsselung: Transformation von Da- (einschließlich Ihrer Unwägbarkeiten). Als ten mittels Verschlüsselungsalgorithmen, so Trust wichtiges Konzept der Informations- dass nur berechtigte Empfänger diese verwen- sicherheit den können. Vertraulichkeit: gegeben, wenn sichergestellt Man unterscheidet symmetrische und asym- werden kann, dass Informationen nicht durch metrische Verfahren. Bei einem symme- unautorisierte Personen, Instanzen oder trischen Verfahren werden die Daten mit dem Prozesse eingesehen werden können (Def. gleichen Schlüssel ver- und entschlüsselt. ISO 17799) Das heißt, der gleiche Schlüssel muss Sender Verwundbarkeit: Programmfehler oder und Empfänger bekannt sein. D.h. auch, dass Konfigurationsfehler, die es einem Angreifer die Schlüssel sicher ausgetauscht werden ermöglichen, ein Programm oder einen Rech- müssen. ner zu Zwecken zu missbrauchen, die vom Bei asymmetrischen Verfahren werden Daten Benutzer nicht erwünscht sind. Siehe mit dem öffentlichen Schlüssel des Em- Vulnerability, Schwachstelle pfängers verschlüsselt. Die Nachricht wird mit Verzeichnisdienst: deutsch, (engl. Direc- dem zugehörigen privaten Schlüssel ent- tory). Eine hierarchisch aufgebaute Datenorga- schlüsselt. Daher ist eine Übertragung des nisation, die speziell für Organisationen, Per- Schlüssels zwischen Sender und Empfänger sonen, ihre Zugriffsberechtigungen konzipiert nicht notwendig. Weil asymmetrische Ver- ist. Der Standard für solche Verzeichnisse ist fahren sehr langsam arbeiten (da sie lange X.500. Als Zugriffsmethode hat sich LDAP Schlüssel benötigen) wird fast immer ein 2- durchgesetzt. Verzeichnisdienste werden vor stufiges Verfahren genutzt: die Daten werden allem für Zugriffsberechtigungen und im mit einem zufälligen Zufallsschlüssel ver- Rahmen von PKI eingesetzt schlüsselt, dann wird dieser Schlüssel mit dem vhost: (virtual host) public key des Empfängers verschlüselt und VICTORYDANCE: Aktivität der NSA, bei der mit den Daten übertragen. Asymmetrische Ver- fahren beruhen auf mathematischen Tech- ein UAV so ausgerüstet wird, dass noch aus 4 Meilen Höhe die WLANs erkannt werden, niken, die in einer Richtung sehr schnell ge- erlaubt Geolocation von Zielpersonen hen, in der umgekehrten Richtung sehr
Version 11.1 Seite 201 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Videokonferenz: Synchroner Austausch von griffe gegen eine dieser Domänen können alle Bild- und Ton über Datennetze, typischerweise anderen in Mitleidenschaft ziehen, solche über spezielle Hardware und Software. In Installationen werden aus Gründen der 2020 wurde dies weitgehend durch Webkon- Admnistrierbarkeit fast immer ohne Firewall ferenzsysteme abgelöst, da im Home-Office betrieben und es sind zahlreiche riskante ja nur reguläre PCs und/oder Smart- Protokolle für das gesamte Internet offen phones zur Verfügung stehen Virtualisierung: Schlagwort, das die Trennung Videoüberwachung: Überwachung von von logischer Realisierung und physischer Personen oder Orten durch Kameras (engl. Realität beschreibt. Sie findet auf allen Ebenen CCTV). Früher durch Aufzeichnung auf statt: Server auf Hardware- oder Betriebs- Magnetband, heute über IP-Netze, oft systemebene, PC und Desktop, Mag- offen bis zum Web ( Webcam). Die Effek- netplatten, Switches und andere Netzwerk- tivität zum Verhindern von Verbrechen ist stark devices wie z.B. Firewall. Generelle Sicher- umstritten. Zu diesem Zwecke werden PTZ- heitsfragen dazu sind: Wie sicher ist die Kameras eingesetzt (Pan/Tilt/Zoom) die Trennung der gemeinsamen Resourcen? manuell gesteuert werden. Wenn das Ziel die Sicherheit der Administration? Möglichkeiten Aufklärung ist, so sind feste Kameras mit und Gefahren durch forensische Funktiona- hoher Auflösung, deren Aufnahmen nur im liltäten? Erfüllen von Auditanforderungen, Bedarfsfall ausgewertet werden, effektiver. Der inkl. Mandantentrennung in Logs? Einsatz durch Private oder Firmen unterliegt 1) Server-Hardware-Virtualisierung beschreibt dem Datenschutzgesetz. In Firmen ist der eine mehr oder weniger dynamische Aufteilung Einsatz zustimmungspflichtig für den eines Rechners mit einer großen Zahl von Betriebsrat CPUs (oder Cores) in kleinere mit mehr Vier-Augen-Prinzip: (engl. Dual Control) 4- oder weniger dedizierten Resourcen (lPar, Augen-Prinzip nPar) Vigilance decrement: psychologischer Effekt, 2) Betriebssystem-Virtualisierung. Dabei wer- dass die Wachsamkeit beim Warten auf den auf einem Rechner gleichzeitig mehrere seltene Ereignisse stark abnimmt. Proble- Betriebssysteme genutzt, alle Ressourcen matisch z.B. bei Videoüberwachung durch werden entsprechend aufgeteilt. Vorteil ist, Menschen. Siehe Primary Effect, Auto- dass die bei modernen Servern oft sehr mation Bias schlecht ausgelasteten CPUs viel besser Viren: in der IT Malware ausgelastet werden können, Hauptspeicher- Anteile müssen jedem Betriebssystem (tem- Virenschutz: in der IT Malware-Schutz porär) fix zugeordnet werden. Viele Implemen- Virtual Assistant: Service auf Smart- tierungen bieten Sicherheitsfeatures wie phones der Benutzern auf Grund von gesam- Snapshots für eine schnelle Wieder- melten Daten und Anfragen die oft verbal herstellung. Es erfordert ein entsprechendes gestellt werden persönliche Ratschläge für ihr „Betriebssystem“ „unterhalb“ der Host- Verhalten gibt, Fragen beantwortet und ein- Systemen ( Hypervisor). Es werden dabei fache Aufgaben erledigt. Solche Programme auch die Netzwerkadapter virtualisiert und bieten wenn die Nutzer den Vorschlägen innerhalb des Servers virtuelle Switches folgen, Manipulationsmöglichkeiten für die realisiert. Für die Sicherheit ist es wichtig, dass Firmen, die sie kontrollieren. Die Programme die Systeme sich nicht beeinflussen können haben meist eine weibliche Stimme und und nicht auf die Daten (Hauptspeicher, Namen. Beispiele sind Cortana, Alexa, Siri. Magnetplatten oder Datenverkehr über ge- Solche Dienste werden ab ca. 2018 auch als meinsam genutzte virtuelle Netzwerkadapter) Hardwaregeräte angeboten, dann oft Smart der anderen Gast-Systeme zugreifen können. Speaker genannt (Alexa mit Amazon Echo, Siehe auch VMware, OpenVZ Google Home, Apple Homepod. 3) PC- und Desktop Virtualisierung. Dafür kann Problematisch ist u.a. dass für die u.a. die gleiche Software wie für Server Spracheingabe die Geräte ALLEN Gesprächen genutzt werden, oder andere Konzepte wie im Haushalt zuhören und die Geräte wenn sie Terminalserver oder Citrix im selben Heim-Netzwerk liegen auch auf die anderen Geräte dort zugreifen können. Dies ist 4) Bei Magnetplatten-Virtualisierung (Speicher- z.B. bei smarten Haushaltsgeräten ( IoT) evt. Virtualisierung) wird eine große Zahl von gewünscht, aber könnte auch zu Verletzungen Magnetplatten in logische LUNs zerteilt, die der Privatsphäre führen. über ein SAN angeschlossen vielen Servern gleichzeitig zur Verfügung stehen. Zur Problematik siehe auch Contextual Es muss dabei verhindert werden, dass Server Computing auf andere als „ihre“ Platten zugreifen können. Virtual Host: Implementierung eines Web- Siehe VSAN servers, bei der viele Websites mit unter- 5) Netzwerkdevice-Virtualisierung. Mittels schiedlichen Internet Domänen auf einem VLAN-Technologie ( Layer 2- Switch) Rechner „gehostet“ werden ( Hosting). An- oder MPLS (Layer 3-Router) und VRF
Version 11.1 Seite 202 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
6) Siehe App wrapping wachungsmaßnahmen nicht erkannt werden Virtual Machine: (VM) logische Instanz eines kann. Wird in Diktaturen von Oppositionellen Rechners, die bei einer Betriebssystem- genutzt, aber auch von Kriminellen. Die oder Desktop-Virtualisierung entsteht wird und Sicherheit die ein solcher Dienst bietet hängt virtueller Server genannt. Siehe Punkte 2) und jedoch von der Ehrlichkeit des Anbieters ab, 3) von Virtualisierung. Siehe auch OpenVZ d.h. kann fraglich sein. Bessere Alternative ist zumeist TOR. Siehe Split traffic, Virtual Memory: Feature in Betriebssyste- SSL/VPN, MPLS, SWATting men, bei der mehr Hauptspeicher adressiert werden kann, als im Rechner eingebaut ist, Virtual Reality: (VR) umfasst neben virtual indem einzelne Pages auf eine Festplatte worlds die hauptsächlich auf Spiele konzen- ausgelagert werden. Siehe Segment triert sind auch andere Anwendungen wie Simulationen, z.B. für Ausbildung und Training. Virtual Currencies: Form von e-Geld die Ein wichtiger Aspekt sind „immersive“ sich nicht auf real-existierende Währungen Interfaces, z.B. Oculus Rift (2014 gekauft bezieht sondern eine eigene Währung etab- von Facebook) liert. Wird oft in Games eingeführt. Beispiele sind Bitcoin, Facebook Credits, Nintendo Virtual World: (VW) in Rechnern simulierte Points oder Linden Dollar in Second Life. künstliche Umgebungen im Internet in denen Unterschieden werden Währungen vom Typ 1 Personen durch Avatare repräsentiert (geschlossene in-game Währungen), Typ 2 werden und dort interagieren können. Dazu (nur einseitige Konvertierbarkeit), Typ 3 gehören „civic world“ wie Second Life, (Konvertierbarkeit in beiden Richtungen). Im Habbo Hotel oder Project Entopia und Gegensatz zu diesen Währungen steht „fiat MMORPGs wie World of Warcraft . Siehe currency“, das sind die von Nationalbanken auch Social Media (o.ä.) herausgegebenen Währungen, deren Virtuel: in der IT jegliche Implementierung von Akzeptanz durch gesetzliche Vorschriften IT-Komponenten bei denen mehrere logische entsteht. Es ist „aus dem Nichts“ dessen Wert Geräte oder Dienste auf 1 physischen auf dem Vertrauen ( trust) beruht, dass der Hardware implementiert sind. Viele Beispiele Herausgeber (Emittent) für den Wert des finden sich unter Virtualisierung Geldes „einsteht“. Da es keine Deckung durch Virus: in der IT: spezielle Form der Schadsoft- Gold o.ä. gibt besteht bei einer zu hohen ware ( Malware), Computervirus, eine Form Geldmenge Inflationsrisiko. Virtuelle Wäh- von Malicious Code. Ein Programm, das sich rungen auf der Basis von kryptographischen vervielfältigen kann, indem es seinen Verfahren ( cryptocurrencies) und Blockchain Programmcode in andere Programme ein- Technologie sind Bitcoin, Ripple, baut. Früher war der Zweck, den Betriebs- Ethereum, Litecoin, PeerCoin, Namecoin, ablauf eines Computers zu stören, ab 2004 Feathercoin, Megacoin, Infinitecoin, u.a. werden Viren und Würmer auch für kriminelle Regulierungsbehörden und Polizei haben u.a. Aktivitäten eingesetzt ( Zombies). Viren und die Herausforderung, dass unklar ist, welche Würmer können mit Hilfe eines VCL leicht Gesetze bei der Nutzung von Dingen wie erstellt werden. Siehe Polymorphic Virus, Bitcoin überhaupt anwendbar sind. Ob Ent- Obfuscation, Assembler, VirusTotal wendung von Bitcoins aus einer Wallet (auf VirusTotal: Website die kostenlos Dateien einem Computer) Diebstahl ist, ist fraglich, auf Malware überprüft indem die Datei da kein Gegenstand entwendet wurde sondern gegen 51 unterschiedliche Anti-Malware Pro- nur Datensätze. Konsumentenschutz bezieht dukte testet und aufzeigt, welche der System sich oft auf „Geld“, und das ist oft gebunden an fündig geworden sind. 2012 von Google „von Regierungen oder Zentralbanken gege- gekauft bene Zahlungsversprechen‘. Auch Pump- and-Dump Schemes fallen evt. nicht unter die Vista: (Windows Vista) Erstes Betriebssystem Börsegesetze von Microsoft mit stark verbesserten Sicherheitsaspekten, z.B. bei der Rechtever- Virtual Private Network: (VPN) sichere waltung und zum Arbeiten ohne Admin- verschlüsselte Verbindung zu einem privaten Rechte. Dies geschieht u.a. dadurch, dass Netz oder einem Server über eine unsichere Programme, die schreibenden Zugriff auf die Verbindung, meist das Internet. Dabei wird Registry benötigen, unter Vista in eine lokale mit Hilfe von Tunneling, d.h. Verschlüsseln des Kopie schreiben können, die Teil des Datenverkehrs, sowohl Integrität, wie auch Benutzerprofils ist. Siehe UAC, ASLR, Vertraulichkeit der Daten gewährleistet. MIC, DAC, DEP, Admin Approval Spezielle VPN-Dienste werden im Internet Mode, OTS, Windows, BitLocker als Anonymisierungdienste angeboten. Visual Keyboard: Verfahren zur PIN- Diese ermöglichen, dass der Kunde eine Eingabe, bei der die Zahlen statt mittels verschlüsselte Verbindung zu diesem Service Tastatur über Mouse-Clicks auf dem aufbaut (entweder über HTTPS oder über Bildschirm selektiert werden. Fortgeschrit- andere Protokolle wie IPsec. L2TP, tene Keylogger sammeln daher für ent- PPTP), so dass die Dateninhalte von Über- sprechende Website 50x50 Pixel um die
Version 11.1 Seite 203 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Mouse-Clicks Kostengründen. Implementierung als Client VLAN: (Virtual LAN) Technologie zur flexiblen am PC (z.B. Skype) oder als Ersatz für einen Implementierung von lokalen Netzen ( LAN). traditionellen PBX. Mit steigender Popularität Dabei werden in einem Switch einzelne mehren sich auch Berichte über Schwach- Ports zu einem Subnetz auf Layer-2 stellen und Sicherheitslücken. Entsprechende zusammengefasst. Geräte, die in verschie- Software dafür ist im Internet verfügbar denen Subnetzen liegen, können nur kommu- ( vomit). Da oft Verschlüsselung eingesetzt nizieren, wenn entsprechende Routingregeln wird, klagt die Polizei über Probleme beim (auf Layer-3, mit Filterfunktion) definiert sind. Abhören und wünscht den Bundestrojaner. Auf diese Weise kann in einem Unternehmen Bedrohungen bei VoIP sind mangelnde eine Trennung zwischen verschiedenen Netz- Verfügbarkeit, toll fraud, Verletzung der bereichen implementiert werden, was zu einer Vertraulichkeit, Spoofing und Verbesserung der Sicherheit führt. Siehe Impersonation, SPIT, session hijacking, IEEE 802.1q MITM. Spezielle Herausforderungen stellt Voice over WLAN ( VoWLAN). Siehe SIP, VM: virtual machine H.323, MGCP, SDP, RTP, SRST, V-Modell: abstrakte, umfassende Projekt- SRTP, OCS, Unified Messaging, IP management-Struktur für die Softwareent- Phones, SPIT, Softphones, MOS, wicklung RTCP VMWare: Firma die Virtualisierungstechniken Volatilität: beim Risikomanagement die er- anbietet. Dabei laufen i.d.Regel mehrere wartete Schwankungsbreite von zukünftigen virtuelle Rechner auf einer Hardware. Eine Ereignissen. Hauptsächlich im Bereich Finan- „Konsole“ auf VMware-Ebene steuert die zen verwendet, z.B. für die Schwankungsbreite Parameter der Virtualisierung, hat aber auch von Kursen, siehe VaR Zugriff auf diese Gast-Systeme. Außer der Volkszählung: seit biblischen Zeiten beliebte Flexibilität solcher Virtualisierungen indem Überwachungsmethode. 1576 in Frankreich viele virtuelle Systeme 1 Hardware teilen um menschliche „Parasiten“ loszuwerden, in können hat dieses Konzept auch Vorteile bei der Habsburgermonarchie zur Ausgrenzung der Hochverfügbarkeit, indem bei Ausfall von Juden und Protestanten. Seit 1900 mittels einer Hardware ein System schnell auf ein elektronischer Datenverarbeitung auf anderes verschoben werden kann.Auch bei Lochkarten. 1938 effizient bei der Erfassung der Forensic können virtuelle Systeme von der Juden in Deutschland und besetzten Vorteil sein. Ein neues Angebot von VMware Gebieten. Siehe Volkszählungsurteil ist Mobile Horizon, ein Angebot für Smartphones und ThinApp für Windows Volkszählungsurteil: zu der in D 1983 ge- planten Volkszählung gab es heftige Pro- VNC: (Virtual Network Computing) Methode teste. Im sog. Volkszählungsurteil des Verfas- zur Darstellung des Bildschirminhaltes eines sungsgerichts wurde das „Grundrecht auf Rechners auf einem anderen (Client)- informationelle Selbstbestimmung“ festge- Rechner. Wird für Wartungszwecke oder für schrieben. Siehe auch Datenschutz Überwachung eingesetzt. VNC ist im Gegen- satz zu Teamviewer und Citrix GotoAssist Volume: logischer Teil einer Festplatte, Open Source und geräteunabhängig. VNC USB-Stick oder SSD die 1 file system stellt keine sichere Verbindung her und sollte enhtält. Siehe auch Fest- nur in Verbindung mit einem VPN-Tunnel plattenverschlüsselung oder SSH eingesetzt werden. Das genutzte Volume Shadow Copy: VSS Protokoll heißt RFB (remote frame buffer). vomit: (voice over misconfigured Internet tele- 2013 wird VNC (wie auch Teamviewer) auch phones) Programm, das es ermöglicht, Ge- von Angreifern verwendet, um nach Installation spräche über Cisco IP phone in Wav-Format des entsprechenden Servers auf dem zu konvertieren und damit leicht abzuhören, infizierten PC des Opfers von dessen PC aus sofern Zugriff auf die Leitung besteht die Konten des Opfers leer zu räumen Vorfall: Incident Voicemail: Aufnahme von telefonischen Vorfallsbehandlung: Reaktion auf einen Sprachnachrichten in die Inbox des E-Mail- Systems, zumeist als Teil eines VoIP- und sicherheitsrelevanten Vorfall.. Siehe Alarm Unified Messaging Systems. Es entsteht Vorratsdatenspeicherung: seit 2007 umstrit- dann die Bedrohung SPIT. Eine zu tene Richtlinie der EU zu Data Retention, die Voicemail äquivalente Funktionalität gibt es eine verdachtsunabhängige Speicherung von auch in Messaging Systemen wie Whatsapp. Verkehrs- und/oder Standortdaten von Siehe auch e-Discovery Telefon und Internetkommunikation Voice Analysis: Sprachanalyse ( Transaktionsdaten) zum Zwecke der Polizeiarbeit und Rechtsverfolgung erzwingen Voice Recognition: Stimm-Erkennung will. Die Aufbewahungsfristen sollen dabei VoIP: (Voice over IP) Übertragung von länger sein als dies z.B. für die Abrechnung Sprachdaten über IP-Netze, meist aus der Telekomanbieter notwendig wäre. Dies ist
Version 11.1 Seite 204 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ zu trennen von der Quellen-TKU ( Bundes- unterschiedlich. Wirkliche Anonmyität wird trojaner). Umstritten ist bei der Vorratsdaten- nur mittels korrekter und vorsichtiger Nutzung speicherung u.a. bei welchen Gesetzes- von TOR erreicht verletzungen (nur schwere Verbrechen oder VR: (virtual reality) auch Zivilrecht, z.B. Urheberrechtsver- letzungen) auf solche Daten zugegriffen VRF: (Virtual Routing and Forwarding) werden kann. 2020 war (mal wieder) eine implementiert mehrere unabhängige Routing- Tabellen in einem Router und erlaubt damit Entscheidung auf EU-Ebene: der EUGH- Anwalt hat in einem Gutachten die Grenzen für MPLS eine solche Speicherung sehr eng gesetzt. VSAN (Virtual SAN): logische Strukturierung https://www.derstandard.at/story/2000113323491/eu in einem SAN. Funktioniert ähnlich wie eine gh-anwalt-staerkt-verbot-weitreichender- Zone, arbeitet aber auf einer anderen vorratsdatenspeicherung Schicht des Fibre Channel Protokolls Vorsatz: wissentliches und/oder gewolltes VSS: (Volume Shadow Service, Volume Handeln, siehe Fahrlässigkeit. Jeder Shadow Copy) Funktionalität des Windows Angriff setzt Vorsatz voraus, der Grund für 2003 Dateisystems, bei dem automatisch vorsätzliches falsches Verhalten kann auch Schattenkopien von Dateien angelegt werden, Bequemlichkeit sein die einen Rückstieg auf ältere Versionen auch VoWLAN: (Voice over WLAN) Problematisch dann ermöglichen, wenn der Anwender die ist die Garantie der nötigen Bandbreite und die Datei selbst überschrieben hat. Auch in Übergabe zwischen APs. SVP Server Verbindung mit SAN-Systemen oder dem kommen zum Einsatz. Siehe VoIP, DECT Data Protection Server (DPS) von Microsoft VPN: Virtual Private Network ergeben sich verbesserte Datensicherungs- möglichkeiten. Siehe Previous Versions VPN-Dienste: traditionelle Virtual Private VTL: (virtual tape library) Verfahren zur Networks werden hauptsächlich zur Verbin- Beschleunigung von Datensicherungen. dung innerhalb und zwischen Firmen Dabei werden langsame Magnetbänder eingesetzt. VPN-Dienste sind kommerzielle durch Magnetplatten simuliert ( Cache). Oft Angebote an Privatpersonen, die es ermög- findet später eine Auslagerung auf Magnet- lichen, die eigene IP-Adresse zu verschleiern. bänder statt. Dies verkürzt das Backup- Dies ist eine ähnliche Funktionalität wie sie Fenster. Auch Backup-to-Disk genannt TOR bietet, jedoch mit möglicherweise besserem Durchsatz. Das Problem ist dabei, Vulnerability: (engl. Verwundbarkeit). dass jedoch KEINE Anonymität erreicht und Schwachstelle im System oder der Konfigu- die Sicherheit vollständig von der Qualität und ration, die dazu führt, dass ein Angreifer der Vertrauenswürdigkeit des Dienstanbieters mitels Exploit auf einem System Schaden abhängt. Dies mag für Funktionalitäten wie das anrichten kann, Gegenwehr durch Installation Umgehen des Geoblockings von eines Patches. Wie werden nach dem Streaming Diensten wie Netflix ausreichend CVSS System bewertet. Wichtige Typen sein, nicht jedoch wenn jemand durch die haben eigene Abkürzungen wie RCE, XSS, Behörden eines Landes bedroht ist. Die Liste CSRF. CERT und andere veröffentlichen von unsicheren Diensten ist sehr lang regelmäßig Listen mit entdeckten Vulnerabi- lities. Siehe Vulnerability Scanner, CVE VPN-Tunnel: typischerweise eine Verbindung die mittels des IPsec Protokolls im Vulnerabilities Equities Process: (VEP) die Internet hergestellt wird. Ziel ist dabei Vorgehensweise, wie die NSA entscheidet, entweder eine abhörsichere Übertragung (z.B. ob sie eine gefundene Vulnerability an den Vermeidung von Zensur) oder aber die Hersteller weitermeldet oder für eigene Umgehung von Geoblocking um z.B. Zwecke, d.h. Angriffe auf Systeme einsetzt. Streaming-Dienste zu erreichen die in einem Leider gewinnt dann zumeist der Angriff bestimmten Land nicht verfügbar sind. Wenn gegenüber dem Schutz der eigenen zivilen solche VPN-Tunnel vom eigenen Unter- Infrastruktur, was sich dann z.B. im nehmen angeboten und implementiert wird, so erfolgreichen Angriffen der Nord-Koreaner, ist dieses (typischerweise) recht sicher. Chinesen und Russen auf Regierungssysteme Problematisch sind die VPN-Tunnel, die für wie das Office of Personel Management Privatleute angeboten werden weil deren (OPM) niederschlägt Nutzung angeblich eine gesteigerte Vulnerability Management: systematische Privatsphäre bedeutet. Dies setzt jedoch Behandlung von Schwachstellen in Soft- voraus, dass dieser Betreiber rein ehrenwerte ware und Systemen. Siehe Patch Motive hat. Speziell wenn der Dienst kostenlos Management oder sehr günstig ist, so fragt man sich Vulnerability Scanner: Softwaretool, das ein natürlich, wie das Geschäftsmodell aussieht. Computersystem oder Netzwerk gegen eine Wie unter VPN-Dienste beschrieben wird Liste von bekannten Vulnerabilities testet. dabei jedoch KEINE Anonymität erreicht und Als kommerzielles Produkt und als Freeware die Qualität und Sicherheit ist sehr verfügbar ( Nessus) und auch als Service
Version 11.1 Seite 205 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Vupen: franz.Firma die sich auf Zero-Day Der Begriff wird im Zusammenhang mit den Vulnerabilities und andere Surveillance Bezahlformen rund um NFC genutzt. Verlust Software spezialisiert hat. Kunden sind vor der Passworte zu Wallets für ein virtuelle allem Regierungen in aller Welt. Siehe auch Währungen, Cryptocurrencies, z.B. FinFisher, Hacking Team, Black Hat Bitcoin, führt zum Verlust des Geldes. Siehe VW: (virtual world) Wallet Recovery VX: (virus exchange) Website für den 2) Oracle Wallet: Behälter für X.509 basierte Handel mit Malware. Siehe organisierte Schlüssel. Kann genutzt werden um einer Kriminalität, Hacker Anwendung Zugriff zu ermöglichen ohne dass im Programmcode das Passwort W3C: (World Wide Web Consortium) Stan- enthalten sein muss. Abgelegt wird das Wallet dardisierungsorganisation für Internet-Tech- entweder in der Datenbank oder der Windows nologien, z.B. im Sicherheitsbereich. Siehe Registry, geschützt mit einem Passwort. Für SVG, HTML, WAI Programme ist Auto-Login möglich, Schutz WAF: Web Application Firewall, erforderlich dann nur über File-Permission z.B. für PCI-DSS 1.1, auch WSF genannt Wallet Recovery: spezielle Dienste, die Wahlmaschinen: e-Voting versuchen, die Passworte mit denen Wahrscheinlichkeit: wichtiger Aspekt bei Cryptocurrencies wie Bitcoin verwaltet Risikoanalysen. Wird aus psychologischen werden wiederzuerlangen. Dies ist schwierig, Gründen von Menschen nur sehr fehlerhaft da aus Sicherheitsgründen die Anzahl der Ver- abgeschätzt. suche begrenzt sein sollte. Bei sehr frühen http://sicherheitskultur.at/notizen_2_06.htm#risks Investoren deren frühe Einlagen viel-tausend- WAI: (Web Accessibility Initiative) Aktivität der fach gestiegen sind, kann es sich um sehr W3C zur Definition von Anforderungen an große Vermögen handeln Websites, die auch für Behinderte WAN: (Wide Area Network) Verbindung zugänglich sind. Compliance wird durch zwischen Rechnersystemen über eine größere W3C-A, W3C-AA oder W3C-AAA ausgedrückt Entfernung auf der Basis von Telekommuni- http://www.w3.org/TR/WAI-WEBCONTENT/full- kationstechniken ( POT [plain old telephone], checklist.html ATM [asynchronous transmission mode], Frame-Relay, u.ä. Virtualisierbar mittels Walkthrough: Methode des Software Audits. Systematisches Durchdenken der Pro- MPLS gramm-Logik, oft in Verbindung mit einer 2. WAP: 1) (Wireless Access Protocol) Verfahren Person. Siehe Code Audit für die Darstellung von Informationen auf Walled Garden: Bezeichnung für die leider Handys. Es benutzt ein auf XML basieren- des Darstellungsformat WML. Die Übertra- typischen Implementierungen von Internet- Diensten wie Social Networks durch zentrale gungen sind in einem zu SSL ähnlichen Anbieter. Nur wer auf genau dieser Plattform Verfahren verschlüsselt. Hat sich nicht durch- ist kann mit Nutzern dieser Platform setzen können kommunizieren. E-Mail zeigt, dass offene 2) (Wireless Access Point) Access Point Standards möglich sind (hier SMTP, bzw. 3) (Web Application Firewall) Absicherung des Websites mit dem Standard HTML) so externen Kontakts einer Web-Anwendung dass jede mit jedem kommunizieren kann. durch Filterung des Datenverkehrs Alternative Plattformen die solche Kompati- War chalking: Markieren von „offenen“ bilität für Social Networking implementieren WLANs durch Markierungen Kreidesymbole wollen basieren z.B. auf Fediverse und Protokollen wie ActivityPub. Die europä- War driving: Suche nach „offenen“ WLANs ische Politik sollte große Anbieter wie vom Auto aus. Auch in Verbindung mit war Facebook oder Twitter zur Unterstützung chalking. Wird 2013 von der NSA auch von dieser Standards zwingen, was deren UAVs ausgeführt (Codename Geschäftsmodell bedrohen könnte VICTORYDANCE) und kann auf diese Weise WLANs und auch Geräte die WLAN- Wallet: (engl. Geldbörse) Verbindungen aufbauen wollen, großflächig 1) Digital wallets, e-wallets oder cyberwallets: identifizieren Kombination aus Software und Daten für Warez: Slangausdruck für Raubkopie sicheres Bezahlen im Internet. Die Software händelt Verschlüsselung und den Daten- Warm Site: Kompromiss zwischen Hot Site Transfer, sehr oft in Form von Electronic und Cold Site für Recovery Zwecke Commerce Modelling Language (ECML). Die Wassenaar: das Wassenaar Arrangement ist Daten enthalten Name, Anschrift, Kredit- eine internationale Überkeinkunft, initiiert durch karteninformationen. Eine Version die Ende die USA, das den Verkauf von Waffen oder der 90er von den Kreditkartenfirmen gestartet „dual use goods“ (die eine militärische und wurde hat sich nicht durchgesetzt. 2011 gibt es zivile Nutzun haben) unter Strafe stellen. 2015 eine Wallet von Bitcoin und Google Wallet. wird vorgeschlagen, dass Vulnerabilities und
Version 11.1 Seite 206 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ vor allem Exploits (die als Proof-of-Concept) heitsprobleme, da diese Anwendungen nicht zumeist mitgeliefert werden, z.B. im Rahmen mehr hinter zentraler IT, wie Firewalls ver- eines Bug Bounty Programmes, unter das steckt sind und viele Entwickler wenig Ahnung Abkommen fallen könnten. Dann müsste der von sicherer Web-Programmierung haben. Researcher eine Lizenz im Heimatstaat Siehe iFrame beantragen, der aber selbst an diesem Zero- Web 3.0: neues Schlagwort für die Idee, dass Day interessiert sein könnte. Dies ist ein eine genügend intelligente Verknüpfung aller Versuch, den Markt für Black Hats zu Inhalte im Web ( Semantic Web) Bedeu- regulieren, aber kann auch auf White hats tungen erkennt und intelligentere Antworten angewendet werden gibt als jetzige Suchmaschinen Wasser: dritthäufigster Grund für Katastro- Web-Anwendung: Web-Application phen in Rechnerräumen. Vorbeugung durch Web-Application: Anwendung im Web, oft Wartung der Klimaanlage und Schutz durch mittels Programmiersprachen wie php, Wassermelder Phyton oder AJAX, die Interaktionen der Wasserfallmodell: Vorgehensmodell in der Benutzer erlaubt und oft anfällig für Softwareentwicklung, bei dem der Software- Angriffe (z.B. XSS, CSRF, Path entwicklungsprozess in Phasen organisiert Traversal, SQL-Injection, Buffer Overflow) wird, die wohldefinierte und -dokumentierte sind. Siehe OWASP, Firebug, Appli- Übergänge und Endprodukte haben (z.B. cation Security, ONR 17700, WAF, WSF Pflichtenheft und Lastenheft) Web Application Firewall: (WAF) Appliance Wasserzeichen/Watermark: elektronisches vor einem Webserver, der die Anfrage filtert Wasserzeichen zur Markierung digitaler und auf diese Weise Angriffe wie SQL- Inhalte, z.B. Musik oder Videos. Soll Copy- Injection, Buffer Overflow und andere right-Verletzungen nachweisbar machen verhindern soll, wird auch WSF genannt. Watering Hole Attack: Angriff auf eine Siehe Application Level Gateway Firma oder eine bestimmte Branche indem Webauftritt: Präsenz einer Firma, Privatper- eine Website übernommen wird, so dass die son oder Organisation im Internet, in der Besucher dieser Website sich über einen Regel in Form einer Website. Realisiert Zero-Day ihre PCs infizieren. „Watering entweder eigenen Webserver oder bei Hole“, da eine Website ausgesucht wird, die einem Webhoster branchen-spezfische Inhalte darstellt so dass Web beacon: (engl. beacon = Leuchtfeuer) viele Mitarbeiter des gewünschten Industrie- Web bug zweigs sie regelmäßig aufsuchen Webbrowser: Browser Watt: Maß für die wirklich aufgenommene Energie eines Gerätes, im Unterschied zu Web Bug: Technik zum Nachverfolgen, wann VA ein E-Mail oder Office Dokument gelesen wurde, ob es weitergeleitet wurde und wohin. WCF: (Windows Communication Foundation) Meist wird dafür ein HTML-Link zu einer Teil von .NET, unterstützt die Kommu- Graphik (1x1 pixel) eingefügt. Wenn das E- nikation zwischen Anwendungen, z.B. Mail oder Dokument geöffnet wird, so wird die Client und Server. Sicherheit kann durch Graphik vom Webserver geladen und dies die Nutzung von WSS implementiert werden. Siehe SOA, WSDL hinterlässt im Log des Servers entsprechende Spuren, die ausgewertet Wearable Computing: IT-Geräte die direkt am werden können. Dies wird zur systematischen Körper getragen werden, z.B. in Form einer Datensammlung genutzt und kann eine Datenbrille ( Google Glass, Oculus Rift), Bedrohung der Privatsphäre darstellen. siehe auch augmented reality, quantified Web Bugs werden vor allem verwendet seit die self, Lifebits, virtual reallity Web browser immer bessere Möglichkeiten Web: Kurzform von World Wide Web, www bieten um 3rd-party-cookies zu verhindern Web 2.0: ungenau verwendeter Begriff für Andere Namen dafür sind web bug, web neuere Aspekte des world wide webs, z.B. beacon, tracking pixel, tracking bug, pixel tag, die Veränderung von Websites zu Platt- und clear gif. Bei dem Abruf dieser winzigen formen zum Informationsaustausch, die Tat- Graphik können beliebige Daten über den sache, dass Schätzungen davon ausgehen, Benutzer mitgeliefert werden, z.B. die dass nur 40% der Inhalte des Webs von eingestellte Sprache des Rechners, das Firmen erstellt werden und neue Formen wie Betriebssystem, alle Cookies und auch die Blogs, Wikis, Social Network Sites und Inhalte von Eingabefeldern. Wenn die Graphik neue Techniken wie Web Services oder zurückgesendet wird können dabei auch 3rd AJAX. Auch verwendet für die Verknüpfung party cookies gesetzt werden, sofern die von Services und Anwendungen auf verschie- Browsereinstellungen dies erlauben. Siehe denen Websites, wie Hausanzeigen mit Referrer Google-Earth. Technologien sind AJAX und Webcam: Videokamera deren Inhalte im SOAP. Experten befürchten neue Sicher- Web zur Verfügung gestellt werden, i.d.R.
Version 11.1 Seite 207 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ zur Überwachung genutzt. Wenn dies an die Angreifer übermittelt werden können. (speziell im öffentlichen Raum) ohne Zustim- Wird in sog. Trojanern wie Zeus und mung der Betroffenen geschieht ist dies eine SpyEye eingesetzt Verletzung der Privatsphäre. Oft installieen WebInspect: Security Scanner für Web- die Betroffenen die Geräte selbst, z.B. sog. Applications. Penetration Test Nannycams (z.B. Teddybären) zur Über- Webkonferenzsystem: Software mit deren wachung von Babysittern, die ihren Zweck nur Hilfe Videokonferenzen ohne spezielle erfüllen, wenn auf sie auch von der Ferne Hardware und Software durchgeführt zugegriffen werden kann. Siehe CCTV, werden können, wurde 2020 durch Home- M2M, Internet of Things Office zum Durchbruch verholfen. Beispiele WebTorrent: eine P2P Technologie die es sind BigBlueButton, Teams, WebEx, erlaubt, dass Videos zwischen Browsern Google Meet, GotoMeeting, Skype, ausgetauscht werden. Wird z.B. bei Jitsi, Zoom und viele andere. Bei fast allen Peertube verwendet. Dies ist analog zu dieser Systeme liegen auch bei Nutzung von BitTorrent, aber auf Browser-basis Verschlüsselung für die Datenübertragung WeChat: Messaging App von Tencent, die trotzdem am zentralen Server zumindest die aber auch Zahlungsdienste und viele weitere Verbindungsdaten, meist aber auch die Funktionen integriert hat und deutlich umfas- vollständigen Daten vor (Ausnahme z.B. sender ist als ähnliche Dienste von anderen Messaging Dienst Signal). Sonst wären Anbietern. Sie wird auch als Super-App Features wie zentrale Aufzeichnung der bezeichnet. Die App bietet eine API für sog. Konferenz ja nicht möglich Mini-Programs, die über die WeChat App Die Zugangs-Sicherheit von Webkonferen- Zahlungsdienste (WeChat Pay), Bestel- zen liegt typsicherweise zum einen in der lungen, Reservierungen, Kommunikation mit Notwendigkeit, sich beim Anlegen und Starten Kunden, usw. leicht implementieren können. eines Events vorher zu Authentisieren. Dies Viele (auch kleinere) Unternehmen oder Ge- gilt auch für alle Teilnehmer von geschlossen schäfte, aber auch Behörden, nutzen dies als Konferenzen, z.B. innerhalb 1 Firma. einfache Kommunikation und Bestell- und Anderseits wurden 2020 viele öffentliche Zahlungsabwicklung mit ihren Kunden (> 1 Mio Konferenzen durchgeführt. Der Zugang zu Mini-Programs). Da alle diese Mini-Programms dem Events besteht meist in der Kenntnis Zugriff auf die WeChat ID der Kunden haben einer URL mit einem Zufalls-String (die entfällt auch die Notwendigkeit von Kunden- mittels E-Mail versendet oder auf einer anmeldung. Das ist bequem für Nutzer und Webseite publiziert werden). Typischerweise Firmen, aber totale Transparenz für alle können beim Anlegen eines Events weitere Aktivitäten von Firmen und Nutzern. Alle Schranken für die externen Teilnehmer Daten können auch in das Social Credit definiert werden. Da ist zum einen die System einfließen. Siehe auch Möglichkeit, dass jeder Teilnehmer aus einem https://sicherheitskultur.at/Internet_politik.htm# Warteraum einzeln eingelassen werden muss china (was bei großen Teilnehmerzahlen nicht WeChat Pay: in WeChat integrierte Bezahl- möglich ist). Es können fast immer auch funktion als Ersatz für Bargeld, konkurriert in Passworte gesetzt werden, was aber den China mit Alipay Zugang für die breite Masse oft zu kompliziert WebDAV: (Web-based Distributed Authoring macht. Des Weiteren kann beim Anlegen and Versioning) Erweiterungen von HTML definiert werden, welche Rechte die zum Austausch und bearbeiten von Dateien Teilnehmer per-Default haben, z.B. mittels http. Schwachstellen in der Imple- Stummschaltung oder Bildschirm teilen. mentierung führen zu Verwundbarkeiten Wenn dabei Fehler gemacht werden, so kann es zu Ereignissen wie Zoom-Bombing Webex: Software für Webkonferenz- kommen. systeme und Fernwartung die von Cisco übernommen wurde. Wie viele solche Dienste Es wird spekuliert, dass bei dem Durchbruch in wird die Datenübertragung verschlüsselt, die 2020 auch Metcalfe’s Law relevant sein Inhalte liegen auf den zentralen Servern in könnte. Vor 2020 fanden Meetings nur Klartext vor ausnahmsweise über Webkonferenzsysteme statt, jedes Arbeiten von zu Hause zwang alle Webhoster: Service der Webserver für anderen ebenfalls zur Nutzung des Systems andere betreibt. Diese Webserver können und die remote Nutzer waren nicht voll entweder nur für einen Kunden dediziert sein, integriert. In 2020 wurde „remote“ zum oder unter einer großen Zahl von Kunden Standard und dies machte es einfacher für den geteilt werden (virtual hosting). Webhoster Einzelnen der zu Hause bleiben wollte haben Aufgaben bei Take-down Webmail: Angebot vom E-Mail-Zugriff über Webinject: Technik bei Schadsoftware vor Webbrowser (anstatt POP3-Protokoll). allem im Bankenbereich, bei der falsche Webmail hat den Vorteil, dass von jedem Website-Inhalte im Browser des Benutzers Internetzugang auf die Mails zugegriffen angezeigt werden, so dass seine Login-Daten
Version 11.1 Seite 208 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ werden kann und dass dafür kein eigener sprechbar ist und Inhalte präsentiert, reprä- Rechner benötigt wird. Oft als Freemail an- sentiert im DOM. Typischerweise enthält 1 geboten Website mehrere Webseiten. Eine Ausname Web-of-Trust: Konzept, die Echtheit von bilden sog. single-page applications die nur digitalen Schlüsseln durch ein Netz von aus einer Seite bestehen, die mittels Javascript gegenseitigen Bestätigungen ( Signaturen) auf der Grundlage der Benutzereingaben zu sichern. Es stellt eine dezentrale Alternative dynamisch weitere Inhalte nachlädt, sehr oft zu CAs dar. Siehe PGP, CACert genutzt für e-Banking (siehe REST, SOAP). 2012 gab es bereits geschätzte 190 Web Page: Webseite Mio Websites mit 8,42 Milliarden Webseiten. Web Portal: Website, die Benutzern den Zusätzlich gibt es das Deep Web Zugang zu bestimmten Informationen, oder Webserver: Rechner mit dessen Hilfe eine Angeboten erleichtern soll, manchmal die Website betrieben wird Informationen mehrerer Anbieter zusammen- fassend, z.B. http://help.gv.at/ , d.h. Website, Web Services: Protokolle und Standards, die die über Hyperlinks auf die anderen die direkte Kommunikation zwischen Anwen- Webserver verweist dungen im Internet ermöglichen, meist beruhend auf SOAP und XML. Sicher- Webradio: Übertragung kontinuierlicher Audio- heitsrelevant, die sich auch über diese Tech- ströme über das Internet an vorgegebene nologie Angriffe realisieren lassen werden, IP-Adressen, ohne dass der Nutzer einen daher gibt es nun spezielle Appliances zur bestimmten Titel angefordert hat. Streaming Absicherung von Web Services und XML Media, Streamripper. Nutzung von Webradio durch die Mitarbeiter kann für Unternehmen Webshop: Bereits 1984 von Tesco eingesetzte einen Bandbreitenverlust darstellen und über Lösung bei der ein Kunde Waren onlline Sicherheitslücken in der verwendeten Software bestellen kann. Heute, speziell nach 2020 zu zusätzlichen Risiken führen. Vergleiche sehr weit verbreitet, aber von einigen Firmen dazu Podcasting wie Amazon sehr stark dominiert und in vielen Branchen, z.B. Elektronik, Reise- Webradio-Recorder: Service, bei dem ein buchungen und Kameras eine Bedrohung für Nutzer einen bestimmten Musiktitel „bestellen“ konventionelles Verkaufen. Siehe Digital kann. Der Service „hört“ bis zu 13000 Musik- Market Act radio-Stationen und erzeugt, wenn dieser Titel irgendwo übertragen wird, eine MP3-Datei. Website: Webauftritt im Internet, das Dabei wird im Fall von Privatkopien in Ö das unter Nutzung des HTTP-Protokolles Inhalte Urheberrecht nicht verletzt (zumeist im HTML-Format) zur allgemeinen Betrachtung bereitstellt. Neben diesem Proto- WebReady Document Viewing: Feature in koll werden oft auch noch andere Protokolle Exchange 2007, durch die E-Mail- An- und Inhalte verwendet, z.B. Streaming Media hänge vor deren Ansicht in OWA zuerst in oder Active Content. Inhalte können statisch HTML umgewandelt werden. Dies erhöht die oder mittels Web Applications interaktiv sein Sicherheit (siehe single-page application, REST, Webroot: Hauptverzeichnis in dem Web- SOAP). Websites bieten auch vielfältige seiten gespeichert sind. Auf alle Dateien die Möglichkeiten zur Verbreitung bösartiger Soft- im Dateisystem des Webservers innerhalb ware und ist auf Grund von oft fehlerbehafteter oder oberhalb des Webroots gespeichert sind, Implementierung oft selbst anfällig für Eindring- kann über Webzugriff zugegriffen werden und versuche von außen. Jeder Website ist 1 URL müssen daher sicher sein. Angriffe ver- zugeordnet (z.B. https://sicherheitskultur.at ). suchen oft, aus diesem Webroot auszubrechen Dieser URL ist dann ein Webroot und andere Verzeichnisse zu erreichen zugeordnet. Eine Website besteht typischer- WebRTC: (Web Real-Time Communication) weise aus mehreren Webseiten (z.B. ein Standard der Kommunikationsprotokolle https://sicherheitskultur.at/privacy ). 2012 gab und APIs beschreibt, die eine direkte es geschätzte 190 Mio Websites mit 8,42 Verbindung von Rechner zu Rechner (ohne Milliarden Webseiten. Siehe auch Deep Web zentralen Server) ermöglichen. Wird für Web sockets: Funktionalität in HTML5 mit Webkonferenzsysteme, Videokonferen- deren Hilfe vom Browser aus eine zen, aber auch direkte Dateitransfer genutzt. asynchrone Kommunikation mit einer WebRTC ist in fast allen modernen Datenquelle aufgenommen kann. Diese Webbrowsern implementiert. Die direkte Funktionalität könnte AJAX ersetzen. Verbindung von Browser zu Browser ist aber Problematisch sind vor allem die Schwach- bei Rechnern hinter einem NAPT-Router stellen in älteren Versionen die zum Teil noch nur mit Hilfe von STUN initial aufzubauen unterstützt werden und dass über Cross- Web Security Filter: (WSF) anderer Name für Origin Resource Sharing auch Zugriffe auf WAF anderen Domains möglich sind Webseite: Objekt auf einer Website, zumeist Websurfen: das Abrufen von Informationen in HTML-Format, das unter 1 URL an- von Websites mittels eines Web Browsers,
Version 11.1 Seite 209 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ dabei wird vor allem das HTTP/ HTTPS- Mule. Ab ca. 2018 weitgehend von Crypto- Protokoll genutzt währungen für diese Zahlungen abgelöst, was WeChat: seit 2011 vielfältiger Social zu einem Boom bei Ransomware geführt hat Network Dienst von Tencent. Er umfasst Wetware: Bezeichnung der Bioholoniker für zusätzlich auch Messaging und Zahlungs- das menschliche Gehirn dienste. Seit 2018 die verbreitetste Mobile WGA: (Windows Genuine Advantage) Win- App die speziell durch die Zahlungsdienste dows Software die prüfen soll, ob eine Raub- große Teile der Anforderungen für die meisten kopie eingesetzt wird. Positiv ist, dass Sicher- Benutzer abdeckt. „Official“ accounts, die auch heits Patches auch in nicht-lizensierten verifziert sein können, werden von Firmen, Systemen eingespielt werden können Behörden und Krankenhäusern für offizielle Whacking: Kurzform von 'wireless hacking'. Dienste, wie z.B. Registrierungen oder Anträge Gemeint sind Hackerangriffe auf mobile Ge- genutzt. Die Zahlungsdienste erlauben ein räte, also Handys, PDAs oder Notebooks. Bezahlen bei sehr vielen Händlern und sind gegenüber dem traditionellen Bankensystem Mit der zunehmenden Vernetzung und Inter- netverbindung dieser Geräte werden solche sehr bequem. Eine Konkurrenz dazu ist Angriffe, oder auch Virenattacken, immer Alibaba mit Alipay wahrscheinlicher Weibo: Micro-Blogging auf chinesisch. Am WhatsApp: Messaging Smartphone bekanntesten bei uns ist die Implemenierung App die für Chat und Messaging genutzt von Tencent Weibo und Sina Weibo, ähnlich wird und bei Jugendlichen die Nutzung von zu Twitter. Wobei in der chinesischen Schritt (kostenpflichtigen) SMS weitgehend abge- mit 140 Zeichen deutlich mehr kommuniziert löst hat. Wie bei Social Networks werden werden kann als bei westlichen Schriften Gruppen von friends gebildet, die sich WEP: (Wired Equivalent Privacy) Verschlüs- gegenseitig über diese App erreichen können. selung für Wireless Networks. Sie ist defi- Zumindest in der Anfangszeit gab es zahl- niert im Standard 802.11. WEP erlaubt einem reiche Schwachstellen, z.B. Übernahme frem- Administrator, mehrere Schlüssel für die der Accounts. Mittlerweile wird End-to-end Teilnehmer zu vergeben. Die Client PCs ver- Verschlüsselung implementiert. Jedoch wenden dann einen dieser ihnen zuge- fallen beim Betreiber trotzdem Meta-Daten wiesenen Schlüssel. Auch die neuste Version an, nämlich wer mit wem wie intensiv mit großer Schlüssellänge ist heute leicht zu kommuniziert. Problematisch ist ebenso, dass knacken und daher unsicher. Nachfolger ist die Nutzung nur dann möglich ist, wenn der WPA Nutzer den Zugriff auf sein Adressbuch Werbung: leider dominierendes Geschäfts- erlaubt. Das Konzept erlaubt den Zugriff auf modell im heutigen Internet, hat das die Profile von allen Personen, deren ursprünglich erwartete Modell von Handynummer man kennt. WhatsApp war zu Abonnements weitgehend abgelöst (mit Beginn nicht kostenlos, sondern kostete 1 US$ Ausnahmen ab ca. 2019, siehe z.B. Netflix, im Jahr, was bei 450 Mio Nutzern durchaus Spotify). Werbung wird seit ca. 2010 vor lukrativ war. Bereits 2014 wurden darüber allem personenbezogen präsentiert. D.h. durch weltweit so viele WhatsApp-Nachrichten wie eine Analyse der auf dieser und vielen anderen SMS gesendet. Whatsapp wurde von Websites über jeden einzelnen Benutzer Facebook gekauft und die Nutzerdaten mit gesammelten Daten (tracking) wird ein Instagram und Facebook integriert. Aus mehr oder weniger exaktes Persönlichkeitsbild diesem Anlass wird über Alternativen berichtet, gewonnen und dieses wird die Werbung die sich ebenfalls durch End-to-end Verschlüs- zugeschnitten. Dies passiert während eine selung auszeichnen: Signal, Threema, Seite geladen wird im Hintergrund durch MyEnignma, Heml.is, Whistle, Telegram, Auktionen bei denen verschiedene Riot Werbungskonzerne auf Grund der Daten über Whistleblower: Informant, der Missstände, diesen Nutzer entscheiden, wem dieser illegales Handeln im Unternehmen, Korruption, Werbeplatz auf der Website am meisten Wert Insiderhandel) oder allgemeine Gefahren an ist. Problematisch wenn dabei Werbung die Öffentlichkeit oder Behörden weitergibt, geschaltet wird die gezielt Probleme und nachdem eine Behebung im Unternehmen Schwächen der Nutzer ausnützt, z.B. ohne Erfolg verlief. Entsprechende Hotlines Suizidgefährdung, Esstörungen und ähnliches. innerhalb des Unternehmens werden in SOX Details siehe gefordert, die Implementierung muss auf den https://sicherheitskultur.at/spuren_im_internet. Datenschutz Rücksicht nehmen. Bekannte htm#eff Whistleblower sind Edward Snowden, Western Union: weltweit aktiver Finanz- Bradley Manning, Daniel Ellsberg. Siehe dienstleister der anonyme Barauszahlungen WikiLeaks, NARUS ermöglicht und daher gern für kriminelle Aktivi- White hat: in der IT Begriff für einen Hacker täten wie z.B. Ransomware, DoS-Er- mit „guten Absichten“, der z.B. Penetration pressungen o.ä. verwendet wird. Money Tests durchführt
Version 11.1 Seite 210 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Whitelist: Verfahren im Kampf gegen Spam Windows: Kurzbezeichnung für die verschie- und andere Schadsoftware. Der Empfänger denen Generation des MS Windows Be- gibt eine Liste von Adressen (bzw. Anwen- triebssystem von Microsoft. Die Versionen bis dungen) vor, von denen er bereit ist, E-Mail einschließlich Windows ME enhielten fast zu empfangen, bzw. diese Programme auszu- keine Sicherheitsfeatures. Neuere Versionen führen. Alle anderen Versender oder Pro- sind erheblich sicherer, wegen ihrer breiten gramme werden abgelehnt. Dieses Verfahren Verbreitung und den immer noch zahlreichen ist deutlich sicherer als das Blacklist Verwundbarkeiten sind sie jedoch vielfältigen Verfahren, erfordert aber mehr Verwaltungs- Angriffen ausgesetzt. Siehe Vista, Windows aufwand verglichen mit einer automatisierten XP Aktualisierung einer Blacklist durch einen Windows Phone 7: 2011 Betriebssystem externen Service, z.B. Virenschutzanbieter. von Microsoft für mobile Geräte wie Smart- Siehe Greylist phone. Sicherheitskonzepte inkludieren White Space: In der Telekommunikation Fre- Sandboxes für Apps und kontrollierter quenzen, die einem Rundfunkservice zugeord- Market für Apps. Die weitere Entwicklung net sind (häufig im UHF-Bereich), aber wegen muss erst abgewartet werden. Windows Phone der Umstellung auf DVB-T nicht mehr genutzt 7 ist 2012 durch Windows 8 ersetzt worden, werden. In den USA wurde bereits eine Regel das für PCs und Smartphones eingesetzt verabschiedet, dass solche Frequenzen durch wird unlizensierte Geräte genutzt werden kön- Windows XP: Sehr erfolgreicher Vorgänger nen,z.B. um Internet-Anbindungen zu erzeu- von Vista, auf dem Markt seit 2001, für den gen. Einige Bibliotheken, speziell in ländlichen Anfang 2014 keine Security Patches mehr Gebieten wo kein Breitband angeboten wird, zur Verfügung standen, aber noch auf >300 wollen auf diese Weise ihre Ortschaften mit Mio Rechnern eingesetzt wird. Problematisch, Breitband versorgen. Ähnliche Aktivitäten gibt da Angreifer aus den Patches für spätere es auch in anderen Ländern. In der EU Systeme wie Vista sehr oft befindet sich die Nutzung dieser Frequenz in Verwundbarkeiten von XP „ re-engineeren“ Untersuchung können, gegen die diese XP-Rechner dann Whois: Dienst, mit dem DNS Daten keinen Schutz haben. Der Umstieg auf Win7 abgefragt werden können. Z..B. erfordert sehr oft neue Hardware, auch bei http://www.ripe.net/perl/whois Geräten wie Druckern, weil für etwas ältere Widget: kleines Programm das auf einer Geräte oft keine Treiber mehr verfügbar sind Webseite eingebettet ist und eine bestimmte (Obsoleszenz von an sich funktionsfähigen Funktionalität bietet, oft implementiert in Geräten) 2019 wird Windows XP zum Teil DHTML, JavaScript oder Flash. Sehr oft immer noch auf Spezialgeräten eingesetzt, genutzt auf Social Networking Websites z.B. Ansteuerungen für medizinische und im Rahmen von Web 2.0. Kann natürlich Großgeräte, bei denen bei jeglicher Änderung, auch schädlich sein z.B. Patchen von Verwundbarkeiten oder Aktualisierung auf ein sichereres Betriebs- Wiederherstellung: (engl. Recovery) nach system eine neue Zulassungsprüfung einem Vorfall oder Disaster Daten oder notwendig wäre. Solche Geräte sollten auf Systeme wieder in einen betriebsbereiten keinen Fall mit dem Internet verbunden Zustand. Dies setzt in der Regel eine vorherige werden damit sie nicht angegriffen werden Datensicherung voraus können (airgap). Leider kann das aber nicht WiFi: Trademark der Wi-Fi Alliance. Firmen- immer durchgängig implementiert werden konsortium, das Geräte mit Funk-Schnittstellen Wiki: Programm zur Erstellung und Orga- zertifiziert, Begriff wird synonym für WLAN nisation von Informationen im Internet, die von genutzt (WLAN ist nur im deutschsprachigen den Benutzern nicht nur gelesen, sondern Raum gebräuchlich). Mehr Details unter auch online geändert werden kann und zwar wireless networks von allen. Bekannt ist Wikipedia WiMAX: (Worldwide Interoperability for Micro- WikiLeaks: Projekt zur Schaffung einer wave Access) drahtlose Technologie (IEEE Website, auf die anonym Dokumente gela- 802.16) für den Austausch von Daten und den werden können, (z.B. über TOR), die Sprache, die im Gegensatz zu WLAN auch typischerweise über Datendiebstahl gewon- über große Entfernungen funktioniert, nen wurden. Diese Anonymität soll dem Schutz Breitbanddatenübertragung bis 6 km und bis von Dissidenten und Whistleblowern dienen. 15 mbit/s. Dabei werden für verschiedene Eine wichtige Veröffentlichung war 2007 das Frequenzbereiche unterschiedliche Verfahren Video „Collateral Murder“ das die Erschießung eingesetzt. 2006 gibt es noch keine direkten von Journalisten im Irak durch eine Hub- Einschübe für PCs, daher muss über ein schrauberbesatzung zeigt. Die US-Soldatin spezielles Modem die Verbindung zum Chelsea Manning musste dafür ins Gefängnis, ISP hergestellt werden . Mögliche wurde 2017 entlassen, kam 2019 - 2020 noch Konkurrenz zu UMTS (2 mbit/s), altenative mal in Beugehaft: Bei der Publikation des Option ist White Space
Version 11.1 Seite 211 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Afghan War Diarys und der Iraq War Logs war system für PDAs und Smartphones von intensiv mit verschiedenen Medien- Microsoft, 2011 kaum noch in Benutzung, unternehmen zusammengearbeitet worden. Nachfolger ist Windows Phone 7, das WikiLeaks bekam 2010/11 große internationale mittlerweile ebenfalls obsolet ist Aufmerksamkeit durch die Veröffentlichung Window of Exposure: Zeitspanne von der einer großen Zahl von diplomatischen Veröffentlichung einer Schwachstelle (oder Berichten der USA und Dokumenten über das Exploits) bis zur Behebung durch Imple- Gefangenenlager in Guantanamo Bay Naval mentierung des Patches Base. Auch die Veröffentlichungen des Abu- WINE: öffentlich verfügbare Datensammlung Ghuraib-Gefängnisses im Irak und viele von Symantec zu Verwundbarkeiten. weitere wichtige Veröffentlichungen sind dort Schadsoftware und Exploits seit 2008 passiert. Mittels Domain-Sperrungen durch Wipe: 1) mehrmaliges Überschreiben der Behörden, aber auch dDoS- Angriffe durch US-Behörden (mit Gegenangriffen durch Daten einer Festplatte mit Zufallszahlen Anonymous) und die De-Aktivierung von bevor diese entsorgt wird. Ziel ist, sicher zustellen, dass ein zukünftiger Besitzer auch Spendenmöglichkeiten wurde versucht, Wiki- leaks zu stoppen. Da bei Whistleblowing auch mittels Data Recovery Techniken keine Unschuldige zu Schaden kommen können sind Daten mehr lesen kann. Kostenlose Program- Aktionen auch kritisiert worden. Julian me stehen im Internet zur Verfügung. Bei Assange, einer der Gründer wurde 2010 neueren Platten ist bereits das einmalige wegen einer schwedischen Anzeige zu Überschreiben ausreichend sexueller Nötigung in Großbritannien verhaftet, 2. Für das Löschen von Flash-Speichern, verbrachte dann 2012 – 2019 in der Botschaft z.B. Smartphones, müssen spezielle von Ecuador. 2019 wurde er in London Programme eingesetzt werden die mit dem verhaftet, es liegt ein Auslieferungsantrag der Wear Leveling der Speicher umgehen können USA vor die eine Maximalstrafe von 175 2) Remote Wipe bei Smartphones Jahren bedeuten könnte. Seitdem wird seine Wire: Messaging Software für Auslieferung juristisch bekämpft verschlüsselte Kommunikation inkl. Sprache Wikipedia: im Internet in vielen Sprachen und Video, file sharing, etc. erzeugt von Wire verfügbare Enzyklopädie, die von Nutzern Swiss selbst inhaltlich erstellt und gepflegt wird. Ent- Wireless Networks: verschiedene Technolo- hält viele wertvolle Hinweise auch zu allen gien um Geräte ohne Verkabelung miteinander Fragen der Informationssicherheit. Alle Infor- zu einem Datennetz zu verbinden. Dabei mationen unterliegen dem Copyleft-Prinzip werden entweder Infrarot oder Radiowellen und Creative Commons und werden in An- eingesetzt. Heute fast immer Synonym für die lehnung an ein Open Source Modell erstellt. Vernetzung durch Radiowellen. Implemen- Wikipedia ist es innerhalb relativ kurzer Zeit tierungen sind z.B. WLAN (Wi-Fi) und gelungen, die jahrhunderte alte Tradition von WiMAX oder die Handy-Netze wie GPRS, kommerziell erstellten Lexika oder Enzyklo- UMTS, etc. pädien (oft in einer großen Zahl von Bänden) WLAN gilt auf Grund der relativ leichten Abhör- zu zerstören. 2020 ist sie der wichtigste nicht- barkeit als eingeschränkt sicher ( Ethereal). kommerzielle Dienst im Internet. Sie enthält Es werden zwar heute die Dateninhalte heute mehr als 55 Millionen Beiträge in knapp zumeist verschlüsselt, aber nicht die sog. 300 Sprachen. Management frames. So wurde 2013 gezeigt, Seit den 80iger Jahren wurden erste Lexika wie WiFi-gesteuerte Drohnen durch ein auf CD-ROM angeboten, ein Erfolg war vor „deauthentication“ Kommanda entführt werden allem die Microsoft Encarta. Nach 2001 können. WLAN sollte nur in Verbindung mit übernahm die Wikipedia den gesamten Markt. WEP/ WPA oder sogar VPN benutzt Problematisch wird mittlerweile gesehen, dass werden, aber auch dann besteht große Anfäl- durch die freiwillige und ungesteuerte Mitarbeit ligkeit gegen DoS. Eine weitere Möglichkeit starke Verzerrung bei der Abdeckung von für Wireless Networks ist Bluetooth Inhalten entstehen. So sind europäische The- Wireshark: neuer Name für Ethereal men sehr stark abgedeckt, afrikanische z.B. fast gar nicht. Deutschsprachige Inhalte haben Wiretap: legales Abhören von Telefonaten einen überproportionalen Anteil (verglichen mit nach Richterbeschluss. Diese Funktionalität ist der Verbreitung der Sprache selbst). Ein in allen kommerziellen Telefonswitches weiteres Problem ist die manchmal schwierige integriert. Wurde in Griechenland 2006 illegal Korrektur von inkorrekten Inhalten. Siehe genutzt. Siehe Lawful Intercept, Über- Wiki. http://de.wikipedia.org/ wachung http://www.spectrum.ieee.org/print/5280 Wikiscanner: Website zur Identifizierung Wirtschaftlichkeitsberechnung: Siehe von anonymen Änderungen auf Wikipedia. ROI, NPV, IRR http://wikiscanner.virgil.gr/ Wirtschaftskriminalität: interne oder externe WinCE: mittlerweile obsoletes Betriebs- Sicherheitsbedrohung für Unternehmen. For-
Version 11.1 Seite 212 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ men sind u.a. Betrug, Bilanzfälschung, Be- WORM-Platten: (Write Once-Read Many) nur richtsfälschung, Wirtschaftsspionage / Indus- einmal beschreibbare, jedoch mehrfach triespionage, Social Engineering, Unter- lesbare Speichermedien, z.B. bespielbare CD- schlagung, Diebstahl, Bestechung, Korruption. ROM oder DVD. Die Unveränderbarkeit der Siehe Sarbanes-Oxley Act, KonTraG, Daten nach der erstmaligen Bespielung ist computer crime vor allem in Hinblick auf die Beweiskraft der Wirtschaftsspionage: private oder staatlich Aufzeichnungen wesentlich gelenkte oder gestützte, von fremden Nach- WoW: (World of Warcraft) richtendiensten, oder anderen Organisationen, WPA: neuer Standard zum Verschlüsseln von ausgehende Ausforschung im Zielbereich Wireless Networks, Nachfolger von WEP, Wirtschaft. Eine der Methoden ist Social gilt als deutlich sicherer, wurde jedoch 2008 Engineering, aber auch Erpressung und auch geknackt. Siehe TKIP Bestechung werden eingesetzt, oft auch WPAN: (Wireless Personal Area Network) gezielt versendete speziell programmierte Spyware. Siehe ECHELON, APT drahtloses Netzwerk, verglichen mit WLANs mit geringerer Sendeleistungen und Reich- Wissen: interpretierte, klassifizierte und in weite, z.B. auf Bluetooth- oder ZigBee- Beziehung gesetzte, vernetzte Information Basis WLAN: (wireless LAN, auch Wi-Fi) drahtloses WPS: (Wi-Fi Protected Setup) standardisierter Netz auf der Grundlage von IEEE 802.11. und vereinfachter Weg um bei einem WLAN Mehr Details unter Wireless Networks, Router die Einstellungen vorzunehmen, z.B. hotspot. Kenntnis der Zugangs pass- die Konfiguration Verschlüsselung. 2011 wird worte kann nach einer Trennung zu digitaler eine Designschwäche entdeckt die über Gewalt genutzt werden. Daher ist nach einer Brute Force Angriffe ausnutzbar ist. 2014 Trennung ein Zurücksetzen aller Passworte werden weitere noch effektivere Angriffe wichtig gefunden. Alternativ gibt es auch eine sichere WLAN knocking: an Port Knocking ange- Methode „push button connect“ lehnte Methode, um den Zugang zu einem WSDL: (Web Services Description Language) WLAN nur nach Durchführung mehrerer Beschreibungssprache für Web Services auf Schritte zu erlauben XML Basis. Einsatz oft zusammen mit WML: (Wireless Markup Language) WAP SOAP für die Entwicklung von single-page World-Check: privat betriebene kostenpflich- applications tige Datenbank zur Verhinderung von Geld- WS FS: WS-Federation, Konzept von einer wäsche und Terrorismusfinanzierung mit Reihe von Firmen um auf der Basis von Web 300.000 Einträgen, datenschutzrechtlich Services Authentisierungsdienste zu imple- bedenklich. Wird weltweit genutzt (u.a. von der mentieren, die auch über Organisationsgren- UN) und soll in Ö durch die Gewerbeordnung zen hinweg funktionieren. Auf dieser Grund- verpflichtend werden. Siehe PEP lage kann z.B. SSO implementiert werden. World of Warcraft: (WoW) Beispiel eines Dabei werden Technologien wie SAML, MMORPGs mit 4,5 Mio. Benutzern. Wie alle OAuth und OpenID genutzt anderen virtuellen Welten auch Ort von WSF: (web security filter) anderer Name für Angriffen und Betrügereien WAF World Wide Web: (www) Name für die WSS: (Web Services Security) OASIS-Stan- Gesamtheit der über Hyperlinks verknüpften dard für Sicherheitsimplementierungen für Dokumente im Internet. Internet und Web Web Services, enthält z.B. Kerberos, werden oft synonmym genutzt, aber das X.509 und SAML. Siehe SOAP Internet ist nur das Transportmedium für viele WSUS: (Windows Server Update Service) Dienste, eines davon ist Web, andere sind kostenloses Programm von Microsoft zur E-Mail, Messaging, Telephonie wie zentralen Verwaltung von Patches. Analyse Skype, etc. Suchmaschinen durchsuchen des Patch-Zustandes und Verteilung der das Web, nicht das Internet. Das Web besteht Patches. Arbeitet mit „Automatic Update“ im nur aus den Diensten, die mittels Browser Client-PC zusammen, Nachfolger von SUS. genutzt werden und mit URLs der Form Siehe SMS http:// oder https:// beginnen. Wuala: Cloud service zum speichern von Begründet wurden die grundlegenden Tech- Dateien, nutzt, so wie das korrekt ist, nologien wie Hyperlinks, HTML, Web- Schlüssel die nur auf den Endgeräten des browser und URLs 1989 durch Tim Berners- Benutzers gespeichert sind. Dadurch haben Lee, andere Aspekte wie TCP/IP und DNS auch Administratoren keinen Zugriff. Im lagen bereits vor. Der nächste Schritt war dann Gegensatz dazu Dropbox der Browser NCSA Mosaic in 1993, gefolgt Wurm: Programm, das sich wie ein Virus vom sehr popularen Browser Netscape vervielfältigen kann, das aber im Gegensatz Navigator in 1994, das den Browsermarkt in zum Virus kein Wirtsprogramm benötigt, das den 90igern dominierte
Version 11.1 Seite 213 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ infiziert wird. Versendet sich oft selbstständig stark eingesetzt wird. Die ursprünglichen an andere Rechner zwecks deren Infizierung. Implementierungen kamen von intel, solche Eine Untermenge von Malicious Code Chips werden aber auch von AMD, Cyrix u.a. WWN: (World Wide Name) 64-bit Kennung hergestellt. Seit 1981 kam diese Architektur in einer Fibre Channel Komponente. Entspricht den IBM- PCs zum Einsatz und wurde so der MAC-Adresse im Ethernet-Bereich. Sie Teil des Durchbruchs der ‚personal computings‘ wird für die Ports von Switches, HBAs und HAs vergeben XACML: (Extensible Access Control Markup Language) von der OASIS Organisation vor- WWW: World Wide Web geschlagener Standard für die Kodierung von X.12: eigentlich ASC X.12. US-amerikanischer Zugriffsberechtigungsinformationen in Standard für die Formatierung von Geschäfts- XML Format dokumenten, EDI-Standard. Unterstützt in XAML: (Extensible Application Markup Lan- der Standardimplementierung weder Sig- guage) von Microsoft entwickeltes Datenformat natur noch Verschlüsselung auf XML-Basis, genutzt in Silverlight und X.25: veraltetes Verfahren zur Übertragung XBAP mehrerer Kommunikationsverbindungen über XBAP: (XAML browser application) Pro- einen einzelnen Datenkanal. Heute durch gramm auf der Basis von .NET, das in einem ATM und Frame Relay verdrängt Webbrowser gestartet werden kann. Es läuft X.400: alter E-Mail Standard, heute durch in einer Sandbox ab und hat eingeschränkte SMTP verdrängt. X.400 hatte eine Reihe von Zugriffe zum System Sicherheitsfeatures, z.B. gegenseitige Xbox: seit 2001 Spielkonsole von Microsoft, Authentifizierung der MailServer und seit 2013 als Xbox One mit Kamera im Kinect optionale Rückmeldungen bei Zustellung und motion sensing die Bewegungen im Raum so Lesen eines E-Mails, die sich nur rudimentär in analysieren kann, dass über Bewegungen die SMTP finden. X.400 hat sich nicht Spiele gesteuert werden können. Microsoft durchgesetzt, u.a. weil es wegen der expliziten sieht die Xbox als Media Platform, über die Authentisierung aller anderen MailServer auch Fernsehen, Filme, Skype etc. genutzt aufwendiger zu implementieren und die werden sollen. Die Kamera kann dabei auch Software [im Gegensatz zu sendmail (smtp)] die Zahl und Identität von Personen, kostenpflichtig ist Geschlecht und andere Details analysieren X.500: Standard für Directories ( Verzeich- und weitermelden. Problematisch ist, dass die nisdienst). Der Standard deckt nicht nur die Kamera nicht ausgeschaltet werden kann und Kommunikation einer Anwendung mit der das Gerät zuerst gar nicht ohne Verbindung Directory ab, sondern auch Verfahren für eine zum Internet nutzbar war Synchronisation. Wird heute meist durch XCBF: (XML Common Biometric Format) von LDAP ersetzt der OASIS Organisation vorgeschlagener X.509: Standardformat der ITU-T für digitale Standard für die Kodierung von biomet- Zertifikate. Es beinhaltet den Namen des rischen Informationen zur Authentisierung Ausstellers (Zertifizierungsinstanz), Informatio- xDSL: DSL nen über die Identität des Inhabers sowie den öffentlichen Schlüssel, signiert mit der XHMTL: (eXtensible HyperText Markup Lan- digitalen Signatur des Ausstellers. guage) Darstellungssprache im Web, die die http://www.ietf.org/rfc/rfc3280.txt gleichen Darstellungsmöglichkeiten wie HTML bietet, aber eine strengere Syntax hat. X.521: Standard für die Abbildung von Unter- XHTML beruht nicht wie HTML auf SGML, nehmensstrukturen und Zugriffsberechti- sondern auf XML gungen in einer X.500 Datenstruktur XHR: (XMLHttpRequest) X.800: Empfehlung der ITU-T für „Security Standard for Open System Interconnection“, Xing: 2003 gegründetes hauptsächlich definiert 8 Dimensionen von IT-Sicherheit: beruflich genutztes Social Network mit Sitz Access Control, Authentifizierung, Non- in Hamburg. Eine Alternative zu LinkedIn, Repudiation, Vertraulichkeit, Kommunika- das zu Microsoft gehört. Wie LinkedIn tionssicherheit (z.B. VPN, L2TP), Inte- implementiert nach dem walled garden grität, Verfügbarkeit, Privatsphäre. Zu Konzept, d.h. nur Xing Mitglieder können Xing- ergänzen ist m.E. noch Accountability Nachrichten lesen. Wird sehr stark für die Suche nach Job-Angeboten und neuen X.805: Empfehlung der ITU-T für „Security Mitarbeitern genutzt. Aber auch Social Architecture for Systems providing end-to-end Engineering lässt sich über so eine Platform Communication“, sehr ähnlich zu X.800. leicht betreiben Definiert die Anforderungen für jede Schicht des OSI-Schichtenmodells IEEE 802.2 XKeyscore: Programm der NAS für die intelligente Analyse (mittels sog. Selektoren) x86: Beispiel einer CPU-Architektur die von Daten die durch verschiedene Über- bereits seit 1978 genutzt wird und heute noch wachungsmethoden gewonnen wurden, z.B.
Version 11.1 Seite 214 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Tempora oder PRISM und vielen anderen. Webbrowser, bei dem nicht-vertrauenswür- Bekannt wurde das Programm durch die diger Inhalt in vertrauenswürdige Websites Veröffentlichungen von Edward Snowden eingefügt wird, z.B. im Rahmen eines Gäste- XML: (Extensible Markup Language) Subset buchs, einer Verkaufsanzeige, eines Blog- und Erweiterung von SGML (Standard Kommentars, nicht zu verwechseln mit Generalized Markup Language), textorientierte CSRF. Man unterscheidet persistent XSS Metasprache, von der W3C entwickelt. Auf und non-persistent. Basis dieser Konventionen erlaubt XML die Bei non-persistent XSS muss der Angreifer Definition von spezifischen „Tags“, die auf dem Opfer einen Link auf die verwundbare bestimmte Aufgabenbereiche zugeschnitten Website schicken, in dem der Angriffscode sind. Ziel ist die semantische Beschreibung bereits enthalten ist. von Daten, so dass diese zwischen unter- Bei persistent XSS gelingt es dem Angreifer schiedlichen Anwendungen ausgetauscht den Schadcode, z.B. als Kommentar in einem werden können. Der Einsatz von XML kann Blog oder Gästebuch in die Datenbank des außer über das Internet auch über jedes be- CMS einfügen zu lassen. Dadurch werden liebige Kommunikationsmedium durchgeführt alle Leser dieses Blogeintrags infiziert ohne werden. Die in XML verwendeten „Tags“ dass der Angreifer noch mal aktiv werden werden in einer DTD definiert. Das Doku- muss. XSS eignet sich für eine Infektion des ment, zusammen mit seiner DTD, erlaubt eine PCs mit Malware oder Authentication- automatische Überprüfung der Syntax und Bypass z.B. durch Zugriff auf Cookies. zusammen mit einem XSL-Dokument die Wird verhindert durch konsequentes Checken automatische Darstellung von Input und Output in Web-Applications. XML DSig: von einer gemeinsamen Arbeits- CSP ist ein Versuch in 2011 Funktionen gruppe von W3C und IETF vorgeschla- anzubieten, mit denen dieser Angriff erschwert gener Standard zur Repräsentation von wird. Eine spezielle Variante ist self-XSS . digitalen Signaturen mit Hilfe des XML Dafür muss der Browser eine Verwund- Formates barkeit haben die es erlaubt, dass vom XMLHttpRequest: (XHR) wichtiges Element Angreifer eingefügter Code, zumeist Java- von AJAX. Erlaubt dynamisches Nachladen Script, auf der Website ausgeführt wird. Um von Inhalten ohne Neuaufbau der Seite. die Benutzer dazu zu bringen kann man z.B. Problematisch unter Sicherheitsaspekten, da erklären, dass dieser „magic code“ für ein der Benutzer bei „bösen“ XHR keine optische Gewinnspiel notwendig sei ( Social Rückmeldung des Datentransfers bekommt, Engineering). wird von Schadsoftware verwendet um Ziel von XSS ist oft der Zugriff auf Schlüssel anzufordern, mit deren Hilfe Cookies, entweder Session Cookies JavaScripts vor der Ausführung entschlüs- während das Opfer auf einer Website (z.B. selt werden Bank) online ist, oder ein genereller Zugangs- XMPP: (Extensible Messaging and Presence Cookie der einen Zugriff ohne neuerliche Protocol) wird genutzt für Anwendungen die Authentisierung erlaubt. Siehe auch Chatrooms oder Messaging Dienste HTML-Injection, SOP implementieren wollen. Verschlüsselungen, Y2020 bug: Siehe Y2K bug z.B mittels TLS werden empfohlen, sowohl Y2K bug: Software-Problem beim Wechsel für die Verbindung vom Client zu dem in das 2. Jahrtausend. Programmierer hatten notwendigen zentralen Server im Internet, sich auf Grund der beschränkten Resourcen in wie auch zwischen möglichen mehreren frühen Computern angewöhnt, Jahreszahlen Servern. Trotzdem können solchen Dienste nur 2-stellig zu speichern (z.B. ‚781231‘ für extrem unsicher sein, Hauptschwachstelle bei Sylvester 1978). Dies hätte am 1.1.2000 dazu WhatsApp ist z.B. die Identifizierung und geführt, dass dieses Datum als 1.1.1900 Authentisierung der Benutzer. Dadurch ist es ausgewertet würde. Mit einem sehr sehr leicht andere Benutzer zu simulieren oder großen Programmieraufwand wurden alle deren Botschaften zu empfangen. 2013 wird Programme auf diesen Fehler hin untersucht als Reaktion auf Edward Snowden end-to- und (fast immer) die Speicherung des Jahres end Verschlüsselung geplant auf 4-stellig umgestellt. Bis auf einige Fälle, in XPS: (Extrusion Prevention System) neues denen folgende Logik im Programm eingebaut Schlagwort als Folge des California Security wurde: falls Jahreszahl <20, interpretiere dies Breach Information Act. Lösungen, die einen als 20xx. Dies führte am 1.1.202 zum Ausfall Vertraulichkeitsverlust von sensiblen von einigen Finanzsystemen, dies ist der Daten verhindern sollen, z.B. durch Kontrolle Y2020 bug. Ob weitere ähnliche Fallen in alten von USB-Ports. Siehe DLP Programmen versteckt sind werden weitere XSL: (Extensible Stylesheet Language) erlaubt Jahreswechsel zeigen die Spezifikation der Darstellung eines XML Youtube: zugekaufter Videodienst von Dokuments auf Schirm oder Papier Google. Auf Basis der Kommentierungs- XSS: (cross-site scripting) Angriff auf funktion auch ein Social Network. Wird auch
Version 11.1 Seite 215 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ für die Verbreitung von Videos genutzt die Da Gleitkommadarstellungen für die meisten unter Copyright stehen. In diesem Fall Zahlen nicht exakt möglich sind, kommt es entfernt Google die Videos nach einer Be- dabei zu Rundungsfehlern, die bei schwerde des Rechteinhabers. Wird auch für Geldberechnungen nicht akzeptabel sein Cyber Bullying genutzt. Benutzer die dies können. Dort müssen Festkommadarstel- sehen können zu jedem Video eine ent- lungen genutzt werden, in einigen sprechende Meldung machen. Dann werden Programmiersprachen als Datentyp die Inhalte (zumeist) entfernt. Firmen müssen ‚currency‘. Ein weiterer Spezialfall ist BCD sich bei unerwünschten Videos gut überlegen, Zapper: Klasse von Software die eingesetzt wie sie damit umgehen. Details unter wird, um die Buchführung von Restaurants reputation repair. Seit ca. 2018 wird das o.ä. zu „frisieren“, oft installiert auf Flash- Radikalisierungsp otential des Vorschlags- Speichern. Die Löschung von Einnahmen wird algorithmus von Youtube kritisch bewertet. so durchgeführt, dass auch in der doppelten Untersuchungen zeigen, dass die Vorschläge Buchführung keine Spuren verbleiben für weitere Videos dazu neigen, immer Zeitstempel: mit einer digitalen Signatur sensationellere Videos zu liefern. Dies soll versehene digitale Bescheinigung einer dazu führen, dass die Nutzer möglichst lange auf Youtube bleiben. Alternativen sind z.B. Zertifizierungsinstanz, die bescheinigt, dass bestimmte digitale Daten zu einem bestimmten Dailymotion, Vimeo und PeerTube Zeitpunkt vorgelegen haben (Beweis der (letzteres auf Basis der verteilten Konzepte Existenz zu einem Zeitpunkt) von ActivityPub) Zero Day: Verwundbarkeit die noch nicht YubiKey: hardware-basiertes Authentisie- öffentlich bekannt ist und für die es daher noch rungsgerät in Form eines Schlüsselanhängers. keine Pattern in Antivirus-Software oder Implementiert ein one-time Passwort ( OTP) IPS gibt und es auch noch keinen Patch und unterstützt die Protokolle U2F und gibt. Siehe Bug Bounty FIDO2. Wird in den USB-Slot eines Gerätes eingesteckt und emuliert dort eine Tastatur, Zero Day Exploit: Tools zum Angriff auf d.h. kann die Passworte direkt eingeben. Zero Day Schwachstellen. Zero Day Exploits Auch in einigen Passwort Managern werden heute kommerziell gehandelt. Neue unterstützt. Implementiert HOTP und Exploits werden oft am Tag nach dem TOTP. Siehe auch Nitrokey PatchTuesday veröffentlicht, dies sichert mindestens 4 Wochen ungeschützte Systeme . Zahlendarstellung: Teil jeder CPU- Sie werden zum Teil auf online-Börsen Architektur ist eine bestimmte Art, wie Zahlen gehandelt (zero day bounty). Gekauft werden im Computer dargestellt werden. Dies sie von kriminellen Organisationen, aber auch geschieht immer im Binärformat. Bei positiven Ganzzahlen ( ‘integer‘) ist dies von staatlichen Stellen für die Nutzung in Bundestrojanern oder anderer staatlicher typischerweise einfach die Übertragung aus Überwachungssoftware ( Federal Spyware), dem „Zehnerland“ in das „Zweierland“. Bei aber auch für targeted attacks im Rahmen negativen Zahlen wird das Vorzeichen oft als von Cyber Spionage oder Cyberwar. Der ‚höchstes‘ Bit gespeichert und der Rest Handel mit solchen Schwachstellen wie auch komplementiert („Zweierkomplement“. Dies vereinfacht die Rechenarithmetik. Die Anzahl die Veröffentlichung dieser Schwachstellen bevor Patches zur Verfügung stehen ist der Bits die für ein ‚integer‘ verwendet wird umstritten, das Thema wird als Disclosure bestimmt die maximale Größe einer Zahl und bezeichnet. Siehe FinFisher/Finspy hängt von der CPU-Architektur ab. In den Programmiersprachen werden oft Zero-order entropy: Entropy in der unterschiedlich lange Integer angeboten, oft Informationsswissenschaft bezeichnet den von 8 bit bis 128 bit. Für spezielle Informationsgehalt eines Datenelements. Anforderungen der Numerik, z.B. Berechnung Siehe Passwort großer Primzahlen sind beide Darstellungen Zero-knowledge proof: Verfahren der nicht geeignet. Dafür müssen die Zahlen in Kryptographie, bei der ein Teilnehmer ( prover ) einer reinen Binärdarstellung abgelegt und gegenüber einem anderen Teilnehmer ( verifier ) verarbeitet werden, was der Befehlssatz beweisen kann, dass eine Behauptung wahr ist. eigentlich nie direkt unterstützt. Im konkreten Fall normalerweise die Behaup- Bei rationalen und reelen Zahlen tung, eine gewisse Information zu besitzen, ohne (‚ Gleitkomma‘, ‚real‘, ‚floating point‘, ‚float‘) diese jedoch preis zu geben. Eingesetzt als ist nur eine annähernde Darstellung möglich. Zero-knowledge password proof Dabei wird die Zahl in eine Mantisse und den Zero-knowledge password proof: (ZKPP) Exponenten zerlegt die in getrennten Bits Authentisierungsmethode, bei der eine Partei abgelegt werden. Moderne CPU-Architekturen der anderen beweist, dass sie ein Passwort haben Befehle für Gleitkommaarithmetik, kennt ohne das Passwort zu verraten, sicher zumeist getrennt für Zahlen einfacher und gegen Dictionary Attack . Durch Hash- doppelter Genauigkeit (die sich durch die Funktionen soll diese Sicherheit erreicht werden. Anzahl der Bits der Mantisse unterscheiden). Siehe SRP
Version 11.1 Seite 216 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/
Zertifikat: Beglaubing, Bescheinigung austausch während des Aufbaus der Sprach- Zertifikat (digitales): von einer vertrauens- verbindung statt. Man-in-the-Middle Angriffe würdigen Instanz digital signierter öffentlicher werden verhindert, wenn die Teilnehmer sich Schlüssel, damit dieser als authentisch aner- einen Security Code ( Fingerprint), der auf kannt wird. Die verbreiteste und bekannteste den Bildschirmen der Geräte gezeigt wird, Festlegung des Aufbaues und Codierung von vorlesen ( out-of-band). Das System ist Zertifikaten ist die X.509-Norm, Zertifikate kompatibel mit Programmen auf der Basis von sind elektronische Gegenstücke zu Ausweisen. SIP- and RTP-Technologie, z.B. X-Lite, Gizmo Ein Zertifikat bindet einen Namen einer Person und Sjphone). Gilt auch 2014 als für die NSA oder Institution an deren öffentlichen nicht entschlüsselbar. Siehe PGPfone, Schlüssel. Ein Zertifikat ist eine spezielle Skype Datenstruktur, die Informationen zu einem ZFS: Dateisystem von Sun für die Verwen- öffentlichen Schlüssel und dessen Besitzer be- dung im Server und Rechenzentrums- inhaltet, sowie einige Verwaltungsinformatio- betrieb. Dazu gehören z.B. die maximale nen, wie z.B. den Gültigkeitszeitraum, den ver- Größe des System, RAID-Integration, sowie wendeten Verschlüsselungsalgorithmus, etc. integriertem Integritätsschutz durch Ein Zertifikat ist immer digital signiert, um seine Prüfsumme Echtheit zu bestätigen. Diese elektronische ZigBee: Standard für drahtlose Kommunika- Unterschrift sichert das damit unterzeichnete tion zum Aufbau von Netzen ( WPAN) mit Dokument vor Verfälschung auf seinem Weg dem Ziel einfacher und billiger als Bluetooth durch das Internet ( Public-Key-Verschlüs- zu sein. Dies könnte z.B. Grundlage von selung). HAN sein. Konkurrenz ist z.B. Z-Wave Eine so genannte Wurzel-(Root)-Zertifizie- Zip: Dateiformat zur verlustfreien Kompri- rungsstelle autorisiert andere Institutionen oder mierung von Dateien, das auch eine sym- Unternehmen (z. B. Finanzinstitute) dazu, metrische Verschlüsselung erlaubt, die bei ihrerseits als sekundäre Zertifizierungsstelle der Verwendung kurzer Schlüssel aber sehr gegenüber Geschäftskunden aufzutreten. Die leicht durch entsprechende „ Passwort- durch die Wurzel-(Root-) Zertifizierungsstelle Recovery“ Programme zu knacken ist zertifizierten Unternehmen dürfen dann digitale Zertifikate an ihre Kunden ausgeben. Trust ZKPP: Zero-knowledge password proof Center (sekundäre Zertifizierungsstellen) er- ZMR: (zentrales Melderegister) in Ö eine stellen und verwalten die elektronischen Datenbank aller Personen mit Wohnsitz in Ö Schlüssel. Ein Zertifikat entsteht durch die Zombie: in der EDV ein PC (neuerdings technische Verknüpfung des öffentlichen auch Smartphone oder Tablet), der mittels Schlüssels eines asymmetrischen Schlüssel- Schadsoftware, bzw. RAT von einem paares mit den Identifizierungsdaten eines Angreifer zu illegalen Zwecken genutzt wird. Benutzers, der im vordefinierten Rahmen einer Eine große Zahl davon bilden ein Botnet. Zertifizierungsrichtlinie registriert wurde. Siehe Diese können für illegale Zwecke, z.B. Certificate Revocation List, EV Certificate dDoS-Angriffe, aber auch die Verteilung von Zertifizierungsstelle: vertrauenswürdige Pornographie, Phishing, Bitcoin-Mining Stelle, die die Zuordnung von öffentlicher oder Spam genutzt werden. Es gibt viele Schlüssel zu Subjekten (Personen oder Bot-Netze mit über 100 000 solcher Rechner. Firmen) bescheinigt. Mehr Details unter CA Seit ca. 2013 gelingt es Polizeibehörden, in Zeus: sehr flexibles und erfolgreiches Tool zur Zusammenarbeit mit großen IT-Unternehmen Erstellung von Varianten von Schadsoftware, wie z.B. Microsoft und Firmen im Bereich IT- hauptsächlich genutzt gegen e-Banking. Sicherheit immer öfter, Botnets lahm zu legen. Gehört in die Klasse der Trojaner und wird Diese Erfolge halten aber in der Regel nicht für Preise zwischen einigen Hundert bis einige sehr lange an Tausend $ angeboten. Enthält u.a. Key- logging Features, kann aber als Man-in-the- Zone: Browser auch konfiguriert werden um 1) generell: Netzbereich mit einer bestimmten dynamisch mit 2-Faktor-Authentisierungen Sicherheitsanforderung, Beisp. DMZ. wie SMS-TAN umzugehen und Geld zu 2) im Bereich Storage: mehrere Fibre Chan- überweisen. Der Baukasten enthält auch nel Ports, die miteinander kommunizieren Komponenten zum Aufbau eines Botnets, dürfen z.B. die C&C Server. Eine moderne Zonealarm: Personal Firewall, für Implementierung (2015) wird Sphinx genannt. Privatnutzung kostenlos Konkurrenzprodukt ist SpyEye Zoning: im Bereich Storage: Unterteilung Zfone: (Achtung, nicht identisch mit zPhone) Programm des PGP-Entwicklers Phil eines Fabrics aus Sicherheitsgründen in Zimmermann zum Verschlüsseln von Subnetzwerke, die sich auch überlappen VoIP-Verbindungen mittels ZRTP und können SRTP Protokoll. Dabei findet der Schlüssel- Zoom: Anbieter eines Webkonferenz-
Version 11.1 Seite 217 Glossar der Informationssicherheit und Netzpolitik http://sicherheitskultur.at/ systems das 2020 durch intensive Nutzung dass nicht alle Nachrichten der „friends“ von Online-Konferenzen zum Durchbruch kam. angezeigt werden, außer der Benutzer geht Im Gegensatz zu reinen WebRTC-basierten aktiv auf die Seite dieses Benutzers Systemen wie BigBlueButton oder Jitsi vor Zufallszahlen: random number allem mit dedizierter Client-Software genutzt, Zugang: Access was manchmal die Benutzbarkeit für die Zugriff: Access Nutzer vereinfacht (eine Nutzung im Webbrowser mit WebRTC ist aber auch Zugriffsberechtigung: Rechte, die ein Nutzer möglich). Hatte zu Begin von 2020 mit auf einem System hat. Siehe Autorisie- Sicherheitsproblemen zu kämpfen rung, UAM Zurechenbarkeit: der Empfänger kann eine Zoom-Bombing: Bei dem Webkonferenz- system Zoom kam es Anfang 2020 zu Nachricht, inkl. Absender- Authentisierung, als Beweis gegenüber Dritten verwenden. Ein einer Reihe von Sicherheitsproblemen (die bei Verfahren dafür ist die digitale Signatur unvorsichtiger Konfiguration bei jedem sol- chem System auftreten können. Durch eine Zutritt: räumliches Eindringen in einen (meist) ungeschickte Wahl der Sicherheitsvoreinstel- privilegierten Bereich, siehe Access lungen für Zoom-Konferenzen war es per- Zutrittssystem: elektronische Schutzeinrich- Default für alle Teilnehmer möglich, ihren tung zur Kontrolle des Zutritts. Früher meist Bildschirm frei zu geben. Dies wurde bei über Portier gelöst, heute oft mittels (meist öffentlich publizierten Konferenz-URLs zum kontaktloser) Smartcard ( RFID). In Hoch- Publizieren von unerwünschten Inhalten, z.B. sicherheitsbereichen auch über PIN-Eingabe Pornographie oder rechts-radikalen Inhalten oder Biometrie genutzt. Da die grundsätzliche Möglichkeit des Z-Wave : drahtloses Übertragungsprotokoll für Teilens von Bildschirminhalten in allen diesen HAN, d.h. home automation, Konkurrenz zu Systemen besteht ist diese Problematik in ZigBee allen Konferenzsystemen inherent und muss Zweierkomplement: Zahlendarstellung durch bewusste Vergabe von Berechtigungen Zwift: Größte Online-Plattform für virtuelles kontrolliert werden Training für Rad- und Laufsport. Radsportler ZRTP: von Phil Zimmermann mitent- brauchen entweder ein kompatibles Fahrrad- wickeltes Protokoll für VoIP, d.h. IP-basierte ergometer oder einen Smart Trainer in den Telefonie. Schlüsseltausch mittels Diffie- das Rennrad (ohne Hinterrad) eingebaut wird. Hellman, verwendet im Zfone (ebenfalls von Dieses Gerät wird üblicherweise über Phil Zimmermann), Signal und RedPhone Bluetooth mit einem Smartphone oder PC (von Moxie Marlinspike). Gilt auch 2014 als für verbunden, das oder der dann eine Verbin- die NSA nicht entschlüsselbar dung zur Plattform im Internet herstellt. Zuckerberg’s Law: in 2008 von Mark Zucker- Virtuelle Landschaften können mittels Bild- schirmen dargestellt werden, z.B. die fiktive berg dargelegte Theorie, dass die Zahl der „Share“-Events auf Facebook sich jedes Insel Watopia, mit Dinosaurieren und Vul- Jahr verdoppelt. Der Medi kanen, aber auch berühmten Rennstrecken. Informationssicherheitan der “friends“ liegt Bei Steigungen kann der Widerstand automa- bei 100, für 2013 ergaben sich damit ca. 1500 tisch von der Stecke auf das Gerät übertragen werden. Andere Teilnehmer werden als Nachrichten pro Besuch eines Benutzers. Dieser Effekt wurde zu einem Problem für Avatar dargestellt. Es werden auch Rennen ausgetragen, 2021 wird von Betrug mittels Facebook, das daher den News Feed einge- führt hat, bei dem dieser Nachrichtenstrom Manipulation der Software berichtet. Zwift nach von Facebook vorgegebenen Algo- berichtet 2020 ca. 2 Mio. zahlende Nutzer (ca. rithmen gefiltert wird (inkl. der „Werbenach- 80 000 aus D.) richten“ von den Firmen-Präsenzen auf FB, bei denen ein Benutzer „fan“ ist). Das bedeutet,
Version 11.1 Seite 218