20 Verzeichnis der Abbildungen

Abbildung 2-1: Dreidimensionale IT- bzw. IKT- bzw. IKT-Sicherheits- (management)pyramideDr.-Ing. Müller V bzw. ISM- PyramideDr.-Ing. Müller ...... 30 Abbildung 5-1: ISO-27000-Familie (Teil 1/2) ...... 107 Abbildung 5-2: ISO-27000-Familie (Teil 2/2) ...... 107 Abbildung 5-3: ITIL Service Life Cycle ...... 152 Abbildung 5-4: Software Assurance Maturity Model ...... 168 Abbildung 5-5: Struktur einer SOAP-Nachricht (Beispiel) ...... 174 Abbildung 6-1: Schutzobjektklassen ...... 210 Abbildung 6-2: Detaillierter SicherheitsdreiklangDr.-Ing. Müller ...... 212 Abbildung 6-3: Detaillierter RisikodreiklangDr.-Ing. Müller ...... 215 Abbildung 7-1: SicherheitspyramideDr.-Ing. Müller, Version V, bzw. Sicherheitsmanagementpyramide Dr.-Ing. Müller, Version V ...... 222 Abbildung 10-1: House of Safety, Security and Continuity (HoSSC) ...... 269 Abbildung 10-2: Safety, Security and Continuity Function Deployment (SSCFD) ...... 270 Abbildung 11-1: Risikolandkarte und Risikoklassen (Beispiel) ...... 289 Abbildung 11-2: Management-, Kern-, Support- und Begleitprozesse im Lebenszyklus ...... 330 Abbildung 11-3: Begleitprozesse (Managementdisziplinen) ...... 337 Abbildung 11-4: Risiko(management)pyramideDr.-Ing. Müller Version V ...... 351 Abbildung 11-5: Risikoermittlung auf Basis des RisikodreiklangsDr.-Ing. Müller ...... 354 Abbildung 11-6: Business Continuity Management mit der Sicherheits- pyramide V ...... 397 Abbildung 11-7: KontinuitätspyramideDr.-Ing. Müller, Version V bzw. KontinuitätsmanagementpyramideDr.-Ing. Müller, Version V ...... 398 Abbildung 11-8: Business Continuity PyramidDr.-Ing. Müller, Version V or BCM pyramidDr.-Ing. Müller, Version V ...... 400 Abbildung 11-9: Datensicherungsmethoden ...... 420 Abbildung 11-10: Über-Kreuz-Sicherung ...... 425

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 20 Verzeichnis der Abbildungen 733

Abbildung 11-11: Allgemeines SicherheitsschalenmodellDr.-Ing. Müller ...... 429 Abbildung 11-12: Elemente des Securitymanagements gemäß SicherheitsschalenmodellDr.-Ing. Müller ...... 434 Abbildung 11-13: Berechtigungswürfel bzw. -kubus ...... 436 Abbildung 11-14: Subjekt-Subjektgruppe-Recht-Objektgruppe-Objekt-Modell .... 437 Abbildung 11-15: Taschenauthentifikator (Prinzipdarstellung)...... 443 Abbildung 11-16: Verschlüsselungsverfahren ...... 455 Abbildung 11-17: Schadenskategorien ...... 473 Abbildung 11-18: Bezugsgruppen (Stakeholder)...... 474 Abbildung 11-19: Generische Akteure/Akteursgruppen im Lebenszyklus (Auszug) ...... 475 Abbildung 11-20: Speichermedien ...... 506 Abbildung 11-21: DAS, NAS, SAN ...... 511 Abbildung 11-22: Firewallebenen (Prinzipdarstellung) ...... 518 Abbildung 11-23: Webanwendungen (Prinzip der Sicherheitszonen) ...... 521 Abbildung 11-24: Interdependenznetz (prinzipielles und vereinfachtes Beispiel) ...... 552 Abbildung 12-1: Notfallablauf ...... 609 Abbildung 12-2: EskalationstrichterDr.-Ing. Müller ...... 611 Abbildung 16-1: Sicherheits-/RiSiKo-Studie/-Analyse ...... 687 Abbildung 16-2: Sicherheitsregelkreis ...... 695 Abbildung 17-1: ReifegradmodellDr.-Ing. Müller, hier für Sicherheit und RiSiKo ...... 714 Abbildung 18-1: Sicherheits-/RiSiKo-(Management-)prozessDr.-Ing. Müller ...... 723

21 Verzeichnis der Tabellen

Tabelle 3-1: Zehn Schritte zum Sicherheitsmanagement ...... 38 Tabelle 9-1: Primäre und sekundäre Sicherheits- und Kontinuitätskriterien ... 257 Tabelle 11-1: Sicherheitszonen-Maßnahmen-Matrix (SZMM) ...... 311 Tabelle 11-2: Prinzipien versus Sicherheitskriterien ...... 326 Tabelle 11-3: Datenschutzkontrollen ...... 348 Tabelle 11-4: Prozentuale Verfügbarkeit und maximale Ausfalldauer ...... 402 Tabelle 11-5: Vor- und Nachteile von Datensicherungsmethoden ...... 421 Tabelle 11-6: Verschlüsselungsverfahren und Standards ...... 456 Tabelle 11-7: Sicherheits-Hash-Algorithmen ...... 458 Tabelle 11-8: Sicherheitskriterien und Schutzmaßnahmen...... 462 Tabelle 11-9: Präventive Datenträgererneuerung [65]...... 507 Tabelle 11-10: Schutzmaßnahmen und Sicherheitsklassen (Gebäude, Räume, Versorgung) (Beispiel) ...... 548 Tabelle 11-11: RiSiKo-Architekturmatrix ...... 554 Tabelle 12-1: Definitionen für Störung, Notfall, Krise, Katastrophe im Über- blick ...... 595 Tabelle 12-2: Schadensszenarien ...... 617 Tabelle 15-1: Kompakte Phasen-Ergebnistypen-Tabelle ...... 683 Tabelle 18-1: RiSiKo-Managementprozess (Input, Aktivitäten, Methoden, Ergebnisse) ...... 729

22 Verzeichnis der Checklisten

Checkliste 12-1: Kontrollen zum Konformitätsmanagement (Compliance) ...... 582 Checkliste 12-2: Kontrollen zum Kontinuitätsmanagement ...... 599 Checkliste 12-3: Kontrollen zur Sicherheits-, Kontinuitäts- und Risikopolitik ..... 614 Checkliste 17-1: ReifegradmodellDr.-Ing. Müller ...... 721 Checkliste 19-1: Minimalistische Sicherheit ...... 731

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 23 Verzeichnis der Beispiele

Beispiel 8-1: Sicherheits-, kontinuitäts- und risikopolitische Leitsätze Versicherung...... 244 Beispiel 8-2: Sicherheits-, Kontinuitäts- und Risikopolitik ...... 253 Beispiel 10-1: Sicherheitskriterium Verfügbarkeit: Einflussfaktoren (Auszug) ...... 275 Beispiel 10-2: Maßnahmen-Klassen-Matrix (MKM) ...... 277 Beispiel 11-1: Bedrohungslandkarte (Auszug) ...... 285 Beispiel 11-2: Redundante Stromversorgung ...... 297 Beispiel 11-3: Physische Sicherheitszonen (schematisch) ...... 309 Beispiel 11-4: Definition von Klassifizierungsstufen ...... 355 Beispiel 11-5: Risikoinventar (Auszug) ...... 356 Beispiel 11-6: Bruttorisikomatrix...... 360 Beispiel 12-1: Richtlinie Faxgeräte und Fax-Nutzung mit Einzel- anforderungen ...... 564 Beispiel 12-2: Richtlinie Drucker und Ausdrucke mit Einzelanforderungen .... 564 Beispiel 12-3: IKT-Benutzerordnung mit Einzelanforderungen ...... 575 Beispiel 12-4: Richtlinie E-Mail-Nutzung mit Einzelanforderungen ...... 577 Beispiel 12-5: Richtlinie Internet-Nutzung mit Einzelanforderungen ...... 578 Beispiel 12-6: Richtlinie Datenschutzmanagement mit Einzelanforderungen .. 586 Beispiel 12-7: Richtlinie Risikomanagement mit Einzelanforderungen ...... 591 Beispiel 12-8: Richtlinie Kapazitätsmanagement mit Einzelanforderungen ...... 593 Beispiel 12-9: Anforderungen an sicherheits-/kontinuitätsrelevante Räumlichkeiten ...... 601 Beispiel 12-10: Richtlinie Datensicherung mit Einzelanforderungen ...... 605 Beispiel 12-11: Gliederungsstruktur Notfallhandbuch ...... 608 Beispiel 12-12: Richtlinie Berichtswesen Kontinuitätsmanagement ...... 612 Beispiel 12-13: Schutzbedarfsklassen in Tabellenform ...... 616 Beispiel 12-14: IKT-Schutzbedarfsanalyse mit Ressourcenerhebung ...... 621 Beispiel 12-15: Tabelle Schutzbedarf der Prozesse ...... 622

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 736 23 Verzeichnis der Beispiele

Beispiel 12-16: Richtlinie Zugangsschutz mit Einzelanforderungen ...... 626 Beispiel 12-17: Antrags- und Genehmigungsverfahren Rollen mit Einzelanforderungen ...... 627 Beispiel 12-18: Antrags- und Genehmigungsverfahren Zugang und Zugriff mit Einzelanforderungen ...... 628 Beispiel 12-19: Richtlinie Wireless LAN mit Einzelanforderungen ...... 630 Beispiel 12-20: Richtlinie Benutzerkennung ...... 630 Beispiel 12-21: Passwortregeln: Gebote ...... 631 Beispiel 12-22: Passwortprüfung ...... 631 Beispiel 12-23: Richtlinie zum Schutz vor Schadsoftware ...... 631 Beispiel 12-24: Richtlinie Zugriffsschutz ...... 633 Beispiel 12-25: Richtlinie Leseschutz ...... 634 Beispiel 12-26: Protokollierungsanforderungen je Sicherheitsklasse ...... 634 Beispiel 12-27: Protokolldaten je Sicherheitselement ...... 635 Beispiel 12-28: Richtlinie Architekturmanagement mit Einzelanforderungen ... 638 Beispiel 12-29: Informations- und Datenkategorien mit Klassifizierung (Auszug) ...... 639 Beispiel 12-30: Richtlinie Zutrittskontrollsystem/Zutrittskontrollanlage mit Einzelanforderungen ...... 640 Beispiel 12-31: Passwortbezogene Systemanforderungen mit Einzelanforderungen ...... 642 Beispiel 12-32: Richtlinie Firewall mit Einzelanforderungen ...... 643 Beispiel 12-33: Richtlinie für das Wireless LAN mit Einzelanforderungen ...... 644 Beispiel 12-34: Funktionen, Rollen und Tätigkeiten im Sicherheits- management ...... 645 Beispiel 13-1: Dokumentationsvorlage Datensicherung ...... 648 Beispiel 13-2: Systemspezifische Passworteinstellungen ...... 649 Beispiel 14-1: Protokoll der Passworteinstellungen...... 650 Beispiel 15-1: Rahmenwerk zum sicheren Anwendungslebenszyklus (Auszug) ...... 666 Beispiel 16-1: HAZOP-Matrix ...... 692 Beispiel 16-2: Kennzahlcharakteristika...... 700 Beispiel 16-3: Anzahl und Kritikalität der Schwachstellen eines Monats ...... 709

25 Verzeichnis der Informationen 737

Beispiel 16-4: Verlauf von Anzahl u. Kritikalität aufgetretener Schwach- stellen ...... 710 Beispiel 18-1: PDCA-Zyklus (komprimierter Auszug) ...... 724

24 Verzeichnis der Tipps

Tipp 4-1: Standards und Vorgehensweisen zum ISM ...... 71 Tipp 4-2: Risikoanalyse vor Änderungen ...... 83 Tipp 4-3: Mindestanforderungen: MaRisk BA und KAMaRisk ...... 84 Tipp 9-1: Architekturdatenbank ...... 263 Tipp 11-1: Technologischer Wandel ...... 287 Tipp 11-2: Vermeidung von Problemen – durch Auswertungen und Anreize ...... 379 Tipp 11-3: „Single-Author”-Konzept ...... 381 Tipp 11-4: Notfallübung, Zielvereinbarung, Eskalation ...... 411 Tipp 11-5: Schutz mobiler Daten ...... 456 Tipp 11-6: Architekturübersicht ...... 478 Tipp 11-7: Quellcode in neutraler Hand ...... 487 Tipp 11-8: Vertrags- und Services-Datenbank ...... 488 Tipp 11-9: Wachsamkeit bei Mobilität ...... 496 Tipp 11-10: Speichermedien: Risiko veralteter Speichertechnologien ...... 506 Tipp 11-11: Speichermedien: Präventive Wartung ...... 506 Tipp 15-1: Testfalldatenbank ...... 679 Tipp 16-1: Berichtswesen ...... 698 Tipp 17-1: Maßnahmen gegen menschliches Versagen und technische Mängel ...... 717 Tipp 17-2: Unternehmenskultur ...... 718 Tipp 17-3: Vernetzung ...... 719

25 Verzeichnis der Informationen

Information 1-1: Ausfälle und Bedrohungen ...... 16 Information 1-2: Probleme bei der Verbesserung der Informationssicherheit ... 18 Information 1-3: Ausfälle und Sicherheitsverletzungen: Folgen, Kosten, Investitionen ...... 23 Information 4-1: Cyber-Angriff auf kritische Infrastrukturen ...... 53 Information 4-2: EU-US-Datenschutzschild – Nachbesserung gefordert ...... 63 Information 4-3: Leistungs- oder Verhaltenskontrolle ...... 64 Information 5-1: Vergleich agiler Softwareentwicklungsmethoden ...... 187 Information 8-1: BCM-Planungshorizont, Mindestszenarien, Kontinuitätsmanagement ...... 241 Information 11-1: Datenschutzverletzung ...... 294 Information 11-2: Entfernung zwischen redundanten Räumlichkeiten ...... 322 Information 11-3: Abstand zwischen Rechenzentren ...... 323 Information 11-4: Sicherheit bei der E-Mail-Übertragung ...... 345 Information 11-5: Auslagerungen bei Banken ...... 364 Information 11-6: GAU durch Software-Update ...... 381 Information 11-7: Absturz durch fehlenden Patch ...... 382 Information 11-8: Freie und Open Source Software (FOSS) ...... 387 Information 11-9: Biometrie ...... 441 Information 11-10: Einsatz von TOTP ...... 444 Information 11-11: OpenAM ...... 446 Information 11-12: GoBD ...... 452 Information 11-13: Passwort-Knacken ...... 457 Information 11-14: Forensische Codes und digitaler Fingerabdruck ...... 467 Information 11-15: WLAN-Passwort-Hack ...... 485 Information 11-16: Screening zur Terrorismusbekämpfung ...... 494 Information 11-17: Spear-Phishing ...... 496 Information 11-18: Steigender Speicherplatzbedarf ...... 510 Information 11-19: Sicherheit: NFS und NTLM ...... 512

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 25 Verzeichnis der Informationen 739

Information 11-20: Falschakzeptanzrate und Falschrückweisungsrate ...... 533 Information 11-21: Akzeptanz biometrischer Verfahren ...... 536 Information 11-22: Auflösungsrate von Fingerabdruckscannern ...... 538 Information 11-23: Projekt „3D-Face” ...... 538 Information 11-24: Biometrie im Einsatz ...... 539 Information 11-25: Marktprognosen Biometrie ...... 539 Information 11-26: Trustcenter mit OpenXPKI ...... 547 Information 12-1: Hash-Algorithmen: Sicherheit ...... 634 Information 15-1: Status agiler Methoden ...... 655 Information 15-2: Folgen von Software-/Programmierfehlern ...... 671 Information 15-3: Listen von Code-Analyse-Tools ...... 674 Information 16-1: Hazard and Operability Analysis (HAZOP) ...... 692 Information 16-2: OCTAVE® approach ...... 692 Information 16-3: Assessing Security and Privacy Controls ...... 692 Information 16-4: Vulnerability Scanner OpenVAS...... 693 Information 17-1: Unerkannte Risiken und Unvorhergesehenes ...... 717

26 Verzeichnis der Marken

Die folgenden Angaben erfolgen ohne Gewähr und ohne Haftung. An jeder Stelle des Bu- ches gelten die jeweiligen Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fas- sung.

AICPA® ist eine eingetragene Marke des American Institute of Certified Public Accountants. AndroidTM ist eine Marke von Google Inc. Autopsy® ist eine eingetragene Marke von Brian Carrier. Balanced Pyramid Scorecard® ist eine eingetragene Marke von Dr.-Ing. Klaus-Rainer Müller. CERT und CERT Coordination Center (CERT/CC) sind eingetragene Marken der Carne- gie Mellon University. Certified Information Security Auditor, CISA, Certified Information Security Manager, CISM, Certified in the Governance of Enterprise IT (and design), CGEIT, Certified in Risk and Information Systems Control und CRISC sind Marken () bzw. eingetra- gene Marken () der Information Systems Audit and Control Association, Inc. (ISA- CA). CloudEndure® ist eine eingetragene Marke der CLOUDENDURE Ltd. Cloud Security Alliance® ist eine eingetragene Marke der Cloud Security Alliance, Inc. CMM, CMMI, Capability Maturity Model, Capability Maturity Model Integration sind eingetragene Marken der Carnegie Mellon University. COBIT ist eine eingetragene Marke der Information Systems Audit and Control Associa- tion und des IT Governance Institute. CVE® ist eine eingetragene Marke von The MITRE Corporation. CWETM ist eine Marke von The MITRE Corporation. CWSSTM ist eine Marke von The MITRE Corporation. DMTF® ist eine eingetragene Marke der DMTF Distributed Management Task Force, Inc. Excel ist eine eingetragene Marke der Microsoft Corporation. Google® ist eine eingetragene Marke der Google LLC Honeynet Project® ist eine eingetragene Marke des The Honeynet Project, einer NOT-FOR- PROFIT CORPORATION. IDEA® ist eine eingetragene Marke der Nagravision S.A. Information Systems Audit and Control Association und ISACA sind eingetragene Marken der Information Systems Audit and Control Association. IT Governance Institute und ITGI sind eingetragene Marken der Information Systems Audit and Control Association. ITIL ist eine eingetragene Marke der AXELOS Limited. Kerberos ist eine Marke des Massachusetts Institute of Technology (MIT). Lotus Notes ist eine eingetragene Marke der International Business Machines Corporation (IBM). Microsoft, NT sind eingetragene Marken der Microsoft Corporation. MoReq2010 ist eine eingetragene Marke der DLM Forum Foundation. Novell® ist eine eingetragene Marke der Novell Inc., USA.

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 26 Verzeichnis der Marken 741

OASIS sowie die üblichen Abkürzungen von OASIS-Spezifikationen sind Marken oder eingetragene Marken des OASIS Konsortiums. OGFSM, Open Grid ForumSM, Grid ForumSM sind Marken des Open Grid Forums. OGSA und Open Grid Services Architecture sind eingetragene Marken des Open Grid Forums. Oracle ist eine eingetragene Marke der Oracle Corporation. OSGi ist eine Marke der OSGi™ Alliance. PRINCE®, PRINCE2® und PRINCE2 Agile® sind eingetragene Marken der AXELOS Limited. Pyramidenmodell® ist eine eingetragene Marke von Dr.-Ing. Klaus-Rainer Müller. Rational Unified Process® ist eine eingetragene Marke der Rational Software Corporation. RC5® ist eine eingetragene Marke der EMC Corporation. SAP® ist eine eingetragene Marke der SAP AG. Scrum GuideTM ist eine Marke von Joseph K Schwaber Sebek® ist eine eingetragene Marke des The Honeynet Project. SOC 1®, SOC 2® sind eingetragene Marken des American Institute of Certified Public Ac- countants. SOC 3® ist eine eingetragene Service-Marke des American Institute of Certified Public Ac- countants. State of AgileTM ist eine Marke der VersionOne Inc. Stratus und Continuous Processing sind eingetragene Marken von Stratus Technologies Bermuda Ltd. The Sleuth Kit ® ist eine eingetragene Marke von Brian Carrier. TOGAF ist eine eingetragene Marke der „The Open Group“. UNIX ist eine eingetragene Marke der „The Open Group“. V-Modell® ist eine eingetragene Marke der Bundesrepublik Deutschland (Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr). VersionOne® ist eine eingetragene Marke der VersionOne Inc. Wi-Fi ist eine eingetragene Marke der Wi-Fi Alliance. Windows ist eine eingetragene Marke der Microsoft Corporation. zSeries® ist eine eingetragene Marke der International Business Machines Corporation (IBM).

27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

Die folgenden Unterkapitel nennen im Sinne einer stichprobenartigen Moment- aufnahme einige Gesetze, Verordnungen, Ausführungsbestimmungen, Grundsät- ze, Vorschriften, Standards, Normen und Practices, die im Zusammenhang mit dem Sicherheits-, Kontinuitäts- und Risikomanagement eine Rolle spielen. Diese sind teils branchenübergreifend und teils branchenspezifisch. Sie behandeln z. B. Themen wie Sorgfaltspflicht der Vorstandsmitglieder, Überwachungssystem, Risi- ken, Notfallplanung, Datenschutz und Ordnungsmäßigkeit.

Lagebericht zur Informationssicherheit 2016 der Bei den Teilnehmern der Sicherheitsstudie ist das Bundesdatenschutzgesetz (BDSG) mit über 90 % am bekanntesten und für über 90 % der Befragten rele- vant. Demgegenüber sind z. B. das Telekommunikationsgesetz (TKG) und die Telekommunikations-Überwachungsverordnung (TKÜV) sowie das Telemedi- engesetz (TMG) über 70 %, das Gesetz zur Kontrolle und Transparenz im Un- ternehmensbereich (KonTraG) rund 50 % und die GoBD nur über 40 % der Be- fragten bekannt. Dies ist insofern ernüchternd, als Gesetze und Verordnungen verschiedentlich Anforderungen im Hinblick auf Informationssicherheit, Da- tenschutz, Notfallvorsorge und Risikomanagement stellen. [/Microsoft®- Sicherheitsstudie 2016, Lagebericht zur Sicherheit 2016, , 5/2016, S. 47 ff.]

27.1 Gesetze, Verordnungen, Richtlinien 27.1.1 Deutschland: Gesetze, Verordnungen AO Abgabenordnung AGG Allgemeines Gleichbehandlungsgesetz AktG Aktiengesetz AMG Arzneimittelgesetz AMWHV Arzneimittel- und Wirkstoffherstellungsverordnung BDSG Bundesdatenschutzgesetz BGB Bürgerliches Gesetzbuch BSIG Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI- Gesetz) BSI-KritisV BSI-Kritisverordnung ChemG Chemikaliengesetz

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 27.1 Gesetze, Verordnungen, Richtlinien 743

DSAnpUG- Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) EU 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz- Anpassungs- und -Umsetzungsgesetz EU)) EnWG Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschafts- gesetz) GmbHG GmbH-Gesetz GwG Geldwäschegesetz HGB Handelsgesetzbuch IT-SiG IT-Sicherheitsgesetz KAGB Kapitalanlagegesetzbuch KAVerOV Kapitalanlage-Verhaltens- und -Organisationsverordnung KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KWG Kreditwesengesetz OWiG Gesetz über Ordnungswidrigkeiten PatG Patentgesetz PfandBG Pfandbriefgesetz ProdHaftG Produkthaftungsgesetz ProdSG Produktsicherheitsgesetz SGB Sozialgesetzbuch SGB IV Viertes Sozialgesetzbuch – Gemeinsame Vorschriften für die Sozial- versicherung SGB VII Siebtes Sozialgesetzbuch – Gesetzliche Unfallversicherung SGB X Zehntes Sozialgesetzbuch – Sozialverwaltungverfahren und Sozialdaten- schutz SolvV Solvabilitätsverordnung SVRV Verordnung über den Zahlungsverkehr, die Buchführung und die Rech- nungslegung in der Sozialversicherung (Sozialversicherungs-Rechnungs- verordnung) TKG Telekommunikationsgesetz TKÜV Telekommunikations-Überwachungsverordnung (Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Über- wachung der Telekommunikation) TMG Telemediengesetz UMAG Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungs- rechts UrhG Urheberrechtsgesetz VAG Versicherungsaufsichtsgesetz (Gesetz über die Beaufsichtigung der Versi- cherungsunternehmen) VDG Vertrauensdienstegesetz WpHG Wertpapierhandelsgesetz (Gesetz über den Wertpapierhandel) ZAG Zahlungsdiensteaufsichtsgesetz

744 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

27.1.2 Österreich: Gesetze, Verordnungen BWG Bankwesengesetz DSG Datenschutzgesetz VAG/ Versicherungsaufsichtsgesetz VAG 2016

27.1.3 Schweiz: Gesetze, Verordnungen, Rundschreiben ArG Arbeitsgesetz BankG Bankengesetz (Bundesgesetz über die Banken und Sparkassen) BankV Bankenverordnung (Verordnung über die Banken und Sparkassen) BEHG Börsengesetz (Bundesgesetz über die Börsen und den Effektenhandel) DSG Bundesgesetz über den Datenschutz FINMA- Rundschreiben 2008/21, Operationelle Risiken Banken – Eigenmittel- RS 08/21 anforderungen und qualitative Anforderungen für operationelle Risiken bei Banken, Stand: 22.09.2016 FINMA- Rundschreiben 2011/1, Tätigkeit als Finanzintermediär nach GwG, Aus- RS 11/1 führungen zur Geldwäschereiverordnung (GwV), Stand: 26.10.2016 FINMA- Rundschreiben 2016/7, Video- und Online-Identifizierung, Sorgfaltspflich- RS 16/7 ten bei der Aufnahme von Geschäftsbeziehungen über digitale Kanäle, Stand: 03.03.2016 FINMA- Rundschreiben 2017/1, Corporate Governance – Banken, Corporate Gover- RS 17/1 nance, Risikomanagement und interne Kontrollen bei Banken, Stand: 22.09.2016 FINMA- Rundschreiben 2017/2, Corporate Governance – Versicherer, Corporate RS 17/2 Governance, Risikomanagement und internes Kontrollsystem bei Versi- cherern, Stand: 07.12.2016 FINMA- Rundschreiben 2018/1, Organisierte Handelssysteme – Pflichten von Be- RS 18/1 treibern eines organisierten Handelssystems (OHS), Stand: 25.01.2017 FINMA- Rundschreiben 2018/3, Outsourcing – Banken und Versicherer, Stand: RS 18/3 21.09.2017 GeBüV Geschäftsbücherverordnung (Verordnung über die Führung und Aufbe- wahrung der Geschäftsbücher) GwG Geldwäschereigesetz (Bundesgesetz über die Bekämpfung der Geldwä- scherei und der Terrorismusfinanzierung im Finanzsektor) GwV Geldwäschereiverordnung (Verordnung über die Bekämpfung der Geld- wäscherei und der Terrorismusfinanzierung) KAG Kollektivanlagengesetz (Bundesgesetz über die kollektiven Kapitalanla- gen) PfG Pfandbriefgesetz UVG Bundesgesetz über die Unfallversicherung VAG Versicherungsaufsichtsgesetz (Bundesgesetz betreffend die Aufsicht über Versicherungsunternehmen)

27.1 Gesetze, Verordnungen, Richtlinien 745

VDSG Verordnung zum Bundesgesetz über den Datenschutz VUV Verordnung über die Unfallverhütung

27.1.4 Großbritannien: Gesetze FoIA Freedom of Information Act (FoIA) 2000

27.1.5 Europa: Entscheidungen, Richtlinien, Verordnungen, Practices Durch- Durchführungsbeschluss (EU) 2016/1250 der Kommission vom führungs- 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments beschluss und des Rates über die Angemessenheit des vom EU-US-Datenschutz- EU-US- schild gebotenen Schutzes Daten- schutzschild Richtlinie Richtlinie 89/654/EWG des Rates vom 30. November 1989 über Mindest- 89/654/EWG vorschriften für Sicherheit und Gesundheitsschutz in Arbeitsstätten (Erste Einzelrichtlinie im Sinne des Artikels 16 Absatz 1 der Richtlinie 89/391/EWG) Richtlinie Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 2000/31/EG 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informa- tionsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) Richtlinie Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 2002/58/EG 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Daten- schutzrichtlinie für elektronische Kommunikation) Richtlinie Richtlinie 2002/87/EG des Europäischen Parlaments und des Rates vom 2002/87/EG 16. Dezember 2002 über die zusätzliche Beaufsichtigung der Kreditinstitu- te, Versicherungsunternehmen und Wertpapierfirmen eines Finanzkon- glomerats und zur Änderung der Richtlinien 73/239/EWG, 79/267/EWG, 92/49/EWG, 92/96/EWG, 93/6/EWG und 93/22/EWG des Rates und der Richtlinien 98/78/EG und 2000/12/EG des Europäischen Parlaments und des Rates Richtlinie Richtlinie 2005/28/EG der Kommission vom 8. April 2005 zur Festlegung 2005/28/EG von Grundsätzen und ausführlichen Leitlinien der guten klinischen Praxis für zur Anwendung beim Menschen bestimmte Prüfpräparate sowie von Anforderungen für die Erteilung einer Genehmigung zur Herstellung oder Einfuhr solcher Produkte Richtlinie Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates vom 2006/42/EG 17. Mai 2006 über Maschinen und zur Änderung der Richtlinie 95/16/EG Maschinen- (Neufassung) (Maschinenrichtlinie) richtlinie Richtlinie Richtlinie 2006/43/EG des europäischen Parlaments und der Rates vom 2006/43/EG 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und kon- EuroSOX solidierten Abschlüssen (EuroSOX) European Communities: Guidelines on best practices for using electronic information, 1997

746 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

Richtlinie Richtlinie 2007/64/EG des europäischen Parlaments und der Rates vom 2007/64/EG 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung Zahlungs- der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur dienste- Aufhebung der Richtlinie 97/5/EG (Zahlungsdiensterichtlinie) richtlinie Richtlinie Richtlinie 2009/104/EG des Europäischen Parlaments und des Rates vom 2009/104/EG 16. September 2009 über Mindestvorschriften für Sicherheit und Gesund- heitsschutz bei Benutzung von Arbeitsmitteln durch Arbeitnehmer bei der Arbeit (Zweite Einzelrichtlinie im Sinne des Artikels 16 Absatz 1 der Richt- linie 89/391/EWG) Richtlinie Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 2009/136/EG 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikations- netzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektro- nischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz Richtlinie Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates vom 2009/138/EG 25. November 2009 betreffend die Aufnahme und Ausübung der Versiche- Solvabilität II rungs- und der Rückversicherungstätigkeit (Solvabilität II) Richtlinie Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 2013/36/EU 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Ände- rung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG Richtlinie Richtlinie (EU) 2016/680 des europäischen Parlaments und der Rates vom (EU) 2016/680 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung per- sonenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates Richtlinie Richtlinie (EU) 2016/1148 des europäischen Parlaments und der Rates vom (EU) 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemein- 2016/1148 samen Sicherheitsniveaus von Netz- und Informationssystemen in der EU-NIS Union Verordnung Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des (EU) Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute 575/2013 und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 Verordnung Verordnung (EU) Nr. 910/2014 des europäischen Parlaments und der Rates (EU) 910/2014 vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste eIDAS- für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Verordnung, Richtlinie 1999/93/EG (IVT = elektronische Identifizierung und Vertrau- IVT- ensdienste für elektronische Transaktionen) (eIDAS = electronic IDentifica- Verordnung tion and trust Services)

27.1 Gesetze, Verordnungen, Richtlinien 747

Verordnung Verordnung (EU) 2016/679 des europäischen Parlaments und der Rates (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung EU DS-GVO personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) PIC/S Guide to Good Manufacturing Practice for Medicinal Products, PE 009-13, PE 009-13 PIC/S, 01. Januar 2017 PIC/S Good Practices for Computerised Systems in Regulated „GxP” Environ- PI 011-3 ments, PI 011-3, PIC/S, 25. September 2007

27.1.6 USA: Gesetze, Practices, Prüfvorschriften 16 CFR, Children’s Online Privacy Protection Act, Code of Federal Regulations, Part 312, Title 16, Part 312 16 CFR, Privacy of Consumer Financial Information, Code of Federal Regulations, Part 313, Title 16, Part 313 21 CFR Electronic Records; Electronic Signatures, Code of Federal Regulations; Part 11 Title 21, Part 11 21 CFR Good Laboratory Practice for Nonclinical Laboratory Studies, Code of Part 58 Federal Regulations, Title 21, Part 58 21 CFR Current Good Manufacturing Practice in Manufacturing, Packing, or Hold- Part 110 ing Human Food, Code of Federal Regulations, Title 21, Part 110 21 CFR Current Good Manufacturing Practice for Finished Pharmaceuticals, Code Part 211 of Federal Regulations, Title 21, Part 211 21 CFR Quality System Regulation, Code of Federal Regulations, Title 21, Part 820 Part 820 34 CFR Family Educational Rights and Privacy Act Part 99 COSO: Enterprise Risk Management (ERM) – Integrated Framework (2004) ERM – Inte- grated Fra- mework COSO: Enterprise Risk Management (ERM) – Integrating with Strategy and Per- ERM – Inte- formance (2017) grating with Strategy and Performance COSO: The 2013 COSO Framework & SOX Compliance: One Approach to an Ef- Framework & fective Transition (2013) SOX- Compliance COSO: Inter- Internal Control – Integrated Framework (Mai 2013) nal Control DPPA Drivers Privacy Protection Act ECPA Electronic Communications Privacy Act FACTA Foreign Account Tax Compliance Act

748 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

FDIC, Compliance Examination Manual, September 2016 Compliance Examination Manual FDIC, Technology Outsourcing, Techniques for Managing Multiple Service Pro- Managing viders Multiple Service Providers FDIC, Technology Outsourcing, Effective Practices for Selecting a Service Pro- Selecting a vider Service Provider FFIEC, Audit IT Examination Handbook, Audit, April 2012 FFIEC, BCP IT Examination Handbook, Business Continuity Planning, Februar 2015 FFIEC, D&A IT Examination Handbook, Development and Acquisition, April 2004 FFIEC, IS IT Examination Handbook, Information Security, September 2016 FFIEC, MGT IT Examination Handbook, Management (Governance, Risk Management, IT Risk Management), November 2015 FFIEC, OPS IT Examination Handbook, Operations, Juli 2004 FFIEC, OT IT Examination Handbook, Outsourcing Technology Services, Juni 2004 FFIEC, TSP IT Examination Handbook, Supervision of Technology Service Providers (TSP), Oktober 2012 FISMA Federal Information Security Management Act of 2002, der im April 2013 durch The Federal Information Security Amendments Act, H.R. 1163, geändert wurde GLBA Gramm-Leach-Bliley Act HIPAA Health Insurance Portability and Accountability Act HITECH Act Health Information Technology for Economic and Clinical Health Act Privacy Act SOX Sarbanes-Oxley Act SSA Social Security Act Examination Manual for U.S. Branches and Agencies of Foreign Banking Organizations

27.2 Bestimmungen, Grundsätze, Vorschriften

AICPA® Report on Controls at a Service Organization Relevant to User Enti- SOC 1® Report ties‘ Internal Control over Financial Reporting (SSAE 16) AICPA® Report on Controls at a Service Organization Relevant to Security, SOC 2® Report Availability, Processing Integrity, Confidentiality or Privacy AICPA® SOC for Service Organizations: Trust Services Criteria for General SOC 3® Report Use Report

27.2 Bestimmungen, Grundsätze, Vorschriften 749

AICPA® Statement on Standards for Attestation Engagements (SSAE) No. 16, SSAE 16 Reporting on Controls at a Service Organization BAIT Bankaufsichtliche Anforderungen an die IT (BAIT) Basel II Internationale Konvergenz der Kapitalmessung und Eigenkapital- anforderungen Basel III Internationale Rahmenvereinbarung über Messung, Standards und Überwachung in Bezug auf das Liquiditätsrisiko BCBS 98, Risk Management Principles for Electronic Banking, Basel Com- Risk Management mittee on Banking Supervision Principles Electronic Banking, Juli 2003 BCBS 113 Compliance and the compliance function in banks, Basel Committee Compliance, on Banking Supervision April 2005 BCBS 195, Principles for the Sound Management of Operational Risk, Basel Risk Management Committee on Banking Supervision Principles, Juni 2011 BCBS 239, Principles for effective risk data aggregation and risk reporting, Basel Risk Data Aggrega- Committee on Banking Supervision tion, Januar 2013 BCBS 292, Review of the Principles for the Sound Management of Operational Review of Risk Risk, Basel Committee on Banking Supervision Management Principles, Oktober 2014 BCBS d328 Corporate governance principles for banks, Basel Committee on Governance Banking Supervision Principles, Juli 2015 BCBS joint 12, Outsourcing in Financial Services, Basel Committee on Banking Su- Outsourcing, pervision, The Joint Forum Februar 2005 BCBS joint 17, High-level principles for business continuity, Basel Committee on Business Continuity, Banking Supervision, The Joint Forum August 2006 CEBS- Guidelines on the management of operational risks in market-related 2010-216 activities, Stand Oktober 2010 EBA/ Leitlinien für die IKT-Risikobewertung im Rahmen des aufsichtli- GL/2017/05 chen Überprüfungs- und Bewertungsprozesses (SREP) EBA/ Guidelines on the assessment of the suitability of members of the GL/2017/12 management body and key function holders under Directive 2013/36/EU and Directive 2014/65/EU EBA/ Recommendations on outsourcing to cloud service providers REC/2017/03

750 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

G-7 Fundamental elements of cybersecurity for the financial sector, Ok- G7FE tober 2016 GoB Grundsätze ordnungsmäßiger Buchführung GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. GoDV Grundsätze ordnungsmäßiger Datenverarbeitung [7] IDW Einsatz von Datenanalysen im Rahmen der Abschlussprüfung, Ver- PH 9.330.3 lautbarung des Instituts der Wirtschaftsprüfer (IDW), Stand: 15.10.2010 IDW Abschlussprüfung bei Einsatz von Informationstechnologie, Prü- PS 330 fungsstandard des Instituts der Wirtschaftsprüfer (IDW), Stand: 24.09.2002 IDW Die Beurteilung des Risikomanagements von Kreditinstituten im PS 525 Rahmen der Abschlussprüfung, Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW), Stand: 26.06.2010 IDW Die Prüfung von Softwareprodukten, Prüfungsstandard des Instituts PS 880 der Wirtschaftsprüfer (IDW), Stand: 11.03.2010 IDW Die Prüfung des internen Kontrollsystems beim Dienstleistungs- PS 951 n.F. unternehmen, Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW), Stand 16.10.2013 IDW Grundsätze ordnungsmäßiger Prüfung von Compliance Manage- PS 980 ment Systemen, Prüfungsstandard des Instituts der Wirtschaftsprü- fer (IDW), Stand: 11.03.2011 IDW Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Infor- RS FAIT 1 mationstechnologie, Verlautbarung des Instituts der Wirt- schaftsprüfer (IDW), Fachausschuss für Informationstechnologie (FAIT), Stand: 24.09.2002 IDW Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Elec- RS FAIT 2 tronic Commerce, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Fachausschuss für Informationstechnologie (FAIT), Stand: 29.09.2003 IDW Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektroni- RS FAIT 3 scher Archivierungsverfahren, Verlautbarung des Instituts der Wirt- schaftsprüfer (IDW), Fachausschuss für Informationstechnologie (FAIT), Stand: 11.09.2015 IDW Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter RS FAIT 4 Konsolidierungsprozesse, Stellungnahmen zur Rechnungslegung des Instituts der Wirtschaftsprüfer (IDW), Fachausschuss für Informati- onstechnologie (FAIT), Stand: 08.08.2012 IDW Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von RS FAIT 5 rechnungslegungsrelevanten Prozessen und Funktionen einschließ- lich Cloud Computing, Stellungnahmen zur Rechnungslegung des Instituts der Wirtschaftsprüfer (IDW), Fachausschuss für Informa- tionstechnologie (FAIT), Stand: 04.11.2015,

27.3 Standards, Normen, Leitlinien 751

ISAE International Standard on Assurance Engagements (ISAE) No. 3402, 3402 Assurance Reports on Controls at a Service Organization, Interna- tional Auditing and Assurance Standards Board (IAASB) KAMaRisk Mindestanforderungen an das Risikomanagement von Kapitalver- waltungsgesellschaften, Stand: 10.01.2017 MaComp Mindestanforderungen an die Compliance-Funktion und die weite- ren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG, 07.06.2010 MaDSB Mindestanforderungen an Fachkunde und Unabhängigkeit des Be- auftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdaten- schutzgesetz (BDSG), Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, Düsseldorfer Kreis, 24./25. November 2010 MaIuK Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik – IuK-Mindestanforde- rungen, Stand: Juni 2016 MaRisk BA Mindestanforderungen an das Risikomanagement (Bankenaufsicht), 27.10.2017 MaSI Mindestanforderungen an die Sicherheit von Internetzahlungen, Stand: 05.05.2015 Rundschreiben Anforderungen an Systeme und Kontrollen für den Algorithmus- 6/2013 (BA) handel von Instituten (Bankenaufsicht) World Economic Advancing Cyber Resilience – Principles and Tools for Boards; Janu- Forum ar 2017 Cyber Resilience

27.3 Standards, Normen, Leitlinien

ANSI/BICSI Data Center Design and Implementation Best Practices, Stand: 2014 002-2014 BS Data protection. Specification for a personal information manage- 10012:2017 ment system (PIMS) BS Collaborative business relationship management systems. Guide to 11000-2:2017 implementing BS ISO 44001 BS Crisis management. Guidance and good practice 11200:2014 BS Guidance on organizational resilience 65000:2014 BS Specification of common management system requirements as a PAS 99:2012 framework for integration bsi Business continuity management. Guidance on human aspects of PD 25111:2010 business continuity bsi Business continuity management. Guidance on exercising and testing PD 25666:2010 for continuity and contingency programmes

752 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices bsi Business continuity management. Guidance on organization recov- PD 25888:2011 ery following disruptive incidents BSI Orientierungshilfe zu Inhalten und Anforderungen an branchenspe- B3S-Orientie- zifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, BSI-Entwurf, rungshilfe, Entwurf Version 0.9.01, Stand: 05.10.2016 BSI Anforderungskatalog Cloud Computing (C5) (C5: Cloud Computing C5 Compliance Controls Catalogue), Version 1.0, 2016 BSI IT-Grundschutz-Kompendium, Final Draft, Edition 2018 IT-GS-Kompendium BSI Mindeststandard des BSI für Mobile Device Management nach § 8 Mindeststandard Absatz 1 Satz 1 BSIG, Version 1.0 vom 11.05.2017 Mobile Device Management BSI Überblickspapier Netzzugangskontrolle Netzzugangs- kontrolle BSI Managementsysteme für Informationssicherheit (ISMS), Version 1.0, Standard Oktober 2017 200-1:2017 BSI IT-Grundschutz-Methodik, Version 1.0, Oktober 2017 Standard 200-2:2017 BSI Risikoanalyse auf der Basis von IT-Grundschutz, Version 1.0, Okto- Standard ber 2017 200-3:2017 BSI Notfallmanagement, Version 1.0, November 2008 Standard 100-4:2008 BSI Kryptographische Verfahren: Empfehlungen und Schlüssellängen TR-02102-1

BSI Technische Richtlinie TR-03109 TR-03109-1  TR-03109-2 TR-03109-1: Anforderungen an die Interoperabilität der Kommu- TR-03109-3 nikationseinheit eines intelligenten Messsystems TR-03109-4  TR-03109-2: Smart Meter Gateway – Anforderungen an die Funk- tionalität und Interoperabilität des Sicherheitsmoduls  TR-03109-3: Kryptographische Vorgaben für die Infrastruktur von intelligenten Messsystemen  TR-03109-4: Smart Metering PKI – Public Key Infrastruktur für Smart Meter Gateways CC, V 3.1, R5 Common Criteria, Version 3.1, Release 5, April 2017 CEM, V 3.1, R4 Common Methodology for Information Security Evaluation, Version 3.1, Release 5, April 2017 CMM Capability Maturity Model (Vorgänger des CMMI) CMMI Capability Maturity Model Integration

27.3 Standards, Normen, Leitlinien 753

CMMI-ACQ CMMI® for Akquisition CMMI-DEV CMMI® for Development CMMI-SVC CMMI® for Services COBIT Control Objectives for Information and related Technology CSA Consensus Assessments Initiative Questionnaire v3.0.1, 12.10.2017 CAIQ CSA Cloud Controls Matrix v3.0.1, 03.10.2017 CCM CSPP-OS COTS Security Protection Profile – Operating Systems DIN EN Wertbehältnisse – Klassifizierung und Methoden zur Prüfung des 1047-1:2006-01 Widerstandes gegen Brand 1047-2:2013-05  Teil 1: Datensicherungsschränke und Disketteneinsätze; Deutsche Fassung EN 1047-1:2005  Teil 2: Datensicherungsräume und Datensicherungscontainer; Deutsche Fassung EN 1047-2:2009+A1:2013 DIN Einrichtungen zur Instandhaltung baulicher Anlagen – Sicherheits- 4426:2017-01 technische Anforderungen an Arbeitsplätze und Verkehrswege – Planung und Ausführung DIN ISO Elektronischer Datenaustausch für Verwaltung, Wirtschaft und 9735-9:2004 Transport (EDIFACT) – Syntax-Regeln auf Anwendungsebene – Teil (ISO 9: Sicherheitsschlüssel- und Zertifikatsverwaltung 9735-9:2002) DIN ISO Qualitätsmanagement – Leitfaden für Konfigurationsmanagement 10007:2004-12 (ISO 10007:2003) DIN EN Medizinische Informatik – Sichere Nutzeridentifikation im Gesund- 12251:2005-07 heitswesen – Management und Sicherheit für die Authentifizierung (EN 12251:2004) durch Passwörter DIN Elektronischer Datenaustausch für Verwaltung, Wirtschaft und 16557-4:2002-04 Transport (EDIFACT) – Teil 4: Regeln zur Auszeichnung von UN/EDIFACT-Übertragungsdateien mit der eXtensible Markup Language (XML) unter Einsatz von Document Type Definitions (DTD’s) DIN EDIFACT – Anwendungsregeln – Teil 15: Anwendung des Service- 16560-15:2003-07 Nachrichtentyps AUTACK zur Übermittlung von Integritäts- und Authentizitätsinformationen über versendete Nutzdaten DIN Fehlerbaumanalyse 25424  Teil 1: Methode und Bildzeichen  Teil 2: Handrechenverfahren zur Auswertung eines Fehlerbau- mes DIN Zuverlässigkeit; Begriffe 40041:1990-12

754 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

DIN EN Bahnanwendungen – Spezifikation und Nachweis der Zuverlässig- 50126:2000-03 keit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS) (EN {RAMS = Reliability, Availability, Maintainability, Safety} 50126:1999) DIN EN Bahnanwendungen – Telekommunikationstechnik, Signaltechnik 50128:2012-03 und Datenverarbeitungssysteme – Software für Eisenbahnsteue- (EN rungs- und Überwachungssysteme 50128:2011) DIN EN Bahnanwendungen – Telekommunikationstechnik, Signaltechnik 50129:2017-07 - und Datenverarbeitungssysteme – Sicherheitsrelevante elektronische Entwurf Systeme für Signaltechnik (prEN 50129:2016) DIN EN Alarmanlagen – Leitfaden für Einrichtungen von Alarmanlagen zur 50130 Erreichung der Übereinstimmung mit EG-Richtlinien Beiblatt 1:2008-08 (CLC/TR 50456:2008) DIN EN Alarmanlagen – Einbruch- und Überfallmeldeanlagen 50131-1:2010-02 (EN 50131-1:2006 + A1:2009) DIN EN Alarmanlagen – CCTV-Überwachungsanlagen für Sicherungsan- 50132-5-3:2013-02 wendungen (EN 50132-5-3:2012) DIN EN Alarmanlagen – Personen-Hilferufanlagen 50134-1:2003-05  Teil 1: Systemanforderungen; 50134-2:2016-09, Deutsche Fassung EN 50134-1:2002 Entwurf 50134-3:2012-11  Teil 2: Auslösegeräte; 50134-5:2005-08 Deutsche Fassung prEN 50134-2:2016 50134-7:2016-01,  Teil 3: Örtliche Zentrale und Übertragungsgerät; Entwurf Deutsche Fassung EN 50134-3:2012  Teil 5: Verbindungen und Kommunikation; Deutsche Fassung EN 50134-5:2004  Teil 7: Anwendungsregeln; Deutsche Fassung prEN 50134-7:2015

27.3 Standards, Normen, Leitlinien 755

DIN EN Informationstechnik – Einrichtungen und Infrastrukturen von Re- 50600-1:2013 chenzentren 50600-2-1:2014  Teil 1: Allgemeine Konzepte; Deutsche Fassung der EN 50600-1:2012 50600-2-2:2014  Teil 2-1: Gebäudekonstruktion; 50600-2-3:2013 Deutsche Fassung der EN 50600-2-1:2014 50600-2-4:2014  Teil 2-2: Stromversorgung; 50600-2-5:2014 Deutsche Fassung der EN 50600-2-2:2014 50600-2-6:2014  Teil 2-3: Überwachung der Umgebung; Deutsche Fassung der prEN 50600-2-3:2013  Teil 2-4: Infrastruktur der Telekommunikationsverkabelung; Deutsche Fassung der prEN 50600-2-4:2013  Teil 2-5: Sicherungssysteme; Deutsche Fassung der prEN 50600-2-5:2014  Teil 2-6: Informationen für das Management und den Betrieb; Deutsche Fassung der prEN 50600-2-6:2014 DIN EN Analysetechniken für die Funktionsfähigkeit von Systemen – Verfah- 60812:2006-11 ren für die Fehlzustandsart- und -auswirkungsanalyse (FMEA) (EN 60812:2006) DIN EN Alarmanlagen – Teil 11-1: Elektronische Zutrittskontrollanlagen – 60839-11-1:2013-12 Anforderungen an Anlagen und Geräte (EN 60839-11-1:2013) DIN EN Unterbrechungsfreie Stromversorgungssysteme (USV) – Teil 3: Me- 62040-3:2011-12 thoden zur Festlegung der Leistungs- und Prüfungsanforderungen (EN (IEC 62040-3:2011) EN 62040-3:2011) DIN Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von 66398:2016-05 Löschfristen für personenbezogene Daten DIN Büro- und Datentechnik – Vernichten von Datenträgern 66399-1:2012  Teil 1: Grundlagen und Begriffe 66399-2:2012  Teil 2: Anforderungen an Maschinen zur Vernichtung von Daten- SPEC 66399-3:2013 trägern  Teil 3: Prozesse der Datenträgervernichtung DIN EN Anwendung des Risikomanagements für IT-Netzwerke, die Medi- 80001-1:2011 zinprodukte beinhalten – Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001-1:2010) FinTS, V 4.1 Financial Transaction Services, Weiterentwicklung des Online- Banking Standards „Homebanking Computer Interface (HBCI)“ GAMP 5 The Good Automated Manufacturing Practice (GAMP) 5 – A Risk- Based Approach to Compliant GxP Computerized Systems, Stand Feb-ruar 2008 GERM Good Electronic Records Management

756 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

HBCI Home Banking Computer Interface IAITAM IBPL IAITAM‘s Best Practice Library (IBPL) for IT Asset Management:  Acquisition Management  Asset Identification  Communication and Education  Compliance and Legislation  Disposal Management  Documentation Management  Financial Management  Vendor Management  Policy Management  Project Management  Program Management – the practitioner's guide to an ITAM Program IEC Industrielle Steuerungssysteme und Netze TS 62443-1-1:2009 62443-2-1:2010  IEC TS 62443-1-1:2009: Terminology, concepts and models TR 62443-2-3:2015  IEC 62443-2-1:2010: Establishing an industrial automation and 62443-2-4:2015 control system security (IACS) program PAS 62443-3:2008  IEC TR 62443-2-3:2015: Security for industrial automation and TR 62443-3-1:2009 control systems – Teil 2-3: Patch management in the IACS envi- 62443-3-3:2013 ronment  IEC 62443-2-4:2015: Security for industrial automation and con- trol systems – Teil 2-4: Security program requirements for IACS service providers  IEC PAS 62443-3:2008, Security for industrial process measure- ment and control – Network and system security  IEC TR 62443-3-1:2009: Security technologies for industrial auto- mation and control systems  IEC 62443-3-3:2013: System security requirements and security levels IEEE Standard for Software and System Test Documentation Std. 829-2008 IEEE Standard for System and Software Verification and Validation Std. 1012-2012 IETF Expectations for Computer Security Incident Response RFC 2350 ISO/IEC Risikomanagement – Vokabular Guide 73:2009 ISO/IEC Information technology – Vocabulary 2382:2015  Part 36: Learning, education and training 2382-36:2013  Part 37: Biometrics 2382-37:2017

27.3 Standards, Normen, Leitlinien 757

ISO 9001:2015 Quality management systems – Requirements (Qualitätsmanagementsysteme – Anforderungen) ISO Quality management – Guidelines for configuration management 10007:2017 ISO/IEC Information technology – Security techniques – Hash-functions 10118-1:2016  Part 1: General 10118-2:2010  Part 2: Hash-functions using an n-bit block cipher; Cor 1:2011 10118-3:2004 10118-4:1998  Part 3: Dedicated hash-functions; Amd 1:2006; Cor 1:2011  Part 4: Hash-functions using modular arithmetic ISO/IEC Information technology – Generic cabling for customer premises 11801-1:2017  Part 1: General requirements 11801-3:2017  Part 3: Industrial premises 11801-5:2017 11801-6:2017  Part 5: Data centres TR 11801-9901:2014  Part 6: Distributed building services TR 11801-9902:2017  Part 9901: Guidance for balanced cabling in support of at least TR 11801-9903:2015 40 Gbit/s data transmission TR 11801-9904:2017  PDTR 11801-9905 Part 9902: Specifications for End-to-end link configurations  Part 9903: Matrix modelling of channels and links  Part 9904: Guidelines for the use of installed cabling to support 2,5GBASE-T and 5GBASE-T applications  Part 9905: Guidelines for the use of installed cabling to support 25GBASE-T application ISO/IEC Systems and software engineering – Software life cycle processes 12207:2017 ISO Information and documentation – Implementation guidelines for TR 13028:2010 digitization of records ISO Financial services – Information security guidelines TR 13569:2005 ISO/IEC Information technology – Security techniques – Non-repudiation 13888-1:2009  Part 1: General, 2009 13888-2:2010  Part 2: Mechanisms using symmetric techniques, 2010, Cor 1:2012 13888-3:2009  Part 3: Mechanisms using asymmetric techniques, 2009 ISO Health Informatics – Classification of purposes for processing per- TS 14265:2011 sonal health information ISO/IEC TR Information technology – Security techniques – Guidelines for the 14516:2002 use and management of Trusted Third Party services

758 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ISO/IEC Information technology – Implementation and operation of customer 14763-1:1999 premises cabling 14763-2:2012  Part 1: Administration; Amd 1:2004 14763-2-1:2011  Part 2: Planning and installation 14763-3:2014 FDIS 14763-4  Part 2-1: Planning and installation – Identifiers within administra- tion systems  Part 3: Testing of optical fibre cabling  Part 4: Measurement of end-to-end (E2E)-Links ISO/IEC Software Engineering – Software Life Cycle Processes – Maintenance 14764:2006 ISO/IEC Information technology – Security techniques – Digital signatures 14888-1:2008 with appendix 14888-2:2008  Part 1: General 14888-3:2016  Part 2: Integer factorization based mechanisms  Part 3: Discrete logarithm based mechanisms ISO Medical devices – Application of risk management to medical devic- 14971:2007 es ISO Electronic business eXtensible Markup Language (ebXML) 15000-5:2014  Part 5: Core Components Specification (CCS) ISO/IEC Systems and software engineering – Systems and software assurance 15026-1:2013  Part 1: Concepts and vocabulary 15026-2:2011  Part 2: Assurance case 15026-3:2015 15026-4:2012  Part 3: System integrity levels  Part 4: Assurance in the life cycle ISO/IEC/IEEE Systems and software engineering – System life cycle processes 15288:2015 ISO/IEC Information technology – Security techniques – Evaluation criteria 15408-1:2009 for IT security (vgl. Common Criteria) 15408-2:2008  Part 1: Introduction and general model 15408-3:2008  Part 2: Security functional components  Part 3: Security assurance components ISO/IEC Information technology – Security techniques – Security assurance TR 15443-1:2012 framework TR 15443-2:2012  Part 1: Introduction and concepts  Part 2: Analysis ISO/IEC Information technology – Security techniques – Guide for the pro- TR 15446:2017 duction of protection profiles and security targets ISO Information and documentation – Records management 15489-1:2016  Part 1: Concepts and principles

27.3 Standards, Normen, Leitlinien 759

ISO/IEC Information technology – Process assessment 15504-4:2004  Part 4: Guidance on use for process improvement and process 15504-5:2012 capability determination 15504-6:2013  Part 5: An exemplar software life cycle process assessment model TS 15504-8:2012  TS 15504-9:2011 Part 6: An exemplar system life cycle process assessment model TS 15504-10:2011  Part 8: An exemplar process assessment model for IT service ma- nagement  Part 9: Target process profiles  Part 10: Safety extensions ISO/IEC Information technology – Security techniques – Specification of TTP 15945:2002 services to support the application of digital signatures ISO/IEC Information technology – Security techniques – Cryptographic tech- 15946-1:2016 niques based on elliptic curves 15946-5:2017  Part 1: General  Part 5: Elliptic curve generation ISO/IEC Systems and software engineering – Life cycle processes – Risk ma- 16085:2006 nagement ISO/IEC General requirements for the competence of testing and calibration 17025:2017 laboratories ISO Health informatics – Public key infrastructure 17090-1:2013  Part 1: Overview of digital certificate services 17090-2:2015  Part 2: Certificate profile 17090-3:2008 17090-4:2014  Part 3: Policy management of certification authority 17090-5:2017  Part 4: Digital Signatures for healthcare documents  Part 5: Authentication using Healthcare PKI credentials ISO/IEC Information technology – Cloud computing – Overview and vocabu- 17788:2014 lary ISO/IEC Information technology – Cloud computing – Reference architecture 17789:2014 ISO/IEC Information technology – Programming languages, their environ- 17960:2015 ments and system software interfaces – Code signing for source code ISO/IEC Information technology – Security techniques – Methodology for IT 18045:2008 security evaluation ISO Information and documentation – Risk assessment for records pro- TR 18128:2014 cesses and systems ISO Health informatics – Interoperability and compatibility in messaging TR 18307:2001 and communication standards – Key characteristics ISO 18308:2011 Health informatics – Requirements for an electronic health record architecture ISO 18788:2015 Management system for private security operations – Requirements with guidance for use ISO 19011:2011 Guidelines for auditing management systems

760 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ISO/IEC Information technology – Cloud computing – Service level agree- 19086-1:2016 ment (SLA) framework CD 19086-2  Part 1: Overview and concepts DIS 19086-3  Part 2: Metric model CD 19086-4  Part 3: Core conformance requirements  Part 4: Security and privacy ISO Financial services – Biometrics – Security framework 19092:2008 ISO/IEC Information technology – Security techniques – Catalogue of archi- TS 19249:2017 tectural and design principles for secure products, systems and ap- plications ISO/IEC Information technology: IT and Software asset management 19770-1:2017  Part 1: IT asset management systems – Requirements 19770-2:2015  Part 2: Software identification tag 19770-3:2016 DIS 19770-4  Part 3: Entitlement schema 19770-5:2015  Part 4: Resource utilization measurement CD 19770-8  Part 5: Overview and vocabulary  Part 8: Guidelines for mapping of industry practices to/from the ISO/IEC 19770 family of standards ISO/IEC Information technology – Security techniques – Security assessment TR 19791:2010 of operational systems Die Norm gibt Anleitung und definiert Evaluationskriterien zur Si- cherheitsbewertung von Betriebssystemen und erweitert so das Ein- satzgebiet der ISO/IEC 15408 auf Betriebssysteme. ISO/IEC Information technology – Security techniques – Security evaluation 19792:2009 of biometrics ISO/IEC Cloud Infrastructure Management Interface (CIMI) Model and REST- 19831:2015 ful HTTP-based Protocol – An Interface for Managing Cloud Infra- structure ISO/IEC Information technology – Cloud computing – Interoperability and 19941:2017 portability ISO/IEC Information technology – Cloud computing – Cloud services and 19944:2017 devices: Data flow, data categories and data use ISO/IEC Information technology – Service management 20000-1:2011  Part 1: Service management system requirements 20000-2:2012  Part 2: Guidance on the application of service management sys- 20000-3:2012 tems TR 20000-4:2010 TR 20000-5:2013  Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-6:2017 20000-1 TR 20000-9:2015  Part 4: Process Reference Model TR 20000-10:2015  Part 5: Exemplar implementation plan for ISO/IEC 20000-1

27.3 Standards, Normen, Leitlinien 761

TR 20000-11:2015  Part 6: Requirements for bodies providing audit and certification TR 20000-12:2016 of service management systems  Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services  Part 10: Concepts and terminology  Part 11: Guidance on the relationship between ISO/IEC 20000- 1:2011 and service management frameworks: ITIL®  Part 12: Guidance on the relationship between ISO/IEC 20000- 1:2011 and service management frameworks: CMMI-SVC ISO/IEC TR Information technology – Security techniques – Refining software 20004:2015 vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045 ISO/IEC Information technology for learning, education and training – Infor- 20006-1:2014 mation model for competency 20006-2:2015  Part 1: Competency general framework and information model  Part 2: Proficiency level information model ISO TR Health informatics – Electronic health record – Definition, scope and 20514:2005 context ISO/IEC Information technology – Security techniques – Privacy enhancing DIS 20889 data de-identification techniques ISO/IEC Information technology – Multimedia framework (MPEG-21) 21000-5:2004  Part 5: Rights Expression Language, Amd 1:2007 21000-15:2006  Part 15: Event Reporting, Cor 1:2008, Amd 1:2008 ISO Health informatics – Directory services for healthcare providers, 21091:2013 subjects of care and other entities ISO TS Health informatics – Functional and structural roles 21298:2017 ISO/IEC Information technology – Security techniques – Systems Security 21827:2008 Engineering – Capability Maturity Model (SSE-CMM) ISO/IEC Information technology – Security techniques – Security guidelines DIS 21878 for design and implementation of virtualized servers ISO Health informatics – Good principles and practices for a clinical data TR 22221:2006 warehouse ISO Societal security – Terminology 22300:2012 ISO Societal security – Business continuity management systems – Re- 22301:2012 quirements ISO Financial services – Privacy impact assessment 22307:2008 ISO Societal security – Video-surveillance – Export Interoperability 22311:2012 ISO Societal security – Technological Capabilities TR 22312:2011

762 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ISO Societal security – Business continuity management systems – Guid- 22313:2012 ance ISO Societal security – Business continuity management systems – Guide- TS 22317:2015 lines for business impact analysis (BIA) ISO Societal security – Business continuity management systems – Guide- TS 22318:2015 lines for supply chain continuity ISO Societal security – Emergency management – Requirements for inci- 22320:2011 dent response ISO Societal security – Emergency management – Guidelines for public 22322:2015 warning ISO Societal security – Emergency management – Guidelines for colour- 22324:2015 coded alerts ISO Societal security – Guidelines for establishing partnering arrange- 22397:2014 ments ISO Societal security – Guidelines for exercises 22398:2013 ISO Health informatics – Privilege management and access control 22600-1:2014  Part 1: Overview and policy management 22600-2:2014  Part 2: Formal models 22600-3:2014  Part 3: Implementations ISO/IEC/IEEE Systems and software engineering – Engineering and management of 23026:2015 websites for systems, software, and services information ISO/IEC Information technology – Programming languages, their environ- TR 24731-1:2007 ments and system software interfaces – Extensions to the C library TR 24731-2:2010  Part 1: Bounds-checking interfaces  Part 2: Dynamic Allocation Functions ISO/IEC Information technology – Security techniques – Biometric infor- 24745:2011 mation protection ISO/IEC Systems and software engineering – Life cycle management TS 24748-1:2016  Part 1: Guidelines for life cycle management TR 24748-2:2011  Part 2: Guide to the application of ISO/IEC 15288 (System life TR 24748-3:2011 cycle processes) TS 24748-6:2016  Part 3: Guide to the application of ISO/IEC 12207 (Software life ISO/IEC/IEEE cycle processes) 24748-4:2016 24748-5  Part 4: Systems engineering planning  Part 5: Software development planning (in Entwicklung)  Part 6: System integration engineering ISO/IEC Information technology – Security techniques – Test requirements for 24759:2017 cryptographic modules

27.3 Standards, Normen, Leitlinien 763

ISO/IEC Information technology – Security techniques – A Framework for 24760-1:2011 Identity Management 24760-2:2015  Part 1: Terminology and concepts 24760-3:2016  Part 2: Reference architecture and requirements  Part 3: Practice ISO/IEC Information technology – Security techniques – Authentication con- 24761:2009 text for biometrics (ACBio), Cor 1: 2013 ISO/IEC Information technology – Learning, education and training – Con- TR 24763:2011 ceptual Reference Model for Competency Information and Related Objects ISO/IEC Systems and software engineering – Life cycle management – Guide- TR 24774:2010 lines for process description ISO/IEC Information technology – Storage management 24775-1:2014  Part 1: Overview 24775-1:2014  Part 2: Common Architecture (SMI-S-Architektur) 24775-2:2014  24775-3:2014 Part 3: Common Profiles 24775-4:2014  Part 4: Block Devices 24775-5:2014  Part 5: File systems 24775-6:2014  Part 6: Fabric 24775-7:2014  Part 7: Host Elements 24775-8:2014 • Part 8: Media Libraries ISO Medical devices – Guidance on the application of ISO 14971 TR 24971:2013 ISO/IEC Systems and software Engineering – Systems and software Quality 25000:2014 Requirements and Evaluation (SQuaRE) – Guide to SQuaRE ISO/IEC Systems and software engineering – Systems and software Quality 25001:2014 Requirements and Evaluation (SQuaRE) – Planning and manage- ment ISO/IEC Systems and software engineering – Systems and software Quality 25010:2011 Requirements and Evaluation (SQuaRE) – System and software qual- ity models ISO/IEC Software engineering – Software product Quality Requirements and 25012:2008 Evaluation (SQuaRE) – Data quality model ISO/IEC Software engineering – Software product Quality Requirements and 25020:2007 Evaluation (SQuaRE) – Measurement reference model and guide ISO/IEC Systems and software engineering – Systems and software Quality 25021:2012 Requirements and Evaluation (SQuaRE) – Quality measure elements ISO/IEC Systems and software engineering – Systems and software quality 25022:2016 requirements and evaluation (SQuaRE) – Measurement of quality in use ISO/IEC Systems and software engineering – Systems and software Quality 25023:2016 Requirements and Evaluation (SQuaRE) – Measurement of system and software product quality

764 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ISO/IEC Systems and software engineering – Systems and software Quality 25024:2015 Requirements and Evaluation (SQuaRE) – Measurement of data quality ISO/IEC Software Engineering – Software product Quality Requirements and 25030:2007 Evaluation (SQuaRE) – Quality requirements ISO/IEC Systems and software engineering – Systems and software Quality 25040:2011 Requirements and Evaluation (SQuaRE) – Evaluation process ISO/IEC Systems and software engineering – Systems and software Quality 25041:2012 Requirements and Evaluation (SQuaRE) – Evaluation guide for de- velopers, acquirers and independent evaluators ISO/IEC Systems and software engineering – Systems and software Quality 25045:2010 Requirements and Evaluation (SQuaRE) – Evaluation module for recoverability ISO/IEC Systems and software engineering – Systems and software product TR 25060:2010 Quality Requirements and Evaluation (SQuaRE) – Common Industry Format (CIF) for usability: General framework for usability-related information ISO Road vehicles – Functional safety 26262-1:2011  Part 1: Vocabulary 26262-2:2011  Part 2: Management of functional safety 26262-3:2011 26262-4:2011  Part 3: Concept phase 26262-5:2011  Part 4: Product development at the system level 26262-6:2011  Part 5: Product development at the hardware level 26262-7:2011  26262-8:2011 Part 6: Product development at the software level 26262-9:2011  Part 7: Production and operation 26262-10:2012  Part 8: Supporting processes  Part 9: Automotive Safety Integrity Level (ASIL)-oriented and safety-oriented analyses  Part 10: Guideline on ISO 26262 ISO/IEC/IEEE Systems and software engineering – Requirements for managers of 26511:2011 user documentation ISO/IEC/IEEE Systems and software engineering – Requirements for acquirers and 26512:2011 suppliers of user documentation ISO/IEC Systems and software engineering – Requirements for testers and 26513:2017 reviewers of information for users ISO/IEC Systems and software engineering – Requirements for designers and 26514:2008 developers of user documentation ISO/IEC/IEEE Systems and software engineering – Developing user documentation 26515:2011 in an agile environment ISO/IEC Information technology – Security techniques – Information security 27000:2016 management systems – Overview and vocabulary

27.3 Standards, Normen, Leitlinien 765

ISO/IEC Information technology – Security techniques – Information security 27001:2013, management systems – Requirements, Cor 1:2014, Cor 2:2015 Cor 1:2014, Cor 2:2015 ISO/IEC Information technology – Security techniques – Code of practice for 27002:2013, information security controls, Cor 1:2014, Cor 2:2015 Cor 1:2014, Cor 2:2015 ISO/IEC Information technology – Security techniques – Information security 27003:2017 management systems – Guidance ISO/IEC Information technology – Security techniques – Information security 27004:2016 management – Monitoring, measurement, analysis and evaluation ISO/IEC Information technology – Security techniques – Information security 27005:2011 risk management ISO/IEC Information technology – Security techniques – Requirements for 27006:2015 bodies providing audit and certification of information security management systems ISO/IEC Information technology – Security techniques – Guidelines for infor- 27007:2017 mation security management systems auditing ISO/IEC Information technology – Security techniques – Guidelines for audi- TR 27008:2011 tors on information security controls ISO/IEC Information technology – Security techniques – Sector-specific appli- 27009:2016 cation of ISO/IEC 27001 – Requirements ISO/IEC Information technology – Security techniques – Information security 27010:2015 management for inter-sector and inter-organizational communica- tions ISO/IEC Information technology – Security techniques – Code of practice for 27011:2016 Information security controls based on ISO/IEC 27002 for telecom- munications organizations (s. a. X.1051 – Information Security Man- agement System – Requirements for Telecommunications (ISMS-T)) ISO/IEC Information technology – Security techniques – Guidance on the 27013:2015 integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC Information technology – Security techniques – Governance of in- 27014:2013 formation security ISO/IEC Information technology – Security techniques – Information security TR 27016:2014 management – Organizational economics ISO/IEC Information technology – Security techniques – Code of practice for 27017:2015 information security controls based on ISO/IEC 27002 for cloud ser- vices ISO/IEC Information technology – Security techniques – Code of practice for 27018:2014 protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC Information technology – Security techniques – Information security 27019:2017 controls for the energy utility industry

766 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ISO/IEC Information technology – Security techniques – Competence re- 27021:2017 quirements for information security management systems profes- sionals ISO/IEC TR Information technology – Security techniques – Mapping the revised 27023:2015 editions of ISO/IEC 27001 and ISO/IEC 27002 ISO/IEC Information technology – Security techniques – Guidelines for in- 27031:2011 formation and communication technology readiness for business continuity ISO/IEC Information technology – Security techniques – Guidelines for cyber- 27032:2012 security ISO/IEC Information technology – Security techniques – Network security 27033-1:2015  Part 1: Overview and concepts 27033-2:2012  Part 2: Guidelines for the design and implementation of network 27033-3:2010 security 27033-4:2014 27033-5:2013  Part 3: Reference networking scenarios – Threats, design tech- 27033-6:2016 niques and control issues  Part 4: Securing communications between networks using securi- ty gateways  Part 5: Securing communications across networks using Virtual Private Networks (VPNs)  Part 6: Securing wireless IP network access ISO/IEC Information technology – Security techniques – Application security 27034-1:2011  Part 1: Overview and concepts 27034-2:2015  Part 2: Organization normative framework FDIS 27034-3 CD 27034-4  Part 3: Application security management process 27034-5:2017  Part 4: Application security validation PDTS 27034-5-1  Part 5: Protocols and application security controls data structure 27034-6:2016  DIS 27034-7.2 Part 5-1: Protocols and application security controls data struc- ture – XML schemas  Part 6: Case studies  Part 7.2: Assurance prediction framework ISO/IEC Information technology – Security techniques – Information security 27035-1:2016 incident management 27035-2:2016  Part 1: Principles of incident management  Part 2: Guidelines to plan and prepare for incident response ISO/IEC Information technology – Security techniques – Information security 27036-1:2014 for supplier relationships 27036-2:2014  Part 1: Overview and concepts 27036-3:2013  Part 2: Requirements 27036-4:2016  Part 3: Guidelines for information and communication technolo- gy supply chain security  Part 4: Guidelines for security of cloud services

27.3 Standards, Normen, Leitlinien 767

ISO/IEC Information technology – Security techniques – Guidelines for identi- 27037:2012 fication, collection, acquisition and preservation of digital evidence ISO/IEC Information technology – Security techniques – Specification for 27038:2014 digital redaction ISO/IEC Information technology – Security techniques – Selection, deploy- 27039:2015 ment and operations of intrusion detection and prevention systems (IDPS) ISO/IEC Information technology – Security techniques – Storage security 27040:2015 ISO/IEC Information technology – Security techniques – Guidance on assur- 27041:2015 ing suitability and adequacy of incident investigative method ISO/IEC Information technology – Security techniques – Guidelines for the 27042:2015 analysis and interpretation of digital evidence ISO/IEC Information technology – Security techniques – Incident investiga- 27043:2015 tion principles and processes ISO/IEC Information technology – Security techniques – Electronic discovery 27050-1:2016  Part 1: Overview and concepts DIS 27050-2  Part 2: Guidance for governance and management of electronic 27050-3:2017 discovery  Part 3: Code of Practice for electronic discovery ISO/IEC Information technology – Security techniques – Cybersecurity and PRF TR 27103 ISO and IEC Standards ISO/IEC Information technology – Security techniques – Enhancement to CD 27552 ISO/IEC 27001 for privacy management – Requirements ISO Health informatics – Audit trails for electronic health records 27789:2013 ISO Health informatics – Information security management in health 27799:2016 using ISO/IEC 27002 ISO/IEC Information technology – Security techniques – Privacy framework 29100:2011 ISO/IEC Information technology – Security techniques – Privacy architecture 29101:2013 framework ISO/IEC Information technology – Security techniques – Entity authentication 29115:2013 assurance framework ISO/IEC/IEEE Software and systems engineering – Software testing 29119-1:2013 29119-2:2013  Part 1: Concepts and definitions 29119-3:2013  Part 2: Test processes 29119-4:2015  Part 3: Test documentation 29119-5:2016  Part 4: Test techniques  Part 5: Keyword-Driven Testing ISO/IEC Information technology – Telecommunications cabling requirements TS 29125:2017 for remote powering of terminal equipment

768 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ISO/IEC Information technology – Security techniques – Guidelines for priva- 29134:2017 cy impact assessment ISO/IEC Information technology – Security techniques – A framework for 29146:2016 access management ISO/IEC Information technology – Security techniques – Vulnerability disclo- 29147:2014 sure ISO/IEC Information technology – Security techniques – Best practices for the TR 29149:2012 provision and use of time-stamping services ISO/IEC Information technology – Security techniques – Signcryption, 29150:2011 Cor 1:2014 ISO/IEC Information technology – Security techniques – Code of practice for 29151:2017 personally identifiable information protection ISO/IEC Information technology – Security techniques – Privacy capability 29190:2015 assessment model ISO/IEC Information technology – Evaluation methodology for environmen- 29197:2015 tal influence in biometric system performance ISO/IEC Information technology – Web Services Interoperability – WS-I Basic 29361:2008 Profile Version 1.1 ISO/IEC Information technology – Web Services Interoperability – WS-I At- 29362:2008 tachments Profile Version 1.0. ISO/IEC Information technology – Web Services Interoperability – WS-I Sim- 29363:2008 ple SOAP Binding Profile Version 1.0 ISO/IEC Information Technology – Security Techniques – Physical Security TS 30104:2015 Attacks, Mitigation Techniques and Security Requirements ISO/IEC Information technology – Biometric presentation attack detection 30107-1:2016 (PAD) 30107-2:2017  Part 1: Framework 30107-3:2017  Part 2: Data formats NP 30107-4  Part 3: Testing and reporting  Part 4: Profile for evaluation of mobile ISO/IEC Information technology – Biometric Identity Assurance Services 30108-1:2015  Part 1: BIAS services ISO/IEC Information technology – Security techniques – Vulnerability han- 30111:2013 dling processes ISO/IEC Information technology – Governance of digital forensic risk frame- 30121:2015 work ISO Information and documentation – Management systems for records – 30300:2011 Fundamentals and vocabulary ISO Information and documentation – Management systems for records – 30301:2011 Requirements ISO Information and documentation – Management systems for records – 30302:2015 Guidelines for implementation

27.3 Standards, Normen, Leitlinien 769

ISO Risk management – Guidelines 31000:2018 ISO Risk management – Guidance for the implementation of ISO 31000 TR 31004:2013 IEC Risk management – Risk assessment techniques 31010:2009 ISO/IEC Information technology – Process assessment – Concepts and termi- 33001:2015 nology ISO Anti-bribery management systems – Requirements with guidance for 37001:2016 use ISO Guidance on outsourcing 37500:2014 ISO/IEC Information technology – Governance of IT for the organization 38500:2015 ISO Facility management – Management systems – Requirements with FDIS 41001 guidance for use ISO/IEC/IEEE Systems and software engineering – Architecture description 42010:2011 ISO Collaborative business relationship management systems – Re- 44001:2017 quirements and framework ISO Asset management – Overview, principles and terminology 55000:2014 ISO Asset management – Management systems – Requirements 55001:2014 ISO Asset management – Management systems – Guidelines for the ap- 55002:2014 plication of ISO 55001 ISO/IEC Software engineering – Guidelines for the application of ISO 90003:2014 9001:2008 to computer software ISO/IEC Systems engineering – Guidelines for the application of ISO 9001 to TR 90005:2008 system life cycle processes ISO/IEC Information technology – Guidelines for the application of ISO TR 90006:2013 9001:2008 to IT service management and its integration with ISO/IEC 20000-1:2011 ISO/IEC Management System Standard (MSS), High level structure, identical Directives, Part 1 core text, common terms and core definitions, ISO/IEC Directives, Part 1, Consolidated ISO Supplement, 2017, Appendix 2 ITIL® IT Infrastructure Library ITSEC Kriterien für die Bewertung der Sicherheit von Systemen der Infor- mationstechnik (ITSEC), Bundesanzeiger, Stand: Juni 1991 ITU-T X.1200 – Series X: Data Networks, Open System Communications and Securi- X.1299 Series ty – Cyberspace security ITU-T X.1200 – Series X: Data Networks, Open System Communications and Securi- X.1229 ty – Cybersecurity

770 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ITU-T X.1205 Series X: Data Networks, Open System Communications and Securi- ty – Overview of cybersecurity ITU-T X.1206 Series X: Data Networks, Open System Communications and Securi- ty – A vendor-neutral framework for automatic notification of securi- ty related information and dissemination of updates ITU-T X.1207 Series X: Data Networks, Open System Communications and Securi- ty – Guidelines for telecommunication service providers for address- ing the risk of spyware and potentially unwanted software ITU-T X.1208 Series X: Data Networks, Open System Communications and Securi- ty – A cybersecurity indicator of risk to enhance confidence and security in the use of telecommunication/information and communi- cation technologies ITU-T X.1209 Series X: Data Networks, Open System Communications and Securi- ty – Capabilities and their context scenarios for cybersecurity infor- mation sharing and exchange ITU-T X.1210 Series X: Data Networks, Open System Communications and Securi- ty – Overview of source-based security troubleshooting mechanisms for Internet protocol-based networks ITU-T X.1230 – Series X: Data Networks, Open System Communications and Securi- X.1249 ty – Countering spam ITU-T X.1231 Series X: Data Networks, Open System Communications and Securi- ty – Technical strategies for countering spam ITU-T X.1240 Series X: Data Networks, Open System Communications and Securi- ty – Technologies involved in countering e-mail spam ITU-T X.1241 Series X: Data Networks, Open System Communications and Securi- ty – Technical framework for countering email spam ITU-T X.1242 Series X: Data Networks, Open System Communications and Securi- ty – Short message service (SMS) spam filtering system based on user-specified rules ITU-T X.1243 Series X: Data Networks, Open System Communications and Securi- ty – Interactive gateway system for countering spam ITU-T X.1244 Series X: Data Networks, Open System Communications and Securi- ty – Overall aspects of countering spam in IP-based multimedia ap- plications ITU-T X.1245 Series X: Data Networks, Open System Communications and Securi- ty – Framework for countering spam in IP-based multimedia applica- tions ITU-T X.1246 Series X: Data Networks, Open System Communications and Securi- ty – Technologies involved in countering voice spam in telecommu- nication organizations ITU-T X.1247 Series X: Data Networks, Open System Communications and Securi- ty – Technical framework for countering mobile messaging spam ITU-T X.1250 – Series X: Data Networks, Open System Communications and Securi- X.1279 ty – Identity management

27.3 Standards, Normen, Leitlinien 771

ITU-T X.1250 Series X: Data Networks, Open System Communications and Securi- ty – Baseline capabilities for enhanced global identity management and interoperability ITU-T X.1251 Series X: Data Networks, Open System Communications and Securi- ty – A framework for user control of digital identity ITU-T X.1252 Series X: Data Networks, Open System Communications and Securi- ty – Baseline identity management terms and definitions ITU-T X.1253 Series X: Data Networks, Open System Communications and Securi- ty – Security guidelines for identity management systems ITU-T X.1254 Series X: Data Networks, Open System Communications and Securi- ty – Entity authentication assurance framework ITU-T X.1257 Series X: Data Networks, Open System Communications and Securi- ty – Identity and access management taxonomy ITU-T X.1258 Series X: Data Networks, Open System Communications and Securi- ty – Enhanced entity authentication based on aggregated attributes ITU-T X.1275 Series X: Data Networks, Open System Communications and Securi- ty – Guidelines on protection of personally identifiable information in the application of RFID technology ITU-T X.1300 – Series X: Data Networks, Open System Communications and Securi- X.1399 ty – Secure applications and services ITU-T X.1300 – Series X: Data Networks, Open System Communications and Securi- X.1309 ty – Emergency communications ITU-T X.1303 Series X: Data Networks, Open System Communications and Securi- ty – Common alerting protocol (CAP 1.1) ITU-T X.1310 – Series X: Data Networks, Open System Communications and Securi- X.1339 ty – Ubiquitous sensor network security ITU-T X.1311 Series X: Data Networks, Open System Communications and Securi- ty – Information technology – Security framework for ubiquitous sensor networks ITU-T X.1312 Series X: Data Networks, Open System Communications and Securi- ty – Ubiquitous sensor network middleware security guidelines ITU-T X.1313 Series X: Data Networks, Open System Communications and Securi- ty – Security requirements for wireless sensor network routing ITU-T X.1500 – Series X: Data Networks, Open System Communications and Securi- X.1598 Series ty – Cybersecurity information exchange (CYBEX) ITU-T X.1500 – Series X: Data Networks, Open System Communications and Securi- X.1519 ty – Overview of cybersecurity ITU-T X.1500 Series X: Data Networks, Open System Communications and Securi- ty – Overview of cybersecurity information exchange ITU-T X.1500.1 Series X: Data Networks, Open System Communications and Securi- ty – Procedures for the registration of arcs under the object identifier arc for cybersecurity information exchange

772 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

ITU-T X.1520 – Series X: Data Networks, Open System Communications and Securi- X.1539 ty – Vulnerability/state exchange ITU-T X.1520 Series X: Data Networks, Open System Communications and Securi- ty – Common vulnerabilities and exposures ITU-T X.1521 Series X: Data Networks, Open System Communications and Securi- ty – Common vulnerability scoring system ITU-T X.1524 Series X: Data Networks, Open System Communications and Securi- ty – Common weakness enumeration ITU-T X.1528 Series X: Data Networks, Open System Communications and Securi- ty – Common platform enumeration ITU-T X.1528.1 Series X: Data Networks, Open System Communications and Securi- ty – Common platform enumeration naming ITU-T X.1528.2 Series X: Data Networks, Open System Communications and Securi- ty – Common platform enumeration name matching ITU-T X.1528.3 Series X: Data Networks, Open System Communications and Securi- ty – Common platform enumeration dictionary ITU-T X.1528.4 Series X: Data Networks, Open System Communications and Securi- ty – Common platform enumeration applicability language ITU-T X.1540 – Series X: Data Networks, Open System Communications and Securi- X.1549 ty – Event/incident/heuristics exchange ITU-T X.1541 Series X: Data Networks, Open System Communications and Securi- ty – Incident object description exchange format ITU-T X.1550 – Series X: Data Networks, Open System Communications and Securi- X.1559 ty – Exchange of policies ITU-T X.1560 – Series X: Data Networks, Open System Communications and Securi- X.1569 ty – Heuristics and information request ITU-T X.1570 – Series X: Data Networks, Open System Communications and Securi- X.1579 ty – Identification and discovery ITU-T X.1570 Series X: Data Networks, Open System Communications and Securi- ty – Discovery mechanisms in the exchange of cybersecurity infor- mation ITU-T X.1580 – Series X: Data Networks, Open System Communications and Securi- X.1589 ty – Assured exchange ITU-T X.1580 Series X: Data Networks, Open System Communications and Securi- ty – Real-time inter-network defence ITU-T X.1581 Series X: Data Networks, Open System Communications and Securi- ty – Transport of real-time inter-network defence messages ITU-T X.1582 Series X: Data Networks, Open System Communications and Securi- ty – Transport protocols supporting cybersecurity information ex- change MISRA AC GMG Generic modelling design and style guidelines, Mai 2009 MISRA C:2012 Guidelines for the Use of the C Language in Critical Systems MISRA-C++:2008 Guidelines for the use of the C++ language in critical systems

27.3 Standards, Normen, Leitlinien 773

NIST Framework for Improving Critical Infrastructure Cybersecurity, Cybersecurity Version 1.0, 12.02.2014 Framework Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, Draft 2, 5. Dezember 2017 NIST The Keyed-Hash Message Authentication Code (HMAC), Juli 2008 FIPS 198-1 NIST SHA-3 Standard: Permutation-Based Hash and Extendable-Output FIPS 202 Functions, August 2015 NIST NIST MEP Cybersecurity Self-Assessment Handbook For Assessing Handbook 162 NIST SP 800-171 Security Requirements in Response to DFARS Cy- bersecurity Requirements NIST Glossary of Key Information Security Terms, Revision 1, NIST, Mai NISTIR 7298, 2013 Rev 2 NIST Guidelines for Smart Grid Cybersecurity, September 2014 NISTIR 7628 NIST The Cybersecurity Framework, Implementation Guidance for Feder- NISTIR 8170, al Agencies, Mai 2017 DRAFT NIST Information Security Training Requirements: A Role- and Perfor- SP 800-16 mance-Based Model, April 1998 Rev 1, DRAFT A Role-Based Model for Federal Information Technology/Cybersecu- rity Training (3rd public draft), März 2014 NIST Guide for Conducting Risk Assessments, September 2012 SP 800-30, Rev 1 NIST Guide to Selecting Information Technology Security Products, SP 800-36 Oktober 2003 NIST Guide for Applying the Risk Management Framework to Federal SP 800-37, Information Systems, Revision 1, Februar 2010, Aktualisierungen Rev 1 2014 NIST Managing Information Security Risk, März 2011 SP 800-39 NIST Guidelines on Firewalls and Firewall Policy, Revision 1, September SP 800-41, 2009 Rev 1 NIST Guide to Enterprise Telework, Remote Access, and Bring Your Own SP 800-46 Rev. 2 Device (BYOD) Security, Juli 2016 NIST Security and Privacy Controls for Federal Information Systems and SP 800-53, Organizations, Revision 4, April 2013, Aktualisierung 2015 Rev 4 NIST Guide for Assessing the Security Controls in Federal Information SP 800-53A, Systems and Organizations, Building Effective Security Assessment Rev. 4 Plans, Dezember 2014

774 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

NIST Performance Measurement Guide for Information Security, NIST, SP 800-55 Juli 2008 Rev 1 NIST Computer Security Incident Handling Guide, August 2012 SP 800-61 Rev 2 NIST Digital Identity Guidelines, Juni 2017 SP 800-63-3 NIST Guide to Industrial Control Systems (ICS) Security, Mai 2015 SP 800-82, Rev. 2 NIST Guide to Malware Incident Prevention and Handling for Desktops SP 800-83 Rev. 1 and Laptops, Juli 2013 NIST Guidelines for Media Sanitization, Dezember 2014 SP 800-88, Rev 1 NIST Guide to Intrusion Detection and Prevention Systems (IDPS), SP 800-94 Februar 2007 Rev 1, DRAFT Guide to Intrusion Detection and Prevention Systems (IDPS), DRAFT, Juli 2012 NIST Guide to Secure Web Services, August 2007 SP 800-95 NIST Information Security Handbook: A Guide for Managers, SP 800-100 Oktober 2006, Aktualisierung 2007 NIST User's Guide to Telework and Bring Your Own Device (BYOD) Secu- SP 800-114, Rev. 1 rity, Juli 2016 NIST Technical Guide to Information Security Testing and Assessment, SP 800-115 September 2008 NIST Guide to Bluetooth Security, Mai 2017, SP 800-121, Rev. 2 NIST Guide to Protecting the Confidentiality of Personally Identifiable SP 800-122 Information (PII), April 2010 NIST Guide to General Server Security, Juli 2008 SP 800-123 NIST Guidelines for Managing the Security of Mobile Devices in the En- SP 800-124, Rev. 1 terprise, Revision 1, Juni 2013 NIST Guide to Security for Full Virtualization Technologies, Januar 2011 SP 800-125 NIST Security Recommendations for Hypervisor Deployment, Draft 2, SP 800-125A, Draft September 2017 NIST Secure Virtual Network Configuration for Virtual Machine (VM) SP 800-125B Protection, März 2016 NIST Guide for Security-Focused Configuration Management of Infor- SP 800-128 mation Systems, August 2011 NIST Information Security Continuous Monitoring (ISCM) for Federal SP 800-137 Information Systems and Organizations, September 2011

27.3 Standards, Normen, Leitlinien 775

NIST Guidelines on Security and Privacy in Public Cloud Computing, SP 800-144 Dezember 2011 NIST The NIST Definition of Cloud Computing, September 2011 SP 800-145 NIST Cloud Computing Synopsis and Recommendations, Mai 2012 SP 800-146 NIST Guide to Cyber Threat Information Sharing, Oktober 2016 SP 800-150 NIST Guidelines for Securing Wireless Local Area Networks (WLANs), SP 800-153 NIST, Februar 2012 NIST Systems Security Engineering: Considerations for a Multidisciplinary SP 800-160 Approach in the Engineering of Trustworthy Secure Systems, No- vember 2016 NIST Supply Chain Risk Management Practices for Federal Information SP 800-161 Systems and Organizations, April 2015 NIST Guidelines on Hardware-Rooted Security in Mobile Devices, DRAFT, SP 800-164, DRAFT Oktober 2012 NIST Guide to Application Whitelisting, Oktober 2015 SP 800-167 NIST Protecting Controlled Unclassified Information in Nonfederal Sys- SP 800-171, Rev. 1 tems and Organizations NIST Networks of ‚Things‘, Juli 2016 SP 800-183 NIST Guide for Cybersecurity Event Recovery, December 2016 SP 800-184 NIST NIST Cybersecurity Practice Guides SP 1800s NIST Securing Electronic Health Records on Mobile Devices, Juli 2015 SP 1800-1, DRAFT NIST Identity and Access Management for Electric Utilities, August 2015 SP 1800-2, DRAFT NIST IT Asset Management: Financial Services, Oktober 2015 SP 1800-5, DRAFT NIST Access Rights Management for the Financial Services Sector, August SP 1800-9, DRAFT 2017 NIST Data Integrity: Recovering from Ransomware and Other Destructive SP 1800-11, DRAFT Events, September 2017 OASIS Application Vulnerability Description Language v1.0, OASIS, Mai AVDL, 2004 2004 OASIS Common Alerting Protocol v1.2, OASIS, Juli 2010 CAP, 2010 OASIS Digital Signature Service Core Protocols, Elements, and Bindings DSS, 2007 v1.0, OASIS, April 2007

776 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

OASIS Advanced Electronic Signature Profiles of the OASIS Digital Signa- DSS: AdES, 2007 ture Service 1.0, OASIS, 11. April 2007 OASIS Abstract Code-Signing Profile of the OASIS Digital Signature Ser- DSS: Abstract Code- vices 1.0, OASIS, 11. April 2007 Signing, 2007 OASIS Electronic PostMark (EPM) Profile of the OASIS Digital Signature DSS: EPM, 2007 Service 1.0, OASIS, 11. April 2007 OASIS German Signature Law Profile of the OASIS Digital Signature Service DSS: German Signa- Version 1.0, OASIS, 11. April 2007 ture Law, 2007 OASIS J2ME Code-Signing Profile of the OASIS Digital Signature Services DSS: J2ME Code 1.0, OASIS, 11. April 2007 Signing, 2007 OASIS XML Timestamping Profile of the OASIS Digital Signature Services DSS: Timestamping, 1.0, OASIS, 11. April 2007 2007 OASIS Emergency Data Exchange Language (EDXL), Distribution Element, EDXL-DE, 2006 v 1.0, OASIS, Mai 2006 OASIS Emergency Data Exchange Language (EDXL), Hospital AVailability EDXL-HAVE, 2009 Exchange (HAVE), Version 1.0, Incorporating Approved Errata, OASIS, Dezember 2009 OASIS Emergency Data Exchange Language Resource Messaging (EDXL- EDXL-RM, 2009 RM) 1.0, Incorporating Approved Errata, OASIS, Dezember 2009 OASIS Privacy Management Reference Model and Methodology (PMRM) PMRM, 2016 Version 1.0, OASIS, 17. Mai 2016 OASIS Security Assertion Markup Language (SAML) v2.0, OASIS, SAML, 2005 15. März 2005 OASIS Reference Model for Service Oriented Architecture 1.0, OASIS, SOA, 2006 Oktober 2006 OASIS Service Provisioning Markup Language, v2.0, OASIS, April 2006 SPML, 2006 OASIS Universal Description, Discovery and Integration (UDDI), v3.0.2, UDDI, 2005 OASIS, Februar 2005 OASIS Web Services Security: Kerberos Token Profile 1.1.1, OASIS®, 18. Mai WSS: Kerberos, 2012 2012 OASIS Web Services Security: Rights Expression Language (REL) Token WSS: REL, 2012 Profile 1.1.1, OASIS, 18. Mai 2012 OASIS Web Services Security: SAML Token Profile 1.1.1, OASIS, 18. Mai WSS: SAML, 2012 2012 OASIS Web Services Security: SOAP Message Security 1.1.1, OASIS, WSS: SOAP 18. Mai 2012 Message Security, 2012

27.3 Standards, Normen, Leitlinien 777

OASIS Web Services Security: SOAP Message with Attachments WSS: SwA, 2012 (SwA)Profile 1.1.1, OASIS, 18. Mai 2012 OASIS Web Services Security: Username Token Profile 1.1.1, OASIS, WSS: Username, 18. Mai 2012 2012 OASIS Web Services Security: X.509 Certificate Token Profile 1.1.1, OASIS, WSS: X.509, 2012 18. Mai 2012 OASIS Web Services SecureConversation 1.4, OASIS, Februar 2009 WS-Secure- Conversation, 2009 OASIS Web Services SecurityPolicy 1.3, OASIS, 25. April 2012 WS-SecurityPolicy, 2012 OASIS Web Services Trust 1.4, OASIS, 25. April 2012 WS-Trust, 2012 OASIS eXtensible Access Control Markup Language (XACML) 3.0, OASIS, XACML, 2013 Januar 2013 OASIS XML Common Biometric Format v1.1, OASIS, August 2003 XCBF, 2003 OASIS Cross-Enterprise Security and Privacy Authorization (XSPA) Profile XSPA Profile of of Security Assertion Markup Language (SAML) for Healthcare v1.0, SAML for OASIS, November 2009 Healthcare, 2009 OASIS Cross-Enterprise Security and Privacy Authorization (XSPA) Profile XSPA Profile of of XACML v2.0 for Healthcare v1.0, OASIS, November 2009 XACML for Healthcare, 2009 OASIS Cross-Enterprise Security and Privacy Authorization (XSPA) Profile XSPA Profile of WS- of WS-Trust for Healthcare v1.0, OASIS, November 2010 Trust for Healthcare, 2010 OECD cGLP Die Anwendung der GLP-Grundsätze auf computergestützte Syste- me, OECD-Schriftenreihe über Grundsätze der Guten Laborpraxis und Überwachung ihrer Einhaltung, Nummer 10 OECD Digital Security Risk Management for Economic and Social Prosperi- ty, 2015 ÖNORM Business Continuity und Corporate Security Management – Business S 2402:2009 Continuity Management ÖNORM Business Continuity und Corporate Security Management – Corpo- S 2403:2009 rate Security Management ÖNORM Informationsverarbeitung – Sicherheitstechnische Anforderungen an A 7700:2008 Webapplikationen OGSA, 2006 The Open Grid Services Architecture (OGSA) 1.5, INFO, OGF, 24. Juli 2006

778 27 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices

OGSA OGSA Basic Security Profile 2.0, P-REC, OGF, 28. Juli 2008 Basic Security Profile, 2008 OGSA Use of SAML to retrieve Authorization Credentials, P-REC, OGF, SAML, 2009 13. November 2009 OGSA OGSA Secure Addressing Profile 1.0, P-REC, OGF, 13. Juni 2008 Secure Addressing Profile, 2008 OGSA OGSA Secure Communications Profile 1.0, P-REC, OGF, 13. Juni Secure Communi- 2008 cations Profile, 2008 OGSA Use of WS-TRUST and SAML to access a Credential Validation Ser- WS-TRUST, 2009 vice, P-REC, OGF, 13. November 2009 OGSA Use of XACML Request Context to Obtain an Authorisation Deci- XACML, 2009 sion, P-REC, OGF, 13. November 2009 ONR Risikomanagement für Organisationen und Systeme – Begriffe und 49000:2014 Grundlagen – Umsetzung von ISO 31000 in die Praxis ONR Risikomanagement für Organisationen und Systeme – Risikoma- 49001:2014 nagement – Umsetzung von ISO 31000 in die Praxis ONR Risikomanagement für Organisationen und Systeme 49002-1:2014,  Teil 1: Leitfaden für die Einbettung des Risikomanagements ins 49002-2:2014, Managementsystem – Umsetzung von ISO 31000 in die Praxis 49002-3:2014  Teil 2: Leitfaden für die Methoden der Risikobeurteilung – Um- setzung von ISO 31000 in die Praxis  Teil 3: Leitfaden für das Notfall-, Krisen- und Kontinuitäts- management – Umsetzung von ISO 31000 in die Praxis ONR Risikomanagement für Organisationen und Systeme – Anforderun- 49003:2014 gen an die Qualifikation des Risikomanagers – Umsetzung von ISO 31000 in die Praxis PCI DSS Payment Card Industry (PCI) Data Security Standard (DSS), Re- Version 3.2, 2016 quirements and Security Assessment Procedures SCAMPISM Standard CMMI® Appraisal Method for Process Improvement (SCAMPISM) A, Version 1.3: Method Definition Document, Carnegie Mellon University, März 2011 SERA Introduction to the Security Engineering Risk Analysis (SERA) Framework, Carnegie Mellon University, 2014 SPICE Software Process Improvement and Capability dEtermination (vgl. ISO/IEC TR 15504) SSE-CMM Information technology – Systems Security Engineering – Capability Maturity Model (ISO/IEC 21827:2008) SWIFT SWIFT Customer Security Controls Framework 1.0 – Detailed De- CSP scription, 31 March 2017

27.3 Standards, Normen, Leitlinien 779

TCDP Trusted Cloud-Datenschutzprofil für Cloud-Dienste, Version 1.0, September 2016 (Prüfstandard) Im Projekt AUDITOR soll eine EU-weite Datenschutzzertifizierung von Cloud-Diensten entwickelt werden [s. auditor-cert.de] TOGAF® 9.1 Enterprise architecture methodology and framework, The Open Group VDA Information Security Assessment ISA VdS Informationstechnologie (IT-Anlagen) – Gefahren und Schutzmaß- 2007:2016-03 nahmen VdS VdS-Richtlinien für Zutrittskontrollanlagen – Planung und Einbau 2367:2004-06 VdS Betriebsbuch für Zutrittskontrollanlagen 3436:2005-08 VdS Cyber-Security für kleine und mittlere Unternehmen (KMU), Anfor- 3473:2015-07 derungen VSA Allgemeine Verwaltungsvorschrift des Bundesministeriums des Innern zum materiellen und organisatorischen Schutz von Ver- schlusssachen (VS-Anweisung – VSA) vom 31. März 2006 in der Fassung vom 26. April 2010 VS-ITR Verwaltungsvorschrift des Innenministeriums zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik (VS-IT- Richtlinien – VSITR), 20.12.2004 – Az.: 5-0214.3/77 VSITR/U Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik in Unternehmen (VS-IT-Richtlinien/U), Stand: 24.09.07 W3C Simple Object Access Protocol (SOAP) 1.2, 2. Ausgabe, W3C, 27. SOAP, 2007 April 2007  Part 0: Primer  Part 1: Messaging Framework  Part 2: Adjuncts W3C Web Services Description Language (WSDL) 2.0, W3C, 26. Juni 2007 WSDL, 2007  Part 0: Primer  Part 1: Core Language  Part 2: Adjuncts W3C XML Key Management Specification (XKMS) 2.0, W3C, 28. Juni XKMS, 2005 2005

Literatur- und Quellenverzeichnis

[1] Müller, Klaus-Rainer: IT-Sicherheitsmanagement und die Rolle der Unternehmens- berater, Datensicherheitstage, 5. Oktober 1995 [2] /Microsoft-Sicherheitstudie 2016, Lagebericht zur Sicherheit, Teil 2, , 5/2016 [3] Müller, Klaus-Rainer: IT-Sicherheit mit System, VIEWEG, Juli 2003 [4] Müller, Klaus-Rainer: Unternehmensberater – Ungeliebte Zaungäste?, KES, 2/1996 vom Mai 1996, S. 6ff. [5] Müller, Klaus-Rainer: Risiken vermeiden, Business Computing, 7/1996, S. 46ff. [6] Müller, Klaus-Rainer: Sicherheits- und Qualitätsmanagement – zwei Seiten einer Medaille?, KES, 3/1996, S. 111ff. [7] Von der Crone, Hans Caspar und Roth, Katja: Der Sarbanes-Oxley Act und seine extra- territoriale Bedeutung, AJP/PJA, 2/2003, S. 131 ff. [8] Schuppenhauer, Rainer: GoDV-Handbuch: Grundsätze ordnungsmäßiger Datenver- arbeitung und DV-Revisionen, Beck Juristischer Verlag, Januar 2007 [9] Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, 3., aktualisierte und erweiterte Auflage, IDW Sonder- druck, IDW-Verlag GmbH, Juni 2009 [10] PIC/S: Guide to Good Manufacturing Practice for Medicinal Products, Annexes, PE 009-13, 1. Januar 2017 [11] PIC/S: Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments, PI 041-1 (Draft 2), 10.08.2016 [12] GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, http://www.ispe.org/cs/gamp_publications_section/gamp_publications_overview, eingesehen am 19.09.2009 [13] Müller, Klaus-Rainer: Lebenszyklus- und prozessimmanente IT-Sicherheit, , 3/2004, S. 72ff. [14] Müller, Klaus-Rainer: Zwei Welten verbinden, Bankmagazin 4/2006, S. 50ff. [15] Office of Government Commerce: ITIL Refresh: Scope and development plan, June 2006 [16] Jürgen Dierlamm: Neues – und Offizielles – über ITIL Version 3, itService Manage- ment, Heft 3, April 2007 [17] www.itil.org/de, eingesehen am 1. Juni 2007 [18] Information Systems Audit and Control Association (ISACA): COBIT 5.0, 2012 [19] Kaplan, Robert S.; Norton, David P.: Balanced Scorecard, Schäffer-Poeschel, 1997 [20] Müller, Klaus-Rainer: Genormte Sicherheit – Gesetze, Standards, Practices im Über- blick, ix, 1/2007, S. 95ff. [21] Alberts, Christopher; Dorofee, Audrey; Stevens, James; Woody, Carol: Introduction to the OCTAVE Approach, Carnegie Mellon University, August 2003

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 Literatur- und Quellenverzeichnis 781

[22] Caralli, Richard A.; Stevens, James F.; Young, Lisa R.; Wilson, William R.: Intro- ducing OCTAVE Allegro: Improving the Information Security Risk Assessment Pro- cess, Carnegie Mellon University, Software Engineering Institute, Mai 2007 [23] Alberts, Christopher; Dorofee, Audrey: Managing Information Security Risks: The OCTAVESM Approach, Addison-Wesley Professional, 2002 [24] Carnegie Mellon University: Systems Security Engineering Capability Maturity Model, Model Description Document, Version 3.0, 15. Juni 2003 [25] National Institute of Standards and Technology (NIST): Federal Information Tech- nology Security Assessment Framework, 28. November 2000 [26] Liberty Alliance Project: Business Benefits of Federated Identity, April 2003 [27] Liberty Alliance Project: Introduction to the Liberty Alliance Identity Architecture, Revision 1.0, März 2003 [28] Liberty Alliance Project: Liberty ID-FF Architecture Overview, Version 1.2 [29] Liberty Alliance Project: Privacy and Security Best Practices, Version 2.0, 12. No- vember, 2003 [30] Liberty Alliance Project: Liberty ID-WSF Security and Privacy Overview, Version 1.0 [31] Liberty Alliance Project: Liberty ID-WSF – Web Services Framework Overview, Version 2.0 [32] Liberty Alliance Project: Liberty ID-SIS Personal Profile Service Specification, Ver- sion 1.1 [33] Liberty Alliance Project: Liberty Alliance Web Services Framework: A Technical Overview, Version 1.0, 14. Februar 2008 [34] Bretz, Jörg; Busse, Alexander; Conrads, Jürgen; Gerber, Frank; Hilbert, Ulrich; Kühn, Ralf; Matzen, Hans, Wildenauer, Thomas: Prüfung IT im Fokus von MaRisk und Bundesbank, Finanz Colloquium Heidelberg, 12.2012 [35] OASIS: Reference Model for Service Oriented Architecture 1.0, OASIS Standard, 12.10.2006 [36] Anderson, Ross: Security Engineering, Wiley, 2001 [37] Müller, Klaus-Rainer: Risikoanalyse diktiert die Handlung, Computerzeitung, 38/2004, S. 17 [38] Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC), Bundesanzeiger, Stand: Juni 1991 [39] Common Criteria for Information Technology Security Evaluation, Version 3.1, Rev. 4, Teil 1, 2, 3, September 2012 [40] DIN ISO/IEC 15408, Informationstechnik – IT-Sicherheitsverfahren – Evaluationskri- terien für IT-Sicherheit, Teil 1, 2, 3 [41] Brockhaus, die Enzyklopädie in 24 Bänden, Studienausgabe, Band 18, Brockhaus, 2001 [42] Baseler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Kapitalmes- sung und Eigenkapitalanforderungen, Überarbeitete Rahmenvereinbarung, Überset- zung der Deutschen Bundesbank, Juni 2004 [43] Masing, Walter (Hrsg.): Handbuch Qualitätsmanagement, 3. Auflage, 1994 [44] Suzaki, Kiyoshi: Die ungenutzten Potentiale, Carl Hanser Verlag, 1994 [45] DeMarco, Tom: Structured Analysis and System Specification, New York, Yourdon Press, 1978

782 Literatur- und Quellenverzeichnis

[46] The Federal Reserve Board: Examination Manual for U.S. Branches and Agencies of Foreign Banking Organizations, September 1997 [47] Basel Committee on Banking Supervision: Sound Practices for the Management and Supervision of Operational Risk, February 2003 [48] Bundesamt für Sicherheit in der Informationstechnik: Hinweise zur räumlichen Entfernung zwischen redundanten Rechenzentren, datumsfreie pdf-Unterlage, ein- gesehen am 5. Oktober 2006 [49] Müller, Klaus-Rainer: Biometrie-Update 2009 – Verfahren, Trends, Chancen und Risiken – Teil 2, hakin9, 5/2009 [50] Kamiske, Gerd F.; Brauer, Jörg-Peter: Qualitätsmanagement von A bis Z, Carl Han- ser Verlag, 1993 [51] Müller, Klaus-Rainer: In oder Out? – Sourcing mit System, geldinstitute, 3/2004, S. 32ff. [52] Sherman, Larry: Stratus Continuous Processing Technology, 2003 [53] Müller, Klaus-Rainer: Biometrie-Update 2009 – Verfahren, Trends, Chancen und Risiken – Teil 1, hakin9, 4/2009 [54] Müller, Klaus-Rainer: Sicherheitsaspekte mobiler Datenkommunikation – Risikoana- lyse, Schutzbedarf, Sicherheitspyramide, Schutzmaßnahmen; Seminar der ACG GmbH zur Mobilen Datenkommunikation – Chancen und Risiken, Konferenzzent- rum des ZDF, 8. Oktober 1996 [55] Medvinsky, Sasha; Lalwaney, Poornima: Kerberos V Authentication Mode for Un- initialized Clients, 29. August 2000, www.ietf.org/proceedings/00jul/SLIDES/dhc- kerberos/sld000.htm [56] Cheswick, William R.; Bellovin, Steven M.: Firewalls und Sicherheit im Internet, Addison-Wesley, 1996 [57] Federal Information Processing Standards Publication 197 (FIPS PUBS 197): Ad- vanced Encryption Standard (AES), 26. November 2001 [58] Baldwin, R.; Rivest, R.: RFC 2040, The RC5, RC5-CBC, RC5-CBC-Pad, and RC5-CTS Algorithm, Oktober 1996, Category: Informational [59] Callas, J.; Donnerhacke, L.; Finney, H.; Thayer, R.: RFC 2440, OpenPGP Message Format, November 1998 [60] Gutmann, Peter: Secure Deletion of Data from Magnetic and Solid-State Memory, 6. USENIX Security Symposium Proceedings, 22.-25.Juli 1996 [61] Sikora, Axel: Netzwerk-Sicherheit, in IT-Security, tecCHANNEL compact, 2/2003, S. 100ff. [62] Farmer, Dan; Venema, Wietse: The Coroner’s Toolkit, www.porcupine.org/foren- sics/ tct.html, eingesehen am 24.02.2018 [63] Worst passwords of 2017, SplashData Inc., Los Gatos, USA [64] Müller, Klaus-Rainer: Der Architekturtrichter, geldinstitute, 6/2002, S. 44ff. [65] European Communities: Guidelines on best practices for using electronic informa- tion, 1997 [66] Van Bogart, John W. C.: Media Stability, National Media Laboratory, 1996 [67] Die 21 Stufen zur Datensicherheit, Informationweek, 13/2000 [68] Storage Networking Industry Association (SNIA): Common RAID Disk Data Format Specification, Version 2.0, Revision 19, 27. März 2009

Literatur- und Quellenverzeichnis 783

[69] RAID Advisory Board: RAB Classification For Disk Systems, 19. November 1997, www.raid-advisory.com/classinfo.html [70] Auspex Systems: A Storage Architecture Guide, White Paper [71] IDC: Worldwide Disk Storage Systems 2007–2011 Forecast, Mai 2007 [72] SNIATM, 2013 SNIA Dictionary [73] Courtney, Tim: JBOD, MBOD, SBOD – der kleine Unterschied, LANline, 5/2007, S. 56ff. [74] WhiteRabbitSecurity, Professionelles Open Source Schlüsselmanagement, Teil 1: Zertifikatsmanagement mit OpenXPKI, Whitepaper, 2017 [75] Satran, J.; Meth, K., IBM; Sapuntzakis, C., Cisco Systems; Chadalapaka, M., Hewlett- Packard Co.; Zeidner, E., IBM: Internet Small Computer Systems Interface (iSCSI), RFC 3720, April 2004 [76] Rajagopal, M.; Rodriguez, E.; Weber, R.: Fibre Channel over TCP/IP (FCIP), RFC 3821, Juli 2004 [77] Lange, Christoph: Trends im Speicherbereich, LANline, 5/2007, S. 52ff. [78] Storage Networking Industry Association (SNIA): SNIA Storage Security, Best Cur- rent Practices (BCPs) Version 2.1.0, 4.09.2008 [79] Dembeck, Michael: Firewalls – Gegen virtuelle Katastrophen, KES, 4/1999, S. 23ff. [80] Kyas, Othmar und a Campo, Markus: IT-Crackdown, mitp-Verlag, 2002 [81] Schneier, Bruce: Secrets & Lies, dpunkt.verlag, 2001 [82] Lipinski, Klaus: Lexikon der Datenkommunikation, DATACOM Buchverlag GmbH, 3. Auflage, 1995 [83] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz- Kataloge, Dezember 2005 [84] Wack, John; Cutler, Ken; Pole, Jamie: Guidelines on Firewalls and Firewall Policy, National Institute of Standards and Technology (NIST), NIST Special Publication 800-41, Januar 2002 [85] Wurm, Andreas: Überwachungssysteme in Netzwerken, tecCHANNEL compact, 4/5/6/2007, S. 31ff. [86] www.honeynet.org, eingesehen am 25.02.2018 [87] labrea, sourceforge.net, eingesehen am 25.02.2018 [88] Müller, Klaus-Rainer: Biometrie – Verfahren, Trends, Chancen und Risiken, hakin9, 2/2007, S. 50ff. [89] Müller, Klaus-Rainer: Biometrie-Update 2009 – Verfahren, Trends, Chancen und Risiken, hakin9, 4/2009 (Teil 1) und 5/2009 (Teil 2) [90] Ross, Arun A.: Multibiometrics: Human Recognition Systems (International Series on Biometrics), Springer, Berlin, Auflage 1, 2006 [91] Ratha, Nalini K.; Govindaraju, Venu: Advances in Biometrics, Springer, 2008 [92] Müller, Klaus-Rainer: Notfallübung – Geplant, geübt, für gut befunden, IT magazin, Heft 1/2007, März 2007, S. 38ff. [93] Müller, Klaus-Rainer: Der Brückenschlag – Von Geschäftsprozessen zu (IT-)Ressour- cen, BCI-Kongress zum Business Continuity Management, September 2006 [94] Dougherty, Chad; Sayre, Kirk; Seacord, Robert C.; Svoboda, David; Togashi, Kazuya (JPCERT/CC): Secure Design Patterns, Carnegie Mellon University, Software Engin- eering Institute, CMU/SEI-2009-TR-010, Oktober 2009

784 Literatur- und Quellenverzeichnis

[95] Müller, Klaus-Rainer: Prozessorientierte Abnahmeorganisation, ix Magazin für pro- fessionelle Informationstechnik, 8/2002, S. 96ff. [96] Klaus-Rainer Müller, Safety, Security, Privacy und Continuity – Die Überraschung kommt zum Schluss, informatik-aktuell.de, 06.06.2017 [97] Peine, Holger: Sicherheitsprüfwerkzeuge für Web-Anwendungen, Fraunhofer-Insti- tut Experimentelles Software Engineering, Januar 2006 [98] Bundesamt für Sicherheit in der Informationstechnik: Open Vulnerability Assess- ment System (OpenVAS) https://www.bsi.bund.de/DE/Themen/Cyber- Sicherheit/Tools/OpenVAS/OpenVAS.html, eingesehen am 20.12.2017 [99] Reinefeld, Alexander und Schintke, Florian: Concepts and Technologies for a World- wideGrid Infrastructure, Zuse Institute Berlin (ZIB) [100] Oracle: Java Authentication and Authorization Service (JAAS) Reference Guide,docs.oracle.com/javase/8/docs/technotes/guides/security/jaas/JAASRefGuide.html #Introduction, eingesehen am 13.01.2018 [101] Oracle: Java Cryptographic Architecture (JCA) Reference Guide, docs.oracle.com/javase/9/security/java-cryptography-architecture-jca-reference- guide.htm#JSSEC-GUID-2BCFDD85-D533-4E6C-8CE9-29990DEB0190, eingesehen am 13.01.2018 [102] Oracle: Java Secure Socket Extension (JSSE) Reference Guide docs.oracle.com/ javase/9/security/java-secure-socket-extension-jsse-reference-guide.htm#JSSEC- GUID-93DEEE16-0B70-40E5-BBE7-55C3FD432345, eingesehen am 13.01.2018 [103] American National Standards Institute (ANSI): Information Technology - Role Based Access Control, InterNational Committee for Information Technology Standards, ANSI/INCITS 359 - 2004 [104] OASIS: Universal Business Language (UBL), v2.0, 12. Dezember 2006 [105] Harvard Research Group, Inc.: Highly available servers market assumptions 2000 – 2005, 2001 [106] Schumacher, Markus: Security Engineering with Patterns, Lecture Notes in Com- puter Science, Springer, 2003

Glossar und Abkürzungsverzeichnis

A Access Control List (ACL) s. Zugriffskontrollliste Advanced Persistent Threat (APT) Advanced Persistent Threat bezeichnet Bedrohungen, die von Angreifern ausgehen, auf ein konkretes Angriffsobjekt, z. B. eine Organisation oder eine Person, ausgerichtet sind, ein Angriffsziel haben, z. B. Diebstahl von Informationen bzw. Daten oder Be- schädigung von Systemen oder Anlagen, und vom Angreifer mittels hochentwickelter komplexer Methoden und Werkzeuge, d. h. spezifisch aufgebauter und eingesetzter Angriffsvektoren, so durchgeführt werden, dass das Angriffsobjekt sie über einen längeren Zeitraum nicht bemerkt. Bei den Angreifern handelt es sich üblicherweise um Cyberkriminelle, ggf. aber auch um staatliche oder terroristische Organisationen, die über einen längeren Zeitraum an vertrauliche oder geheime Daten ihres Angriffsob- jekts gelangen möchten, um dem Angriffsobjekt zu schaden bzw. sich selbst oder ei- nem Dritten durch deren Bereitstellung zu nutzen, oder die bei ihrem Angriffsobjekt anderweitigen Schaden anrichten möchten, z. B. indem sie Systeme unbrauchbar ma- chen oder Daten verfälschen. Alarm – Alert Ein Alarm ist ein optisches, akustisches, olfaktorisches oder sensorisches Signal, das die Zuständigen oder externe Hilfe leistenden Stellen aufmerksam machen und zu Gegenmaßnahmen anhalten soll. Angriffsvektor Ein Angriffsvektor setzt sich aus dem Angriffsweg, der Angriffsmethode und der Angriffstechnik zusammen. Anhängsel s. Attachment ANSI American National Standards Institute Appliance Eine Appliance (engl. für {Haushalts-}gerät) ist ein Computer, der als eine Art „Black Box“ weitgehend schlüsselfertig vorkonfiguriert ist und bestimmte festgelegte Funk- tionalitäten in sich birgt. Application Response Measurement (ARM) Application Response Measurement (ARM) ist ein Standard der Open Group. Er defi- niert, wie Anwendungen Informationen zur Überwachung ihrer Verfügbarkeit, Perfor- mance und Kapazität bereitstellen können. Attachment Attachments sind Dateien, die als Anlage oder Anhängsel von E-Mails versandt wer- den.

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 786 Glossar und Abkürzungsverzeichnis

Auslöser Ein „Auslöser“ ist ein Ereignis, durch das der reguläre Geschäftsbetrieb beeinträchtigt wird. Je nach Schwere des Auslösers kann hieraus eine Störung, ein Notfall, eine Krise oder eine Katastrophe entstehen. Auslöser sind beispielsweise technische Defekte, wie Hardware-Ausfall, Naturereignisse wie Sturm, Flut, Tsunami, Erdbeben, kriminelle Handlungen, wie Sabotage, oder menschliches Versagen, wie Fehlbedienungen. Authentifizierung – Authentification Durch Authentifizierung wird die Echtheit, z. B. der Identität oder einer Information, im Rahmen einer Prüfung bestätigt. Authentisierung – Authentication Durch Authentisierung wird eine Information glaubwürdig bzw. rechtskräftig ge- macht. Autorisierung – Authorization Die Autorisierung stellt eine Bevollmächtigung oder Genehmigung dar.

B BCP 1. Business Continuity Plan

2. Best Current Practice Bedrohung – Threat Eine Bedrohung ist die potenzielle Möglichkeit eines (unerwünschten) Schadens für Prozesse, Ressourcen (z. B. Anlagen, Systeme, Sachen und Menschen), Organisationen, Produkte und Leistungen. Betriebseinflussanalyse – Operational Impact Analysis (OIA) Mittels der Betriebseinflussanalyse (Operational Impact Analysis {OIA}) wird erhoben, welche Auswirkungen der Ausfall oder die gravierende Beeinträchtigung eines Schutzobjektes, wie z. B. eines IT-Systems, eines Gebäudes oder eines Services, durch ein Ereignis hat.

Botnet Als Botnets werden Computernetze bezeichnet, die von Hackern bzw. Crackern kon- trolliert werden. Sie bestehen aus Rechnern, die meist unbemerkt von ihren Besitzern durch Cracker übernommen wurden und ferngesteuert werden. Die Übernahme der Computer erfolgt über Schadprogramme, die z. B. als Anhang von E-Mails auf dem Computer eintrafen und geöffnet wurden, oder durch die Ausnutzung bekannter, aber nicht gepatchter Sicherheitslücken beim Besuch bösartiger Webseiten. Zu den Rech- nern zählen auch internetfähige Haushaltsgeräte, wie Rolladensteuerungen, Alarman- lagen, TV-Festplatten-Receiver, Babyfone, Drucker, Router und IP-Kameras des Inter- net of Things (IoT). Da diese oftmals unzureichend gesichert sind, bieten sie Hackern bzw. Crackern ein willkommenes Einfallstor. Die Anzahl übernommener Rechner nimmt zu. Sie werden von Crackern „vermietet“ und lassen sich von Ihnen oder den „Mietern“ dazu nutzen, Spam oder Phishing-Mails zu versenden, von Onlineshops unter Androhung von Distributed Denial of Service Attacken Schutzgeld zu erpressen, oder DDoS-Attacken zu fahren. Derartige Botnets

Glossar und Abkürzungsverzeichnis 787

können aufgrund ihres hohen Datenvolumens manches Servernetz in die Knie zwin- gen. Botnets lassen sich auch dazu verwenden, als Datei- oder Webserver illegale Soft- ware anzubieten, oder E-Mails mit neuen Schadprogrammen erstmalig und in großem Umfang zu verbreiten, bevor die Virensignaturen für Virenscanner verfügbar sind. Schützen kann man sich hiergegen z. B. durch Schadsoftwarescanner sowie zeitnahe automatische Updates und zeitnahe Einspielung von Patches, die Nutzung von Fire- walls und das Nicht-Öffnen von E-Mail-Anhängen, die nicht klar zuordenbar sind. Auch sollten Links in E-Mails aus nicht sicherer Quelle nicht angeklickt werden. Brandmeldeanlage (BMA) – Fire Alarm System Brandmeldeanlagen gehören zu den Gefahrenmeldeanlagen. Sie dienen dazu, Brände zu einem frühen Zeitpunkt zu erkennen und zu melden sowie direkte Hilferufe bei Brandgefahren abzusetzen. Brute-Force-Attacke Brute-Force-Attacken, also Angriffe, die auf „roher Gewalt” beruhen, versuchen auf alle möglichen Arten, das Objekt der Attacke zu „knacken“. Brute-Force-Attacken zum Knacken von Passwörtern probieren beispielsweise alle möglichen Zeichenkombina- tionen (Buchstaben, Ziffern, Sonderzeichen) aus, bis das gewünschte Passwort ermit- telt ist. Bei Vorliegen des Hashwerts eines Passworts kann ein Angreifer durch rechen- intensives Erzeugen und Hashen jedes potenziellen Passworts nach dem gleichen Sicherheitsalgorithmus so lange probieren, bis das gehashte Ergebnis dem vorlie- genden gehashten Passwort entspricht. Insbesondere schwache Passwörter kann ein Angreifer unter Nutzung verfügbarer Werkzeuge, Wörterbücher und Methoden nach überschaubarer Zeit und mit überschaubarem Aufwand knacken. BSI 1. British Standards Institution 2. Bundesamt für Sicherheit in der Informationstechnik

C Certified Information Security Auditor® (CISA®) CISA® ist eine Bezeichnung für Sicherheitsauditoren von Informationssystemen, die von der Information Systems Audit and Control Association (ISACA) zertifiziert wur- den. Certified Information Security Manager™(CISM®) CISM® ist eine Bezeichnung für Sicherheitsmanager von Informationssystemen, die von der Information Systems Audit and Control Association (ISACA) zertifiziert wur- den. Certified in the Governance of Enterprise IT (and design)® (CGEIT®) CGEIT® ist eine Bezeichnung für Personen, die hinsichtlich der Governance der Unter- nehmens-IT von der Information Systems Audit and Control Association (ISACA®) zertifiziert wurden. Certified in Risk and Information Systems Control™ (CRISC™) CRISC™ ist eine Bezeichnung für Personen, die hinsichtlich der Risiko- und Informa- tionssystemkontrollelemente von der Information Systems Audit and Control Associa- tion (ISACA®) zertifiziert wurden.

788 Glossar und Abkürzungsverzeichnis

Challenge Handshake Authentication Protocol (CHAP) Das Challenge Handshake Authentication Protocol (CHAP) ist ein Authentisierungs- protokoll, das in RFC 1994 definiert ist. Dadurch können Benutzer von ihrem Client bei einer Authentisierungsinstanz (Authenticator), z. B. einem Internet Service Provider (ISP), authentifiziert werden. Voraussetzung ist, dass beide Kommunikationspartner das gleiche Geheimnis, z. B. ein Passwort, kennen und den gleichen Sicherheitsalgo- rithmus zum Hashen nutzen. Nach dem Verbindungsaufbau sendet der Server eine Zufallszahl (Challenge) an den Client. Der Client verkettet (konkatiniert) seinen Identi- fier (Benutzerkennung) mit dem „Geheimnis“ (Passwort) und mit der Challenge (Zu- fallszahl). Daraus berechnet er mittels des Sicherheitsalgorithmus einen Hashwert, den er als Antwort zurücksendet. Der Server prüft die Antwort mit der von ihm selbst errechneten. Bei Übereinstimmung war die Authentisierung erfolgreich. In zufälligen Zeitabständen sendet die Authentisierungsinstanz eine neue Challenge und wieder- holt den Authentisierungsvorgang. Challenge-Response-Verfahren Das Challenge-Response-Verfahren dient der Authentifizierung mittels Einmal-Pass- wort. Der Host sendet an den PC des Benutzers eine Challenge. Der Benutzer erzeugt hieraus mittels eines Tokens eine Response und sendet sie an den Host zurück. Stimmt diese mit der erwarteten Response überein, ist die Authentifizierung erfolgreich. Chief Compliance Officer (CCO) Leiter jener Unternehmenseinheit, welche für die Konformität des Unternehmens ver- antwortlich ist, also für die Bekanntheit und Einhaltung gesetzlicher, aufsichtsbehörd- licher und gegebenenfalls normativer Anforderungen. Chief Risk Officer (CRO) Leiter jener Unternehmenseinheit, welche für das Risikomanagement im Unternehmen verantwortlich ist. Chipkarte – Smart Card Eine Chipkarte hat die Größe einer Scheckkarte und enthält einen Chip mit einer CPU, I/O-Kanälen und einem nichtflüchtigen Speicher, auf den nur die CPU der Karte zu- greifen können soll. CIA Akronym für Confidentiality, Integrity, Availability CIA2 Akronym für Confidentiality, Integrity, Availability, Accountability Compliance s. Konformität Computer Emergency Response Team (CERT) Das Computer Emergency Response Team (CERT®) Coordination Center (CERT/CC) des Software Engineering Institute (SEI) an der Carnegie Mellon Universität wurde 1988 eingerichtet. Es ist ein Zentrum für Internet-Sicherheits-Expertise. Darüber hinaus haben Unternehmen ihre eigenen „CERTs“ etabliert, die präventiv und in kritischen Situationen kurzfristig auf Gefährdungen und Angriffe reagieren sollen. Für die Bun-

Glossar und Abkürzungsverzeichnis 789

desverwaltung in Deutschland existiert seit 1. September 2001 das CERT-Bund. Euro- päische Behörden-CERTs haben sich in der European Government CERTs (EGC) Group informell zusammengeschlossen. Computer Output on Laserdisk (COLD) Computer Output on Laserdisk (COLD) bezeichnet die Übernahme von Computer- Output und dessen Archivierung auf digitalen optischen Speichermedien. COLD-Sys- teme speichern Computer-Output in einem elektronischen Format und stellen Funktio- nen zur Suche, Anzeige und Ausgabe zur Verfügung. Computer Security Incident Response Team (CSIRT) Das Computer Security Incident Response Team (CSIRT) ist eine Organisationseinheit eines Unternehmens, die reale oder vermutete sicherheitsrelevante Ereignisse behan- delt. Sie nimmt die entsprechenden Meldungen entgegen, analysiert und bewertet sie und ergreift gegebenenfalls Maßnahmen zu deren Abwehr und gerichtlicher Verfol- gung. Die Aufgaben schließen die forensische Analyse mit ein. Je nach unternehmens- spezifischer Aufgabenzuordnung führt das CSIRT Schulungen und Sensibilisierungs- maßnahmen durch, beobachtet Trends und informiert die Zuständigen innerhalb des Unternehmens darüber. Das CSIRT ergreift präventiv Maßnahmen zur Weiterentwick- lung der Sicherheitsstandards und Verbesserung des Sicherheitsniveaus. Das CSIRT kann ein dauerhaft eingerichtetes oder ad hoc zusammengerufenes Team sein. Computervirus – Computer Virus Ein Computervirus ist ein nicht selbständig ausführbarer Programmteil, der ein Wirts- programm benötigt sowie sich bei Aktivierung selbst vervielfältigen und Schaden ver- ursachen kann, z. B. durch das Löschen von Dateien. Ein Computervirus zeigt in die- sen drei Punkten, nämlich der Notwendigkeit eines Wirts, der eigenständigen Verbrei- tung und der Schadensverursachung Parallelen zu biologischen Viren. Ein Computer- virus besteht aus vier prinzipiellen Teilen: einer Viruskennung, dem Infektionsteil, dem Schadensteil und dem Sprungbefehl. Ist ein Programm infiziert, so ändert sich dessen Größe und Prüfsumme. Nach dem Start eines infizierten Programms und Auf- ruf des Computervirus sucht der Infektionsteil nach anderen noch nicht infizierten Programmen und kopiert sich dort hinein. Anschließend führt er seine Schadfunktion aus und springt gegebenenfalls in den Programmcode zurück. Content-Security-System – Content Security System Content-Security-Systeme prüfen anhand eines unternehmensspezifisch festgelegten Regelwerks den Inhalt ein- und ausgehender E-Mails. Cracker Unter einem Cracker versteht man einen technisch sehr versierten Angreifer, dessen Angriffe darauf abzielen, sich einen Nutzen zu verschaffen und Dritten Schaden zuzu- fügen. Cross Site Scripting (XSS) Cross Site Scripting (XSS), manchmal auch abgekürzt mit CSS, dann aber verwechsel- bar mit Cascading Style Sheets, ist eine Angriffstechnik, bei der ein Angreifer Code, z. B. HTML, JavaScript oder ActiveX, in eine Webseite einschleust. Der Angreifer ver- anlasst sein Opfer, eine bestimmte Webseite zu besuchen, indem er ihm beispielsweise

790 Glossar und Abkürzungsverzeichnis

einen entsprechenden Link in einer E-Mail zuschickt. Die ausgewählte Webseite ist für das Opfer vertrauenswürdig, z. B. die Webseite einer Bank. Gleichzeitig hat die Web- seite aber eine Schwachstelle, die der Angreifer kennt: Sie nimmt Eingaben entgegen und gibt sie als Antwort auf bestimmte Anfragen ungeprüft als Ausgaben zurück. Der Angreifer fügt in die URL ausführbaren Code ein, der z. B. das Session-Cookie des Opfers an den Rechner des Angreifers schickt. Der Angreifer kann nun ein „Session- Hijacking“ („Sitzungsentführung“) durchführen, also unter der Identität des Opfers mit der kompromittierten Webseite arbeiten. Ähnliche Angriffsszenarien ergeben sich u. a. bei Foren und Gästebüchern, wenn die eingegebenen Daten ungeprüft gespeichert und bei neuen Anfragen an den Anfragenden ausgegeben werden.

D Digitales Rechtemanagement (DRM) – Digital Rights Management (DRM) Digitales Rechtemanagement (DRM) bezeichnet ein Verfahren, durch das sich Rechte an elektronisch vorliegendem geistigem Eigentum mittels Kryptografie schützen lassen sowie deren Nutzung abrechnen lässt. Schutzobjekte sind z. B. digital vorliegende Ton- und Filmaufnahmen sowie elektronische Dokumente und Bücher, aber auch Software- Produkte eines Unternehmens. Ziel ist es, die Einhaltung der Nutzungsrechte mit techni- schen Mitteln zu erzwingen. Ein DRM besteht prinzipiell aus drei Komponenten: dem Content Server, dem License Server und dem Client. Der Content Server verschlüsselt die zu schützenden Daten (Content) so, dass sie sich nur mit dem Schlüssel der dazugehörigen Lizenz entschlüsseln lassen. Der Nutzer lädt das verschlüsselte Paket (Content) auf seinen Client herunter. Ruft der Nutzer das verschlüsselte Paket auf, so schickt der Client eine Anfrage mit der Identität des Nutzers und des Contents an den License Server. Dieser identifiziert den Nutzer. Ist der Nutzer – gegebenenfalls nach Bezahlung – zur Nutzung des Contents berechtigt, erstellt und übermittelt der License Server die Lizenz an den Client. Hiermit entschlüsselt der Client den Content, so dass der Nutzer ihn verwenden kann. Digitales Wasserzeichen – Digital Watermarking Digitale Wasserzeichen sind zusätzliche Informationen, die mittels Steganografie in di- gitale Dateien eingebracht werden, um Urheberfragen klären und damit Urheberrechte schützen zu können. Discretionary Access Control (DAC) Die Discretionary Access Control (DAC, diskrete Zugriffskontrolle) ermöglicht einem Datei-Eigentümer die Festlegung, welche Nutzer welchen Zugriff auf seine Datei ha- ben. Dokumentenlebenszyklusmanagement (DLM) – Document Lifecycle Management (DLM) Dokumentenlebenszyklusmanagement bezeichnet die Steuerung, Verfolgung und Verwaltung von Dokumenten während ihres Lebenszyklus von der Erstellung über die Aufnahme, Speicherung, Archivierung, Auffindung, Nutzung und Aussonderung bis hin zur Vernichtung.

Glossar und Abkürzungsverzeichnis 791

Domain Name Services (DNS) Domain Name Services (DNS) übersetzen alphanumerische Internetadressen (URL) in eine IP-Adressen. DNS-Server sind also im übertragenen Sinne das „Telefonbuch“ des Internet und damit dessen Rückgrat. DoS-Angriff – Denial of Service (DoS) Attack Angriff, bei dem ein Zielsystem oder -Netzwerk lahmgelegt wird. Dynamic Host Configuration Protocol (DHCP) Das Dynamic Host Configuration Protocol (DHCP) ist in der Version für IPv6 (DHCPv6) in RFC 3315 spezifiziert und für IPv4 in RFC 2131. Ein DHCP-Server kann einem Computer im Netz dynamisch und zeitlich begrenzt eine wiederverwendbare IPv6-Adresse zuweisen. Die DHCP-Nachrichten werden mittels UDP ausgetauscht.

E EbXML electronic business eXtensible Markup Language (ebXML) EICAR Das European Institute for Computer Antivirus Research (EICAR) zielt darauf ab, die Bemühungen gegen das Schreiben und die Verbreitung böswilligen Codes, gegen Computerkriminalität und -missbrauch sowie die böswillige Nutzung persönlicher Daten zusammenzuführen. Einbruchmeldeanlage (EMA) – Burglar Alarm System Einbruchmeldeanlagen gehören zu den Gefahrenmeldeanlagen. Sie dienen dazu, Flä- chen und Räume auf unbefugtes Eindringen sowie Gegenstände auf unbefugte Weg- nahme zu überwachen. Eintrittswahrscheinlichkeit – Probability of Occurence Die Wahrscheinlichkeit, mit der ein Ereignis eintritt, heißt Eintrittswahrscheinlichkeit. Sie wird bei der Bewertung des als Schadensausmaß x Eintrittswahrscheinlichkeit defi- nierten Bruttorisikos bzw. der Kosten-Nutzen-Abwägung zur Festlegung des Umfangs von Sicherheits- und Kontinuitätsmaßnahmen genutzt. Hierbei muss beachtet werden, dass Eintrittswahrscheinlichkeiten oftmals retrospektiv (ex post) ermittelt werden. D. h. die Eintrittswahrscheinlichkeit wird anhand der zurückliegenden Ereignisse innerhalb eines vorgegebenen Zeitraums ermittelt. Generell ist bei Wahrscheinlichkei- ten daran zu denken, dass ein Ereignis, das z. B. alle 100 Jahre auftritt, auch morgen, heute, oder jetzt auftreten kann. Electronic Data Interchange (EDI) Electronic Data Interchange (EDI) bezeichnet den elektronischen Dokumentenaus- tausch mit formatierten Strukturen, die von IT-Systemen weiterverarbeitet werden können. Electronic Data Interchange for Administration, Commerce and Transport (EDIFACT) Electronic Data Interchange for Administration Commerce and Transport (EDIFACT) ist eine internationale Normenreihe (DIN ISO 9735) zur Standardisierung von Nach- richteninhalten.

792 Glossar und Abkürzungsverzeichnis

Elektronische Falschmeldung/„Ente“ – Hoax E-Mail, die vor einem neuen Virus warnt, jedoch eine Falschmeldung („Ente”) ist. Ins- besondere ungeschulte Computernutzer sollen hierdurch zu schädlichen Aktionen ver- anlasst werden, z. B. Weiterleiten der E-Mail und Löschen von angeblich verseuchten Dateien. Exploit Exploits sind Programme, die Sicherheitslücken oder Fehlfunktionen von Computer- programmen nutzen, um in diese einzudringen. Sie werden von Hackern bzw. Cra- ckern geschrieben und auch als Hack-Werkzeuge bezeichnet.

F Falsch negativ – False negative Ist das Ergebnis einer Prüfung, z. B. zur Zutritts- oder Zugangskontrolle, falsch nega- tiv, so erfolgt fälschlicherweise eine Ablehnung. Falsch positiv – False positive Ist das Ergebnis einer Prüfung, z. B. zur Zutritts- oder Zugangskontrolle, falsch positiv, so erfolgt fälschlicherweise eine Freigabe. Fibre Channel (FC) Fibre Channel umfasst einen Satz von Standards für eine Technologie, die Hochge- schwindigkeitsdatenübertragung zwischen Computern ermöglicht. FC unterstützt Punkt-zu-Punkt-, Switch- und Loop-Technologien. Financial Transaction Services (FinTS) Die Financial Transaction Services (FinTS) sind ein Standard des Zentralen Kreditaus- schusses (ZKA). Er dient der Vereinheitlichung der Schnittstelle zwischen Bankkunde und Finanzinstitut. Die Version 4.1 der FinTS liegt seit Januar 2014 vor. Sie besteht aus FinTS Formals, XML Syntax, FinTS Messages und FinTS Security. FinTS Formals ent- hält Festlegungen zur Syntax, Kommunikationsszenarien, Kommunikationsverfahren FinTS Dialoge und FinTS Datagramme . FinTS Messages spezifiziert Geschäftsvorfälle. FinTS Security beschreibt das PIN/TAN- (FinTS PIN/TAN) und das HBCI-Legitima- tionsverfahren (FinTS HBCI). FinTS HBCI ermöglicht die digitale Signatur, z. B. per Chipkarte. Fingerabdrucknehmen – Fingerprinting Der IP-Stack jedes Rechners hat Eigenheiten, die sich insbesondere in der Antwort des Betriebssystems auf fehlerhafte Pakete bemerkbar macht. Es hinterlässt sozusagen einen Fingerabdruck. Um über das Netz an Informationen über das Betriebssystem zu gelangen, dient das „Fingerabdrucknehmen“. Beim aktiven Fingerabdrucknehmen werden fehlgeformte Pakete an das Zielsystem gesendet und die Antwort mit einer Datenbank verglichen, in der die Reaktionen verschiedener Betriebssysteme auf fehl- geformte Pakete zuvor eingetragen wurden. Beim passiven Fingerabdrucknehmen werden die Spuren des sendenden Betriebssystems in den ankommenden Paketen ana- lysiert. Charakteristika sind beispielsweise die „time to live“ (TTL) ausgehender Pake- te, die „window size“, das „don’t fragment bit“ (DF) und die Festlegung des „type of service“ (TOS).

Glossar und Abkürzungsverzeichnis 793

Forum of Incident Response and Security Teams (FIRST) Das globale Forum of Incident Response and Security Teams (FIRST) bringt eine Viel- zahl von Computer Security Incident Response Teams aus öffentlichen und kommer- ziellen sowie Bildungsbereichen zusammen. Ziel ist die Förderung der Zusammen- arbeit und Koordination im Hinblick auf die Vorbeugung gegenüber sicherheitsrele- vanten Ereignissen, die schnelle Reaktion darauf sowie der Informationsaustausch. Funk-LAN – Wireless Local Area Network (WLAN) Funk-LANs (WLAN) stellen ein drahtloses lokales Netz dar. Sie basieren auf dem vom Institute of Electrical and Electronics Engineers (IEEE) 1997 festgelegten Standard IEEE 802.11. Da sie einfach zu installieren sind, kommen sie sowohl bei temporären Installa- tionen zum Einsatz, z. B. auf Messen, aber auch bei langfristigerer Nutzung, z. B. auf Flughäfen und Bahnhöfen sowie in Unternehmen und bei Privatpersonen. Der Netzzu- gang erfolgt über öffentliche Hot Spots bzw. über Access Points. Die Kompatibilität von Produkten zu IEEE 802.11 dokumentiert die Herstellervereinigung Wireless Ether- net Compatibility Alliance (WECA) durch Vergabe des Wi-Fi-Zertifikats. IEEE 802.11i beschreibt die Sicherheitsarchitektur Robust Security Network (RSN), das zur Authentisierung das Extensible Authentication Protocol (EAP) und zur Verschlüsse- lung AES nutzt. 2009 veröffentlichte IEEE den Standard 802.11n, der größere Reichweiten oder höhere Übertragungsraten ermöglicht. Eine Abwärtskompatibilität mit WLANs nach IEEE 802.11b und g ist gegeben, wobei sich die Datenrate im Netz dann nach dem Gerät richtet, das den schwächsten Standard implementiert hat. IEEE 802.11-2007 integriert die IEEE 802.11a, b, d, e, g, h, i, j. IEEE 802.11-2012 basiert auf IEEE 802.11-2007 und integriert weitere erfolgte Änderungen bzw. Ergänzungen. Die derzeitige Fassung ist IEEE 802.11-2016. Die bei WLANs nicht erforderliche Verkabelung zu den Clients sehen Unternehmen, aber auch Privatpersonen verschiedentlich als Vorteil an. Diesem Vorteil stehen jedoch Risiken gegenüber, die im Vorfeld einer Entscheidung eingehend betrachtet werden sollten.

G Gefahrenmeldeanlage (GMA) Gefahrenmeldeanlagen dienen dazu, Gefahren für Personen und Sachen zu erkennen und zu melden. Geschäftskritische Unterlagen – Vital Records „Lebenswichtige“, d. h. geschäftskritische Unterlagen und Aufzeichnungen (vital re- cords) sind für den Geschäftsbetrieb unverzichtbar und müssen daher – auch im Not- fall – verfügbar sein und erhalten bleiben. Beispiele hierfür können geheime Produk- tionsverfahren und -formeln, Fahrzeugbriefe, Informationen über und Verträge mit Kunden, Lieferanten, Dienstleistern, Versicherungen und Mitarbeitern, Vollmachten- regelungen, etc. sein. GRC Governance, Risk & Compliance

794 Glossar und Abkürzungsverzeichnis

Grid Grids sind weltweit vernetzte Computer spezifischer oder unterschiedlicher Organisa- tionen bzw. Unternehmen. Die Computer stellen dabei die „Knotenpunkte“ des „Git- ters“ dar. Das Zuse Institut Berlin [99] unterscheidet drei Arten von Grids: „Resource Grids“, „Information Grids“ und „Service Grids“. Resource Grids dienen der weltwei- ten organisations- bzw. unternehmensübergreifenden Nutzung von Ressourcen, wie Rechnern, Speichern und Datenarchiven. Hierbei sind Sicherheits-, Kontinuitäts- und Abrechnungsaspekte zu berücksichtigen. Information Grids stellen jederzeit an jedem Ort der Welt zu beliebigen Themen einem anonymen Nutzer kostenlos Informationen bereit, oftmals nur in HTML, zunehmend in XML. Ein Beispiel für ein Information Grid ist das Internet. Service Grids schließlich stellen Services bereit, beispielsweise in Form von Identifikations- und Authentifizierungsdiensten und Suchmaschinen.

H Hacker Unter einem Hacker versteht man einen technisch sehr versierten Angreifer, dessen Angriffe darauf abzielen, Schwachstellen in IKT-Systemen aufzudecken. Primäres Ziel ist es dabei üblicherweise jedoch nicht, sich persönlich wirtschaftliche Vorteile zu ver- schaffen und Dritten einen direkten wirtschaftlichen Schaden zuzufügen, sondern auf Schwachstellen hinzuweisen. Solange dies unter Nutzung eigener oder hierfür zur Verfügung gestellter Systeme und vertrauliche Bekanntgabe der Schwächen nur an die jeweiligen Hersteller oder Auftraggeber erfolgt, mag dies nachvollziehbar sein. In der fachfremden Öffentlichkeit ist die Unterscheidung zwischen Hacker und Cra- cker eher wenig zu beobachten. Ursache mag sein, dass das Eindringen in Systeme Dritter – sei es mit oder ohne Selbstbereicherungs- oder Schädigungsabsicht – dennoch Schaden an Systemen, zusätzlichen Aufwand und Imageschäden nach sich ziehen kann. Auch das Schreiben und Verfügbarmachen von Exploits zur Demonstration der Sicherheitslücken stellt eine potenzielle Gefahr für Dritte dar. Basierend auf einer Idee in Bruce Schneiers Buch „Secrets & Lies“ mag das folgende leicht abgewandelte Beispiel dies vom Prinzip her veranschaulichen: Wie würde es jemand empfinden, wenn ein Dritter versuchen würde, in dessen Privathaus oder Un- ternehmen einzudringen, ihm dies auch unbemerkt gelänge, er keinerlei Schaden an- richten und nichts verändern würde und er dies im Interesse der Allgemeinheit ohne dessen Zustimmung publizieren würde, damit dieser sein Privathaus oder Unter- nehmen besser absichert? Harvester Harvester (Erntemaschinen) sind eine Spezialform der Webcrawler. Sie durchsuchen das World Wide Web nach E-Mail-Adressen und „ernten“ diese. Die E-Mail-Adressen werden anschließend z. B. für Werbe-E-Mails (Spam) genutzt.

Glossar und Abkürzungsverzeichnis 795

Home Banking Computer Interface (HBCI) Das Home Banking Computer Interface (HBCI) wurde 1996 vom Zentralen Kreditaus- schuss (ZKA) als Standard für das Onlinebanking geschaffen. Ziel war und ist die Ver- einheitlichung der Schnittstelle zwischen Bankkunden und Finanzinstituten. Die Wei- terentwicklung des HBCI hat ihren Niederschlag in den Financial Transaction Services (FinTS) des ZKA gefunden.

I IKT – ICT (information and communication technology) Informations- und Kommunikationstechnologie Informationslebenszyklusmanagement (ILM) – Information Lifecycle Management (ILM) Informationslebenszyklusmanagement bezeichnet die Kosten-Nutzen-optimierte Steu- erung, Verfolgung, Speicherung und Verwaltung von Informationen jeglicher Art und jeglichen Typs während ihres Lebenszyklus von der Erstellung über die Aufnahme, Speicherung, Archivierung, Auffindung, Nutzung und Aussonderung bis hin zur Ver- nichtung. Ziel ist es, Informationen entsprechend ihrer geschäftlichen Bedeutung und ihren Sicherheitsanforderungen sowie ihrer Zugriffs- und Änderungshäufigkeit zu mi- nimalen Kosten rechtzeitig am richtigen Ort verfügbar zu haben. Dies erfordert eine kontinuierliche Optimierung der Architektur aus Prozessen und Verfahren sowie Res- sourcen und Technologien. Institut der Wirtschaftsprüfer (IDW) Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) ist ein eingetragener Ver- ein, der Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften Deutschlands auf freiwilliger Basis vereint. International Engineering Consortium (IEC) Das International Engineering Consortium (IEC) ist eine Non-Profit-Organisation mit dem Ziel, den weltweiten technologischen und wirtschaftlichen Fortschritt im Bereich hochtechnisierter Industrien und universitärer Gemeinschaften zu katalysieren. International Organization for Standardization (ISO) Die International Organization for Standardization (ISO) ist ein Netz nationaler Stan- dardisierungsinstitute. In ihr sind mehr als 160 Länder vertreten, jedes durch ein Mit- glied. Das Zentralsekretariat der ISO hat seinen Sitz in Genf in der Schweiz und koor- diniert das Gesamtsystem. Die ISO ist keine staatliche Organisation. Ihre Mitglieder sind daher keine Delegatio- nen nationaler Regierungen. Manch einer mag sich schon gefragt haben, warum die Abkürzung ISO heißt, wo die englischen Anfangsbuchstaben doch „IOS“ und die französischen „OIN“ (Organisa- tion Internationale de Normalisation) ergäben. Dies rührt daher, dass zu Beginn ent- schieden wurde, das Wort aus dem griechischen „isos“ (: gleich) abzuleiten. Die ISO verwendet folgende Abkürzungen für den Status Ihrer Normen:  AWI = Approved Work Item  CD = Committee Draft  DIS = Draft International Standard (Normentwurf)  FCD = Final Committee Draft

796 Glossar und Abkürzungsverzeichnis

 FDIS = Final Draft International Standard  ISO/TR = ISO Technical Report  ISO/TS = ISO Technical Specification  NP = New Work Item Proposal  PRF = Proof of a new International Standard  WD = Working Draft Internet Engineering Task Force (IETF) Die Internet Engineering Task Force (IETF) ist eine offene internationale Gemeinschaft, die sich mit der Weiterentwicklung der Internet-Architektur und dem reibungslosen Betrieb des Internet beschäftigt. Internet Message Access Protocol (IMAP) Das Internet Message Access Protocol (IMAP), Version 4, beschrieben in RFC 3501, erlaubt es einem Computer (Client), auf E-Mails zuzugreifen, die sich auf einem Server befinden sowie diese zu verändern und zu verwalten. Im Gegensatz zu POP ermög- licht IMAP den Zugriff von Clients an verschiedenen Standorten, z. B. von zu Hause, vom Büro oder von unterwegs. Die zentrale Speicherung und Archivierung der E- Mails sowie die von IMAP auf dem Server bereitgestellten Funktionen, z. B. zum Su- chen, sind auch für leistungsschwächere Clients nützlich. Bei Einsatz von TCP nutzt IMAP standardmäßig den Port 143. Erweiterungen zu IMAP4 sind im Jahr 2006 in RFC 4466, Collected Extensions to IMAP4 ABNF, zusammengefasst worden. Neuere RFCs spezifizieren zusätzliche Erweiterungen. IMAP ist wie POP ein Klartextprotokoll. Es gibt jedoch Varianten, die z. B. eine ver- schlüsselte Übertragung über TLS nutzen. Diese Variante heißt IMAPs und nutzt stan- dardmäßig den TCP-Port 993. IP-Identitätsvorspiegelung – IP-Spoofing Vortäuschung einer IP-Identität IP-Maskerade – IP-Masquerading IP-Maskerade bezeichnet die Maskierung/das Verbergen (interner) IP-Adressen durch Übersetzung in andere (externe) IP-Adressen. Hierdurch lassen sich interne IP-Adres- sen, über die gegebenenfalls Rückschlüsse auf das interne Netz möglich wären, nach außen verbergen. IPsec Das IP Security Protocol (IPsec) dient der Sicherung des IP-Verkehrs über das Internet durch Bereitstellung kryptografischer Dienste. ISiPyr – ISPyr (Information Safety/Security Pyramid) IT- bzw. IKT-Sicherheitspyramide

IT-Governance Unter IT- bzw. IKT-Governance ist die an der Geschäftstätigkeit, der Unternehmens- strategie und den Unternehmenszielen ausgerichtete gute und verantwortliche Leitung der IT bzw. IKT zu verstehen. Sie sollte sich u. a. orientieren an relevanten gesetzli- chen, aufsichtsbehördlichen und vergleichbaren Vorgaben und Standards zur Leitung, Steuerung und Überwachung der IT bzw. IKT, an diesbezüglichen international und national anerkannten Normen und Standards, an Good und Best Practices, an De-

Glossar und Abkürzungsverzeichnis 797

facto-Standards sowie an vertraglichen Vereinbarungen. Dies beinhaltet den wirt- schaftlichen Einsatz von Ressourcen, das Risikomanagement mit der Optimierung und zielgerichteten Steuerung von Risiken und die angemessene Berücksichtigung aller Bezugsgruppen. Eine ähnliche, aber weniger detaillierte Definition wählt das IT Governance Institute® in COBIT 4.0, indem es – frei übersetzt – IT-Governance als Verantwortlichkeit der Führungskräfte und -gremien bezeichnet, durch Führung, Organisationsstruktur und Prozesse dafür zu sorgen, dass die IT die Strategien und Ziele des Unternehmens bzw. der Organisation trägt und ausweitet. ITKSiPyr – ICTSaSePyr ITK-Sicherheitspyramide ITU-T Die International Telecommunications Union (ITU) ist eine internationale Organisa- tion, in der Regierungen und die Privatwirtschaft zusammenarbeiten, um den Betrieb von Telekommunikationsnetzen und -services zu koordinieren, Standards zu erstellen sowie die Kommunikationstechnologie weiterzuentwickeln. ITU spielt eine wesentli- che Rolle bei der Verwaltung und Steuerung des Funkfrequenzspektrums. Dies stellt sicher, dass funkbasierte Systeme, wie beispielsweise Mobilfunkgeräte, Navigations- geräte für Flugzeuge und Schiffe, Satellitenkommunikationssysteme, Rundfunk und Fernsehen reibungslos arbeiten und ihre Dienste zuverlässig bereitstellen können. Der Telecommunication Standardization Sector (ITU-T) entwickelt internationale tech- nische Standards und Betriebsstandards – im ITU-Sprachgebrauch sogenannte Emp- fehlungen (Recommendations) – sowie Abrechnungsprinzipien. Ziel der ITU-T ist es, die nahtlose Verbindung weltweiter Kommunikationsnetze und -systeme zu fördern. Internationale Standards der Informations- und Telekommunikationstechnologie (ITK) gewinnen zunehmend an Bedeutung, einerseits wegen der Globalisierung und ande- rerseits, weil die Telekommunikation ein Eckpfeiler der heutigen Wirtschaft ist. Der Austausch von Sprach-, Daten- und Videonachrichten erfordert Standards für Sender und Empfänger, wie z. B. ADSL, GSM, JPEG, MPEG und TCP/IP. Das Netz der nächsten Generation (Next-Generation Network {NGN}) ist ein wichtiges Aufgabengebiet der ITU-T. Ein NGN ist ein paketbasiertes Netz, mittels dessen Nut- zern Telekommunikationsdienste bereitgestellt werden sollen, bei denen die dienstbe- zogenen Funktionen unabhängig von den zugrunde liegenden transportbezogenen Technologien sind. Die Next Generation Networks Global Standards Initiative (NGN- GSI) konzentriert sich auf die Entwicklung detaillierter Standards für das NGN.

J Java Authentication and Authorization Service (JAAS) Der JAVA Authentication and Authorization Service (JAAS) ist ein Paket, das Diens- te zur Authentisierung und Zugriffskontrolle von Nutzern ermöglicht. [100] Java Cryptographic Architecture (JCA) Die JAVA Cryptographic Architecture (JCA) enthält eine Architektur und Applicati- on Programming Interfaces (APIs) u. a. für digitale Signaturen, Hashing, Zertifikate und deren Validierung, symmetrische und asymmetrische Verschlüsselung, Schlüs- selerzeugung und -management und Zufallszahlenerzeugung. [101]

798 Glossar und Abkürzungsverzeichnis

Java Secure Socket Extension (JSSE) Die Java Secure Socket Extension (JSSE) ermöglicht eine gesicherte Kommunikation über das Internet. JSSE stellt dafür ein Rahmenwerk bereit und die Implementierung einer Java-Version der SSL (Secure Sockets Layer), TLS (Transport Layer Security) und DTLS (Datagram Transport Layer Security) Protokolle. JSSE beinhaltet Funktio- nalitäten für die Datenverschlüsselung, Serverauthentisierung, Nachrichtenintegrität und optional Clientauthentisierung. [102]

K Kerberos – Kerberos Kerberos ist ein ticket-basiertes Authentisierungsverfahren, das vom MIT entwickelt wurde. Es ist benannt nach dem Höllenhund Kerberos, dem Sohn des Typhon und der Echidna, der in der griechischen Mythologie den Eingang zum Hades, der Unterwelt, benannt nach dem Gott Hades, bewachte. Er ließ keinen der Eingetretenen mehr hin- aus. Nur Orpheus und Herakles bezwangen ihn. Key Logger Key Logger protokollieren die Tastatureingaben des Nutzers. Es existieren sowohl Software- als auch Hardware Key Logger. Software Key Logger kommen einerseits als ordnungsgemäße Software-Programme zum Einsatz, werden andererseits aber auch von Angreifern über Trojaner verbreitet. Hardware Key Logger lassen sich zwischen Tastatur und Rechner stecken, z. B. an der USB-Schnittstelle. Es gibt Hardware Key Logger, die 2 Mio. Tastatureingaben auf- zeichnen können oder die aufgezeichneten Tastatureingaben automatisch per E-Mail über einen vorhandenen Funkzugangspunkt (Wireless Access Point) übermitteln. Im Gegensatz zu Software Key Loggern verbleiben nach der Entfernung der Komponente keine verräterischen Datenspuren auf dem überwachten Computer. Zum Schutz vor einem Mitschnitt der Tastatureingabe erfolgt verschiedentlich der Übergang zu mausbasierten Eingaben, bei denen virtuelle Tastaturen, z. B. ein Ziffern- block, am Bildschirm angezeigt werden, deren Felder zur Eingabe mit der Maus an- geklickt werden. Kommunales Netz – Metropolitan Area Network (MAN) Ein MAN dient der Zusammenschaltung von Systemen und Netzen in Ballungsräu- men. Heutzutage nutzen MANs und WANs die gleiche Technologie, so dass es zwi- schen MANs und WANs keine signifikaten Unterschiede mehr gibt, wie die ISO/IEC 27033-1:2009 ausführt. Kontrollelement – Control Ein Kontrollelement bzw. eine Kontrollaktivität (Control Activity) dient dazu, die Erreichung eines Kontrollziels nachzuweisen, indem es dieses überwacht und seine Erfüllung sicherstellt. Ein Kontrollelement für den Zutritt bzw. Zugang nur berechtig- ter Personen erfordert beispielsweise ein Rechtekonzept und einen dokumentierten Be- rechtigungsvergabeprozess mit ordnungsgemäß unterzeichneten Berechtigungsanträ- gen und dementsprechend eingerichteten Berechtigungen. Kontrollelemente für den Durchsatz von Prozessen, Systemen und Anlagen sind beispielsweise geeignete Mess- und Überwachungstools, die beim Erreichen vorgegebener Warnschwellen so früh-

Glossar und Abkürzungsverzeichnis 799

zeitig alarmieren, dass Maßnahmen zur Einhaltung der Kontrollziele noch möglich sind. Darüber hinaus ermöglichen regelmäßige Trendanalysen eine proaktive Vermei- dung von Engpässen. Kontrollziel – Control Objective Kontrollziele leiten sich aus den internen und externen Anforderungen sowie SLAs ab. Kontrollziele können beispielsweise sein, dass der Zutritt zum Serverraum und der Zugang zu einer Anwendung nur berechtigten Personen möglich ist, oder dass ein IKT-System oder eine Anlage eine vereinbarte Verfügbarkeit oder einen vereinbarten Durchsatz aufweist. Kritikalität – Criticality Kritikalität bezeichnet, wie kritisch bzw. wichtig beispielsweise ein Prozess oder eine Ressource für ein Unternehmen ist.

L Lightweight Directory Access Protocol (LDAP) Das Lightweight Directory Access Protocol (LDAP) ist ein Protokoll für den abfragen- den oder modifizierenden Zugriff auf Online-Verzeichnisdienste. Im TCP-IP-Protokoll- stapel (Protocol Stack) ist LDAP auf der Ebene Anwendung angesiedelt. LDAP ist in RFC 4511, Lightweight Directory Access Protocol (LDAP): The Protocol, spezifiziert. Der RFC 4513 behandelt Authentication Methods and Security Mechanisms. Lokales Netz – Local Area Network (LAN) Lokale Netze dienen dem internen Hochgeschwindigkeits-Datenaustausch und befinden sich im privaten Besitz des Betreibers. Sie sind beispielsweise in Büros und auf Firmen- geländen anzutreffen.

M MAC 1. Mandatory Access Control – erzwungene Zugriffskontrolle 2. Medium Access Control – medienspezifisches Zugangsprotokoll 3. Message Authentication Code – Nachrichtenauthentisierung

N Network Address Translation (NAT) Durch Network Address Translation (NAT) können IP-Adressen eines (meist internen) Netzes auf die IP-Adressen eines (meist öffentlichen) Netzes übersetzt werden. Hier- durch lassen sich z. B. die internen IP-Adressen gegenüber dem öffentlichen Netz verbergen. Die Umsetzung kann statisch (stets dieselbe Zuordnung) oder dynamisch (Zuordnung erfolgt nach bestimmten Kriterien während der Laufzeit) erfolgen. Netzersatzanlage (NEA) Eine Netzersatzanlage ist eine Stromversorgung in Form eines Notstromaggregats, z. B. Notstromdiesel, mit der ein längerfristiger Stromausfall überbrückt werden kann.

800 Glossar und Abkürzungsverzeichnis

NIST National Institute of Standards and Technology

O Open Authentication (OATH) Die Open-Authentication-Initiative (OATH) ist eine Arbeitsgemeinschaft führender IT- Unternehmen mit dem Ziel, eine offene Referenzarchitektur für eine universelle starke Authentifizierung zu entwickeln, die sich über alle Nutzer, alle Geräte und alle Netze erstreckt. Ziele sind geringere Kosten für Authentifizierungsgeräte, Interoperabilität, offene Standards, verschiedenartige Authentifizierungsmethoden, wie Einmal-Pass- wort, SIM-Authentifizierung und PKI-basierende Authentifizierung sowie die Über- führung von Smartphones, Handys, PDAs und Notebooks in Geräte mit starker Au- thentifizierung. Darüber hinaus sollen starke Authentifizierungsalgorithmen und die Authentifizierungssoftware von Clients gemeinsam genutzt werden von Netzend- punkten, wie PCs, Servern, Switches und WiFi-Access-Points. OpenPGP OpenPGP, dessen Message Format in RFC 4880 spezifiziert ist, stellt Dienste zur digita- len Signatur und zur Verschlüsselung von Nachrichten, z. B. E-Mails, und Dateien zur Verfügung. OpenPGP basiert auf Pretty Good Privacy (PGP), einer Software-Familie, die von Philip R. Zimmermann entwickelt wurde. Zum Schutz der Vertraulichkeit nutzt OpenPGP die symmetrische Verschlüsselung in Verbindung mit der Verschlüs- selung mit einem öffentlichen Schlüssel (Public Key). Zum Verschlüsseln und Signieren von E-Mails unter Windows® kann z. B. Gpg4win (GNU Privacy Guard for Windows®) genutzt werden. Gpg4win unterstützt sowohl OpenPGP als auch S/MIME (X.509). Bitte beachten Sie, dass es sich bei dieser Tool- Angabe um eine unbewertete Momentaufnahme handelt. Open Systems Interconnection Referenzmodell (OSI-Referenzmodell) Das Open Systems Interconnection (OSI) Referenzmodell der International Organiza- tion for Standardization (ISO) wurde als Grundlage für die Bildung von Kommunika- tionsstandards geschaffen und besteht aus 7 Schichten. Organization for the Advancement of Structured Information Standards (OASIS) Die Organization for the Advancement of Structured Information Standards (OASIS, www.oasis-open.org) ist eine globale Non-Profit-Organisation, die die Entwicklung, Konvergenz und Anpassung von E-Business-Standards vorantreibt. Sie wurde 1993 unter dem Namen SGML Open als Konsortium von Anbietern und Nutzern gegrün- det, um Richtlinien für die Interoperabilität zwischen jenen Produkten zu entwickeln, welche die Standard Generalized Markup Language (SGML) unterstützen. 1998 erfolg- te die Umbenennung in OASIS, um damit das erweiterte Aufgabengebiet zu unter- streichen, das z. B. die Extensible Markup Language (XML) und andere diesbezügliche Standards umfasst.

Glossar und Abkürzungsverzeichnis 801

P Pharming Pharming manipuliert die Zuordnung von URL zu IP-Adresse, so dass eine Umleitung auf eine gefälschte Website erfolgt. Angriffsziele beim Pharming sind daher die DNS- Server, aber auch lokale Betriebssystemdateien, in denen diese Zuordnungen gespei- chert sind. Phishing Phishing ist ein Kunstwort aus „Password fishing“. Es beschreibt eine kriminelle Handlung, bei der Datendiebe versuchen, durch gefälschte E-Mails in den Besitz ver- traulicher Daten, wie z. B. PINs, Passwörtern, Konto- oder Kreditkartennummern zu gelangen, d. h. vertrauliche Daten „abzufischen“. Die E-Mails sehen Original-Nach- richten von Unternehmen, z. B. Banken, sehr ähnlich. Betätigt der Empfänger den dor- tigen Link, so gelangt er auf eine gefälschte Webseite, auf der er aufgefordert wird, vertrauliche Daten einzugeben. Um die Attraktivität derartiger Betrügereien einzudämmen, können z. B. Überwei- sungslimite dienen. Die Anzeige der zuletzt getätigten Transaktion ermöglicht das Er- kennen einer eventuellen unbefugten Nutzung beim nächsten Einloggen. Geeignete Challenge-Response-Verfahren mit Einmalpasswörtern können je nach Gegebenheit den Nutzen des Abfischens weiter reduzieren. PIN – PIN Persönliche Identifikationsnummer – Personal Identification Number Post Office Protocol (POP) Das Post Office Protocol (POP), Version 3 (POP3), ist in RFC 1939 beschrieben und dient dazu, E-Mails von einem Server auf einen Client herunterzuladen. Die E-Mails werden nach dem Herunterladen auf dem Server gelöscht. POP3 verwendet standard- mäßig den TCP-Port 110. POP3-Kommandos bestehen aus ASCII-Zeichen. POP3 über- trägt sowohl die E-Mails als auch das Passwort (bei Verwendung des Kommandos PASS) im Klartext. Die Klartextübertragung des Passworts lässt sich vermeiden, wenn der Server das Kommando APOP implementiert hat. In diesem Fall sendet der Server zu Beginn der Sitzung einen Zeitstempel. Der Client berechnet aus diesem und dem Passwort mittels des MD5-Algorithmus einen Hashwert, den er als Argument des APOP-Kommandos zurückschickt. Gelangt der Server bei seiner Berechnung zum gleichen Hashwert, ist der Authentisierungsvorgang erfolgreich. Verfügt ein Server über spezielle Erweiterungen, so ist z. B. eine verschlüsselte E-Mail- Übertragung über TLS möglich. Diese Variante heißt POP3s und nutzt den Standard- TCP-Port 995. POP3 ist funktional geeignet, wenn die E-Mails stets von einem einzigen Client aus abgerufen und lokal verwaltet werden können. Bei Zugriff von unterschiedlichen Rechnern führt dies jedoch dazu, dass die heruntergeladenen E-Mails schließlich über verschiedene Rechner verteilt sind. Abhilfe schaffen hier IMAP-Server.

802 Glossar und Abkürzungsverzeichnis

PPP Challenge Handshake Authentication Protocol Das PPP (Point-to-Point Protocol) Challenge Handshake Authentication Protocol (CHAP) ist in RFC 1994 spezifiziert. Es ermöglicht die Authentifizierung unter Nut- zung von PPP. Als Antwort auf die Zufallszahl (Challenge) des Servers wird ein Hashwert übertragen, der über einen Hashalgorithmus aus Challenge und einem Ge- heimnis (Passwort) errechnet wurde. PROSim Das Akronym PROSim steht für die zweite Dimension der Sicherheitspyramide V und repräsentiert die Prozesse, Ressourcen und Organisation für das Sicherheitsmanagement. Je nach Themenstellung lautet das Akronym z. B. bei BCM PROBCM, bei Kontinuitäts- management PROKom, bei Projektmanagement PROProm, bei Qualitätsmanagement PROQuam, bei Risikomanagement PRORim, bei Servicemanagement PROSem, bei Sour- cing-Management PROSom, bei Testmanagement PROTem. ProTOPSi Das Akronym ProTOPSi, das die zweite Dimension der Sicherheitspyramide III reprä- sentiert, steht für Prozesse, Technologie, Organisation und Personal für Sicherheit. Der Begriff Technologie wurde hierbei sehr weit gefasst und bezieht sich u. a. auf Verfah- ren, Methoden, Werkzeuge und Technik im Sinne von Hardware und Software sowie Infrastruktur, wie z. B. Gebäude. Die Sicherheitspyramide ab Version IV fasst die Be- griffe Technologie und Personal aus Gründen der Systematik zum umfassenden und verständlicheren Begriff Ressource zusammen. Public Available Specification (PAS) Bei dringendem Marktbedarf nach einem standardisierenden Dokument kann ein technisches Komitee der ISO sich für eine kurzfristige Veröffentlichung als Public Available Specification (PAS) oder Technische Spezifikation (TS) entscheiden. Public Key Infrastructure (PKI) Die Public Key Infrastructure ist eine Kombination aus Software, Verschlüsselungs- technologien und Diensten. Sie unterstützt den Einsatz von Verschlüsselungs- und Sig- naturdiensten, indem sie die Erstellung, Verteilung, Verwaltung, Prüfung und Rück- nahme von Zertifikaten und Schlüsseln regelt. Public Key Infrastructure (X.509) (PKIX) Die Arbeitsgruppe Public Key Infrastructure (X.509) der IETF wurde 1995 gegründet. Ihr Ziel bestand in der Entwicklung von Internet-Standards, die eine X.509-basierte PKI unterstützen. Inzwischen entwickelt die Arbeitsgruppe über die ITU-PKI-Stan- dards hinaus auch eigene neue Standards zur Nutzung X.509-basierter PKIs im Inter- net.

R RADIUS Remote Authentication Dial In User Service (RADIUS) ist ein Client-Server-Protokoll zur Authentisierung und Autorisierung sowie zur Abrechnung (AAA), das in RFC 2865 (RADIUS) und RFC 2866 (RADIUS Accounting) spezifiziert ist. Benutzer, die sich per Modem, ISDN oder DSL an einem Einwahlknoten eines Internet Service Providers

Glossar und Abkürzungsverzeichnis 803

(ISP) anmelden, geben zur Identifizierung und Authentisierung üblicherweise ihre Be- nutzerkennung und ihr Passwort ein. Der Einwahlknoten (Network Access Server {NAS}) fungiert als RADIUS-Client und schickt beides über das RADIUS-Protokoll an den RADIUS-Server. Dieser prüft die Korrektheit der Daten durch Zugriff auf eine Datenbank zugelassener Benutzer. Der RADIUS-Server kann zur Authentifizierung beispielsweise das Password Authentication Protocol (PAP) oder das Challenge Hand- shake Authentication Protocol (CHAP) nutzen. Das Ergebnis der Authentifizierung sendet der Server an den Einwahlknoten zurück. RFC 8044, Data Types in RADIUS, stellt eine Aktualisierung zum RFC 2865 bereit. RAM 1. Ein Random Access Memory (RAM) ist ein Halbleiterspeicher mit kurzen Zugriffs- zeiten, dessen gespeicherte Informationen bei Abschalten der Betriebsspannung verloren gehen. 2. Reliability, Availability, Maintainability (RAM) Records Management Records Management lässt sich im Deutschen mit dem etwas altertümlich anmutenden Begriff Schriftgutverwaltung übersetzen. Records Management dient der Kennzeich- nung, Steuerung, Verfolgung und Verwaltung geschäftsrelevanter Unterlagen in Form von physischen und elektronischen Informationen, Dokumenten, Aufzeichnungen und Nachweisen von deren Erstellung über die Aufnahme, Aufbewahrung, Auffindung, Nutzung und Aussonderung bis hin zur Vernichtung. Records Management begleitet die Prozesse einer Organisation während ihres gesam- ten Lebenszyklus. Es beinhaltet u. a. Vorgaben für das Ordnungs- und Ablagesystem, Namenskonventionen für die Identifizierung und Sicherheitsklassifizierung sowie Standards für die Versionierung und Datierung, beginnend mit der Erstell- und später dem Änderungsdatum, über das jeweilige Freigabedatum bis hin zum Aussonde- rungsdatum. Prozess- und Strukturorganisation mit Zuständigkeiten und Verantwort- lichkeiten sind ebenso zu regeln wie Zutritts- und Zugriffs- sowie Bearbeitungsrechte. Die Normenreihe ISO 15489 behandelt das Records Management, das in der deutschen Fassung mit Schriftgutverwaltung übersetzt ist. MoReq2010®, die Modular Requirements for Records Systems, Volume 1, Core Services & Plug-in Modules, Version 1, der DLM Forum Foundation, stellen auf über 500 Seiten Anforderungen an Records Systems auf, die für unterschiedliche Branchen und Orga- nisationen anwendbar sein sollen. Kapitel 4 geht auf Rollen und Berechtigungen ein, Kapitel 5 auf die Klassifizierung von Records. Kapitel 12 beschreibt nichtfunktionale Anforderungen. Kapitel 12.7 geht auf Security-Anforderungen ein, Kapitel 12.8 auf Anforderungen an den Datenschutz, Kapitel 12.11 auf Verfügbarkeit, Kapitel 12.13 auf Wiederherstellbarkeit und Kapitel 12.17 auf Compliance. Resilience (Fault oder Failure) Resilience, d. h. Fehlerelastizität bzw. Fehlertoleranz, bezeichnet die Eigenschaft eines Unternehmens, eines Prozesses, einer Ressource, eines Produktes oder einer Dienstleistung, sich trotz einer begrenzten Anzahl von Fehlern weiterhin anforderungs- bzw. spezifikationsgerecht zu verhalten, eventuell auf einem akzeptier- ten reduzierten Leistungsniveau.

804 Glossar und Abkürzungsverzeichnis

Return on Safety, Security and Continuity Investment (RoSSCI) Als Return on Safety, Security and Continuity Investment (RoSSCI) bezeichne ich den Ertrag und den vermiedenen Schaden, den ein Unternehmen aufgrund von Investitio- nen hat, welche es in die Betriebs- und Angriffssicherheit sowie die Kontinuität getä- tigt hat. Return on Security Investment (RoSI) Return on Security Investment bezeichnet den Ertrag und den vermiedenen Schaden, den ein Unternehmen aufgrund einer in die Sicherheit getätigten Investition hat. Risikoanalyse – Risk Analysis Risikoanalyse ist der Prozess zur Ermittlung, Analyse und Bewertung des Schadens- potenzials und des Bedrohungspotenzials sowie des Schwachstellenpotenzials auf- grund von Sicherheits- und Kontinuitätsdefiziten sowie zur Identifikation zusätzlich erforderlicher Sicherheits- und Kontinuitätsmaßnahmen. Role Based Access Control (RBAC) Role Based Access Control (RBAC) [103], also rollenbasierte Zugriffskontrolle, ist als ANSI-Norm definiert und enthält ein Referenzmodell mit den dazugehörigen funktio- nalen Spezifikationen. Das Referenzmodell definiert RBAC-Elemente, wie z. B. Benut- zer, Rollen, Berechtigungen und Objekte. Am 1. Februar 2005 wurde der OASIS-Standard „Core and hierarchical role based access control (RBAC) profile of XACML v2.0” verabschiedet. Er definiert ein XACML- Profil, um die Anforderungen an „core“ und „hierarchical“ RBAC zu erfüllen, wie sie in der ANSI-Norm spezifiziert sind. Seit Januar 2013 liegt XACML v3.0 vor.

S Schadsoftware – Malware Schadsoftware umfasst z. B. Computerviren, Computerwürmer und trojanische Pferde. Schwachstelle – Weakness Eine Schwachstelle stellt eine Sicherheitslücke oder ein Sicherheitsdefizit dar. Secure Socket Layer (SSL) Der Secure Socket Layer sichert WWW-Verbindungen durch Verschlüsselung. Sensibilisierung Sensibilisierung für die Themen Sicherheit, Kontinuität und Risiko dient dazu, bei Mit- arbeitern Bewusstsein für Sicherheits- und Kontinuitätsanforderungen, Bedrohungen, Schwachstellen und Risiken sowie Sicherheits- und Kontinuitätsmaßnahmen zu schaf- fen. Serial Attached SCSI (SAS) Serial Attached SCSI stellt laut der SCSI Trade Association eine Weiterentwicklung von SCSI dar. Hierbei findet ein Übergang von der parallelen auf eine serielle Schnittstelle statt, da das parallele SCSI die Leistungs- und Skalierbarkeitsanforderungen der Industrie nicht mehr erfüllt. Die erste SAS-Generation hat eine Übertragungsrate von 3 Gb/s, die zweite von 6 Gb/s und die dritte von 12 Gb/s. Im Jahr 2018/2019 soll die vierte Ausbaustufe mit 24 Gb/s folgen.

Glossar und Abkürzungsverzeichnis 805

Service-Level-Vereinbarung (SLV) – Service Level Agreement (SLA) Eine Service-Level-Vereinbarung (Service Level Agreement {SLA}) beinhaltet die Fest- legung der zwischen Service-Geber und Service-Nehmer vereinbarten messbaren Qua- lität (Servicegüte) der Leistungen. Sicherheitshandbuch (SIHA) Das Österreichische Informationssicherheitshandbuch (SIHA) beschäftigt sich mit dem Informationssicherheitsmanagement und Maßnahmen zur Informationssicherheit. Sicherheitskonzept – Safety/Security Specification Ein Sicherheitskonzept legt fest, welche Maßnahmen zur Erhöhung der Sicherheit für ein spezifisches Thema oder Schutzobjekt, z. B. ein IKT-System, ein Netz oder eine Anwendung, ein Produkt oder eine Leistung, ergriffen werden sollen. Sicherheitsmaßnahme – Safeguard bzw. Safety/Security Measure Maßnahme, Mechanismus, Prozess oder Schutzsubjekt zur Vermeidung, Verringerung oder Verlagerung eines Risikos bzw. zur Steigerung des Sicherheitsniveaus. Sicherheitsmodell – Security Model Sicherheitsmodelle lassen sich unterscheiden in positive und negative. Positive, auch als „Weiße-Liste“-Modelle (Whitelist Model) bezeichnet, folgen dem Prinzip des generellen Verbots, d. h. sie verbieten alles, bis auf das, was z. B. durch die weiße Liste explizit er- laubt ist. Negative Sicherheitsmodelle, „Schwarze-Liste“-Modelle (Blacklist Model), ver- hindern nur das, was verboten wurde. Verbote haben jedoch stets die Eigenschaft, dass alles andere erlaubt ist. Ein Beispiel dafür sind Spam-Mails. Bei einer schwarzen Liste kommt die Spam-Mail durch, sobald die Absenderadresse auf eine nicht gelistete geän- dert wurde. Bei einer weißen Liste müsste die Spam-Mail demgegenüber eine Absender- adresse haben, die zuvor zugelassen wurde. Sicherheitsniveau – Safety/Security Level Das Sicherheitsniveau beschreibt das Maß an Sicherheit. Sicherheitsphilosophie – Safety/Security Philosophy Die Sicherheitsphilosophie legt in schriftlicher überblicksartiger Form fest, welche Bedeutung und Ausprägung das Thema Sicherheit haben soll. Sicherheitsstrategie – Safety, Security, Continuity and Risk Strategy Die Sicherheitsstrategie legt fest, welches Maßnahmenbündel von der Prävention über das Monitoring, die Detektion und Meldung bzw. Alarmierung sowie der Reaktion und der Evaluation des Schadens bis hin zur Wiederherstellung, der Nacharbeit (Postvention) und der Verbesserung (Emendation) zur Vermeidung, Verringerung oder Verlagerung eines Risikos in welchem Umfang ergriffen werden sollte. Sicherheitsziele – Safety, Security, Continuity and Risk Objectives Sicherheitsziele leiten sich aus der Sicherheits-, Kontinuitäts- und Risikopolitik ab und werden im Rahmen einer Schutzbedarfsanalyse bzw. Business Impact Analysis an- hand angenommener Sicherheitsverletzungen und deren Konsequenzen ermittelt.

806 Glossar und Abkürzungsverzeichnis

Simple Mail Transfer Protocol (SMTP) Das Simple Mail Transfer Protocol (SMTP) ist ein E-Mail-Dienst, welcher der Übertra- gung von E-Mails dient. Es ist beschrieben in RFC 5321. RFC 7504, SMTP 521 and 556 Reply Codes, stellt Aktualisierungen zum RFC 5321 bereit. Single Point of Failure (SPoF) Ein „Single Point of Failure“ (Einzelfehler) ist eine Stelle, an der ein einzelner Fehler zu einem Ausfall führt. Derartige Situationen ergeben sich bei nicht konsequent redun- danter Auslegung von Ressourcen. Single Sign-on Das Single Sign-on dient dazu, mit nur einem Identifikations- und Authentisierungs- vorgang Zugang zu verschiedenen Systemen zu erhalten. Dies gilt in entsprechender Form für den Zutritt zu verschiedenen Gebäuden oder Räumlichkeiten. Skript Kiddie Die Bezeichnung Skript Kiddie kennzeichnet Internet-Nutzer, die Angriffe unter Nut- zung vorgefertigter Schadprogramme durchführen. Daher reichen für ihre Angriffe bescheidene technische Kenntnisse aus. Ihre Attacken erfolgen meist wahllos und nicht zwangsläufig zur vorsätzlichen Schädigung der Angegriffenen, sondern entspringen teilweise der Neugier z. B. jugendlicher Internet-Nutzer. Small Computer System Interface (SCSI) Das Small Computer System Interface (SCSI) bezeichnet eine standardisierte parallele Schnittstelle zur Verbindung der Prozessoreinheit des Computers mit Peripheriegeräten, z. B. Festplatten. Sie ermöglicht in der einfachen Form den Anschluss von bis zu 8 und in erweiterter Form von bis zu 16 Geräten. (Wide) Ultra320 SCSI erlaubt eine max. Übertra- gungsgeschwindigkeit von 320 MByte/s bei einer Busbreite von 16 Bit. Sniffer Ein Sniffer ist ein Programm, das Datenpakete, die über ein Netz übertragen werden, heimlich mitliest. Social Engineering Beim Social Engineering bringt ein Angreifer sein Opfer dazu, Dinge zu tun, die der Angreifer will. So gibt sich ein Angreifer z. B. als Netzadministrator oder Sicherheits- manager aus und erschleicht sich unter einem Vorwand Passwörter. Meist erfolgen diese Angriffe per Telefon, da es so schwieriger ist, des Täters habhaft zu werden. Aber auch entsprechendes Auftreten kann zum unberechtigten Zutritts- und Zugangserfolg führen, genauso wie der Auftritt als vermeintlicher Repräsentant eines Herstellers und „bewaffnet“ mit entsprechender Hardware. Phishing ist ebenfalls ein Beispiel für Social Engineering. Spionagesoftware – Spyware Spionagesoftware sind Programme, die mit oder ohne das Wissen des Nutzers auf seinem Computer installiert werden, Informationen sammeln und weiterleiten. Sie können damit die Privatsphäre beeinträchtigen. Spyware kann z. B. in kostenloser Soft- ware enthalten sein oder beim Besuch von Webseiten heruntergeladen werden. Spio- nagesoftware verlangsamt den Rechner.

Glossar und Abkürzungsverzeichnis 807

Structured Query Language (SQL) Die Structured Query Language (SQL) ist eine datenbankunabhängige Sprache, welche die Definition von Datenstrukturen und die Operationen auf diese beschreibt. SQL ist in der Normenreihe ISO/IEC 9075 festgelegt. SQL ist unterteilt in die Data Definition Language (DDL), die Data Manipulation Language (DML), die Data Query Language (DQL) und die Data Control Language (DCL). DDL enthält die Befehle CREATE, ALTER, DROP, DML die Befehle INSERT, UPDATE, DELETE, DQL den Befehl SELECT und DCL die Befehle GRANT und REVOKE. SQL-Injektion – SQL Injection SQL-Injektion bezeichnet eine Angriffsmethode auf Datenbanken, bei der ein Angrei- fer die fehlende Plausibilisierung der Parameterein- oder -übergabe an ein SQL-State- ment ausnutzt und auf diese Weise das SQL-Statement manipuliert. Plausibilisierun- gen sollten sich auf die Feldinhalte und die Feldlänge beziehen. Zur Manipulation eines SQL-Statements können Angreifer folgende SQL-Elemente nutzen:  den SQL String Delimiter (´),  den SQL Statement Concatenation Character (;) und  die SQL Comment Sequence bzw. Character nutzen (bei Microsoft® SQL Server: --, bei MySQL: #). Als prinzipielles Beispiel dient die folgende SQL-Abfrage: SELECT * FROM benutzertabelle WHERE benutzername = ´$uid´ AND passwort = ´$pwd´ Diese Abfrage soll prüfen, ob der eingegebene Benutzername zusammen mit dem Passwort in der Benutzertabelle vorhanden sind, es sich also um einen zugelassenen Benutzer handelt. Ein Angreifer könnte für die abgefragten Parameter folgende Eingaben verwenden: Für $uid eine beliebige Eingabe, z. B. abc Für $pwd die Eingabe ´ OR 2=2 -- Übernimmt das Programm die Eingaben ungeprüft, so resultiert hieraus die Abfrage SELECT * FROM benutzertabelle WHERE benutzername = ´abc´ AND passwort = ´´ OR 2=2 --´ Da 2=2 immer richtig ist und der Rest der Abfrage aufgrund der beiden Striche als Kommentar gekennzeichnet ist, liefert diese Abfrage stets das Ergebnis „richtig“, wo- mit der Angreifer als berechtigter Nutzer identifiziert und authentifiziert wäre.

T Transaktionsnummer (TAN) – Transaction Number Eine Transaktionsnummer (TAN) dient der Autorisierung einer Transaktion. Sie wird beispielsweise bei der Autorisierung einer Banküberweisung über das Internet einge- setzt. Beim Basis-TAN-Verfahren wählt der Kunde eine TAN aus einer Liste aus und autorisiert damit die Transaktion. Zum stärkeren Schutz gegenüber betrügerischen Aktivitäten, z. B. in Form von Phishing, geben Banken zur Autorisierung einer Transaktion die Nummer derjenigen TAN aus der TAN-Liste vor, die der Kunden eingeben soll. Dieses Verfahren verwen-

808 Glossar und Abkürzungsverzeichnis

det somit „indizierte TANs“ (iTAN) und erschwert die Nutzung einer „abgefischten“ TAN. Das iTAN-Verfahren schützt nicht vor „man-in-the-middle-Attacken“. Betrüger locken hierbei das potenzielle Opfer – beispielsweise über einen Link in einer Phishing-E-Mail – auf die von ihnen gefälschte Website. Hier fordern sie die Eingabe der Kontonummer und PIN. Erhalten sie diese Informationen, bauen sie eine Verbindung zur Bank auf. Hat das Opfer seine Transaktion eingegeben, manipuliert der Angreifer die Daten und schickt sie an das Finanzinstitut. Die Bank fordert daraufhin eine iTAN an. Diese Auf- forderung leitet der Betrüger an den Kunden weiter. Dessen Eingabe gibt der Angrei- fer zur Autorisierung der gefälschten Transaktion an das Bankinstitut weiter. Alternativ zum iTAN-Verfahren existiert das mobile TAN-Verfahren (mTAN). Zur Autorisierung der Transaktion erhält der Nutzer die TAN per SMS auf sein Handy. Diese Einmal-TAN ist nur für die jeweilige Transaktion gültig. Werden mit der TAN per SMS gleichzeitig die Transaktionsdaten, also Empfängerkonto, Empfängerbank und Betrag, übermittelt, kann der Benutzer eine „man-in-the-middle-Attacken“ ent- decken. Voraussetzung ist hierbei – wie auch beim Phishing – die Sensibilisierung des Nutzers, damit er die übermittelten Daten einschließlich des Absenders genau prüft. Außerdem sollte er im Hinblick auf einen Handy-Diebstahl oder -Verlust seine eigene Kontonummer und PIN nicht auf dem Handy oder Smartphone speichern. Auch bei der Weitergabe der Handy-Nummer kann Vorsicht angeraten sein, nicht zuletzt, wenn diese per Phishing abgefragt wird. Gleichzeitig nimmt durch die mobile TAN der Schutzbedarf des Handys und gegebenenfalls des mobilen Nutzers zu. Auch hier emp- fiehlt sich eine Pfadanalyse, um das Sicherheitsniveau aller beteiligten Elemente und die möglichen Angriffsszenarien zu ermitteln. Beim eTAN-Verfahren erhält der Kunde eine PIN und ein Gerät, den TAN-Generator. Die Autorisierung einer Transaktion läuft über ein Challenge-Response-Verfahren: Der Computer der Bank erzeugt eine Kontrollnummer (Challenge) und übermittelt sie an den Kunden. Der Kunde gibt sie in seinen TAN-Generator ein. Der TAN-Generator er- zeugt eine Antwortnummer (Response), mit der der Kunde die Transaktion autorisiert. Alternativ hierzu existieren TAN-Generatoren, die eine TAN erzeugen, die nur eine begrenzte Zeit lang gültig ist. Für das eTAN-Plus-Verfahren bekommt der Kunde eine PIN, einen speziellen mobilen Kartenleser mit Tastatur und eine Chipkarte. Zur Autorisierung einer Transaktion steckt der Kunde seine Chipkarte in den Kartenleser ein und tippt die vom Bankcomputer erzeugte Nummer (Challenge) ein. Der Kartenleser berechnet aus den Transaktionsdaten und dem geheimen Schlüssel in der Chipkarte die TAN (Response) und zeigt sie im Display an. Hiermit autorisiert der Kunde die Transaktion mit den spezifischen Trans- aktionsdaten. Das QR-TAN-Verfahren nutzt ein Smartphone mit Kamera für die Erzeugung der TAN. QR steht für Quick Response. Der Kunde erstellt an seinem PC den Auftrag im Online Banking. Im Browserfenster wird der zweidimensionale QR-Code für den Auf- trag angezeigt. Der Kunde liest den QR-Code mittels einer App über die Kamera des Smartphones ein. Dann erzeugt die App für diese Transaktion eine TAN und zeigt dem Nutzer die Daten der Transaktion zur Prüfung an. Der Benutzer gibt die Transak- tion im Browser frei und autorisiert sie über die App.

Glossar und Abkürzungsverzeichnis 809

Das photoTAN-Verfahren nutzt ein Smartphone mit Kamera für die Erzeugung der TAN. Der Kunde erstellt an seinem PC den Auftrag im Online Banking. Im Browser- fenster wird ein zweidimensionales farbiges Mosaik für den Auftrag und die Transak- tionsnummer angezeigt. Das farbige Mosaik wird mittels einer App über die Kamera des Smartphones eingelesen. Dann zeigt die App für diese Transaktion die Daten der Transaktion sowie die photoTAN an. Der Benutzer gibt die TAN im Browser ein und gibt die Transaktion frei. [comdirect, Neu bei comdirect: photoTAN, Pressemitteilung, 09.04.2013] Weitere Schutzmaßnahmen bestehen darin, Datum und Uhrzeit des letzten Login so- wie im Falle der PIN- oder TAN-Eingabe am Bildschirm einen Ziffernblock anzuzei- gen. Der Ziffernblock kann per Maus angeklickt werden, um die Ziffern nicht per Tas- tatur einzugeben und so ein „Abhören“ der Transaktionsnummer zu erschweren. Außerdem kann bei der PIN-TAN-Eingabe vom Benutzer zusätzlich die Eingabe von Buchstaben und Ziffern gefordert werden, die auf dem Bildschirm verzerrt, gekippt und/oder versetzt auf grauem Hintergrund angezeigt werden. Diese sind für den Men- schen leicht, für Malware aber schlechter zu erkennen. Dies erschwert automatisierte Angriffe, z. B. solcher DoS-Attacken, die das Ziel haben, durch Eingabe beliebiger Kon- tonummern und jeweils mehrmaliger falscher PIN-Eingabe Konten zu sperren. Transport Layer Security (TLS) Das Transport Layer Security Protocol ist in der Version 1.2 in RFC 5246 spezifiziert, in Verbindung mit IMAP, POP3 und ACAP in RFC 2595, dessen Section 6 durch den RFC 4616 aktualisiert wurde. TLS dient dem Schutz gegen Abhören und unzulässige Verän- derung (Integrität) durch Verschlüsselung. TLS besteht aus zwei Ebenen: dem TLS Re- cord Protocol und dem TLS Handshake Protocol. Das TLS Record Protocol dient der Verbindungssicherheit und der Kapselung verschiedener darüber liegender Protokolle, wie z. B. des TLS Handshake Protocol. Letzteres ermöglicht es dem Server und dem Client, sich gegenseitig zu authentisieren sowie einen Verschlüsselungsalgorithmus und Schlüssel auszuhandeln. TLS befindet sich im TCP/IP-Protokoll-Stack zwischen dem Transport Layer mit TCP und der Anwendungsschicht (Application Layer) mit http, LDAP, SMTP, Telnet etc. Trojanisches Pferd – Trojan Horse Ein trojanisches Pferd in der IKT ist – in Analogie zur List des Odysseus im Kampf um Troja – Programmcode, der etwas Nützliches zu tun vorgibt, während er tatsächlich etwas Unerwünschtes ausführt. Beispielsweise kann es Programmcode sein, der die Login-Maske darstellt und Benutzerkennung und Passwort dann an Unbefugte weiter leitet.

U Universal Business Language (UBL) OASIS hat im Dezember 2006 die Universal Business Language (UBL), Version 2.0 als OASIS-Standard freigegeben. UBL definiert eine XML-Bibliothek für Geschäftsdoku- mente und ist die erste Standard-Implementierung der Electronic business eXtensible Markup Language (ebXML) Core Components Technical Specification 2.01. UBL zielt darauf ab, in einem Standard-Geschäftsrahmenwerk wie z. B. ISO/TS 15000 (ebXML)

810 Glossar und Abkürzungsverzeichnis

zu arbeiten. Die UBL-Bibliothek besteht aus Informationskomponenten, den Business Information Entities (BIE). Eine Datenkomponente ist beispielsweise die „Adresse“, die in verschiedenen Dokumententypen vorkommt. BIEs lassen sich zu spezifischen Do- kumententypen zusammensetzen, wie z. B. einem Auftrag oder einer Rechnung. [104] Unterbrechungsfreie Stromversorgung (USV) – Uninterruptable Power Supply (UPS) Eine USV ist eine Stromversorgung, mit der ein kurzzeitiger Stromausfall überbrückt werden kann. Die IEC 62040-3 nennt folgende 10 Netzstörungen: 1. Netzausfälle, 2. Spannungsschwankungen, 3. Spannungsspitzen, 4. Unterspannungen, 5. Überspan- nungen, 6. Blitzeinwirkung, 7. Spannungsstöße, 8. Frequenzschwankungen, 9. Span- nungsverzerrungen, 10. Spannungsoberschwingungen. Die IEC 62040-3 unterscheidet folgende USV-Klassen:  Voltage and Frequency Independent (VFI) from mains supply. Dieser USV-Typ ist vergleichbar mit der Online-USV mit Dauerwandler. Bei VFI-USVs sind Spannung und Frequenz am USV-Ausgang unabhängig vom Eingangsnetz. VFI-USVs bieten Schutz gegen alle 10 Netzstörungsarten. Bei einer VFI-USV läuft die Stromversor- gung der angeschlossenen Geräte, z. B. Computer, stets über die USV.  Voltage Independent (VI) from mains supply. Diese USV-Klasse ist vergleichbar mit Line-Interactive-USVs. Bei VI-USVs ist die Spannung am USV-Ausgang unab- hängig vom Eingangsnetz. Störungen der Netzfrequenz gelangen ungefiltert zur Last. VI-USVs bieten Schutz gegen die Netzstörungsarten 1 – 5. Sie überbrücken Stromausfall und können Spitzen und Unebenheiten in der Stromversorgung glät- ten.  Voltage and Frequency Dependent (VFD) from mains supply. VFD-USVs sind vergleichbar mit Offline-USVs. Eine VFD-USVs befindet sich solange im „stand- by“-Modus wie das Netz die Last im regulären Betrieb direkt versorgt. Erst im Fal- le einer Störung der Stromversorgung erfolgt die Umschaltung auf den Batteriebe- trieb. VFD-USVs bieten Schutz gegen die Netzstörungsarten 1 – 3. Als Kennzeichnung für USVs enthält die Norm darüber hinaus weitere Angaben. Der Bezeichnung der USV-Klasse folgen zwei Buchstaben. Diese charakterisieren die Form der Spannungskurve am USV-Ausgang im Normalbetrieb (1. Buchstabe) und im Batte- riebetrieb (2. Buchstabe). Angestrebt ist eine reine Sinuskurve. Als Buchstaben sind S, X und Y möglich. Der Buchstabe S repräsentiert die Bestmarke. Bei Y, dem schlechtes- ten Wert, ist die Wellenform nicht sinusförmig und der Klirrfaktor vom Hersteller zu spezifizieren. Der anschließende dreistellige Code kennzeichnet das dynamische Spannungsverhal- ten am USV-Ausgang: 1. bei Änderungen der Betriebsart, 2. bei Zu- und Abschalten einer linearen sowie 3. einer nichtlinearen Referenzlast. Die Skala reicht vom besten Wert 1 für USVs, die „für alle Arten von Belastungen geeignet sind“ bis zum schlech- testen Wert 3. Den höchsten Schutz bietet daher eine VFI-SS-111. Unter Kontinu- itätsaspekten ist zu berücksichtigen, dass die USV einen SpoF darstellen kann. Sie sollte daher in geeigneter Form redundant ausgelegt sein. Unverfälschtheit (Integrität) – Integrity Eigenschaft eines Objekts, unverfälscht und vollständig, d. h. nicht unzulässig oder unbefugt verändert oder gelöscht worden zu sein.

Glossar und Abkürzungsverzeichnis 811

V Validierung – Validation Die Validierung prüft die Übereinstimmung des erzeugten Produktes bzw. der er- brachten Leistung mit den Anforderungen der Auftraggeber. Dies beinhaltet die Über- prüfung der Sicherheitsanforderungen. Ein Beispiel ist die Überprüfung, dass ein Soft- ware-Produkt die Anforderungen der Benutzer erfüllt. Verbindlichkeit (Nichtabstreitbarkeit) – (Non Repudiation) Eigenschaft eines Objekts, z. B. einer Transaktion, verbindlich, d. h. nicht abstreitbar zu sein. Vereinzelungsanlage Der Zutritt zu Räumlichkeiten mit einem sehr hohen Schutzbedarf ist meist über Verein- zelungsanlagen gesichert, so dass nur eine einzelne Person mit entsprechenden Zutritts- rechten in den jeweiligen Raum gelangen kann. Die Ausführungen derartiger Personen- vereinzelungsanlagen reichen von Schleusen, z. B. Rund- und Schiebetürschleusen, bis hin zu Vereinzelungs-Drehtüren. Außerdem existieren automatische videobasierte Personenvereinzelungssysteme, die auf der Silhouettenerkennung (Schattenriss) beruhen, und in bestehenden Räumlichkeiten genutzt werden können. Sie ermöglichen eine Mehrpersonenvereinzelung und eine Leer- raumdetektion, durch die absichtlich oder unabsichtlich zurückgelassene Objekte er- kannt und gemeldet werden können. Derartige Systeme eröffnen – nach Abgleich der Sicherheitsanforderungen mit den Bedrohungen – prinzipiell die Möglichkeit, zutritts- geschützte Bereiche, z. B. Schließfachbereiche, zu automatisieren sowie eine Korridor- und Vorraumüberwachung hochkritischer zutrittsgeschützter Bereiche vorzunehmen. Verfügbarkeit – Availability Eigenschaft eines Objekts, wie z. B. eines Prozesses oder einer Ressource (Gebäude, Räumlichkeiten, Computer, Netze, Programme, Daten, Rollen, Funktionen, ...), in ei- nem bestimmten Umfang bereit zu stehen, zugreifbar und nutzbar zu sein. Verfügbar- keitsanforderungen beziehen sich üblicherweise auf die zugesicherten Betriebszeiten einer Ressource. Verfügbarkeitsklassen – Availability Environment Classification (AEC) Die Harvard Research Group hat Verfügbarkeit in 5 Klassen von 0 bis 4 definiert (Availability Environment Classification {AEC}) [105]. Diese orientieren sich an den Auswirkungen eines Ausfalls auf die Geschäftsaktivitäten und auf die Kunden. Die Klassen enthalten folgende Charakteristika:  AE4 – Rund-um-die-Uhr-Betrieb, d. h. 24 h/Tag x 7 Tage/Woche. Die Geschäfts- funktionen erfordern kontinuierliche Verfügbarkeit, ein Ausfall wäre für den Nut- zer transparent.  AE3 – Unterbrechungsfreier Betrieb entweder während wesentlicher Zeiträume oder während des überwiegenden Teils des Tages, der Woche und des Jahres. Der Nutzer bleibt online. Ein Restart der aktuellen Transaktion kann jedoch erforder- lich sein und Performance-Einbußen können auftreten.

812 Glossar und Abkürzungsverzeichnis

 AE2 – Betrieb mit minimalen Unterbrechungen entweder während wesentlicher Zeiträume oder während des überwiegenden Teils des Tages, der Woche und des Jahres. Der Benutzer wird unterbrochen, kann sich jedoch zeitnah wieder einlog- gen. Transaktionen müssen gegebenenfalls unter Nutzung von Aufzeichnungs- dateien wiederholt werden und es können Performance-Einbußen auftreten.  AE1 – Betrieb mit Unterbrechungen, jedoch mit Verfügbarkeit der Daten. Der Be- nutzer kann nicht weiterarbeiten, das System fährt unkontrolliert herunter. Eine Datensicherung auf einer redundanten Festplatte liegt vor. Unter Nutzung von Log- oder Journaldateien lassen sich unvollständige Transaktionen identifizieren und wiederherstellen.  AE0 – Betrieb mit Unterbrechungen, wobei die Verfügbarkeit der Daten nicht we- sentlich ist. Der Benutzer kann nicht weiterarbeiten, das System fährt unkontrol- liert herunter. Daten können verloren gehen oder verfälscht werden. Verifikation – Verification Die Verifikation prüft, ob das Ergebnis einer Lebenszyklusphase die zu Beginn der Phase gestellten Anforderungen erfüllt. Dies beinhaltet die Überprüfung der Sicher- heitsanforderungen. Verteilter DoS-Angriff – Distributed Denial of Service (DDoS) Attack Großflächiger Angriff, bei dem eine Vielzahl von Systemen ein Zielsystem oder -Netz- werk lahm legen. Vertrag auf Gegenseitigkeit – Reciprocal Agreement Bei einem Vertrag auf Gegenseitigkeit vereinbaren zwei oder mehrere Parteien, z. B. Unternehmen, Unternehmenstöchter oder Organisationseinheiten, die prinzipiell gleichartige Schutzobjekte nutzen, dass sie z. B. im Notfall Schutzobjekte des Vertrags- partners nutzen können, um dort den Notbetrieb durchzuführen. Vertraulichkeit – Confidentiality Eigenschaft eines Objekts bzw. einer Information, nur Befugten (Personen, Prozessen oder Ressourcen) bekannt bzw. zugänglich zu sein. Verwundbarkeit – Vulnerability Eigenschaft eines Objektes, z. B. eines Informationssystems oder eines Rechenzen- trums, gegenüber bestimmten Ereignissen, z. B. Stromausfall oder Hacker-Angriffen, ungeschützt zu sein. Virtuelles LAN (VLAN) – Virtual LAN Virtuelle LANs (VLANs) sind logische Netzsegmente, die der Bildung von Sicherheits- zonen mit unterschiedlichem Sicherheitsniveau dienen. Sie entstehen durch die Auftei- lung eines physischen Netzes in logische Netzsegmente, die durch entsprechend kon- figurierte Switches gebildet werden. Virtuelles Privates Netz (VPN) – Virtual Private Network (VPN) Ein VPN stellt eine gesicherte Verbindung über ein öffentliches Netz dar.

Glossar und Abkürzungsverzeichnis 813

Vishing Vishing ist ein Kunstwort für „Voice over IP Phishing“. Hierbei nutzen Angreifer die niedrigen Kosten und die weltweite Verfügbarkeit der Internettelefonie für meist auto- matisierte Anrufe. Ein Dialer ruft eine Vielzahl von VoIP-Adressen an. Im Telefonat täuscht eine Stimme von Band vor, der Anruf käme von einer vertrauenswürdigen In- stanz, z. B. einem Finanzinstitut. Die Stimme veranlasst das potenzielle Opfer, vertrau- liche Daten, insbesondere Kreditkartennummer, Kontonummer, PIN und TAN preis- zugeben, so dass der Angreifer an die Finanzen des Opfers gelangen kann. Ebenfalls abgefragt werden können Geburtstag, Sozialversicherungsnummer und Passnummer, um Identitätsdiebstahl begehen zu können. Die Auswertung der Anrufe kann auf Seiten des Anrufers ebenfalls automatisiert erfolgen. Hierzu wandelt ein System ent- weder die per Tastatur eingegebenen Ziffern um, indem es die Töne der Ziffern in digitale Zeichen umsetzt oder es verwendet die Spracherkennung. Anstelle des auto- matisierten Anrufs kann der Angreifer zuvor eine E-Mail oder eine SMS einer schein- bar vertrauenswürdigen Instanz an das Opfer schicken, die es dazu veranlasst, die vom Angreifer vorgegebene Telefonnummer anzurufen. VIVA Abkürzung für Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität Voice over Internet Protocol (VoIP) Voice over IP ermöglicht die Sprachkommunikation über das Internet und treibt die Konvergenz von Sprache und Daten voran. Dadurch ist z. B. nur noch eine Verkabe- lung erforderlich. Wie immer bei der Nutzung des Internets sind hierbei Sicherheits- aspekte zu berücksichtigen. Bedrohungen bestehen in Form von Ausfällen, Störungen, Verzögerungen und Angriffen u. a. durch Viren und Würmer, SpIT (Spam over Inter- net Telephony), IP-Spoofing, Man-in-the-Middle-Attacken und durch Abhören mit derzeit bereits verfügbaren Tools, z. B. mit VoMIT (Voice over Misconfigured Internet Telephones). Die vielfältigen Bedrohungen verlangen angemessene Sicherheitsmaßnahmen, z. B. in Form ausfallgeschützter Stromversorgung und Ausweichmöglichkeiten bei Ausfällen oder Störungen, einer für VoIP geeigneten Firewall, Intrusion Detection and Preven- tion System, Virenschutz, Content Filter, Verschlüsselung und VPN. Eine anforde- rungsgerechte Quality of Service (QoS) erfordert u. a. die Vermeidung von Übertra- gungsverzögerungen und Paketverlusten sowie eine garantierte ausreichende Band- breite, die durch das Bandbreitenmanagement sicherzustellen ist. Die im Februar 2005 gestartete VoIP Security Alliance (VOIPSA) beschäftigt sich mit Sicherheitsaspekten von VoIP.

W Wassermeldeanlage (WMA) Wassermeldeanlagen gehören zu den Gefahrenmeldeanlagen. Sie dienen dazu, Flä- chen, Räume, Rohrleitungen und andere Einrichtungen auf den Austritt leitender Flüs- sigkeiten, wie z. B. Wasser, zu überwachen.

814 Glossar und Abkürzungsverzeichnis

Webcrawler Webcrawler durchsuchen das World Wide Web und analysieren Webseiten. Suchma- schinen nutzen diese Programme. Weitverkehrsnetz – Wide Area Network (WAN) Ein Weitverkehrsnetz ist ein nicht lokales Verbindungsnetz, das einen größeren geo- graphischen Bereich abdeckt und von einem eigenständigen Betreiber angeboten wird. Werbe-E-Mail – Spam-Mail Unerwünschte Werbe-E-Mails werden als Spam-Mails bezeichnet, die gleichzeitige Versendung an eine Vielzahl von Empfängern als „Spamming“, der Absender als „Spammer“. Werbesoftware – Adware Werbesoftware (Adware) sammelt auf dem betroffenen Computer Informationen für Werbezwecke. Auf Basis dieser Informationen können Anbieter festlegen, welche Wer- be-Popup-Fenster auf dem Computer eingeblendet werden und welche Werbungen der Computernutzer angezeigt bekommt, wenn er bestimmte Webseiten besucht.

X XML Die eXtensible Markup Language ist eine einfache und flexible Auszeichnungssprache zur Darstellung von Daten im Textformat, die aus SGML abgeleitet wurde. Sie gewinnt nicht zuletzt auch beim Datenaustausch z. B. über das Internet, zunehmend an Bedeu- tung.

Z Zentrale Rechtesteuerung und -verwaltung – Single Point of Security Control and Admi- nistration (SPSCA) Die zentrale Rechtesteuerung und -verwaltung umfasst die Eingabe, Pflege, Sperrung, Freigabe und Löschung von Rechten und die darauf aufbauende Steuerung von Be- rechtigungsanfragen. Zentrale Rechteverwaltung – Single Point of Security Administration (SPSA) Zentrale Rechteverwaltung ist die Stelle, an der die Rechte für z. B. IKT-Systeme ver- waltet, d. h. administriert werden. Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) Die Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) mit Sitz in Gießen existiert seit 2010 und stellt eine Sondereinheit der Generalstaatsanwaltschaft Frank- furt am Main dar. Sie ist in Fällen der Computer- und Internetkriminalität Ansprech- partner der örtlich zuständigen Staatsanwaltschaften und der Polizei sowie Ansprech- partner des Bundeskriminnalamts und des Landeskriminalamts Hessen. Auch andere Bundesländer sind dabei, entsprechende Spezialabteilungen einzurichten oder haben dies bereits getan, so u. a. die Zentralstelle Cybercrime Bayern (ZCB) in Bamberg.

Glossar und Abkürzungsverzeichnis 815

Zero-Day-Attacke Eine Zero-Day-Attacke ist ein Angriff, der in dieser spezifischen Form erstmalig ist. Sie nutzt umgehend, also quasi am gleichen Tag (zero day), eine gerade erst bekannt ge- wordene Sicherheitslücke aus, noch bevor die Sicherheitslücke durch Patches geschlos- sen wurde oder verbreitet einen neuen Virus noch bevor entsprechende Signaturen für die Computer-Antiviren-Software verfügbar sind. Zugriffskontrollliste – Access Control List (ACL) In der Zugriffskontrollliste führt das Betriebssystem die Liste mit Zugriffsberechtigun- gen auf Objekte. Zuverlässigkeit – Reliability Zuverlässigkeit beschreibt die Eigenschaft eines Prozesses, einer Ressource, eines Pro- duktes oder einer Dienstleistung innerhalb eines betrachteten Zeitraums die an ihn/sie gestellten Anforderungen zu erfüllen. Kenngrößen sind die Lebensdauer und die Aus- fallwahrscheinlichkeit.

Sachwortverzeichnis

A Aktiengesetz (AktG) 42 Alarm 785 AAA 521, 802 Alarmanlagen ABAS 530 – DIN EN 50130 Beiblatt 1 754 Abfahrtskontrolle 433, 463 – DIN EN 50131, EMA 754 Abgabenordnung (AO) 43, 392 – DIN EN 50131, ÜMA 754 Abgangskontrolle 433, 462 – DIN EN 50132, CCTV 754 Abhören 461 – DIN EN 50134 754 ABIS 530 – DIN EN 60839-11-1, ZKA 755 Abnahme Alarmierung 433, 463 – Handbuch 678 Alert 785 – Prozess 678 ALG 519 Absendekontrolle 432, 460 Algorithmushandel 74 Abstand 322 Alignment 159 Abwehrrechner 522 – Business ICT 159 Abweichungsanalyse 695 – Business-Safety-Security 159 AC 510 – Business-Safety-Security-Continuity- Access Control List 785 Risk 159 Accessmanagement 447 – Business-Security 159 ACD 373 AMG 742 ACL 785 AMWHV 742 ACM Analyse – Pyramide 399 – Anforderungen 473 Actor Analysis Analysis – Functional 660 – actor 660 – Technical 663 – business impact 660 Advanced Persistent Threat 785 – compliance requirements 660 Adware 814 Änderungsmanagement 379 AEC 811 Anforderungen AES 454 – Architektur 470 AGG 534, 742 – funktional 468, 473 Agile Entwicklung – nichtfunktional 468, 473 – Dokumentation Anforderungsanalyse 473 -- ISO/IEC/IEEE 26515, 2011 764 Anforderungsarchitektur 282 Agreement Anforderungsprofil 491 – Reciprocal 812 Angriffssicherheit 208, 281, 327 – Service Level 805 Angriffsvektor 785 AICPA® 195 Anhängsel 785 Aktenvernichter 459 Anomalie Akteure 474 – Erkennung 524 AktG 42, 742 – statistische 524

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 Sachwortverzeichnis 817

ANSI 785 – Ressourcen 469 Anti-Korruption – Schadenspotenzial 353 – ISO 37001, 2016 769 – Schwachstellen 356 Antrags- und Genehmigungsverfahren – Sicherheitszone 310 622 – Sicherheitszonen 476 Anwendungssicherheit – TOGAF 779 – ISO/IEC 27034 131, 766 – Umfeld 476 AO 742 Archivierung API 797 – IDW RS FAIT 3 750 Appliance 513, 785 – Konzept 670 Application – Strategie 503, 504 – Level Gateway 519 ArG 744 – Response Measurement 785 ARM 785 – Security, ISO/IEC 27034 766 ASiG 63 – Vulnerability Description Language ASIL 188 182 – ISO 26262-9 764 Application Normative Framework (ANF) ASP 364 – ISO/IEC 27034 132 Assessment Application Security Controls – Information Security, VDA 779 – ISO/IEC 27034 133 – IT Security 692 Application Whitelisting -- NIST SP 800-53A 773 – NIST SP 800-167 775 – Privacy, NIST SP 800-53A 773 Applikationssicherheit – Risk, IEC 31010, 2009 769 – ISO/IEC 27034 131 Asset 144 APT 785 – Intangible 200 Arbeitsschutzgesetz 63 Asset Management Arbeitssicherheitsgesetz 63 – IAITAM’s Best Practice Library 756 Arbeitsstättenverordnung (ArbStättV) 63 – ISO 55000, 2014 769 Architecture – ISO 55001, 2014 769 – Requirements 282 – ISO 55002, 2014 769 Architecture Pattern 653 – ISO/IEC 19770-5 151 Architektur – IT, ISO/IEC 19770 760 – Akteure 474 – Software, ISO/IEC 19770 760 – Anforderungen 282, 470 Atomenergie – Bedrohungen 286 – MISRA 188 – Beschreibung – Programmierstandard 188 -- ISO/IEC 42010, 2011 769 Attachment 785 – Bezugsgruppen 473 Attacke – Leistung 470 – Before-Zero-Day 529 – Management 467 – Brute-Force 787 – Richtlinie 635 – Denial-of-Authentication 535 – Muster 477 – Replay 535 – Organisation 470 – Zero-Day 529 – Produkt 470 Audit – Prozess 469 – FFIEC 748

818 Sachwortverzeichnis

Auditing 478, 479 Awareness 495 Ausfall AWI 795 – Dauer 292, 595 – maximal tolerierbare 596 B – Kosten 21, 402 B3S 51 – Stromversorgung Backup 515 – SAIDI 5 Bahn – Ursachen 21 – MISRA 188 – Zeitraum – Programmierstandard 188 – maximal tolerierbarer 596 Bahnanwendungen Auslagerung 422 – Datenverarbeitungssysteme, DIN EN – Abhängigkeitsprüfung 366 50128 754 – Auslagerbarkeitsprüfung 366 – Sicherheit, DIN EN 50126 754 – Banken 364 – Signaltechnik, DIN EN 50129 754 – Rechtsraum 366 BAIT 72 – Steuerfähigkeitsprüfung 366 – Informationsrisikomanagement 73 – Strategie 424 – Informationssicherheit 73 Auslöser 786 – Informationssicherheitsleitlinie 73 Ausnutzbarkeitsklasse 352 – Informationsverbund 73 Außerbetriebnahme 681 – IT-Governance 73 Authentication on Device 535, 536 – IT-Strategie 73 Authentifizierung 786 – Notfallmanagement 73 – Mehrfaktor 536 – Schutzbedarf 73 – Zweifaktor 536 Balanced Pyramid Scorecard® 701 Authentifizierungssystem Balanced Scorecard (BSC) 700 – biometrisch 530 Band 504 Authentisierung 786 – Bibliothek 515 – Einfaktor – Roboter 505 – Besitz 440 Banken – Merkmal 440 – Algorithmushandel 74 – Verhalten 440 – Gefährdungen 75 – Wissen 440 – Notfallkonzept 75 – ISO/IEC 29115, 2013 767 – operationelles Risiko – Zweifaktor 440 – Schweiz 744 – Besitz und Merkmal 440, 441 – Outsourcing – Merkmal und Wissen 440, 441 – Schweiz 744 – Wissen und Besitz 440, 441 – Schutzbedarf 75 Authority 175 – Zweifaktor-Authentisierung 75 Automobilindustrie Bankenaufsicht – MISRA 187 – Grundsätze 86 – Safety 187 BankG 744 Autorisierung 786 BankV 744 Availability 811 Basel II 85, 749 – Environment Classification 811 Basel III 86 AVDL 182, 775

Sachwortverzeichnis 819

Basisschutz 274 – Risikomanagement 349 Bastion Host 522 – Service Level Management 362 – entmilitarisierte Zone 522 – Überblick 336 – kaskadiert 522 – Wartungsmanagement 391 – Secure Server Network 523 Begrenzungsrouter 522 BCM 212, 392, 397 BEHG 744 – Datenbank 608 Beinahekrise 410 – Framework 406 Beinahenotfall 409 – holistic 396 BEL 159 – ISO 22301 761 Benchmark – ISO 22313 762 – Safety-Security-Continuity-Privacy- – ONR 49002-3 778 Compliance-Risk 711 – pyramid 398 BEntA 159 – Pyramide 398 Benutzerdokumentation – Rahmenwerk 406 – ISO/IEC/IEEE 26511ff. 764 BCP 786 Benutzerfreundlichkeit 491 BDSG 54, 742 Benutzerkonto 624 Bedrohung 4, 282, 786 – gesperrtes 626 – Architektur 286, 355 – verwaist 448, 705 – Landkarte 284 Benutzerservice 334, 371 – Potenzialanalyse 355 Berechtigungskubus 435 – potenzielle 286 Berechtigungswürfel 435 – prinzipiell 282 Berichtswesen – Profil 284 – Anforderungen 696 Before-Zero-Day-Attacke 529 – IKT-Sicherheit 696, 698 Begleitprozess 329 – Safety, Security, Continuity, Privacy, – Änderungsmanagement 379 Compliance, Risk 696 – Architekturmanagement 467 Betrieb 680 – Compliance Management 339 – regulär 407 – Datenschutzmanagement 343 – Rückkehr 395 – Ereignismanagement 371 Betriebseinflussanalyse 266, 786 – Finanzmanagement 368 Betriebsführungshandbuch 670 – Innovationsmanagement 482 Betriebssicherheit 208, 281, 327 – Kapazitätsmanagement 388 Betriebsverfassungsgesetz (BetrVG) 64 – Konfigurationsmanagement 384 BetrSichV 63 – Konformitätsmanagement 339 Beweissicherung 464 – Kontinuitätsmanagement 394, 395 Bezugsgruppen 351, 473 – Leistungsmanagement 362 BGB 39, 63, 742 – Lizenzmanagement 386 BIA 211, 264 – Performancemanagement 388 – ISO 22317, TS, 2015 762 – Personalmanagement 491 bimodal 537 – Problemmanagement 378 biometric hacking 535 – Projektmanagement 369 Biometrie 441 – Qualitätsmanagement 369 – BIAS – Releasemanagement 383 – ISO/IEC 30108 768

820 Sachwortverzeichnis

– Fusion 537 – Meldeanlage 415, 787 – Informationsschutz, ISO/IEC 24745, 2011 Brute-Force-Attacke 787 762 Brutto-Risiko 214 – ISO 19092, 2008 760 BS 10012, 2017 751 – Level 537 BS 11000-2, 2017 751 – Marktprognose 539 BS 11200, 2014 751 – PAD BS 65000, 2014 751 – ISO/IEC 30107 768 BS PAS 99, 2012 751 – Sicherheit BSA 159 – Rahmenwerk 760 BSC 700 – Sicherheitsbewertung – prozessbasiert 701 – ISO/IEC 19792, 2009 760 – pyramidenbasiert 701 – Umwelteinflüsse BSI 163, 787 – Bewertung, ISO/IEC 29197 768 – IT-Grundschutz-Kompendium 101, 752 Biometrische Verfahren – Mindeststandard 543 – Akzeptanz 536 – Sicherheitskonzeption 92 – bimodal 537 – Sicherheitsprozess 91 – multialgorithmisch 537 – Standard 100-4 90, 94, 752 – multiinstance 536 – Standard 200-1 90, 752 – multimodal 536, 537 – Standard 200-2 90, 752 – multirepresentation 536 – Standard 200-3 90, 93, 752 – multisample 536 – TR-03109 752 – multisensorisch 537 BSI-Gesetz 48 – multispektral 537 BSI-KritisV 48, 742 Biometrisches System 530 BSSCRA 159 – Capture 533 Buchführung – Decide 533 – GoB 750 – Enrolment 533 – GoBD 750 – Extract 533 – HGB 743 – Match 533 – IDW RS FAIT 1 750 – Registrierung 533 – Mangel 45 – Template 533 – ordnungsmäßige 43 Black Hole Monitoring 129 – SVRV 743 Blacklist 527 Buffer Overflow 466, 672, 673 – Model 805 Bunch of Disks (BOD) Bluesnarfing 131 – JBOD 512 Bluetooth – MBOD 512 – NIST SP 800-121 Rev. 2 774 – SBOD 512 BMA 415, 787 Bundespersonalvertretungsgesetz 64 BMIS 155 BuPROPSeLiA 159 Botnet 786 Bürgerliches Gesetzbuch 63 BPersVG 64 Business Continuity BPS 701 – ISO 22301, 2012 761 Brand – ISO 22313, 2012 762 – Datensicherung 753 – ISO/IEC 27031, 2011 766

Sachwortverzeichnis 821

– Joint Forum 86, 393, 749 Certified Information Security Auditor® – Management 195, 212, 392, 397, 612 787 – ganzheitlich 396 Certified Information Security Manager® – holistic 396 787 – human aspects, bsi PD 25111 751 CFO 40 – ISO 22301, 2012 140 CFR 88 – ISO 22313, 2012 142 – 16 CFR Part 312, COPPA 747 – recovery, bsi PD 25888 752 – 16 CFR Part 313 747 – testing, bsi PD 25666 751 – 21 CFR Part 11 747 – ONR 49002-3 778 – 21 CFR Part 110 747 – Plan 414 – 21 CFR Part 211 747 – Planning – 21 CFR Part 58 747 – FFIEC 393, 748 – 21 CFR Part 820 747 Business Enterprise Alignment 159 CFSO 724 Business Enterprise Linkage 159 CGEIT® 787 Business Impact Analysis 211, 264 cGLP BuSSeCoRA 159 – OECD 777 BWG 744 CGMP 747 BYOD 543 Challenge 802 – NIST SP 800-114, Rev. 1 774 Challenge Handshake Authentication – NIST, Guide 773 Protocol 788 Challenge-Response-Verfahren 444, 788 C Change – History 380 CAdES 182 – Management 379 CAP 182, 775 – Request 379 Capability 167 CHAP 788, 802 Capability Maturity Model Check-out-check-in-Prozedur 381 – Systems Security Engineering 166 ChemG 87, 742 CBCO 549 Chief Business Continuity Officer 549 CBO 724 Chief Compliance Officer 549, 788 CC 752 Chief ICT Continuity Officer 549 CCO 549, 724, 788 Chief ICT Security Officer 549 CCTV Chief ICT Service Continuity Officer 549 – DIN EN 50132 754 Chief Information Risk Officer 549 CD 795 Chief Information Security Officer (CISO) CD-ROM 504 549 CEBS 84 Chief Risk Officer 549, 788 CEM 752 Chiffrat 453 CEO 40 Chiffrierung 453 CERT 788 Chinese Wall 81 Certified in Risk and Information Systems Chipkarte 788 Control™ 787 Choreografie 172 Certified in the Governance of Enterprise CHSO 724 IT® 787 CI 384

822 Sachwortverzeichnis

CIA 788 – Quorum 418 CIA2 788 – split 418 CICO 549, 725 – Voting Algorithm 418 CICTSO 549 Cluster-System 417 CIFS 137, 511 CMDB 376, 662 CIM 514 CMM 752 Circle of Trust 170 CMMI 752 Circuit Level Gateway 519 CMMI-ACQ 753 CIRO 549, 724 CMMI-DEV 753 CISA® 787 CMMI-SVC 753 CISCO 549 COBIT 753 CISM® 787 COBIT 5 155 CISO 549, 724 – Domänen 157 Clear Desk Policy 299 – Prozessdomänen 156 Clear Workplace Policy 299 – Prozessmodell 156 Clickjacking 189 – Reifegradmodell 166 Closed-Shop-Betrieb 309 – Zielkaskade 156 Cloud-Computing 479 Code Injection 466 – Architektur, ISO 17789, 2014 759 Code of Federal Regulations 88 – BSI C5 752 Code-Signierung 182 – CAIQ 753 Coding Standards 668 – CCM 753 COLD 789 – Datenschutz, ISO/IEC 27018 765 Command Injection 672 – Datenschutz, TCDP 779 Commodity 448 – Definition 775 Common Alerting Protocol 182 – EBA/REC/2017/03 749 Common Criteria 752 – Einzelanforderungen 578 Compliance 340, 396, 749, 788 – Infrastrukturmanagement, ISO 19831, – Beauftragter 549 2015 760 – FDIC 748 – Interoperabilität, ISO 19941, 2017 760 – Funktion 81, 83 – NIST SP 800-144 775 – IAM 448 – NIST SP 800-145 775 – IDW PS 980 750 – NIST SP 800-146 775 – IKT 340 – Services 105, 488 – Lebenszyklus 652 – ISO/IEC 19944, 2017 760 – Management 339 – ISO/IEC 20000-9, TR, 2015 760 Computer – ISO/IEC 27017, 2015 123, 765 – Emergency Response Team 374, 788 – ISO/IEC 27036-4, 2016 766 – Security Incident Response Team – SLA framework, ISO 19086 760 (CSIRT) 374, 550, 680, 789 – Vokabular, ISO 17788, 2014 759 Computerforensik 465 Cluster Computervirenkennung 528 – aktiv-aktiv 417 Computervirenscanner 528 – aktiv-passiv 417 Computervirensignatur 529 – Knoten 417 Computervirus 789 – Node 417 Configuration Item 384, 662

Sachwortverzeichnis 823

Configuration Management Criticality 799 – Database 662 CRO 549, 724, 788 – ISO 10007, 2017 757 Cross Site Scripting 520, 672, 789 Content Security System 527, 789 Cryptography 453 Continuity 281, 327 CSIRT 374, 550, 680, 789 – Engineering 203 – RFC 2350 756 – Incident Response 374 CSO 724 – Management 394 CSPP-OS 753 – Business 212 CSS 789 – Manager 660 CTI 376 – Plan 406 CVE® 189 – Report 698 CVSS 190 Continuity by SSCPC conform CWETM 190 – acceptance 679 CWSS 190 – approval 676 Cyber Resilience 751 – decommissioning 682 Cybersecurity – delivery 677 – Event Recovery 775 – deployment 679 – FINMA RS 08/21 744 – detailled design 670 – Framework 773 – development 675 – G7FE 750 – evaluation 677 – ISO/IEC 27032, 2012 128, 766 – operation 681 – ISO/IEC 27103, PRF TR 106, 767 – planning 658 – ITU-T X.1200 – X.1229 Series 769 – preliminary design 667 – ITU-T X.1500-X.1598 771 – proposal application 658 – NIST Framework 773 – requirements specification 662 – NIST Handbook 773 – startup procedure 680 – NIST SP 1800 775 – testing 676 – NIST SP 800-150 775 Control 798 – NIST SP 800-184 775 – Objective 799 – Smart Grid 773 Controls – SOC 196 – Compliance 581 – VdS 3473, 2015 779 – Continuity 599 Cyberspace 128 – Maturity 720 CYBEX 771 – Policy 613 COPPA 747 D Copyleft 387 DAC 790 COSO Daktyloskopie 533 – Internes Kontrollsystem 747 Darknet Monitoring 129 – Risikomanagement 747 DAS 137, 510, 511 – SOX Compliance 747 Data CP 406 – Leakage 483 CR 379 – Prevention 539 Cracker 789 – Protection 539 CRISC™ 787

824 Sachwortverzeichnis

– Loss – Beschäftigte 56 – Prevention 539 – Datenkategorien 55 – Protection 539 – DSAnpUG-EU 55 Data Center – EU DS-GVO 59 – Best Practices 751 – EU-US-Datenschutzschild 63 data in motion 433, 482 – Maßnahmen 55, 57 data in rest 482 – Protokollierung 58 Data Leakage – Sanktionen 57 – Prevention 481 – SGB X 54 – Protection 481 – TKG 55 Data Loss – TMG 55 – Prevention 481 – Verschlüsselung 58 – Protection 481 – DPIA 61 Data Striping 508 – E-Mail-Übertragung 345 Database – EU DS-GVO 59 – Firewall 521 – EU-US-Datenschutzschild 63 – Security Gateway 521 – Folgenabschätzung 61 Datenabfluss 483 – Geldbußen 62 Datendieb 801 – IKT-Lebenszyklus 652 Datendiebstahl 481 – ISO 22307, 2008 761 Datenkategorien 560 – ISO/IEC 20889, DIS 761 – ISO/IEC 19944, 2017 760 – ISO/IEC 27552, CD 767 Datenlöschung – ISO/IEC 29101, 2013 767 – DIN 66398, 2016 755 – ISO/IEC 29190, 2015 768 – NIST SP 800-88, Rev. 1 774 – Leitfaden, ISO/IEC 29151, 2017 768 Datenpanne 257 – Management 343 – Kosten 14 – Managementsystem 343 Datenschutz – Maßnahmen 60 – Beauftragter 61, 549 – Stand der Technik 60 – Aufgaben 62 – Meldepflicht 60 – Beschäftigter 61 – NIST SP 800-122 774 – Dienstleistung 61 – Österreich – Fachwissen 61 – DSG 59 – Qualifikation 61 – PIA 343 – Stellung 61 – PIA, ISO/IEC 29134, 2017 768 – Benachrichtigungspflicht 61 – Rahmenwerk 343 – BS 10012, 2017 751 – Rahmenwerk, ISO/IEC 29100, 2011 767 – Cloud 343 – Schweiz – ISO/IEC 27018, 2014 124 – DSG 59 – TCDP 779 – USA – Cloud-Computing 765 – 16 CFR Part 312 747 – Datenübermittlung 62 – 16 CFR Part 313 747 – Deutschland – Verletzung – BDSG 54 – Erkennungsdauer 22 – Beauftragter 57 – Kosten 14, 22

Sachwortverzeichnis 825

– Verzeichnis von Datenverlust Verarbeitungstätigkeiten 60 – maximal tolerierbarer 596 Datensicherung 419 – Recovery Point Objective 596 – Archive 424 Datenvernichtung 460 – Aufbewahrung 603 DDoS 812 – Auslagerungsverfahren 424 Dechiffrierung 453 – Aussonderungsfrist 604 Decision Level 537 – Beispielskonzepte 163 Deduplizierung 390, 515 – Container 753 defense in depth 301 – dauerhaft inkrementell 421 De-Gausser 460 – differenziell 420 demilitarisierte Zone 522 – Dokumentationsvorlage 648 Demilitarized Zone 522 – Generationen 422 Denial of Service 791 – Generationenprinzip 602 Deny-All-Prinzip 304 – GoBD 44 DES 454 – inkrementell 421 Design Pattern 653, 662 – komplett 420 Development and Acquisition – Konzept 670 – FFIEC 748 – Medien 603 DevOps 655 – Methoden 420, 422 DGUV 63 – Namenskonventionen 602 – Grundsätze 63 – Netzbelastung 421 – Information 63 – Plan 603 – Regel 63 – Prozess 328 – Vorschrift 63 – Räume 753 DHCP 644, 791 – Ressourcen 328 Dienstleistungssicherheit – Richtlinie 602 – lebenszyklusimmanent 232 – Schränke 753 Digital evidence – selektiv 421 – ISO/IEC 27037, 2012 135 – Sicherungszeitpunkt 422 Digital Rights Management 790 – Strategie 503 Digital Signature Services 181 – synthetisch komplett 422 digitale Signatur 182 – Verantwortlichkeit 328 digitale Signierung – Verfahren 603 – Software 182 – zeitgleich 423 Digitales Rechtemanagement 790 – zeitnah 423 Digitales Wasserzeichen 790 – zeitversetzt 423 Digitalisierung Datenträger – ISO 13028, 2010, TR 757 – Archiv 416 DIN 16557-4, 2002 753 – Kataster 604 DIN 16560-15, 2003 753 – Vernichtung 460, 755 DIN 25424 753 – chemisch 460 DIN 40041 753 – DIN 66399 755 DIN 4426 753 – mechanisch 460 DIN 66398 755 – thermisch 460 DIN 66399 755

826 Sachwortverzeichnis

DIN EN 12251 753 Domain 167 DIN EN 50126, 2000 754 Domain Name Services 791 DIN EN 50128 754 DoS 791 DIN EN 50129, 2017, Entwurf 754 DPIA 61 DIN EN 50130 Beiblatt 1 754 DPPA 747 DIN EN 50131 754 3D-Face 538 DIN EN 50132 754 3D-RiSiKo-Pyramide 26 DIN EN 50134 754 3D-Sicherheitspyramide 25 DIN EN 50600 755 DRM 790 DIN EN 60812 755 Drucker DIN EN 60839-11-1 – forensische Codes 467 2013-12 755 Drucker-Richtlinie 564 DIN EN 62040-3 755 Druckjob DIN EN 80001-1, 2011 755 – Ausgabe 484 DIN EN ISO 9001 206, 757 DS 510 DIN ISO 10007, 2004 753 DSB 549 DIN ISO 9735-9 753 DSG 59, 744 Direct Attached Storage 510, 511 DSS 181, 775 DIS 795 – Abstract Code-Signing Profile 776 Disaster Recovery 194 – Advanced Electronic Signature Profiles – Plan 414 776 Discretionary Access Control 790 – Electronic PostMark Profile 776 Disk – German Signature Law Profile 776 – Solid State 504 – J2ME Code Signing Profile 776 Diskette 504 – XML Timestamping Profile 776 Distanzanforderung 321 DTDS 322, 510 Distanzprinzip 321 DTDS+ 322, 510 DLL Injection 466 DVD 504 DLM 790 Dynamic Host Configuration Protocol 791 DLP 481, 539 – Systeme 539 E DLT 507  EBA 84, 85 DMTF 514 ebXML 758, 791, 809 DMZ 522 – ISO 15000-5, 2014 758 DNS 791 ECPA 747 Dokumentation EDI 791 – Definition 499 EDIFACT 753, 791 – GoBD 45 – DIN 16557-4, 2002 753 – ISO 30300 768 – DIN 16560-15, 2003 753 – ISO 30301 768 – DIN ISO 9735-9 753 – ISO 30302 768 EDXL-DE 183 – ISO/IEC/IEEE 26511ff. 764 EDXL-HAVE 183 – Management 488 EDXL-RM 183 Dokumente EEPROM 504 – Lebenszyklusmanagement 790

Sachwortverzeichnis 827

EER 532 Energiewirtschaftsgesetz 66 EFF 467 Engineering EFTA 193 – Architecture Description EHS 192 – ISO/IEC 42010, 2011 769 EHSSCRMS 197 – Safety, Security, Continuity and Risk EICAR 791 203 eIDAS 746 – Systems and software Eigenmittel – ISO/IEC-25000-Familie 763 – FINMA 744 – ISO/IEC-26500-Familie 764 Einbruchmeldeanlage 431, 791 Enrolment 533 Eindringling 466 Entfernung 322 Einmalpasswort 443 entmilitarisierte Zone 522 Ein-Schlüssel-Verfahren 454 Entschlüsselung 453 Eintrittswahrscheinlichkeit 791 Entwicklungsstandard 671 – Klasse 352, 355 Entwurfsregel 662 Einwegfunktion 457 Environment Analysis 660 Einzelanforderungen EnWG 66 – Architekturmanagement 638 ePass 533 – Cloud-Computing 578 ePerso 533 – Datenschutzmanagement 586 Equal Error Rate (EER) 532 – Datensicherung 605 Ereignis – Firewall 643 – sicherheitsrelevant 464 – Genehmigung Rollen 627 Ereignismanagement 371 – Kapazitätsmanagement 593 Erhaltungssatz 319 – Passwort 642 Escrow-Agentur 487, 677 – Risikomanagement 591 ESMA 85 – WLAN 630, 644 Etagenverteiler 416 – Zugang und Zugriff 628 eTAN 807 – Zugangsschutz 626 eTAN plus 807 – Zutrittskontrollsystem 640 Ethernet 511 Electronic Data Interchange 791 – Gigabit 511 Elektronische Ermittlung EU NIS-Richtlinie 53 – ISO/IEC 27050 767 EU-Datenschutz-Grundverordnung 59 EMA 431, 791 European Free Trade Association 193 – DIN EN 50131 754 EuroSOX 41 Emergency Data Exchange Language 183, EU-US-Datenschutzschild 63 776 Evaluation Criteria EN 1047 753 – ISO/IEC 15408 758 endpoint security 482 EVU Endpoint Security 540 – Deutschland Energieversorger – EnWG 66 – NIST SP 1800-2, DRAFT 775 Exploit 792

828 Sachwortverzeichnis

F FFIEC – Audit 748 Fabrics 512 – Business Continuity Planning 393, 748 Facility management – Development and Acquisition 748 – ISO/FDIS 41001 769 – Information Security 748 FACTA 747 – IT Risk Management 748 Fahrtroutenverfolgung 463 – Operations 748 Failover 417 – Outsourcing 748 FAIT 1 45 – Supervision of Technology Service FAIT 2 45 Providers 748 FAIT 3 45 Fibre Channel 792 FAIT 4 45 – Arbitrated Loop 512 FAIT 5 45 Financial Services Falsch negativ 792 – ISO 22307, 2008 761 Falsch positiv 792 Financial Transaction Services 792 Falschakzeptanzrate 532 Finanzbereich Falschrückweisungsrate 532 – MISRA 188 False Acceptance Rate 441, 456, 532 – Programmierstandard 188 False negative 792 Finanzdienstleister False positive 792 – NIST SP 1800-5, DRAFT 775 False Rejection Rate 441, 456, 532 – NIST SP 1800-9, DRAFT 775 FAR 441, 456, 532 Finanzdienstleistungen Fax-Richtlinie 564 – Aufsicht 24 FC 792 – BAIT 72 FC-AL 512 – Biometrie, ISO 19092, 2008 760 FCD 795 – Datenschutz 343 FCIP 515 – Information Security FCM 397 – ISO 13569, TR, 2005 757 – Pyramide 399 – ISO 22307, 2008 343 FDA 88 – MaRisk 69 FDIC Finanzinstitute – Compliance 748 – G7FE 750 – Managing Multiple Service Providers Finanzmanagement 368 748 Fingerabdruck (fingerprint) 533 – Selecting a Service Provider 748 – digital 467 FDIS 795 – Scanner 533 Feature Level 537 – mobil 539 Federal Data Protection Act 54 – Sensor 484, 533 Fehlerbaumanalyse 753 – drucksensitiv 533 fehlertolerante Rechnersysteme 418 – Festkörper 533 Fernmeldegeheimnis 55 – hochfrequent 533 FERPA 747 – optisch 533 Festkörpersensor 533 – thermisch 533 Festplatte 504 – Ultraschall nutzend 533

Sachwortverzeichnis 829

Fingerabdrucknehmen 792 Funktionstrennung 300 – aktiv 792 – GoBD 44 – passiv 792 Fingerprinting 792 G FINMA GAMP 192 – Eigenmittel 744 GAMP 5 194, 755 FinTS 755, 792, 795 – Backup and Restore 195 – HBCI 792 – BCM 195 – PIN/TAN 792 – Security Management 195 Firewall 517 Gebäude 415 – Appliance 522 GeBüV 744 – Application Level Gateway 519 Gefährdung, Definition des BSI 94 – Bastion Host 522 Gefahrenmeldeanlage 793 – Begrenzungsrouter 522 Geldfälscher 467 – Circuit Level Gateway 519 Geldwäscherei 744 – Database 521 Generische Sicherheitskonzepte 227 – Dual-Home 522 GERM 192, 755 – Multi-Home 522 Geschäftsbücherverordnung 744 – Paketfilter 518 Geschäftsdiskontinuität 394 – Web Application 520 Geschäftseinflussanalyse 211, 264 – XML 520 Geschäftsfortführungsplan 596 FIRST 793 Geschäftskontinuität 212, 595 FISMA 748 – Planung 596 Flächensensor 533 Geschäftsunterbrechung 394 Flash Drive 504 – Notfallplan 87 Flash-EEPROM 504 Gesetze Flucht- und Rettungsplan 392 – Deutschland 742 Fluchtweg 595 – Großbritannien 745 FMEA – Österreich 744 – DIN EN 60812 755 – Schweiz 744 FoIA 745 – USA 747 Food and Drug Administration 88 Gesundheitswesen Forensic Watermarking 467 – Authentifizierung, DIN EN 12251, 2005 forensische Codes 467 753 forensische Computeranalyse 465 – Data warehouse, ISO 22221, TR, 2006 forensische Informatik 465 761 forensische Psychologie 493 – EDXL-HAVE 183 forensische Wasserzeichen 467 – ISO 18307, TR, 2001 759 forensischer Informatiker 466 – ISO 18308, 2011 759 forensischer Sachverständiger 465 – ISO 20514, TR, 2005 761 FOSS 387 – ISO 21091, 2013 761 Foto, digitaler Fingerabdruck 467 – ISO 21298, 2017 761 freie Software 387 – ISO 27789, 2013 767 FRR 441, 456, 532 – ISO 27799, 2016 767 Funk-LAN 793

830 Sachwortverzeichnis

– ISO TS 14265, 2011 757 – ordnungsmäßige Buchführung 750 – ISO/IEC 27799, 2016 106 – Sparsamkeit 70 – NIST SP 1800-1, DRAFT 775 Grundwerte der Informationssicherheit – PKI 211 – ISO 17090 759 GwG 743, 744 – XSPA 179 GwV 744 – Zugangskontrolle, ISO 22600 762 GxP 333 GLBA 748 – PIC/S 194 GLP 87, 192 – 21 CFR Part 58 747 H – IT-Anforderungen 192, 193 Hacker 794 GMA 793 Haftung GmbHG 743 – Geschäftsführer 39, 236 GMP 88, 192, 193 – Geschäftsleiter 236 – 21 CFR Part 110 747 – Unternehmen 42 – 21 CFR Part 211 747 – Vorstand 39 – PIC/S 193 Handbuch – PIC/S PE 009-13 747 – Abnahme 678 GoB 750 – Generierung 678 GoBD 452, 750 – Katastrophenvorsorge 605 GoDV 750 – Krisenvorsorge 605 Governance 73 – Notfallvorsorge 605 – Forensik, ISO/IEC 30121, 2015 768 Handelsgesetzbuch (HGB) 42, 43, 392 – IKT 796 Harvester 794 – Informationssicherheit 201 Hash-Algorithmus 458 – ISO/IEC 38500, 2015 769 Hash-functions – IT 796 – ISO/IEC 10118 757 – Prinzipien, BCBS 749 Hash-Funktion 457 GPG 195 Hashwert 181 – IT-Infrastruktur 195 Haus zur Sicherheit 269 GPS-Sender 463 Hazard and Operability Analysis Gravitätsklasse 352 (HAZOP) 691 GRC 793 HBCI 756, 795 Grenzszenarien 246, 596 hBCM 396 Grid 794 Health Informatics – Computing 478 – access control, ISO 22600 762 – OGFSM 184, 479 – Data warehouse, ISO 22221, TR, 2006 Grob- und Feintechnikzone 309 761 Großbritannien, Gesetze 745 – ISO 17090 759 Grundsätze – ISO 18307, TR, 2001 759 – DGUV 63 – ISO 18308, 2011 759 – GoB 43, 392, 750 – ISO 20514, TR, 2005 761 – GoBD 392, 750 – ISO 21091, 2013 761 – GoDV 43, 750 – ISO 21298, 2017 761

Sachwortverzeichnis 831

HGB 42, 743 ICTSO 549 HI 403, 551 IDEA® 454 HIDS 525 Identifikationssystem Hinweispflicht 31, 400 – biometrisch 530 HIPAA 748 Identifizierung HITECH Act 748 – Mehrfaktor 536 HIVI 551 – Zweifaktor 536 HMAC 444, 458 Identitätsmanagement 447, 484 – NIST, FIPS 198-1 773 – föderiert 170, 447 Hoax 792 – Liberty Alliance 170, 447 Home Banking Computer Interface (HBCI) Identitäts-Provider 170 795 Identitätsrichtlinien Honeyd 526 – NIST, SP 800-63-3 774 Honeynet 526 Identity Honeypot 525 – Life Cycle 447 – Sticky 526 – Maintaining 447 Honeytoken 526 – Management 447 Honeytrap 526 – Federated 170 Honeywall 526 – ISO/IEC 24760 763 Honignetz 526 – Provider 179 Honigtöpfchen 525 – Provisioning 447 HoSSC 269 – Terminating 447 Host 525 IdM 447 hot fixes 381 IDPS hot pluggable 417 – ISO/IEC 27039, 2015 135, 767 hot space 509 – NIST SP 800-94 Rev 1, DRAFT 774 hot spare 509 IDS 524 hot swap 509 IDW 45, 196, 251, 340, 795 hot swappable 418 – PH 9.330.3 750 HOTP 444 – PS 330 750 House of Safety, Security and Continuity – PS 525 750 269 – PS 880 750 HVAC 195 – PS 951 196, 750 – PS 980 750 I – RS FAIT 1 750 – RS FAIT 2 750 IAM 447, 516 – RS FAIT 3 750 ICS – RS FAIT 4 750 – Security – RS FAIT 5 750 – NIST SP 800-82, Rev. 2 774 IEC 795 – Stuxnet 9 IEC 62040-3 755 ICT Security Officer 549 IEEE 1012 756 ICTSCM 217 IEEE 802.1X-2010 517 ICTSKRMS 724 IETF 796 ICTSMS 724 iFCP 515

832 Sachwortverzeichnis

IIoT V Information Security IKS 41, 44, 70, 358 – Incident Management 680 – Prüfung – ISO/IEC 27035 766 – IDW PS 951 750 – Incident Response Team 550 IKT 795 – Management – Betrieb 680 – ISO 27799, 2016 767 – Lebenszyklus 652 – ISO/IEC 27000, 2016 108 – Schutzbedarfsanalyse 266 – ISO/IEC 27001, 2013 109 – Sicherheitsmanagement 200 – ISO/IEC 27002, 2013 112 – Systemsicherheit – ISO/IEC 27003, 2017 115 – lebenszyklusimmanent 232 – ISO/IEC 27010, 2015 120 IKT-Sicherheitspolitik – ISO/IEC 27013, 2015 121 – EBA 85 – ISO/IEC 27014, 2015 122 IKTSKRMS 724 – ISO/IEC 27016, TR, 2014 123 ILM 795 – ISO/IEC-27000-Familie 104 IMAC 364 – Officer (ISO) 549 IMAP 796 – Outsourcing IMAPs 796 – ISO/IEC 27036 766 Impact Analysis Informationen, DGUV 63 – Business 264 Informations- und – Operational 266 Kommunikationssysteme Impact Architecture – Vorgaben 416 – Business 353 Informationskategorien 560 – Resource 353 Informationslebenszyklus In-Band-Virtualisierung 513 -Management 795 Incident Informationsrisikomanagement – Detection, Conformity 374 – BAIT 73 – Detection, Continuity 374 Informationssicherheit – Detection, Privacy 374 – Anleitung, ISO 27003 765 – Detection, Security 374 – Anwendungen – Management – ISO/IEC 27034 131 – ISO/IEC 27035 766 – BAIT 73 – ISO/IEC 27035-1, 2016 133 – Cloud – Prevention – ISO/IEC 27017 765 – NIST SP 800-83, Rev. 1 774 – ISO/IEC 27018 765 – Response 374 – Controls, ISO 27002 765 – RFC 2350 756 – Digitale Beweismittel, ISO/IEC 27042, indizierte TAN 807 2015 767 Industrie 4.0 V, 2 – Elektronische Ermittlung, ISO/IEC 27050 Industriebereiche 767 – ISO/IEC 11801-5, 2017 757 – EVU, ISO/IEC 27019 765 Industrielle Steuerungssysteme – FFIEC 748 – IEC 62443 756 – Gesundheitswesen – NIST SP 800-82, Rev. 2 774 – ISO 27789, 2013 767 – ISO 27799, 2016 767

Sachwortverzeichnis 833

– Glossar, NIST 773 Injection – Governance 201 – Code 466 – Handbuch – DLL 466 – NIST SP 800-100 774 Innovationsmanagement 482 – IDPS, ISO/IEC 27039, 2015 767 Instandhaltung – Incident Management – DIN 4426, 2017 753 – ISO/IEC 27035 766 Instanz 210 – Investitionen 23 Intangible Asset 200 – Mitarbeiter 23 Integrität 810 – ISO/IEC-27000-Familie 764 – persönliche 493 – Kompetenzanforderungen, ISO/IEC – Test 493 27021 766 Interdependenz – Kontrollelemente, NIST 773 – Baum 608 – Leitlinie – horizontal 403, 551 – BAIT 73 – Netz 33, 404, 552, 608 – Managementsystem 198 – Plan 608 – BSI Standard 200-1 91 – vertikal 403, 551 – ISO 27001 765 Interessierte Parteien 142 – Monitoring, ISO 27004 765 International Engineering Consortium 795 – Netz, ISO/IEC 27033 766 International Organization for – Outsourcing, ISO/IEC 27036 766 Standardization 795 – Performance-Messung, NIST 774 Internes Kontrollsystem 41, 44, 750 – Politik – COSO 747 – DIN EN ISO/IEC 27001, 2017-06 111 – Prüfung, IDW PS 951 750 – DIN EN ISO/IEC 27002, 2017-06 114 Internet – Prozessleitsystem, ISO/IEC 27019 765 – iFCP 515 – Risikomanagement, NIST 773 – iSCSI 515 – Schwachstellen Internet Engineering Task Force 796 – Behandlungsprozess, ISO/IEC 30111, Internet Message Access Protocol 796 2013 768 Internet of Things (IoT) V, 10, 786 – Bekanntmachung, ISO/IEC 29147, 2014 – NIST SP 800-183 775 768 Internet Printing Protocol 458 – Storage, ISO/IEC 27040, 2015 767 Intruder 466 – Test, NIST SP 800-115 774 Intrusion – Trainingsanforderungen, NIST 773 – Detection – Vokabular, ISO 764 – NIST SP 800-94, Rev. 1, DRAFT 774 – Webapplikationen 777 – Detection System 524 Informationstechnologie – hostbasiert 525 – Anforderungen 70 – netzbasiert 524 Infrastruktur 547 – IDPS, ISO/IEC 27039, 2015 767 – Gebäude 415 – Signature 524 – Public Key 546 Investitionen – Räumlichkeiten 416 – Informationssicherheit 23 ingenieurmäßige Sicherheit 202 IoT V, 10, 786 – NIST SP 800-183 775

834 Sachwortverzeichnis

IP-Adresse 791 ISO 22312, TR, 2011 761 IP-Masquerading 796 ISO 22313, 2012 393, 762 IPP 458 ISO 22317, TS, 2015 762 IPsec 796 ISO 22318, TS, 2015 762 IP-Spoofing 796 ISO 22320, 2011 762 IP-Stack 792 ISO 22322, 2015 762 ISACA 155 ISO 22324, 2015 762 ISAE 3402 195 ISO 22397 762 iSCSI 515 ISO 22398, 2013 762 ISi-BPS 686 ISO 22600 762 ISiPyr 796 ISO 26262 764 ISIRT 680 ISO 27789, 2013 767 ISKRMS 724 ISO 27799, 2016 767 ISM, branchenspezifisch 105 ISO 29119, 2013 767 ISMS 90, 198, 724 ISO 44001, 2017 769 – ISO/IEC 27000 108 ISO 9001 757 – ISO/IEC 27001 109 ISO/IEC 10118 757 – ISO/IEC 27002 112 ISO/IEC 12207, 2017 757 ISMS-T 765 ISO/IEC 13569, 2005 757 ISO 549, 795 ISO/IEC 13888 757 ISO 10007, 2017 757 ISO/IEC 14516, 2002 757 ISO 14265, TS, 2011 757 ISO/IEC 14763 758 ISO 14971, 2007 758 ISO/IEC 14764, 2006 758 ISO 15000-5, 2014 758 ISO/IEC 14888 758 ISO 15489 803 ISO/IEC 15026 758 ISO 16085, 2006 759 ISO/IEC 15408 758 ISO 17090 759 ISO/IEC 15443-1,2, TR 758 ISO 17960 759 ISO/IEC 15446, TR, 2017 758 ISO 18128, 2014 759 ISO/IEC 15504 759 ISO 18307, TR, 2001 759 ISO/IEC 15945, 2002 759 ISO 18308, 2011 759 ISO/IEC 15946 759 ISO 18788 759 ISO/IEC 17025, 2017 759 ISO 19011 759 ISO/IEC 18045, 2008 759 ISO 19092, 2008 760 ISO/IEC 19770 149, 760 ISO 19249, TS, 2017 760 ISO/IEC 19770-2 760 ISO 19831, 2015 760 ISO/IEC 19770-3 760 ISO 19941, 2017 760 ISO/IEC 19770-5 760 ISO 20514, TR, 2005 761 ISO/IEC 19791, TR, 2010 760 ISO 21091, 2013 761 ISO/IEC 19792, 2009 760 ISO 21298, TS 761 ISO/IEC 19944, 2017 760 ISO 22221, TR, 2006 761 ISO/IEC 20000 145, 206, 760 ISO 22300, 2012 761 ISO/IEC 20000-10, TR, 2015 148 ISO 22301, 2012 393, 761 ISO/IEC 20000-11, TR, 2015 148 ISO 22307, 2008 761 ISO/IEC 20000-12, TR, 2016 148 ISO 22311, 2012 761 ISO/IEC 20000-6, 2017 147

Sachwortverzeichnis 835

ISO/IEC 20006-1, 2014 761 ISO/IEC 27016, TR, 2014 765 ISO/IEC 21000-15, 2006 761 ISO/IEC 27017, 2015 765 ISO/IEC 21000-5, 2004 761 ISO/IEC 27018, 2014 765 ISO/IEC 21827, 2008 761 ISO/IEC 27019, 2017 765 ISO/IEC 21878, DIS 761 ISO/IEC 27021, 2017 766 ISO/IEC 2382, 2015 756 ISO/IEC 27023, 2015 766 ISO/IEC 24731-1, TR, 2007 762 ISO/IEC 27031, 2011 766 ISO/IEC 24731-2, TR, 2010 762 ISO/IEC 27032, 2012 766 ISO/IEC 24745, 2011 762 ISO/IEC 27033 130, 766 ISO/IEC 24748 762 ISO/IEC 27035-1, 2016 766 ISO/IEC 24759, 2017 762 ISO/IEC 27035-2, 2016 766 ISO/IEC 24760-1, 2011 763 ISO/IEC 27036-1, 2014 766 ISO/IEC 24760-2, 2015 763 ISO/IEC 27036-2, 2014 766 ISO/IEC 24760-3, 2016 763 ISO/IEC 27036-3, 2013 766 ISO/IEC 24761, 2009 763 ISO/IEC 27036-4, 2016 766 ISO/IEC 24763, TR, 2011 763 ISO/IEC 27037, 2012 767 ISO/IEC 24774, 2010 763 ISO/IEC 27038, 2014 767 ISO/IEC 24775, 2014 513 ISO/IEC 27039, 2015 767 ISO/IEC 25000, 2014 763 ISO/IEC 27040, 2015 767 ISO/IEC 25001, 2014 763 ISO/IEC 27041, 2015 767 ISO/IEC 25010, 2011 763 ISO/IEC 27042, 2015 767 ISO/IEC 25012, 2008 763 ISO/IEC 27043, 2015 767 ISO/IEC 25020, 2007 763 ISO/IEC 27050 767 ISO/IEC 25030, 2007 764 ISO/IEC 27050-1, 2016 767 ISO/IEC 25040, 2011 764 ISO/IEC 27050-2, DIS 767 ISO/IEC 25041, 2012 764 ISO/IEC 27050-3, 2017 767 ISO/IEC 25045, 2010 764 ISO/IEC 27103, PRF TR 767 ISO/IEC 25060, TR, 2010 764 ISO/IEC 27552, CD 767 ISO/IEC 26514, 2008 764 ISO/IEC 29100, 2011 767 ISO/IEC 26531, 2017 764 ISO/IEC 29115, 2013 767 ISO/IEC 27000, 2016 108, 764 ISO/IEC 29125, TS, 2017 767 ISO/IEC 27001, 2013 109 ISO/IEC 29134, 2017 768 ISO/IEC 27001, 2013, Cor 2, 2015 765 ISO/IEC 29146, 2016 768 ISO/IEC 27002, 2013 112, 765 ISO/IEC 29147, 2014 768 ISO/IEC 27003, 2017 115, 765 ISO/IEC 29149, TR, 2012 768 ISO/IEC 27004, 2016 117, 765 ISO/IEC 29150, 2011 768 ISO/IEC 27005, 2011 118, 765 ISO/IEC 29190, 2015 768 ISO/IEC 27006, 2015 765 ISO/IEC 29361, 2008 768 ISO/IEC 27007, 2017 765 ISO/IEC 29362, 2008 768 ISO/IEC 27008, TR, 2011 765 ISO/IEC 29363, 2008 768 ISO/IEC 27009, 2016 765 ISO/IEC 30104, TS, 2015 768 ISO/IEC 27010, 2015 765 ISO/IEC TR 20000-9, 2015 147 ISO/IEC 27011, 2016 765 ISO/IEC TR 20004, 2015 761 ISO/IEC 27013, 2015 765 ISO/IEC TR 24748-2, 2011 762 ISO/IEC 27014, 2013 765 ISO/IEC TR 24748-3, 2011 762

836 Sachwortverzeichnis

ISO/IEC/IEEE 26511, 2011 764 – VdS 2007, 2016 779 ISO/IEC/IEEE 26512, 2011 764 – Virtualisierung, ISO/IEC 21878, DIS 761 ISO/IEC/IEEE 26515, 2011 764 – Virtualization 774 ISO/IEC-27000-Familie 104 – Web Services 774 ISP 802 – WLAN Guidelines 775 ISPE 195 IT Service Continuity Management 410 IT Asset Management (ITAM) IT Service Lifecycle 152, 338 – ISO/IEC 19770 760 IT Service Management – NIST SP 1800-5, DRAFT 775 – COBIT 753 IT Governance 796 – ISO/IEC 20000-1, 2011 760 – Institute 201 – ISO/IEC 20000-10, TR, 2015 760 IT Network Security – ISO/IEC 20000-11, TR, 2015 760 – ISO/IEC 27033 766 – ISO/IEC 20000-12, TR, 2016 760 IT Risk Management – ISO/IEC 20000-2, 2012 760 – FFIEC 748 – ISO/IEC 20000-3, 2012 760 IT Security – ISO/IEC 20000-4, TR, 2010 760 – Assessment Framework 168 – ISO/IEC 20000-5, TR, 2013 760 – Bluetooth 774 – ISO/IEC 20000-6, 2017 760 – Cloud Computing 775 – ISO/IEC 20000-9, TR, 2015 760 – Configuration Management 774 – ISO/IEC 90006, TR, 2013 769 – Continuous Monitoring 774 – ITIL 769 – Digital signature ITAF 155 – ISO/IEC 14888 758 ITAM – Evaluation – ISO/IEC 19770 760 – ISO/IEC 18045 759 – ISO/IEC 19770-5 151 – Firewall Guidelines and Policy 773 iTAN 807 – ICS 774 IT-Betrieb 680 – IDPS 774 IT-Grundschutzhandbuch 90 – Incident Handling 774 IT-Grundschutzkataloge (IT-GSK) 90 – ISO/IEC 15443-1,2, TR 758 IT-Grundschutz-Kompendium 90, 253 – ISO/IEC 15446, TR, 2017 758 IT-GSHB 90 – Management IT-GSK 90 – ISO/IEC 13888 757 ITIL 204, 337, 769 – ISO/IEC 15946 759 – Service Design 153 – ISO/IEC 27000, 2016 764 – Service Improvement 153 – ISO/IEC 27004, 2016 117 – Service Lifecycle 152, 338 – Media Sanitization 774 – Service Operation 153 – Mobile Devices 774 – Service Strategy 152 – Mobile Devices, DRAFT 775 – Service Transition 153 – Product Selection Guide 773 – Version 3 152, 338 – Risk Management 773 ITKSiPyr 797 – Schwachstellenanalyse, ISO/IEC TR IT-Lebenszyklus 652 20004, 2015 761 IT-Prozessbeurteilung – Self-Assessment 692 – ISO/IEC 15504 759 – Server 774 – ISO/IEC 33001, 2015 769

Sachwortverzeichnis 837

ITSCM 217, 397 – Informationen 560 – Datenbank 608 KAVerOV 743 – ISO/IEC 27031, 2011 126 KDC 445 – Pyramid 399 Kennzahl 363, 607 – Pyramide 398 Kerberos 445, 798 ITSEC 769 Kernprozess 329, 331 IT-Services 338 Key Distribution Center 445 IT-Sicherheits-BPS 686 Key Logger 461, 798 IT-Sicherheitsgesetz 48 Key Performance Indicator 703 IT-SiG 743 Klasse IT-Strategie 88 – Ausnutzbarkeit 352 ITU-T 797 – Eintrittswahrscheinlichkeit 352, 355 – Gewichtigkeit 356 J – Schadenspotenzial 352, 353 Klassen-Maßnahmen-Matrix 275 JAAS 797 KMM 275 Java Authentication and Authorization KMU X Service (JAAS) 797 – Sicherheitsmanagement 38 Java Cryptographic Architecture 797 Knoten 417 Java Secure Socket Extension 798 Knowledgeware 229 JBOD 512 Kollisionsresistenz 457 JCA 797 Kommunales Netz 798 Joint Forum Konfigurationscluster 385 – Business Continuity 86, 393, 749 Konfigurationsdatenbank 385, 662 – Outsourcing 749 Konfigurationselement 384, 662 JSSE 798 Konfigurationsmanagement 384 – DIN ISO 10007, 2004 753 K – ISO 10007, 2017 757 Kabelführungszone 309 – NIST SP 800-128 774 KAG 744 Konfigurationsmanager 662 KAGB 69, 743 Konformität 340 KAMaRisk 79, 751 – Einflussanalyse 339 kanonisch 181 Konformitätsmanagement 339 Kapazitätsmanagement 388 Konsolidierung Kapitalanlagegesetzbuch 69 – Arbeitsmittel 316 Kapitalverwaltungsgesellschaften – Dataware 315 – KAMaRisk 79 – Daten 316 – Notfallkonzept 80 – Hardware 315 Katastrophe 594 – Hilfsmittel 316 – Vorsorge 605 – Interface 315 – Handbuch 605 – Knowledgeware 315 – Vorsorgeplanung 612 – Komponenten 316 Kategorie – Materialien 316 – Daten 560 – Middleware 315

838 Sachwortverzeichnis

– Organisation 316 – Prozess 345 – Orgware 315 – Quellen 347 – Processware 315 – Risiko 346 – Produkt 317 – Schulung 346 – Prodware 315 – Sensibilisierung 346 – Prozess 315 – Transport 347 – Schnittstellen 316 – Übertragung 347 – Service 317 – Überwachung 346 – Servware 315 – Verarbeitung 346 – Software 315 – Verfügbarkeit 347 – Technologie 315 – Verpflichtung 345 – Wissen 316 – Wiederaufbereitung 347 Kontinuität – Zugang 346 – Architektur – Zugriff 346 – unternehmensspezifisch 280 – Zutritt 346 – dienstleistungsimmanent 314 – Zweck 347 – IKT-Lebenszyklus 652 Kontrollelement 798 – lebenszyklusimmanent 314 Kontrollen – Management 394, 395, 410 – Konformitätsmanagement 581 – ISO 22301, 2012 761 – Kontinuitätsmanagement 599 – ISO 22313, 2012 762 – Politik 613 – Prozess 409 – Reifegrad 720 – Pyramide 398 Kontrollsystem – Regelkreis 409 – internes 70 – organisationsimmanent 313 Kontrollziel 799 – pervasiv 314 Konversation 172 – Politik 225, 238, 399 Korrekturmaßnahmen 695 – produktimmanent 314 Kosten – prozessimmanent 313 – Ausfall 21, 402 – Pyramide 398 – Datenschutzverletzung 22 – ressourcenimmanent 313 – Sicherheitsverletzung 22 – Strategie 287 Kosten-Nutzen-Aspekte 244 – ubiquitär 314 KPI 703, 706 KonTraG 42, 349, 743 Kreditinstitute Kontrollaktivität 798 – Aufsicht, EU 746 Kontrolle Kreditwesengesetz 68 – Abgang 347 Krise 593 – Absende 347 – Vorsorgeplanung 612 – Auftrag 347 Krisenmanagement – Auswahl 345 – BS 11200, 2014 751 – Eingabe 347 Krisenmanager 606 – Empfänger 347 Krisenstab 550, 606 – Grundsatz 345 Krisenvorsorge 605 – Lese 347 – Handbuch 605 – Nachweise 348 Kritikalität 799

Sachwortverzeichnis 839

KRITIS 48 Lightweight Directory Access Protocol – Betreiber, BSI B3S 752 799 Kritische Infrastruktur 48 Live-Analyse 466 Kryptografie 453 Lizenzmanagement 386 – ISO/IEC 15946 759 – Freie Software 387 – Schlüssellängen 752 Local Area Network 799 Krypto-Tool 456 Logging 464, 478, 479 KWG 68, 743 Logout – simultan 178 L Lokales Netz 799 Löschtools 459 Lagebericht 43 Löschverfahren – Sicherheit 18 – BSI 459 LAN 799 – DoD 5220.22-M 459 – virtuell 310 – DoD 5220.22-M ECE 459 Landkarte – Gutmann 459 – Bedrohung 284 Löschvorgang 459 Lastenheft 661 Luftfahrt LDAP 799 – MISRA 188 Least Privileges 306 – Programmierstandard 188 Lebenderkennung 441, 535 LUN masking 137 Lebenszyklus 224, 652 – Prozesse M – ISO/IEC 90003, 2014 769 – ISO/IEC 90005, TR, 2008 769 MAC 799 lebenszyklusimmanent MaComp 81, 751 – Dienstleistungssicherheit 232 MaGo 83 – IKT-Systemsicherheit 232 – Notfallmanagement 83 – Produktsicherheit 232 MaIuK 88, 751 – Sicherheit 231 Makroviren 528 Leerraumdetektion 811 Malware 528, 804 Leistungsmanagement 362 MAN 798 Leistungsvereinbarung 362 Managed Objects 332 Leitsatz 242 Managed Services 488 Level Management by – Decision 537 – Objectives 494 – Feature 537 – walking around 494 – Score 537 Managementdisziplin 329 – Sensor 537 – Änderungen 379 level of trust – Architektur 467 – ISO/IEC 27034 132 – Change 379 Liberty Alliance 170 – Compliance 339 Lieferantenbeziehung – Datenschutz 343 – ISO/IEC 27036 134 – Ereignisse 371 – Finanzen 368

840 Sachwortverzeichnis

– Innovation 482 Maßnahmen-Klassen-Matrix 275 – Kapazität 388 Match on Device 535, 536 – Konfiguration 384 Matching – Konformität 339 – One-To-Many (O2M) 530 – Kontinuität 394, 395 – One-To-One (O2O) 530 – Leistungen 362 Maturity Model 713 – Lizenzen 386 – COBIT 169 – Performance 388 – ICT Safety, Security, Continuity and – Personal 491 Risk 713 – Probleme 378 – Safety, Security, Continuity, Risk, – Projekte 369 Privacy, Compliance Management 713 – Qualität 369 – Software Assurance 167 – Release 383 – Systems Security Engineering 166 – Risiko 349 Maximal tolerierbare Ausfalldauer 596 – Service Level 362 Maximalabstand 322 – Überblick 336 Maximale Wiederanlaufzeit 597 – Wartung 391 Maximum Acceptable Outage (MAO) 363, Managementprozess 329 596 Managementsystem 26 Maximum Tolerable Downtime (MTD) – Auditing, ISO 19011 759 596 – BCM Maximum Tolerable Period of Disruption – ISO 22301, 2012 761 (MTPD) 596 – Business Continuity MBCO 597 – bsi PD 25111 751 MBOD 512 – bsi PD 25666 751 MD5 458 – bsi PD 25888 752 MDM 542 – Compliance 750 Medium Access Control (MAC) 799 – Datenschutz 751 Mehrfaktorauthentifizierung 536 – Informationssicherheit 752 Mehrfaktoridentifizierung 536 – ISO-27000-Familie 765 Merkmal – ISO-MSS 769 – physiologisch 530 – Rahmenwerk 751 Message Authentication Code (MAC) 799 – Risikomanagement Metropolitan Area Network (MAN) 798 – ISO 31000, 2018 769 Mindestanforderungen Mandatory Access Control (MAC) 799 – Compliance-Funktion 81 man-in-the-middle-Attacken 807 – IuK 88 MAO 363, 596 – MaRisk 69 MaRisk 349 – Risikomanagement 79 – BA, Banken 751 Mindestgeschäftsbetrieb 17, 265, 597 – Banken 69 Mindestschutz 274 – Kapitalverwaltungsgesellschaften 79 Mindeststandard – Notfallkonzept 393 – BSI 543 – Notfalltests 393 Mindestszenarien 240, 246, 597 Maschinenrichtlinie, Europa 745 Minimalabstand 322 MaSI 751

Sachwortverzeichnis 841

Minimum Business Continuity Objective N 597 N+x-Redundanz 298 Minimum Privileges 306 NAC 452 Minimum Services Principle 306 Nacharbeit 395, 597 mirroring 508, 512 Nachvollziehbarkeit 307 – host based 598 NACS 516 – storage based 598 Namenskonvention 385 MISRA 187 narrensicherer Mechanismus 293 – AC GMG 772 NAS 137, 511, 515 – C 187 NAT 799 – C++ 188, 772 NEA 297, 415, 799 – C3 772 near miss 410 – SA 188 Need-to-know-Prinzip 81 – Safety Analysis Guidelines 188 Need-to-Know-Prinzip 70 MKM 275 nepenthes 526 Mobile Device Management 542 Netto-Risiko 214 – BSI Mindeststandard 752 Network Access Control (NAC) 452 Mobile Devices Security Network Address Translation 799 – NIST SP 800-124, Rev. 1 774 Network Attached Storage 511 – NIST SP 800-164, DRAFT 775 network centric 511 MOF 514 Networks of Things Momentaufnahme 689 – NIST SP 800-183 775 Monitoring Netzersatzanlage 297 – Black Hole 129 Netzersatzanlage (NEA) 415, 799 – Darknet 129 Netzidentität MoReq2010® 803 – föderierte 170 MTA 363, 596 Netzsegment 308, 310 mTAN 807 Netzsicherheit MTBF 597 – ISO/IEC 27033 130, 766 MTBSI 597 Netzzugangskontrollsystem 516 MTD 596 NEWS 2014 MTPD 363, 596 – BS 11200 751 MTTA 597 – BS 65000 751 MTTR 597 – DIN EN 50600-2-1 755 multialgorithmisch 537 – DIN EN 50600-2-2 755 multiinstance 536 – DIN EN 50600-2-4 755 multimodal 536 – DIN EN 50600-2-5 755 – Biometrische Verfahren 537 – DIN EN 50600-2-6 755 Multi-Provider-Management 367 – eIDAS 746 multirepresentation 536 – GoBD 44 multisample 536 – Identifizierung, EU 746 multisensorisch 537 – ISO 17090-4 759 multispektral 537 – ISO 17788 759 Mustererkennung 524 – ISO 17789 759

842 Sachwortverzeichnis

– ISO 18128 759 – ISO/IEC 20000-11, TR 760 – ISO 20006-1 761 – ISO/IEC 20000-9, TR 760 – ISO 22397 762 – ISO/IEC 2382 756 – ISO 22600 762 – ISO/IEC 24760-2 763 – ISO/IEC 24775 763 – ISO/IEC 25024 764 – ISO/IEC 25000 763 – ISO/IEC 27006 765 – ISO/IEC 25001 763 – ISO/IEC 27010 120, 765 – ISO/IEC 27018 765 – ISO/IEC 27013 121, 765 – ISO/IEC 27033-4 766 – ISO/IEC 27017 765 – ISO/IEC 27038 767 – ISO/IEC 27023 766 – ISO/IEC 29147 768 – ISO/IEC 27033-1 766 – ISO/IEC 90003 769 – ISO/IEC 27034-2 766 – IVT 746 – ISO/IEC 27039 767 – MaComp 81 – ISO/IEC 27040 767 – Review of Risk Management – ISO/IEC 27041 767 Principles 749 – ISO/IEC 27042 767 – SERA 778 – ISO/IEC 27043 767 – SMI-S 1.6.0 513 – ISO/IEC 29190 768 – Vertrauensdienste, EU 746 – ISO/IEC 29197 768 NEWS 2015 – ISO/IEC 30104, TS 768 – Archivierung – ISO/IEC 30121 768 – IDW RS FAIT 3 750 – ISO/IEC 33001 769 – Business Continuity Planning, – ISO/IEC 38500 769 FFIEC 748 – ISO/IEC TR 20000-10 148 – Cloud-Computing – ISO/IEC TR 20000-11 148 – ISO 19831 760 – ISO/IEC TR 20000-9 147 – Governance-Prinzipien 749 – Management, FFIEC 748 – IDW, RS FAIT 5 750 – MaSI 751 – ISO 17090-2 759 – NIST SP 800-161 775 – ISO 17960 759 – NIST SP 800-167 775 – ISO 18788 759 – NIST SP 800-82, Rev. 2 774 – ISO 20004 761 – VdS 3473 779 – ISO 22317, TS 762 NEWS 2016 – ISO 22318, TS 762 – BSI Cloud Computing (C5) 752 – ISO 22322 762 – Compliance, FDIC 748 – ISO 22324 762 – DIN 66398 755 – ISO 27039 135 – EU DS-GVO 747 – ISO 27040 137 – EU-NIS 746 – ISO 29119-4 767 – FINMA-RS 16/7, Identifizierung 744 – ISO 30302 768 – FINMA-RS 17/1, Governance 744 – ISO/IEC 11801-9903, TR 757 – FINMA-RS 17/2, Governance 744 – ISO/IEC 15026-3 758 – G7FE 750 – ISO/IEC 19770-2 760 – Information Security, FFIEC 748 – ISO/IEC 19770-5 760 – ISO 15489-1 758 – ISO/IEC 20000-10, TR 760 – ISO 19086-1 760

Sachwortverzeichnis 843

– ISO 27799 767 – BSI Standard 200-2 752 – ISO 29119-5 767 – BSI Standard 200-3 752 – ISO 37001 769 – BSI-KritisV 742 – ISO/IEC 10118-1 757 – CC, V3.1, Rel. 5 752 – ISO/IEC 14888-3 758 – CEM, V3.1, Rel. 5 752 – ISO/IEC 19770-3 760 – Cloud-Computing – ISO/IEC 20000-12, TR 760 – ISO 19941 760 – ISO/IEC 24760-3 763 – ISO/IEC 19944 760 – ISO/IEC 25022 763 – Cyber Resilience 751 – ISO/IEC 25023 763 – Cybersecurity – ISO/IEC 27000 108, 764 – NIST Handbook 773 – ISO/IEC 27004 117, 765 – Datenschutz – ISO/IEC 27009 765 – BS 10012 751 – ISO/IEC 27011 765 – DIN 4426 753 – ISO/IEC 27033-6 766 – EBA/REC/2017/03 749 – ISO/IEC 27034-6 766 – FINMA-RS 18/1, OHS 744 – ISO/IEC 27035-1 133, 766 – FINMA-RS 18/3, Outsourcing 744 – ISO/IEC 27035-2 133, 766 – GAMP® Guide Records and Data – ISO/IEC 27036-4 766 Integrity 195 – ISO/IEC 27050-1 767 – GPG IT-Infrastruktur 195 – ISO/IEC 29146 768 – ISO 10007 757 – ISO/IEC TR 20000-12 148 – ISO 17090-5 759 – ISO/IEC TS 24748-1 762 – ISO 19249, TS 760 – ISO/IEC TS 24748-4 762 – ISO 21298 761 – ISO/IEC TS 24748-6 762 – ISO/IEC 11801-1 757 – Kosten – ISO/IEC 11801-3 757 – Sicherheitsverletzung 22 – ISO/IEC 11801-5 757 – MaIuK 88, 751 – ISO/IEC 11801-6 757 – NIST SP 800-114, Rev. 1 774 – ISO/IEC 11801-9902, TR 757 – NIST SP 800-150 775 – ISO/IEC 11801-9904, TR 757 – NIST SP 800-160 775 – ISO/IEC 12207 757 – NIST SP 800-183 775 – ISO/IEC 15446, TR 758 – NIST SP 800-184 775 – ISO/IEC 15946 759 – NIST SP 800-46, Rev. 2 773 – ISO/IEC 17025 759 – PCI DSS, V 3.2 778 – ISO/IEC 19770-1 760 – Sicherheitsstudie 18 – ISO/IEC 19944 760 – TCDP 779 – ISO/IEC 20000-6 147, 760 – VdS 2007 779 – ISO/IEC 24759 762 NEWS 2017 – ISO/IEC 26531 764 – Architekturprinzipien 760 – ISO/IEC 27003 115, 765 – BAIT 72 – ISO/IEC 27007 765 – BS 10012 751 – ISO/IEC 27019 765 – BSI IT-Grundschutz-Kompendium 752 – ISO/IEC 27021 766 – BSI Mindeststandard MDM 752 – ISO/IEC 27034-5 766 – BSI Standard 200-1 752 – ISO/IEC 27050-3 767

844 Sachwortverzeichnis

– ISO/IEC 29125, TS 767 – Management – ISO/IEC 29134 768 – BAIT 73 – ISO/IEC 29151 768 – BSI Standard 100-4 94 – IT-Grundschutz-Kompendium 101 – MaGo 83 – KAMaRisk 79 – Plan 87 – Kosten – Geschäftsunterbrechung 87 – Datenschutzverletzung 22 – Planung – MaGo 83 – Tool 609 – MaRisk 69 – Team 550 – MaRisk BA, Banken 751 – Test 72 – NIST SP 800-121 Rev. 2 774 – Vorsorge 605 – NIST, SP 800-63-3 774 – Handbuch 605 – PIC/S GMP, Annex 11 193 – Investitionen 23 – PIC/S PE 009-13, GMP 747 – Planung 612 – Risikomanagement, COSO 747 Notfall-, Krisen- und – SWIFT CSP 778 Katastrophenvorsorgeplan 414 – XACML 179 NP 795 NEWS 2018 NTLM 137 – ISO/IEC 31000 769 Next Generation Firewall 523 O NFS 137, 511 O2M 530 NGFW 523 O2O 530 NGN 797 OASIS 173, 800 Nichtabstreitbarkeit – AVDL 182, 775 – ISO/IEC 13888 757 – CAP 182, 775 NIDS 524 – Common Alerting Protocol 775 NIST 800 – Cross-Enterprise Security and Privacy – Firewall Guidelines and Policy 773 Authorization 777 – Information Security – DSS 181, 775 – Terms 773 – Abstract Code-Signing Profile 776 – Security – AdES 776 – Controls 773 – EPM 776 – Training Requirements 773 – German Signature Law Profile 776 NNIDS 525 – J2ME Code Signing Profile 776 Node 417 – XML Timestamping Profile 776 Notausgang 598 – EDXL-DE 183, 776 Notbetrieb 45, 393, 395, 598 – EDXL-HAVE 183, 776 – Nacharbeit 395 – EDXL-RM 183, 776 – Postvention 395 – PMRM 776 – Rückkehr 395 – Privacy Management 776 – Übergang 395, 407 – RBAC 804 Notfall 593 – SAML 776 – Konzept – Security Assertion Markup Language – BaFin 80 776 – Kapitalverwaltungsgesellschaften 80

Sachwortverzeichnis 845

– Service Oriented Architecture 776 ÖNORM A 7700 777 – Service Provisioning Markup Language ÖNORM S 2402 777 776 ÖNORM S 2403 777 – SOA 776 ONR 49000, 2014 778 – SPML 776 ONR 49001, 2014 778 – UDDI 776 ONR 49002, 2014 778 – Web Services Security (WSS) 174, 666 ONR 49003, 2014 778 – Kerberos 776 Open Door Policy 494 – REL 776 Open Grid ForumSM 184, 479 – SAML 776 OpenPGP 800 – SOAP Message Security 776 OpenVAS 387 – SwA 777 Operational Impact Analysis 266, 786 – Username 777 Operational Level Agreement 362, 486 – X.509 777 operationelles Risiko 84, 86 – WS-SecureConversation 777 – Banken 744 – WS-Trust 777 – Schweiz 744 – XACML 179, 777 Operations – XCBF 777 – FFIEC 748 – XSPA Opferlamm 522 – Profile of SAML 777 optischer Sensor 533 – Profile of WS-Trust 777 Ordnungsmäßigkeit 208 – Profile of XACML 777 Organisation 230 OATH 800 – Architektur 470 Objektorientierung 293 Organization for the Advancement of Objektschutz 431 Structured Information Standards 800 – äußerer 431 Organization Normative Framework – innerer 431 (ONF) Occupational Health, Safety, Security, – ISO/IEC 27034 132 Continuity and Risk Management 200 OSI Referenzmodell 800 OCTAVE 143, 692 Österreich, Gesetze, Verordnungen 744 OCTAVE Allegro 144 OTP 443 OCTAVE-S 143 – HOTP 444 OGFSM 184, 479 – TOTP 444 OGSA 184, 479, 777 Out-of-Band-Virtualisierung 513 – Basic Security Profile 778 Outsourcing 681 – SAML 778 – Banken 744 – Secure Addressing Profile, P-REC 778 – EBA/REC/2017/03 749 – Secure Communications Profile, P-REC – FFIEC 748 778 – information security – WS-TRUST 778 – ISO/IEC 27036 766 – XACML 778 – ISO 37500, 2014 769 OIA 266, 786 – Joint Forum 749 OLA 362, 486 – Versicherungen 744 OLTP 504 OWASP 188 One Time Password (OTP) 443 OWiG 40, 743

846 Sachwortverzeichnis

P PDP 179 Penetrationstest 463, 692 Paketfilter 518 – Black-Box- 693 – mit Zustandstabelle 519 – Grey-Box- 693 PAM 516 – White-Box- 693 PAP 802 PEP 179 Paperware 384 pepper 457 Parameter Tampering 520 Performancemanagement 388 Party Period of Disruption 403, 596 – Asserting 177 Personal 230 – Relying 177 – Beschaffung 492 PAS 802 – Betreuung 494 Password – Einarbeitung 493 – Cracking 442 – Management 491 – Guessing 442 – Planung 492 – Social Hacking 442 – Prozess 491, 492 Passwort – Recruiting 492 – ermitteln 442 – Trennung 497 – erraten 442 – Weiterentwicklung 494 – Gebote 630 Personal Identification Number (PIN) 440 – probieren 442 Personalvertretungsgesetze 64 – Prüfung 631 Personen-Hilferufanlagen – Regeln 630, 655 – DIN EN 50134 754 – Rücksetzung 539 Perspektive – Vielfalt 444 – finanziell 701 – zeitabhängig 443 – Kunden 702 Patchmanagement 381 – Lernen und Entwicklung 710 PatG 743 – Prozesse 706 Pattern pervasiv – Architecture 653 – RiSiKo-Management 314 – Design 653 pervasive pBSC 701 – Continuity 314 PCI DSS 140, 778 – Safety 314 PCM 397 – Security 314 – Pyramide 399 Pfadanalyse 302 PD 25111, BCM 751 PfandBG 743 PD 25666 751 PfG 744 PD 25888 752 PGP 800 PDA 14 PH 9.330.1 45 PDCA-Zyklus 724 PH 9.330.2 45 – ISO/IEC 20000-1 145 PH 9.330.3 45 – ITIL 153 Pharming 801 – Kontinuitätsmanagement 409 Phasen-Ergebnistypen-Tabelle 683 – Qualitätsmanagement 358 Phishing 801 – Risikomanagement 358 photoTAN 807

Sachwortverzeichnis 847

PIA 343 Prinzip – ISO/IEC 29134, 2017 768 – abgesicherter Ausfall 312 PIC 193 – Abstraktion 291 PIC/S 193 – Abwesenheitssperre 299 – PE 009-13, Annexes 747 – Aktiv-Passiv-Differenzierung 323 – PI 011-3 747 – aufgeräumter Arbeitsplatz 299 PIMS 751 – Aufteilung 320 PIN 440, 801 – Ausschließlichkeit 304 PIP 179 – Clear Screen Policy 299 Pit 504 – deny all 304 pixel per inch 538 – Distanz 321 PKI 176, 546, 802 – Eigenverantwortlichkeit 300 – ISO 17090 759 – Funktionstrennung 300 – X.509 546 – Ge- und Verbotsdifferenzierung 304 PKIX 802 – generelles Verbot 304 Plan-Ist-Vergleich 695 – gesicherte Identität 303 Planungshorizont 17, 240 – gesicherte Kommunikation 303 Plattenspiegelung 508 – gestaffelte Sicherheitsbarrieren 301 Plausibilitätsprüfung 295 – gestaffelte Verteidigungslinien 301 PMBOK 156 – grundsätzliches Verbot 304 PMRM 776 – Immanenz 313 Poka-Yoke 293 – Klassenbildung 292 Policy – Konsistenz 319 – Decision Point 179 – Konsolidierung 314 – Enforcement Point 179 – minimale Dienste 306 – Information Point 179 – minimale Nutzung 307 POP 801 – minimale Rechte 306 POP3 801 – minimaler Bedarf 305 POP3s 801 – Nachvollziehbarkeit 307 Port Binding 137 – Nachweisbarkeit 307 Portscanning 524 – Namenskonvention 295 Post Office Protocol 801 – Need-to-Know 70, 305, 306 Postmarking 182 – Need-to-Use 305, 306 Post-Mortem-Analyse 466 – Pfadanalyse 302 Postvention 395 – Plausibilisierung 318 Power Supply – Poka-Yoke 293 – Uninterruptable 810 – Pseudonymisierung 321 ppi 538 – Redundanz 296 PPP 802 – sachverständiger Dritter 307 – CHAP 802 – Sicherheitsschalen 301 Practices – Sicherheitszone 308 – USA 747 – Sicherheitszonenanalyse 312 Präventivmaßnahme 413 – Standardisierung 317 PRF 795 – Subjekt-Objekt-Differenzierung 323 Primärspeicher 503, 507 – Überblick 325

848 Sachwortverzeichnis

– Untergliederung 320 Programmierrichtlinie – Vererbung 323 – AndroidTM 189 – Vielfältigkeit 321 – C (MISRA) 187 – Vier-Augen- 300 – C (SEI) 188 – Wirtschaftlichkeit 291 – C++ (MISRA) 188 Privacy – C++ (SEI) 188 – 16 CFR Part 312 747 – Java (SEI) 188 – 16 CFR Part 313 747 – sicherheitskritische Systeme 673 – ISO 22307, 2008 761 – Webanwendung 188 – ISO/IEC 29100, 2011 767 Programmierstandards 668 – ISO/IEC 29101, 2013 767 Programmierung – ISO/IEC 29190, 2015 768 – sichere Webanwendung 188 – Leitfaden, ISO/IEC 29151, 2017 768 Programmviren 528 Privacy Act 62 Projektmanagement 369 Privacy by SSCPC conform PROKom 398 – acceptance 679 promiscuous mode 524 – approval 676 PROMSim 224 – decommissioning 682 PROProm 802 – delivery 677 PROQuam 802 – deployment 679 PRORim 350, 358, 802 – detailled design 670 PROSem 802 – development 675 PROSim 224, 229, 280, 802 – evaluation 677 PROSom 802 – operation 681 PROTem 802 – planning 658 Protocol Stack 799 – preliminary design 667 Protokollauswertung 433, 465 – proposal application 658 Protokollierung 433, 464 – requirements specification 662 – Server 635 – startup procedure 680 Protokoll-Stack – testing 676 – TCP/IP 809 Privacy Impact Assessment (PIA) Protokollstapel 799 – ISO/IEC 29134, 2017 768 ProTOPSi 224, 802 Privacy Protection Act Provider – Children (COPPA) 62 – Management 362, 366 Privileges 306 – Multi- 367 Problemmanagement 378 – Managing, FDIC 748 Processware 384 – Selecting, FDIC 748 PROCom 398 Proxy 519 ProdHaftG 42, 743 – Reverse 519 ProdSG 743 Prozess 229, 403, 551 Produkt – Architektur 331, 469 – Evaluation 609 – Charakteristika 472 Produktsicherheit – IKT-Betriebs- 331 – lebenszyklusimmanent 232 – Kategorien 469 Programmierfehler, Folgen 671 – Kern- 331

Sachwortverzeichnis 849

– Landkarte 469 – PCM 399 – Landschaft 469 – Projekt 26 – Stammdaten 472 – Qualität 26 – Support- 331 – Risiko 26 – Unterstützungs- 331 – RiSiKo 26, 247 Prozessbeurteilung – SCM 399 – ISO/IEC 15504 759 – Service 26 prozessimmanent – Sicherheit 26 – Sicherheit 231 – Sourcing 26, 365 PRP-Maßnahmen 395 – Sozialschutz 26 Prüfvorschriften – Test 26 – USA 747 – Umweltschutz 26 PS 330 45 – Unternehmen 26 PS 525 750 – Unternehmenssicherheit 26 PS 850 45 Pyramidenmodell® 26, 29 PS 880 45 – Arbeitsschutzpyramide 26 PS 951 750 – Arbeitssicherheitspyramide 26 PS 980 750 – Architekturmanagementpyramide 468 Psychologie – Architekturpyramide 26 – forensisch 493 – BCM-Pyramide 26 Public Available Specification 802 – Compliancepyramide 26 Public Key Infrastructure (PKI) 802 – Datenschutzpyramide 26 Public-Key-Infrastruktur (PKI) 546 – IKT-Pyramide 26 Public-Key-Verfahren 454 – IKT-Sicherheitspyramide 26 Pufferüberlauf 673 – ISM-Pyramide 26 Pyramide – Kontinuitätspyramide 26 – ACM 399 – Managementsystem 468 – Arbeitsschutz 26 – Projektpyramide 26 – Arbeitssicherheit 26 – Qualitätspyramide 26 – Architektur 26, 468 – Risikopyramide 26 – BCM 26, 398 – RiSiKo-Pyramide 26 – Compliance 26 – Servicepyramide 26 – Datenschutz 26 – Sicherheitspyramide 26 – FCM 399 – Sourcingpyramide 26 – IKT 26 – Sozialschutzpyramide 26 – IKT-Governance 26 – Testpyramide 26 – IKT-Sicherheit 26 – Umweltschutzpyramide 26 – ISM 26 – Unternehmenspyramide 26 – IT 26 – USM-Pyramide 26 – ITK 26 – ITSCM 398 Q – IT-Sicherheit 26 QR-TAN 807 – Kontinuität 26, 398 Qualifikationsarchitektur 549 – Management 26 Qualifikationsprofil 548 – Modell 26, 29

850 Sachwortverzeichnis

Qualitätsmanagement 369 – heiße 298 – ISO 9001, 2015 757 – kalte 298 Quellcode – Latenz 298 – Signatur, ISO 17960, 2015 759 – N+x 298 Quorum 418 – passive 298 – Qualität 298 R – Quantität 297 – semiaktiv 298 RADIUS 517, 802 – strukturell 296 RAID 508 – vollständig 296 – EDAP 509 – warme 298 – fehlerresistent 509 Regel – fehlertolerant 509 – DGUV 63 – katastrophentolerant 509 Regeneration 395 – Level 508 Registrierung 533 – Neue Kriterien 509 Registry 173 RAM 505, 803 Reifegrad, RiSiKo-Management 720 RAMS Reifegradmodell 713 – DIN EN 50126, 2000 754  – COBIT 169 Ransomware Recovery – ISO/IEC 21827, 2008 761 – NIST SP 1800-11, DRAFT 775 – Kontrollen 720 Räumlichkeiten 416 – nach Dr.-Ing. Müller 713 RBAC 804 – Software Assurance 167 RC5® 454 – Systems Security Engineering 166 Rechenzentrum 416 Relay 460 – Best Practices 751 Releasemanagement 383 – DIN EN 50600 755 Reliability 815 – ISO/IEC 11801-5, 2017 757 remote – Verfügbarkeit 602 – lock 541 Rechteverwaltung 431 – wipe 541 Records Management 803 Remote Code Injection 466 – ISO 15489-1, 2016 758 Replay 641 Recovery 407, 598, 607 – Attacke 175 – Disaster 194 Report – Plan 414 – Safety-Security-Continuity 698 – Point Objective 265, 363, 596 Reporting – Time Objective 597 – Safety, Security, Continuity, Privacy, redundancy 295 Compliance, Risk 696 Redundant Array of Repository 173 – Independent Disks 508 Requirements Architecture 282 – Inexpensive Disks 508 Resilience 803 Redundanz 296 Ressource 229 – aktive 298 Ressourcen – Geschwindigkeit 298 – Architektur 469 – Grad 297 – Charakteristika 562

Sachwortverzeichnis 851 restauration 598 – Beurteilung, ISO 18128 759 Restore 515 – Bewertung 118 Rettungsweg 598 – brutto 214 Return on Safety, Security and Continuity – Controlling 358 Investment 804 – Definition 214 Return on Security Investment 804 – Diversifikation 357 Reverse Proxy 519 – Dreiklang 214 Revision 231 – Evaluierung 118 Richtlinie – finanziell 361 – Architekturmanagement 635 – Forschung 361 – Benutzerkennung 630 – Früherkennung 348, 359 – Berichtswesen Kontinuitätsmanagement – Frühwarnung 348, 359 612 – Grenzwert 246 – Datensicherung 602 – Identifikation 356 – Drucker 564 – Identifizierung 118 – E-Mail-Nutzung 576 – Inventar 356 – Faxgerät 564 – Inventur 216, 356 – Fax-Nutzung 564 – Justierung 348, 358 – Firewalls 642 – Kategorie 355 – Internet-Nutzung 577 – Kommunikation 359 – Kapazitätsmanagement 591 – lebenszyklusimmanent 360 – Leseschutz 633 – Kriterien 119 – mobile Geräte 541 – Lagerung 361 – Passwort 630, 655 – Landkarte 246 – Protokollierung 634 – Liquidität 362 – Räumlichkeiten 599 – Management 216, 348, 349 – Schutz vor Schadsoftware 631 – Aktiengesetz 42 – WLAN 628, 643 – Audit 358 – Zugriffsschutz 632 – COSO 747 – Zutrittskontrollsystem 640 – Datenaggregation 749 Richtlinien – DIN EN 80001-1, 2011 755 – Schweiz 744 – FFIEC 748 RIPEMD-160 458 – Handbuch 359 Risiko – Handelsgesetzbuch 43 – Adressenausfall 362 – IDW PS 525 750 – Aggregation 357 – IEC 31010, 2009 769 – Analyse 118, 143, 358, 804 – ISO 14971, 2007 758 – SERA 778 – ISO 24971, 2013 763 – Annahme 119 – ISO 31004, TR, 2013 769 – Architektur 357 – ISO Guide 73, 2009 756 – Brutto 356 – ISO/IEC 27005, 2011 118, 765 – Assessment – ISO/IEC 31000, 2018 769 – IEC 31010, 2009 769 – KAMaRisk 79 – Behandlung 118, 348 – MaRisk 69 – Bereitschaft 352 – Methoden 43

852 Sachwortverzeichnis

– NIST 800-30 Rev 1 773 – Klasse 240 – NIST Framework 773 – Klassen 725 – OECD 139, 777 – Management 3 – ONR 49000 778 – pervasiv 314 – ONR 49001 778 – Prozess 725 – ONR 49002 778 – Reifegrad 720 – ONR 49003 778 – Status 686 – Prinzipien 749 – ubiquitär 314 – Prinzipien, eBanking 749 – Managementsystem 724 – Prinzipien, Review 749 – Niveau 244, 689 – Prozess 358 – Politik 237, 238, 245, 725 – Pyramide 350 – Pyramide 247 – Qualität 194 – Reporting 680 – Sensibilisierung 359 Risk 214 – Supply Chain 775 – Acceptance 119 – V-Quadrupel 216, 289 – Analysis 118 – Ziele 43 – Architecture 357 – Matrix 360 – Assessment 118 – Monitoring 348, 358 – Asset Liability Mismatch 361 – netto 214 – Engineering 203 – Non-Compliance 362 – Evaluation 119 – operationell 84, 86 – Identification 118 – Personal 361 – Inventory 356 – Politik 225, 238, 350 – Management 348 – Portfolio 246, 554 – ISO 16085, 2006 759 – Produkt 361 – ISO/IEC 27005, 2011 765 – Produktion 361 – Map 246 – Projekt 361 – Risk Assessment Guide 773 – Prozess 361 – Strategy 289 – Pyramide 350 – Treatment 118 – Rahmenwerk Risk IT 155 – Forensik, ISO/IEC 30121, 2015 768 risk optimized security X – Recht 362 Role Based Access Control (RBAC) 804 – Reporting 358 Rolle – Strategie 287, 289, 352 – Datenbankadministrator 625 – Streuung 357 – Netzadministrator 625 – Tragfähigkeit 348, 352 – technischer Benutzer 625 – Transport 361 RoSI 804 – Überwachung 348 RoSSCI 804 RiSiKo 217 RPC 137 – Analyse 687 RPO 265, 363, 596 – Anforderungen 720 RSA 455 – Architektur 720 RTO 597 – Controls 720

Sachwortverzeichnis 853

S Sanktion 575 Sarbanes-Oxley Act 40 Sacrificial Host 522 SAS 804 Safety 281, 327 SBOD 512 – Automobilindustrie 187 SCADA – Criteria 211 – Stuxnet 9 – Engineering 203 SCAMPI 778 – Integrity Level 187 Scanner – ISO 26262 764 – Fingerprint 533 – Report 698 Schadenskategorie 472 Safety by SSCPC conform Schadenspotenzial – acceptance 679 – Architektur 353 – approval 676 – Klasse 353 – decommissioning 682 Schadensszenarien 353 – delivery 677 – Tabelle 616 – deployment 679 Schadsoftware 804 – detailled design 670 Schalenmodell 301 – development 675 Scheduling 332 – evaluation 677 Schlüssel – operation 681 – öffentlicher 455 – planning 658 – privater 454 – preliminary design 667 Schredder 459, 460 – proposal application 658 Schulung – requirements specification 662 – ISO/IEC 20006 761 – startup procedure 680 Schutzbedarf – testing 676 – Konsistenz 73 Safety Critical System 187 Schutzbedarfsanalyse 211 Safety, Security and Continuity – IKT 266 – Function Deployment 270 – IKT, Beispiel 617 Safety, Security, Continuity, Risk, Privacy, – Prozesse, Beispiel 621 Compliance Schutzbedarfsklassen 259, 614 – Management Maturity Model 713 Schutzeinrichtung 210 Safety-Security-Continuity-Privacy- Schutzgeld 786 Compliance-Risk-Benchmark 711 Schutzobjekt 209, 473 Safety-Security-Continuity-Risk – Klasse 210 – Audit 233 Schutzsubjekt 210 – Reporting 680 – Klasse 210 SAIDI 5 Schwachstellen 804 salt 457 – Architektur 356 SAM – Behandlungsprozess, ISO/IEC 30111, – ISO/IEC 19770-5 151 2013 768 SAML 177, 184, 776, 778 – Bekanntmachung, ISO/IEC 29147, 2014 – Authority 177 768 SAN 137, 512 – Fibre-Channel 512

854 Sachwortverzeichnis

– Bewertung – Scanner – CVSS 190 – OpenVAS 387 – CWSS 190 – Storage 767 – Identifikation – SWIFT 778 – CVE® 189 – Token 175 – CWETM 190 Security by SSCPC conform – Potenzialanalyse 355 – acceptance 679 – Scanner 545 – approval 676 schwarze Liste 805 – decommissioning 682 Schweiz – delivery 677 – Gesetze 744 – deployment 679 – Outsourcing 744 – detailled design 670 – Richtlinien 744 – development 675 – Verordnungen 744 – evaluation 677 SCM – operation 681 – Pyramide 399 – planning 658 Score Level 537 – preliminary design 667 SCPCCOC 550 – proposal application 658 SCSI 806 – requirements specification 662 Secure Coding Standard 672 – startup procedure 680 Secure Socket Layer 804 – testing 676 Security 281, 327 Security gateway – Appliance 529 – ISO/IEC 27033-4 766 – Architekturprinzipien Security Incident 680 – ISO 19249, TS, 2017 760 – Response Team (SIRT) 550 – Assessment Security Operations Center 550 – ISO/IEC 19791, TR, 2010 760 Segregation of Duties 300 – Control Assessment 773 Sekundärspeicher 503, 505 – Controls 773 Self Service 448, 539 – Criteria 211 Sensibilisierung 495, 804 – Engineering 166, 203 Sensor – Entwurfsprinzipien – Festkörper 533 – ISO 19249, TS, 2017 760 – Fingerabdruck 533 – Framework – drucksensitiv 533 – W3C 180 – hochfrequent 533 – Gateway 517 – optisch 533 – Database 521 – thermisch 533 – Incident Response 374 – Ultraschall nutzend 533 – Management 195 – Flächen- 533 – Manager 660 – Level 537 – Model 805 – optisch 533 – Profile – Streifen- 533 – Basic 778 SERA 778 – Report 698 Serial Attached SCSI 804

Sachwortverzeichnis 855

Server Security – leistungsimmanent 414 – NIST SP 800-123 774 – organisationsimmanent 313 Serverraum 416 – pervasiv 314 Service – produktimmanent 314, 414 – Catalogue 362 – prozessimmanent 231, 313, 414 – Delivery 151 – ressourcenimmanent 313, 414 – Design 153 – risikooptimiert X – Desk 334, 371 – ubiquitär 314 – Geber 415 Sicherheits-, Kontinuitäts- und – Improvement 153 Risikomanagementprozess 723 – Level Sicherheitsanalyse 687 – Agreement 362, 415, 805 Sicherheitsanforderungen 225 – Framework 362 – prinzipielle 282 – Management 362 – Transformation 270 – Requirement 362 Sicherheitsarchitektur 227 – Vereinbarung 805 – unternehmensspezifisch 280 – Lifecycle 152, 338 Sicherheitsauditor 233 – Operation 153 Sicherheitsbewusstsein 495 – Parameter 363 Sicherheitscontrolling 694 – Provider 170, 184 Sicherheitsdreiklang 213 – Managing, FDIC 748 Sicherheitselement 327 – Selecting, FDIC 748 Sicherheitselemente – Request 371 – Kategorien 280 – Requestor 184 Sicherheitsgateway 517 – Strategy 152 Sicherheitshandbuch – Support 151 – Österreich 805 – Ticket 445 Sicherheitsklasse 449 – Transition 153 Sicherheitskonzept 805 Service Oriented Architecture (SOA) 172, – generisch 227 316, 478 – spezifisch 228, 647 SGB 743 Sicherheitskriterien 211, 257, 264 SGB IV 743 – FAIT 3 46 SGB VII 63, 743 – Grundwerte der Informationssicherheit SGB X 743 211 SGML 800 Sicherheitsmanagement 200 SHA 458 – Prozess 723 SHA-3 Sicherheitsmanagementpyramide 221 – NIST, FIPS 202 773 Sicherheitsmaßnahme 229, 650, 805 Sicherheit Sicherheitsmerkmal – dienstleistungsimmanent 314 – Abbildung 273 – Hash-Algorithmus 458 Sicherheitsmodell 805 – IKT-Lebenszyklus 652 – negativ 527 – ingenieurmäßig 202 Sicherheitsniveau 227, 689, 805 – lebenszyklusimmanent 230, 231, 314, Sicherheitsphilosophie 805 414 Sicherheitspolitik 225, 238

856 Sachwortverzeichnis

– IKT 85 – Contact (SPoC) 334, 371 – Leitsatz 239, 242 – Failure (SPoF) 296, 395, 806 – nach Sicherheitspyramide 206 – Security Administration 814 Sicherheitsprinzipien 287 – Security Control and Administration Sicherheitsprozess 91, 723 (SPSCA) 439, 814 Sicherheitspyramide VII, 203, 221 Single Sign-on (SSO) 445, 484, 806 – dreidimensional VII – Föderiert 170, 447 Sicherheitsregelkreis 233, 694 – Kerberos 445 Sicherheitsrichtlinien 227 – Passwort-Synchronisation 445 Sicherheitsrisikomanagement – Ticket-basiert 445 – OECD 777 Single-Author-Konzept 381 Sicherheitsschalen 301 Sinkhole Operation 130 Sicherheitsschalenmodell 428 SiRiKo 217 Sicherheitsschirm 428 SIRT 550 Sicherheitsstandard 227 Skalierbarkeit 298 – branchenspezifisch 51 Skill Profile 548 Sicherheitsstrategie 287, 805 Skript Kiddie 806 Sicherheitsstudie 687 SKRMS 724 – 18 SLA 362, 805 Sicherheitsstufe 293 – Framework 362 Sicherheitsziele 225, 805 SLM 362 Sicherheitszone 308, 309, 320, 450 SLR 362 – Anwendung 310 Small Computer System Interface 806 – architekturell 310 Smart Card 788 – Closed Shop 309 Smart Grid Cybersecurity 773 – Grob- und Feintechnik 309 Smart Meter Gateway 752 – Kabelführung 309 Smartphone 14, 456 – logisch 308 SMI-S 513 – Netz 310 SMS 724 – räumlich 308 SMTP 806 – Speicherbereich 310 snapshot 689 – zeitlich 308, 311 – copy 512 – Zutritt 309 Sniffer 461, 806 7/24 20 – Interface 524 SIEM-System 545 SOA 172, 316, 478, 776 SigG 182 SOAP 173, 779 Signatur – Body 173 – digital 182 – Envelope 173 – Quellcode, ISO 17960, 2015 759 – Header 173 SigV 182 – Intermediary 174 SIL 187 – Knoten 174 Silhouettenerkennung 811 – Message Security 175 Simple Mail Transfer Protocol 806 – Nutzlast 173 Single Logout 178 – Umschlag 173 Single Point of – Zwischenstation 174

Sachwortverzeichnis 857

SOC 550 SOX 40, 748 SOC 1® 195, 748 – Compliance, COSO 747 SOC 2® 196, 748 – Section 302 40 – Report 196, 206 – Section 409 371 SOC 3® 196, 748 Sozialversicherungs- Social Engineering 806 Rechnungsverordnung 47 Social Hacking 442 Spam Software – Mail 527, 814 – Asset Management, ISO/IEC 19770 760 – over Internet Telephony 813 – Assurance Maturity Model 167 Sparsamkeitsgrundsatz 70 – Development Process (SDL) Speicher 503, 507 – ISO/IEC 27034 133 – Bereich 308 – digitale Signierung 182 – Deduplizierung 390 – Life Cycle Processes – Hierarchie 503 – ISO/IEC 14764, 2006 758 – Management 390 – ISO/IEC 15288, 2015 758 – Medien 505 – Test – Lebensdauer 506 – Documentation 756 – Netz 512 – ISO 29119 767 – nichtflüchtig 505 – Validation 756 – Pool 512 – Verification 756 – Sicherheit 515 Software Engineering – Best Practices 515 – Architecture Description – Topologie 510 – ISO/IEC 42010, 2011 769 – Virtualisierung 512 – ISO/IEC 24774, 2010 763 – Wear Levelling 460, 505 – ISO/IEC-25000-Familie 763 Spezifische Sicherheitskonzepte 228 – Life Cycle Management SPICE 778 – ISO/IEC 24748 762 Spionagesoftware 806 – Life Cycle Processes SpIT 813 – ISO/IEC 90003, 2014 769 split 418 – Risk Management SPML 776 – ISO 16085, 2006 759 SPoC 371 – SQuaRE SPoF 806 – ISO/IEC 25020, 2007 763 SPSA 814 Softwarefehler, Folgen 671 SPSCA 439, 814 Solid State Disk 504 Spyware 806 Solvabilität II 83 SQL 807 – Richtlinie, Europa 746 SQL Injection 672, 807 Solvency II 83 SQuaRE 763 SolvV 743 SRM 510 SOP 88, 193, 499 SSA 748 Sourcing SSAE No. 16 195, 749 – Anforderungen 365 SSCE 203 – Pyramide 365 SSCRE 203 – Ziele 365 SSCRMMM 713

858 Sachwortverzeichnis

SSD 504 Systems and software engineering SSE-CMM 166, 761 – ISO/IEC 26514, 2008 764 SSL 804 – ISO/IEC 26531, 2017 764 Stakeholder 351 – ISO/IEC/IEEE 26511, 2011 764 stealth mode 525 – ISO/IEC/IEEE 26512, 2011 764 Steganografie 458 – ISO/IEC/IEEE 26515, 2011 764 Stimmerkennung 539 – ISO/IEC-25000-Familie 763 Storage – ISO/IEC-26500-Familie 764 – Area Network 512 – Web Site – Direct Attached 511 – ISO/IEC 23026, 2015 762 – Management Systems Engineering – ISO/IEC 24775 763 – Architecture Description – ISO/IEC 24775, 2014 513 – ISO/IEC 42010, 2011 769 – SMI-S 513 – Life Cycle Management – Network Attached 511 – ISO/IEC 24748 762 – Pool 512 – Life Cycle Processes – Resource Management 510 – ISO/IEC 90005, TR, 2008 769 – Security 515, 767 – Risk Management – Best Practices 515 – ISO 16085, 2006 759 – Virtualization 512 Systems Security Engineering – Capability – Wear Levelling 460, 505 Maturity Model 166 Störung 593 Systemsicherheit Streifensensor 533 – NIST SP 800-160 775 Stromversorgung – unterbrechungsfrei 810 T Structured Query Language 807 TAN 807 Subjekt-Recht-Objekt-Modell 453 – eTAN 807 Supplier relationship – eTAN plus 807 – information security – indiziert 807 – ISO/IEC 27036 766 – iTAN 807 Supply Chain Risk Management – mobil 807 – NIST SP 800-161 775 – mTAN 807 Supportprozess 329, 331 – photoTAN 807 SVRV 743 – QR-TAN 807 sweep 533 Tape Library 505 SWIFT Tarnkappenmodus 525 – CSP 778 Tarpit 526 – Security Controls 778 Taschenauthentifikator 443 System Täuschungsanfälligkeit 534 – biometrisch 530 TCP/IP – Life Cycle Processes – Protokoll-Stack 809 – ISO/IEC 15288, 2015 758 Technikraum 416 – Test Documentation 756 Technology Service Providers – Validation 756 – FFIEC 748 – Verification 756

Sachwortverzeichnis 859

Teerfalle 526 Token 443 Teergrube 526 Token Profile 175 Telearbeit – Kerberos 176 – NIST Guide 773 – REL 176, 776 – NIST SP 800-114, Rev. 1 774 – SAML 175, 776 Telefonbanking 539 – SwA 175, 777 Template 532, 533 – Username 175, 777 Tertiärspeicher 503, 505 – X.509 175, 777 Test 598 TOTP 444 – Abdeckung 669 touch 533 – Äquivalenzklasse 669 TR 795 – Art 669 Traffic Light Protocol 121 – Dokumentation, IEEE 829 756 Transaktionsnummer 807 – Ergebnis 669 Transformation 226 – Fall 669 Transformationsvorgang 271 – Feld 669 Transport Layer Security 809 – Labor Transportsicherung 433, 462 – ISO/IEC 17025, 2017 759 Treuhänder 487 – Management 370 Triple DES 454 – NIST SP 800-115 774 Trojanisches Pferd (Trojan Horse) 809 – Plan 669 Trust-Center 455 – Protokoll 678 TS 795 – Sequenz 669 TTS 373 – Software, ISO 29119 767 Two-Phase-Commit 423 – Strategie 669 – Szenario 669 U – Tiefe 669 Übertragungsschutz 461 – Umfang 411, 669 Übertragungssicherung 433, 460 – Umgebung 669 Überwachungssystem 43 – Vorgehen 669 ubiquitär – Ziel 669 – RiSiKo-Management 314 TGT 445 ubiquitous Threat 786 – Continuity 314 – Architecture 355 – Safety 314 – Assessment 355 – Security 314 TICE 121 UBL 809 Ticket Granting Ticket 445 Übung 411, 598 Timestamp – Art 276, 607 – Verifizierung 181 – Dokumentation 276 TKG 743 – Intervall 276, 607 TKÜV 743 – Objekt 607 TLP 121 – Prozess 607 TLS 809 – Umfang 411 TMG 50, 55, 743  – unangekündigt 410 TOGAF 156

860 Sachwortverzeichnis

– vorbereitet 411 – VFI 600, 810 – Ziel 607 – VI 810 UC 362, 486 UTM 529 UDDI 173, 776 UVG 744 UHD 334, 371 UVV Kassen 251 UMAG 743 Umfeldarchitektur 476 V UmweltHG 42 VAG 82 Underpinning Contract 362, 486 – Deutschland 743 Unified Threat Management 529 – Österreich 744 Uninterruptable Power Supply (UPS) 810 – Schweiz 744 Universal Business Language 809 Val IT 155 Universal Description, Discovery and Validation Integration 173, 776 – IEEE 1012 756 Unterbrechungsfreie Stromversorgung Validierung 811 (USV) 415, 810 VDG 743 Unterlagen VdS 2007, 2016 779 – geschäftskritisch 793 VdS 2367, 2004 779 Unternehmenspyramide 206 VdS 3436, 2005 779 Unterstützungsprozess 331 VDSG 745 Unverfälschtheit 810 Verbindlichkeit 811 UPS 810 Verbotsprinzip 304 Urheberrechtsgesetz (UrhG) 65 Vereinbarung UrhG 65, 743 – auf Gegenseitigkeit 598 URL 791 Vereinzelungsanlage 811 USA Verfügbarkeit 811 – Gesetze 747 – Klassen 292, 811 – Practices 747 Verification – Prüfvorschriften 747 – IEEE 1012 756 USB Verifikation 812 – Festplatte 484 Verkabelung 415 – AES-verschlüsselt 483 – ISO/IEC 11801 757 – Biometrie 483 – ISO/IEC 14763 758 – Memory Stick 456, 484, 505 Vernichtung – Token 442 – Daten 460 User Help Desk (UHD) 334, 371 – Datenträger 460 USMS 197 Verordnungen USV 415, 810 – Österreich 744 – DIN EN 62040-3, 2011 755 – Schweiz 744 – IEC 62040-3, 2011 755 Verschlüsselung 453, 484 – Line-Interactive 810 – AES 454 – Offline 810 – asymmetrisch 454 – Online 810 – DES 454 – VFD 810 – Druckdaten 458

Sachwortverzeichnis 861

– IDEA® 454 – NIST SP 800-125 774 – RC5® 454 – NIST SP 800-125B 774 – RSA 455 Virtuelle Bandbibliothek 515 – symmetrisch 454 Virtuelles LAN (VLAN) 310, 812 – Triple DES 454 Virtuelles Privates Netz (VPN) 812 Versicherung Virus, s. Computervirus 789 – Betriebsunterbrechung 426 Vishing 813 – Computermissbrauch 426 Vital Records 793 – Cyber 426 VIVA 813 – Datenmissbrauch 426 VLAN 310, 812 – Sach 426 Voice over Internet Protocol (VoIP) 483, Versicherungen 813 – MaGo 83 VoIP Security Alliance 813 – Outsourcing VOIPSA 813 – Schweiz 744 Vorgehensmodell 27 Versicherungsaufsichtsgesetz 82 Vorschrift Versicherungsunternehmen – DGUV 63 – Ausgliederung 82 Voting Algorithm 418 – Compliance-Funktion 83 VPN 812 – Geschäftsorganisation 82 – ISO/IEC 27033-5 766 – interne Revision 82 V-Quadrupel 216, 289 – internes Kontrollsystem 82 VSITR 779 – Risikomanagement 82 VSITR/U 779 – VAG 82 VTL 515 Versorgung 415 Vulnerability – Topologie 547 – Architecture 356 Vertrag – Assessment 355 – auf Gegenseitigkeit 812 VUV 745 Vertrauensdienst 746 Vertrauenszirkel 170 W Vertraulichkeit 812 W3C 172, 180 Vertraulichkeitsbereich 81, 309 – Security Framework 180 Vertraulichkeitsstufe 293 – SOAP 779 Verwundbarkeit 812 – WSDL 779 VFD 810 – X-KISS 180 VFI 600, 810 – XKMS 180, 779 VI 810 – X-KRSS 180 VI (vertikale Interdependenz) 403, 551 WAF 520 Vier-Augen-Prinzip 300 WAN 814 4Vs 216, 289 WarDriver 461 Virenscanner 528 WARP 121 Virtual LAN 310, 812 Wartung Virtual Tape Library 515 – präventiv 391 Virtualisierung Wartungsmanagement 391 – ISO/IEC 21878, DIS 761

862 Sachwortverzeichnis

Wassermeldeanlage (WMA) 416, 813 Workflow 622 WBEM 514 WORM 504 WD 795 WpHG 743 Weakness 804 Write XOR Execute 310 Wear Levelling 505 WSDL 173, 779 Web Application Firewall (WAF) 520 WSS 174 Web Services (WS) Würmer 528 – NIST SP 800-95 774 WWN 137 – SecureConversation 177, 777 – Security (WSS) 174 X – SecurityPolicy 176, 777 X.1051 765 – Trust 176, 777, 778 XACML 179, 777, 778 Web Site XAdES 182 – Systems and software engineering, XCBF 777 ISO/IEC 23026, 2015 762 X-KISS 180 Webapplikationen XKMS 180, 779 – ÖNORM A 7700 777 X-KRSS 180 Webcrawler 814 XML 800, 814 WebShield 520 – Canonical 180 weiße Liste 805 – Digital Signature 180 Weitverkehrsnetz (WAN) 814 – Enc 180, 181 Werbe-E-Mail 814 – Encryption Element 181 Werbesoftware 814 – Encryption Syntax and Processing 180 Wertbehältnisse, Brandwiderstand – Exclusive Canonicalization 180 – EN 1047 753 – Firewall 520 Whitelist 527 – Key Management System 180 – Model 805 – Security Gateway 520 Wide Area Network 814 – Sig 180 Widerstandsfähigkeit, BS 65000 751 – Signature Syntax and Processing 180 Wiederanlauf 407, 598 XSPA 777 – maximale Dauer 597 XSS 672, 789 – maximale Zeit 597 – maximaler Zeitraum 597 – RTO 597 Z Wiederanlaufplan 72 ZAG 743 Wiederaufbereitung 432, 459 Zahlungsdiensteaufsichtsgesetz 69 Wiederherstellung 395, 598 Zahlungsdiensterichtlinie, Europa 746 – Dauer 598 Zahlungsverkehr  Wi-Fi 793 – SVRV 743 WiMAX 461 Zeit WLAN 793 – Server 635 – NIST SP 800-153 775 Zentraler Kreditausschuss 792 WMA 416, 813 Zero-Day-Attacke 529, 815 Workaround 371 Zielvereinbarungsprozess 695

Sachwortverzeichnis 863

ZIT 814 Zutritt ZKA 795 – Wiederholkontrolle 319 ZKA (Zentraler Kreditausschuss) 792 Zutrittskontrollanlage (ZKA) 449, 640 ZKA (Zutrittskontrollanlage) 449 – Betriebsbuch, VdS 3436, 2005 779 ZKS (Zutrittskontrollsystem) 431, – VdS 2367, 2004 779 449 Zutrittskontrolle 346 Zoning 137 Zutrittskontrollsystem (ZKS) 431, 449 Zufahrtsschutz 449 – Richtlinie 640 Zugangskontrolle 346 Zutrittsschutz 431, 449 – GoBD 44 Zutrittszone 308 Zugangsschutz 431, 451 Zuverlässigkeit 815 – Basisregel 623 Zuwachssicherung 421 – ISO/IEC 29146, 2016 768 Zwangs-Logout 624 Zugriffskontrolle 346 Zweifaktor Zugriffskontrollliste 815 – Authentifizierung 536 Zugriffsschutz 432, 453 – Authentisierung 440 Zugriffszeit 505 – Identifizierung 536

Über den Autor

Dr.-Ing. Klaus-Rainer Müller studierte und promovierte in Karlsruhe. Danach war er als Gruppenleiter der Software-Entwicklung bei einem Hersteller frei programmierbarer Steue- rungen tätig, wo er Software spezifizierte und entwickelte sowie Software-Engineering- Methoden einführte. Als Senior Software Engineer wechselte er zur deutschen Tochter eines internationalen System- und Softwarehauses. Hier war er u. a. als Team- und Projektleiter großer, teilweise kritischer Entwicklungsprojekte sowie als Berater tätig und nahm die Positionen Stv. Abtei- lungsleiter und Key Account Manager wahr. Bei der ACG Automation Consulting Group GmbH, einer Unternehmensberatung für Orga- nisation und Informationsverarbeitung in Frankfurt (www.acg-gmbh.de), startete er als Senior Berater und Projektmanager. Er leitete den Bereich „Sicherheits- und Qualitäts- management”, das Fach-Competence-Center (FCC) Unternehmensentwicklung sowie das FCC ISM, IRM, ITSCM und ITSM und beriet in diesen Themenfeldern. Heute verantwortet er das Themenfeld Corporate Security Consulting. In der Beratung befasst er sich mit dem Unternehmenssicherheitsmanagement (USM), dem Business und Service Continuity Management (BCM, SCM), dem Informationssicherheits- und Informationsrisiko- sowie dem IKT-Sicherheitsmanagement inklusive Cloud Compu- ting und Cybersecurity, dem IKT-Kontinuitäts-, -Risiko-, -Qualitäts-, -Test-, -Service-Level- und -Projektmanagement sowie den betriebswirtschaftlichen Themen Führungssysteme, Pro- zess- und Strukturorganisation einschließlich Sourcing sowie Organisationsentwicklung. Als Senior Management Consultant berät und unterstützt er Kunden beim Aufbau des schutzbedarfsorientierten effizienten und durchgängigen Sicherheits-, Business-Continuity-, IKT-Service-Continuity-, Informationsrisiko- und IKT-Risikomanagements, bei der Entwick- lung von Notfall-, Krisen- und Katastrophenvorsorgekonzepten, bei der Planung und Durchführung von Notfalltests und –übungen sowie bei der Erstellung und Einführung zielgerichteter und effizienter Methoden, Konzepte und Regelwerke in den zuvor genann- ten Themenfeldern. Beim bsi absolvierte er erfolgreich die Prüfungen zum Lead Auditor ISO 22301:2012 und ISO 27001:2013. Er führt u. a. Schutzbedarfsanalysen, Sicherheitsstudien, Reviews und Audits durch, berät und coacht Sicherheits- und Kontinuitätsverantwortliche und moderiert Workshops mit teils stark kontroversen Meinungen. Als Sonderthema gestaltete er im Jahr 1999 den Jahr- 2000-Wechsel des IT-Bereichs einer Großbank und begleitete ihn erfolgreich. Er beriet und unterstützte Unternehmen erfolgreich bei der Beseitigung von Moniten der BaFin und der Bundesbank. Darüber hinaus berät er in der breiten Palette der oben genannten Themen- bereiche. Zu seinen bisherigen Kunden gehören renommierte Unternehmen u. a. aus den Branchen Banken, Versicherungen einschließlich Sozialversicherungen, Automobil und Luftfahrt sowie ICT-Service-Provider aus den Branchen Banken, Versicherungen, Chemie und Luftfahrt. Die Projekte sind je nach Themenstellung national, europäisch oder internati- onal ausgerichtet.

© Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2018 K.-R. Müller, IT-Sicherheit mit System, https://doi.org/10.1007/978-3-658-22065-5 Über den Autor 865

Er ist Architekt des Pyramidenmodell®, das wegweisend und dreidimensional ist, und sei- ner dreidimensionalen Sicherheits(management)pyramide und der RiSiKo- (Management- )Pyramide sowie seines Sicherheitsschalenmodells. Den Begriff „Sicherheitspyramide“ präg- te er erstmals Mitte der 1990er Jahre und veröffentlichte ihn damals zusammen mit ihrer Darstellung in Artikeln und auf Veranstaltungen. Naturgemäß haben sich ihre Inhalte paral- lel zu den technologischen, gesetzlichen, regulatorischen und normativen Veränderungen in dieser Zeit weiter entwickelt. Darüber hinaus konzipierte und füllte er das auf seinen Ideen basierende zielgruppenorientierte und hoch flexible ISM-, BCM-, ITSCM- und ITRM-Tool der ACG GmbH. Dem technologischen Fortschritt folgend ist das ACG-Tool inzwischen neu entwickelt worden. Zusätzlich zum Begriff „Sicherheits(management)pyramide“, „RiSiKo-(Management-)Pyra- mide, „Pyramidenmodell®“ und weiteren „...(management)pyramiden“ wie der „Sicher- heits- und Risikopyramide“, der „ISM-Pyramide“, der „Datenschutzpyramide“, der „ITSCM-Pyramide“, der „BCM-Pyramide“, der „ITSM-Pyramide“ und der „Architekturpy- ramide“ etc. schuf bzw. prägte er weitere Begriffe, Methoden und Hilfsmittel, wie z. B. Ba- lanced Pyramid Scorecard®, Distanzprinzip, Eskalationstrichter, Haus zur Sicherheit, Haus zur Kontinuität, House of Safety, Security and Continuity, Interdependenznetz bzw. -plan, Prinzip der Immanenz, Prinzip der Subjekt-Objekt- bzw. Aktiv-Passiv-Differenzierung, PROBCM, PROPyr, PRORim, PROSim und weitere PRO..., RiSiKo, Risikodreiklang, Safety, Security and Continuity Function Deployment (SSCFD), Sicherheitsdreiklang, Sicherheits- hierarchie und V-Quadrupel. Ende Juli 2003 erschien die erste Auflage seines erfolgreichen Buchs „IT-Sicherheit mit Sys- tem“, der im August 2005 die zweite, im Oktober 2007 die dritte, im Mai 2011 die vierte, im März 2014 die fünfte und hiermit die sechste Auflage folgte. Sicherheitshierarchie und Le- benszyklus sowie Prozesse, Ressourcen und Organisation sind ebenso wie Kennzahlen seit der 1. Auflage integrative Kernelemente, ebenso wie Muster-Richtlinien u. a. zur E-Mail- Nutzung, zum Computervirenschutz, zur Datensicherung und zur Notfallvorsorge. Im Oktober 2005 veröffentlichte er als Trendsetter für das Zusammenwachsen von IT- und Unternehmenssicherheit sowie von Sicherheits-, Kontinuitäts- und Risikomanagement das „Handbuch Unternehmenssicherheit“ in der ersten Auflage, der im Oktober 2010 die zweite Auflage folgte. Seit Juli 2015 liegt es in der neu bearbeiteten 3. Auflage vor. Im April 2008 publizierte er zusammen mit Gerhard Neidhöfer das Buch „IT für Manager“, dem er den Untertitel „Mit geschäftszentrierter IT zu Innovation, Transparenz und Effi- zienz“ gab. Bisher veröffentlichte der Autor Artikel zur systematischen Pflichtenhefterstellung, zum Software-Engineering, zur Sicherheitspyramide, zum Sicherheits- und Qualitätsmanage- ment, zur Sicherheit im Software-Lebenszyklus, zum Architekturtrichter, zur prozessorien- tierten Abnahmeorganisation, zur lebenszyklus- und prozessimmanenten IT-Sicherheit, zum Sourcing mit System, zum Security Engineering, zum Sicherheits- und Risikomanage- ment, zur genormten Sicherheit, zur Biometrie, zu Notfallübungen, zur elektronischen Ge- sundheitskarte sowie zur Information Security als unternehmerische Aufgabe. Außerdem schrieb er die Studie der ACG GmbH zu Biometrie und Smart Cards. Weiterhin veröffent-

866 Über den Autor lichte er prägnante Überblicksartikel zu verschiedenen internationalen Standards und zu nationalen Standards und Normen sowie weitere Fachartikel. Darüber hinaus hielt er auf Kongressen, Seminaren, Foren und Veranstaltungen Vorträge und Präsentationen zu obigen Themenbereichen. Diese behandelten z. B. das Sicherheits- management, Notfalltests und -übungen, das Business Continuity Management, sicherheits- und kontinuitätsrelevante Aufgaben und Anforderungen des Service Desk, Biometrie, SOA Security und BCM, Führungstraining für IT-Sicherheitsexperten, die unternehmensweite Sicherheits- und Risikopolitik als Basis für ein unternehmensweites Sicherheits- und Risi- komanagement, das Thema „Business – immer und überall“ mit den Aspekten Mobility, Cloud Services, BYOD, Bedrohungen und Risiken sowie Leit- und Richtlinien, das Thema Informationssicherheitmanagement und der Weg zum integrierten Managementsystem sowie das Nichtfunktionale an Software: Safety, Security, Privacy und Continuity.