Bechtle IT-Security Glossar.
Wofür genau stehen die Abkürzungen ASP, SIEM oder SOAR? In unserem Glossar der Cyber-Sicherheit stellen wir Ihnen die gängigsten Abkürzungen aus dem Bereich der IT-Security vor. Kompakt aufbereitet und verständlich formuliert.
2F.
2-Faktor-Authentifizierung (auch Multi-Faktor-Authentifizierung).
Bei der 2-Faktor Authentifizierung kommen zwei oder mehr Anmeldesicherungen zum Einsatz. Diese Faktoren müssen aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z. B. Passwort, PIN), Besitz (z. B. Chipkarte, TAN-Generator) oder Biometrie (z. B. Fingerabdruck). Die 2-Faktor-Authentifizierung ist seit Jahren gängiger Standard und im Online-Banking bereits seit 2019 gesetzlich vorgeschrieben. Damit schützen Sie sich und Ihr Unternehmen gegen unerwünschte Cyberangriffe. Gelangt Ihr Passwort oder Ihre PIN mal in die falschen Hände, sind Ihre sensiblen Daten dennoch gut gesichert.
3-2-1 oder sogar 3-2-1-1-0.
Einfacher Abzählreim als Merkhilfe einer bewährten Backup-Strategie: Man erstelle 3 Kopien kritischer Daten, verteile sie auf 2 verschiedene Medien mit jeweils 1 Kopie außerhalb des Standorts und 1 Offline-Kopie. Das Ergebnis sind 0 Fehler im Backup – sofern dieser Prozess regelmäßig wiederholt wird. Das 3-2-1-1-0-Konzept gehört zur täglichen/wöchentlichen Routine eines ganzheitlichen Sicherheitsmanagements.
ASP.
Anti-Spam.
Klassischer Mechanismus zum Schutz der Kommunikation in E-Mail- und/oder Messengerdiensten. Mithilfe dieser Maßnahme werden kriminelle Absender, schadhafter Codes und verdächtige Hyperlinks innerhalb der eigentlichen Mail sowie in den Anhängen etc. erkannt und isoliert. Sobald die Lösung eine verdächtige Mail vermutet, wird die Mail als „Spam“ kenntlich gemacht und in einen separaten Spam-Ordner verschoben. Beim Scan der Mails orientiert sich das System an häufigen Merkmalen wie Aufbau, Formulierungen und bekannte Inhalte. Anti-Spam-Lösungen können als eigenständige Lösung oder als Bestandteil eines Security-Gateways verwendet werden.
AV.
Antivirus.
Klassischer Virenschutz auf der Basis einer Software-Lösung. Letztere wird direkt auf der zu schützenden Hardware (Client und/oder Server) installiert. Bekannte und neu erkannte Bedrohungen werden laufend von den Hersteller:innen von Antivirus-Lösungen bereitgestellt und in Form regelmäßiger Updates auf jedem Endgerät installiert. Dies kann geplant oder im akuten Fall auch unplanmäßig erfolgen. Bei einem Virenscan wird die Festplatte und alle angeschlossenen, externen Speichergeräte auf mögliche Bedrohungen hin untersucht. Und zwar jede Datei. Wird ein Virus erkannt, wird die Datei entweder gelöscht, isoliert oder repariert.
BOT.
„Robot“-Schadsoftware.
BOTs sind Trojaner, die selbstständig, kriminelle Aktionen innerhalb eines Netzwerks ausführen. Angriffsziele und -aktionen lassen sich in der Regel von einem externen C&C (Command & Control)-Leitstand von Hacker:innen fernsteuern. Als Gegenmaßnahme werden Sensoren im Netzwerk installiert, die den Verbindungsaufbau in Richtung eine C&C-Leitstands erkennen und unterbinden.
CASB.
Cloud Access Security Broker.
Der CASB kann ein Cloud-Service oder eine Anwendung sein. Er dient der Absicherung von Cloud-Applikationen in hybriden Netzwerken und befindet sich zwischen der On-Premise-Infrastruktur und den eigentlichen Cloud-Anwendungen. Sein Job ist es, die Kommunikation zu steuern, analysieren und protokollieren. Werden Anomalien erkannt, können Gegenmaßnahmen eingeleitet werden. Darüber hinaus ermöglicht er, sichere Zugangsvoraussetzungen zu schaffen, indem User sich authentifizieren und sämtlichen Verkehr verschlüsseln. Weitere Anwendungsbereiche sind das Logging der Aktionen in der Cloud. Mithilfe eines CASB können Organisationen individuelle Sicherheitsrichtlinien auch über die Grenzen der eigenen Infrastruktur hinaus durchsetzen.
DEC.
Deception.
Bei der Deception-Methode wird dem Angreifer ein lohnendes Ziel vorgetäuscht. Durch das absichtliche Anbieten eines sogenannten „Honypots“ werden Kriminelle in die Irre geführt; solche „Honigtöpfe“ können falsche Netzwerke, falsche Applikationen und Endpunkte oder falsche Daten auf einem separat bereitgestellten Fake-Datei-Server sein. Ziel ist es, den Hacker so lange zu beschäftigen, bis er lokalisiert ist und die passenden Gegenmaßnahmen eingeleitet sind.
EDR.
Endpoint Detection and Response.
Unter EDR versteht man eine Gruppe von Software-Lösungen, die Bedrohungen auf Endgeräten wie PCs, Laptops, Tablets und Smartphones oder Server erkennt und abwehrt. Und zwar durch eine kontinuierliche Überwachung und Analyse von Aktivitäten an den Anfangs- und Endpunkten. In Echtzeit. Ein solches Verhalten der Endgeräte könnte zum Beispiel auf einen Befall mit Malware oder einen erfolgreichen Phishing-Angriff zurückzuführen sein. Zu den überwachten Ereignissen gehören zum Beispiel die Anmeldung von Benutzer:innen im Netzwerk, das Öffnen von Dateien, Registry-Zugriffe, Speicherzugriffe sowie aufgebaute Netzwerkverbindungen.
FW.
Firewall.
Wörtlich übersetzt bedeutet Firewall "Brandmauer". Firewalls werden am Eingang eines Netzwerks als Schutz vor unbefugtem Zugang verwendet. Die Hardware- oder Software-basierten Lösungen werden individuell konfiguriert – nur von den Administrator:innen freigegebene (externe) Quellen erhalten Zugang zu den angefragten Zielen. Dafür kontrollieren Firewalls den gesamten Datenverkehr auf der ISO/OSI-Layer-3-Ebene einer Software-Architektur. Schützen lassen sich einzelne Rechner, Server oder ganze IT-Infrastrukturen.
ISMS.
Informations-Sicherheits-Management-System.
Ein Informations-Sicherheits-Management-System (ISMS) stellt die Denk- und Arbeitsweise einer Organisation in Bezug auf die gesamte Informationssicherheit dar. Es dient als Grundlage für zahlreiche, vorgeschriebene Bestimmungen wie die DSGVO (Datenschutz-Grundverordnung) die die ISO 27001 und legt beispielweise im Detail fest, welche Maßnahmen im Falle eines Cyberangriff zu ergreifen sind.
IPS.
Intrusion Prevention System.
Auf Hardware oder Software basierende Lösung zum aktiven Schutz vor Netzwerkangriffen. Auf der Basis vertrauenswürdiger Referenzquellen erkennt ein IPS selbstständig bekannte Angriffsmuster sowie Auffälligkeiten und hält Ausschau nach Anomalien. IPS-Lösungen kommen häufig ergänzend zu einer Firewall zum Einsatz; sie erkennen einen Angriff auch nach Durchbrechen der Firewall.
KI.
Künstliche Intelligenz.
Mit den Mitteln der künstlichen Intelligenz und des maschinellen Lernens werden Angriffsmuster rechtzeitig und automatisiert bekämpft. Anders als bei klassischen, reaktiven Antivirus-Maßnahmen werden übergreifende Muster proaktiv erkannt. Präventive Maßnahmen („pre execution detection“) werden ergriffen, bevor eine mit Malware infizierte Datei gestartet oder ausgeführt wird.
MDM.
Mobile Device Management.
MDM stellt eine Übersicht aller organisationseigenen Endgeräte dar und ist ein wichtiges Werkzeug für den aktiven Schutz von Daten und Geräten. Applikationen und Sicherheitsrichtlinien werden zentral durch leistungsfähige Software-Tools verwaltet und können schnell aktualisiert werden, zum Beispiel beim Einspielen von Patches. Dazu gehören auch die Einrichtung neuer Geräte oder das Aufspielen neuer Software. Als Cloud Service kann eine MDM-Lösung in kurzer Zeit eine große Anzahl an Endgeräten aktualisieren.
MEN.
Mail Encryption.
Unverschlüsselte E-Mails sind während der Übertragung prinzipiell für alle lesbar. Mithilfe geeigneter Tools lassen sie sich jedoch wirksam schützen, indem die Daten verschlüsselt übertragen werden. Auf diese Weise erhalten nur Personen, welche über den (Software-)Schlüssel für die Kommunikation verfügen, Zugriff auf die enthaltenen Informationen und angehängte Dokumente. Noch mehr Schutz bietet die zusätzliche Verschlüsselung des Transportwegs, kurz TLS genannt (Transport Layer Security).
NAC.
Network Access Control.
NACs sind Lösungen zum Schutz von Netzwerk-Infrastrukturen. Sie kontrollieren den Zugriff von Mitarbeiter:innen, Geräten und Gästen auf der Grundlage individueller Sicherheitsrichtlinien der Organisation und smarter Profiling-Algorithmen. Zugriffsanfragen von Netzwerkgeräten werden auf der Grundlage registrierter MAC-Adressen verwaltet. NACs erkennen selbstständig Netzwerkbedrohungen; sie isolieren und eliminieren bei Bedarf Schadcode ohne Eingriff von Adminstrator:innen.
NDR.
Network Detection & Response.
Hierbei handelt es sich um eine Gruppe von Sicherheitslösungen, die den Netzwerkverkehr kontinuierlich überwachen. Über einen zentralen Mirror-Port am Switch oder der Firewall wird der Datenverkehr genau analysiert. Dabei kommen vermehrt Verfahren der künstlichen Intelligenz (KI) und des maschinellen Lernens (ML) zum Einsatz. NDR-Systeme funktionieren nicht über signaturbasierte Techniken, sondern analysieren kontinuierlich den Netzwerkdatenverkehr auf Anomalien. Und sie reagieren automatisch auf verdächtigen Datenverkehr auf der Grundlage vorher definierter Sicherheitsrichtlinien. NDR stellt eine sinnvolle Erweiterung vorhandener Sicherheitslösungen wie Firewalling, Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) und Security Orchestration, Automation and Response (SOAR) dar.
NEN.
Network Encryption.
Die Netzwerkverschlüsselung schützt Daten, die über Kommunikationsnetze übertragen werden. Mit einer Verschlüsselung kann zum Beispiel die Übertragung von der Personalabteilung zu einem Fileserver ebenso geschützt werden wie ein einzelner Ordner auf einem Fileserver oder in der Cloud.
NK.
Notfallkonzept.
Was tun, wenn es trotz aller Sicherungsmaßnahmen doch passiert? Jedes Unternehmen braucht ein fest definiertes Notfallkonzept, in dem detailliert geregelt ist, was im Falle eines Cyber-Angriffs technisch, personell, organisatorisch und infrastrukturell zu tun ist. In diesem Bereich wird sehr oft auf eine Reihe von Referenzen zurückgegriffen, zum Beispiel auf die BSI-Standards 100-4 und 200-4 sowie die DIN ISO 22301. Ziel ist die Aufrechterhaltung oder Wiederherstellung kritischer Geschäftsprozesse, gegebenenfalls auch durch die Eröffnung eines Bitcoin-Kontos für Lösegeldzahlungen. Da sich die Angriffsziele und -muster beständig ändern, müssen die Notfallkonzepte regelmäßig aktualisiert und angepasst werden. Je nach Branche und allgemeiner Bedrohungslage kann der Zeitpunkt für eine Überprüfung variieren.
PAM.
Privileged Account Management.
Privilegierte Accounts verwalten die Schlüssel zu zentralen Diensten in Netzwerk-Infrastrukturen. Dies können Mitarbeiter:innen, aber auch System-Accounts sein. Da diese Accounts mit besonderen Rechten ausgestattet sind, müssen sie auch besonders geschützt werden; gelingt Angreifer:innen der Zugriff auf ein solches Konto, können sie sich leicht zu Domänenadministrator:innen machen – mit weitreichenden Zugriffsrechten. Durch ein PAM-Tool werden besonders hoch privilegierte Accounts systemisch geschützt, d. h. Passwörter werden zentral abgeglichen und verwaltet. Eine automatische Rotation der Passwörter erschwert zudem jeden unberechtigten Zugriff.
SIEM.
Security Information and Event Management.
Das SIEM überwacht und bewertet laufend den Sicherheitszustand eines Unternehmens, einer Organisation oder Verwaltung. Es hilft dabei, die Aktivitäten innerhalb eines IT-Netzwerks vollständig sichtbar zu machen. Damit können Bedrohungen in Echtzeit erkannt und entsprechende Gegenmaßnahmen eingeleitet werden. Das macht es, indem die Logfiles unterschiedlichster Systeme wie Firewalls, Proxys, Windows Server oder spezieller Applikationen analysiert und kategorisiert werden. Sobald sicherheitsgefährdende Ereignisse erkannt werden, erfolgt eine automatische Meldung an das IRT (Incident Response Team).
SOAR.
Security Orchestration, Automation and Response.
SOAR stellt einen Mix aus kompatiblen Programmen dar, die es möglich machen, aus unterschiedlichsten Quellen Daten über Bedrohungen zu harmonisieren. Zudem wird mit SOAR eine automatische Reaktion auf Bedrohungen bezeichnet. Der Einsatz von SOAR unterstützt Firmen dabei, Schwachstellenmanagement zu optimieren und sich besser gegen Hacker und Angriffe aus dem Netz zu schützen.
VPN.
Virtual-Private-Network-Remote-Einwahl.
Bei einer VPN-Verbindung handelt es sich um den klassischen externen, sicheren Zugriff (z. B. von einem Notebook) auf ein Unternehmensnetzwerk. Für VPNs werden spezielle Router- und Client-Komponenten benötigt. Diese können hardware- oder softwarebasiert sein. Auf jedem Endgerät wird ein VPN-Client installiert, auch bei Clientless-SSL-Technologien. VPN-Router und -Clients müssen regelmäßig aktualisiert und gewartet werden, um aktuellen Schutz zu bieten.
VSG.
Versicherung.
Spezialisierte Versicherer bieten eine große Auswahl spezieller Cyber-Versicherungen an, um sich vor den wirtschaftlichen Folgen eines Cyber-Angriffs zu schützen. Eine solche Absicherung gehört heute in vielen Fällen – auch angesichts einer Vielzahl regulatorischer Anforderungen wie der DSGVO – zu den Standardabsicherungen für Unternehmen jeder Größenordnung.