Sicherheits-Glossar

Sicherheits-Glossar — A bis Z.

66 Begriffe aus IT-Sicherheit, Compliance und Datenschutz — kurz, klar, praxisnah. Auf Deutsch und Englisch.

0123456789A B C D E F G H IJK L M N O P Q R S TUV W XYZ66 Begriffe

2FA2: Zwei-Faktor-Authentifizierung. Eine Unterform von MFA, bei der genau zwei Faktoren kombiniert werden — typischerweise Passwort und TOTP oder SMS. Wird oft synonym mit MFA verwendet, ist aber streng genommen ein Spezialfall.

AVVA: Auftragsverarbeitungsvertrag. Pflichtdokument nach DSGVO Art. 28, wenn ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Regelt Zweck, Art der Verarbeitung, Weisungsgebundenheit und technisch-organisatorische Maßnahmen.

BackdoorB: Versteckter Zugangspunkt in einem System oder einer Software, der unbefugten Zugriff ermöglicht — oft von Angreifern nach einer Kompromittierung installiert oder absichtlich vom Hersteller eingebaut. Backdoors umgehen normale Authentifizierungsverfahren.
BaitingB: Social-Engineering-Angriff, bei dem ein Opfer durch ein verlockendes Angebot — z.B. ein USB-Stick mit der Aufschrift 'Gehaltsübersicht 2025' — dazu gebracht wird, Schadsoftware auszuführen. Nutzt Neugier als Angriffshebel.
BECB: Business E-Mail Compromise. Ein gezielter Angriff, bei dem Angreifer legitime Geschäfts-E-Mail-Konten kompromittieren oder imitieren, um Überweisungen, Datenweitergaben oder andere Handlungen zu veranlassen. Oft hochgradig personalisiert. Siehe auch CEO-Fraud.
BSI IT-GrundschutzB: Methodisches Rahmenwerk des Deutschen Bundesamts für Sicherheit in der Informationstechnik für systematisches Informationssicherheits-Management. Enthält Bausteine (u.a. ORP.3 für Sensibilisierung) und bildet die Grundlage für ISO 27001-Zertifizierungen in Deutschland.

CASBC: Cloud Access Security Broker. Eine Sicherheitsschicht zwischen Cloud-Nutzern und Cloud-Diensten, die Sichtbarkeit, Compliance, Datensicherheit und Bedrohungsschutz für Cloud-Anwendungen (SaaS, IaaS, PaaS) bietet.
CEO-FraudC: Variante von BEC, bei der Angreifer die Identität des CEOs oder einer anderen Führungskraft imitieren, um Mitarbeitende — meist in der Buchhaltung — zu dringenden Überweisungen oder Datenweitergaben zu veranlassen. Nutzt Autorität und Zeitdruck als Manipulationshebel.
CVEC: Common Vulnerabilities and Exposures. Ein öffentliches Register bekannter Sicherheitslücken, verwaltet von der MITRE Corporation. Jede Schwachstelle erhält eine eindeutige CVE-Nummer (z.B. CVE-2024-12345), die branchenweite Kommunikation erleichtert.

Data LeakD: Unbeabsichtigte oder unbefugte Weitergabe vertraulicher Daten. Kann durch externe Angriffe, Insider-Fehler, Fehlkonfigurationen oder Shadow IT entstehen. DSGVO und nDSG verlangen bei bestimmten Datenpannen eine Meldung an die Aufsichtsbehörde.
DKIMD: DomainKeys Identified Mail. Ein E-Mail-Authentifizierungsverfahren, bei dem ausgehende E-Mails kryptografisch signiert werden. Der empfangende Server prüft die Signatur anhand eines öffentlichen Schlüssels im DNS. Verhindert E-Mail-Manipulation auf dem Übertragungsweg.
DLPD: Data Loss Prevention. Technologien und Prozesse, die das unbeabsichtigte oder böswillige Herauslecken sensibler Daten verhindern — z.B. durch Inhaltsanalyse von E-Mails, Datei-Uploads oder USB-Transfers.
DMARCD: Domain-based Message Authentication, Reporting and Conformance. Baut auf SPF und DKIM auf und ermöglicht Domain-Inhabern festzulegen, wie mit E-Mails verfahren werden soll, die beide Prüfungen nicht bestehen (z.B. ablehnen oder in Quarantäne verschieben). Wichtiges Werkzeug gegen E-Mail-Spoofing.
DPAD: Data Processing Agreement, englische Bezeichnung für den Auftragsverarbeitungsvertrag (AVV). Pflichtdokument nach DSGVO Art. 28.
DSGVOD: Datenschutz-Grundverordnung. EU-Verordnung (2016/679), in Kraft seit Mai 2018, die einheitliche Regeln für die Verarbeitung personenbezogener Daten in der EU festlegt. Gilt für alle Organisationen, die Daten von EU-Bürgern verarbeiten.

EBAE: European Banking Authority. EU-Aufsichtsbehörde für das Bankwesen. Veröffentlicht Leitlinien zu IKT-Risikomanagement und Cybersicherheit, die für Banken in der EU verbindlich sind und Awareness-Maßnahmen explizit fordern.
EDRE: Endpoint Detection and Response. Sicherheitslösung, die Endgeräte (Laptops, Server) kontinuierlich auf verdächtiges Verhalten überwacht, Angriffe erkennt und automatisierte oder manuelle Reaktionen ermöglicht. Entwicklung von klassischen Antivirenprogrammen hin zu verhaltensbasierter Erkennung.

FIDO2F: Fast Identity Online 2. Ein offener Authentifizierungsstandard, der passwortloses oder phishing-resistentes Login über Hardwareschlüssel (z.B. YubiKey) oder geräteinterne Biometrie ermöglicht. Grundlage für Passkeys.
FINMAF: Eidgenössische Finanzmarktaufsicht. Schweizer Aufsichtsbehörde für Banken, Versicherungen und andere Finanzinstitute. Das FINMA-Rundschreiben 2023/1 enthält explizite Anforderungen an Cybersecurity und Awareness.

GDPRG: General Data Protection Regulation. Englische Bezeichnung der DSGVO. Verordnung 2016/679 der EU, seit Mai 2018 in Kraft.

HoneypotH: Absichtlich verwundbares oder attraktives System, das als Köder für Angreifer platziert wird. Aktivitäten auf dem Honeypot deuten auf einen Angriff hin, da legitime Nutzer keinen Grund haben, darauf zuzugreifen.

IAMI: Identity and Access Management. Rahmenwerk aus Richtlinien und Technologien, das steuert, wer auf welche Ressourcen zugreifen darf — einschließlich Identitätsnachweise, Rollenzuweisung, Zugriffsrechte und Protokollierung.
IdPI: Identity Provider. Ein Dienst, der Identitäten verwaltet und Authentifizierungsassertionen für andere Dienste (Service Provider) ausstellt. Beispiele: Microsoft Entra ID, Okta, Google Workspace. Grundlage für SSO.
Insider ThreatI: Sicherheitsrisiko, das von aktuellen oder ehemaligen Mitarbeitenden, Auftragnehmern oder Geschäftspartnern ausgeht — absichtlich (Sabotage, Datendiebstahl) oder unabsichtlich (Fehler, Unachtsamkeit). Eines der schwierigsten Risiken zu erkennen.
IOCI: Indicator of Compromise. Forensische Artefakte, die auf einen stattgefundenen Angriff hinweisen — z.B. verdächtige IP-Adressen, Datei-Hashes, Registry-Einträge oder Domain-Namen. Werden zwischen Sicherheitsteams geteilt, um Angriffe schneller zu erkennen.
ISMSI: Informationssicherheits-Managementsystem. Systematischer Ansatz zur Verwaltung von Informationssicherheitsrisiken — umfasst Richtlinien, Prozesse, Rollen und Technologien. ISO 27001 ist die wichtigste internationale Norm für ISMS.
ISO 27001I: Internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Stellt Anforderungen an systematisches Risikomanagement und enthält Annex A mit 93 Maßnahmen, darunter A.7.2.2 zu Awareness-Schulungen für Mitarbeitende.

KRITISK: Kritische Infrastrukturen. In Deutschland definiert das BSI-Gesetz (BSIG) KRITIS-Sektoren (Energie, Wasser, Transport etc.), für die erhöhte Cybersicherheitspflichten gelten. Ähnliche Definitionen existieren in der NIS2-Richtlinie auf EU-Ebene.

Least PrivilegeL: Prinzip der minimalen Rechtevergabe. Nutzer, Anwendungen und Prozesse erhalten nur die Berechtigungen, die für ihre Aufgabe unbedingt erforderlich sind — nicht mehr. Begrenzt den Schaden bei einer Kompromittierung erheblich.

MalwareM: Oberbegriff für jede Art schädlicher Software — Viren, Trojaner, Ransomware, Spyware, Rootkits, Worms. Ziel ist Datendiebstahl, Systemstörung, Erpressung oder das Einrichten von Backdoors.
MDRM: Managed Detection and Response. Ausgelagerte Sicherheitsdienstleistung, bei der ein externer Anbieter Bedrohungserkennung, Analyse und Reaktion übernimmt — meist rund um die Uhr. Ergänzung oder Alternative zum internen SOC.
MFAM: Multi-Faktor-Authentifizierung. Anmeldeverfahren, das mindestens zwei verschiedene Faktoren kombiniert: Wissen (Passwort), Besitz (Hardware-Token, Smartphone) und Sein (Biometrie). Verhindert Kontoübernahmen auch bei gestohlenen Passwörtern.
MFA-MüdigkeitM: Angriffsmethode, bei der Angreifer Opfer mit Push-Benachrichtigungen für MFA-Bestätigungen bombardieren, bis diese aus Frustration oder Versehen eine akzeptieren. Auch bekannt als MFA Fatigue oder Push Bombing.
MITRE ATT&CKM: Eine öffentlich zugängliche Wissensdatenbank realer Angreifer-Taktiken, Techniken und Verfahren (TTPs), basierend auf Beobachtungen aus der Praxis. Wird als gemeinsame Sprache für Bedrohungsanalyse, SOC-Regeln und Red-Team-Tests verwendet.

nDSGN: Neues Datenschutzgesetz (Schweiz). Seit September 2023 in Kraft. Modernisiert das schweizerische Datenschutzrecht und orientiert sich am Schutzniveau der DSGVO. Gilt für natürliche Personen mit Wohnsitz in der Schweiz.
NIS2N: Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (EU 2022/2555). Seit Oktober 2024 in Kraft. Erweitert den Anwendungsbereich von NIS1 erheblich und verlangt u.a. kontinuierliche Awareness-Schulungen (Art. 21 Abs. 2 lit. g).

OAuthO: Open Authorization. Ein offener Standard für delegierte Autorisierung, der es Anwendungen ermöglicht, im Namen eines Nutzers auf Ressourcen zuzugreifen, ohne dessen Passwort zu kennen. Grundlage für 'Mit Google anmelden' und ähnliche Mechanismen.
OIDCO: OpenID Connect. Eine Identitätsschicht auf Basis von OAuth 2.0, die Authentifizierung (Wer ist der Nutzer?) ergänzt. Ermöglicht Single Sign-On und ist heute der de-facto-Standard für moderne Web-Anwendungen.

PAMP: Privileged Access Management. Sicherheitsdisziplin, die privilegierte Konten (Admins, Service-Accounts) überwacht, kontrolliert und schützt. Besonders kritisch, da kompromittierte Admin-Konten maximalen Schaden anrichten können.
PasskeyP: Phishing-resistente Anmeldeoption basierend auf FIDO2/WebAuthn. Ersetzt Passwörter durch kryptografische Schlüsselpaare, die auf dem Gerät gespeichert sind. Kein Passwort wird übertragen — Phishing und Credential Stuffing sind damit wirkungslos.
PhishingP: Versuch, über gefälschte E-Mails, Webseiten oder Nachrichten an Zugangsdaten, Zahlungsinformationen oder Aktionen des Empfängers zu kommen. Häufigste Form des Cyber-Angriffs auf Mitarbeitende. Siehe auch Spear-Phishing, Whaling, Smishing, Quishing, Vishing.
Phishing-resistente MFAP: MFA-Verfahren, die nicht durch Phishing kompromittiert werden können — insbesondere FIDO2/Passkeys und Hardware-Token. Im Gegensatz dazu können SMS-OTP und TOTP durch Echtzeit-Phishing abgefangen und weitergeleitet werden.
PretextingP: Social-Engineering-Technik, bei der ein Angreifer ein erfundenes Szenario (Vorwand) konstruiert, um das Vertrauen des Opfers zu gewinnen — z.B. sich als IT-Support oder Behörde auszugeben. Grundlage für viele CEO-Fraud- und BEC-Angriffe.
Push-BombingP: Synonym für MFA-Müdigkeit. Angreifer senden wiederholt Push-Benachrichtigungen für MFA-Bestätigungen, bis das Opfer akzeptiert. Gegen Push-Bombing hilft die Aktivierung von Number Matching oder FIDO2.

Quid pro quoQ: Social-Engineering-Angriff, bei dem der Angreifer dem Opfer etwas anbietet (z.B. technischen Support), um dafür Zugang oder Informationen zu erhalten. 'Etwas für etwas' — nutzt den menschlichen Wunsch nach Reziprozität.
QuishingQ: QR-Code-Phishing. Der Angreifer platziert einen gefälschten QR-Code auf einem physischen Objekt (Parkscheinautomat, Aufkleber) oder in E-Mails. Ziel ist das Weiterleiten auf eine Phishing-Seite. Umgeht oft E-Mail-Filter, die keine QR-Codes scannen.

RansomwareR: Schadsoftware, die Daten auf befallenen Systemen verschlüsselt und Lösegeld fordert. Moderne Ransomware-Gruppen exfiltrieren Daten vor der Verschlüsselung (Double Extortion) und drohen mit Veröffentlichung. Häufig verbreitet über Phishing oder kompromittierte RDP-Zugänge.

SAMLS: Security Assertion Markup Language. Ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identity Provider und einem Service Provider. Hauptstandard für Enterprise-SSO, wird aber zunehmend von OIDC abgelöst.
SCIMS: System for Cross-domain Identity Management. Standardprotokoll für automatisiertes User-Provisioning und -Deprovisioning zwischen einem IdP und Anwendungen. Stellt sicher, dass Nutzerkonten zeitnah angelegt und beim Ausscheiden gesperrt werden.
Shadow ITS: IT-Systeme, Software oder Dienste, die von Mitarbeitenden ohne Wissen oder Genehmigung der IT-Abteilung genutzt werden — z.B. private Cloud-Dienste für Firmendaten. Entzieht sich Sicherheitskontrollen und erhöht das Datenleck-Risiko erheblich.
SIEMS: Security Information and Event Management. Eine Plattform, die Protokolldaten aus verschiedenen Quellen (Server, Firewalls, Anwendungen) zentral sammelt, korreliert und auf Anomalien analysiert. Grundlage für SOC-Betrieb und Incident Response.
SmishingS: SMS-Phishing. Phishing-Angriffe, die über SMS oder Messaging-Dienste (WhatsApp, iMessage) durchgeführt werden — oft mit fingierten Paket-Tracking-Links oder Banknachrichten. Besonders wirksam, da viele SMS als vertrauenswürdig einstufen.
SOCS: Security Operations Center. Ein Team (intern oder ausgelagert) aus Sicherheitsexperten, das Sicherheitsereignisse rund um die Uhr überwacht, analysiert und auf Vorfälle reagiert. Betreibt typischerweise ein SIEM.
Social EngineeringS: Oberbegriff für Angriffsmethoden, die menschliche Psychologie (Vertrauen, Angst, Neugier, Hilfsbereitschaft) ausnutzen, um Informationen zu erlangen oder Handlungen auszulösen — statt technische Schwachstellen anzugreifen. Umfasst Phishing, Pretexting, Tailgating, Baiting, Vishing u.a.
Spear-PhishingS: Gezielte Phishing-Angriffe auf eine bestimmte Person oder Organisation — im Gegensatz zum breit gestreuten Massen-Phishing. Nutzt persönliche Informationen (Name, Jobtitel, aktuelle Projekte) für besonders glaubwürdige Nachrichten.
SPFS: Sender Policy Framework. Ein DNS-basierter E-Mail-Authentifizierungsstandard, der festlegt, welche Mail-Server E-Mails im Namen einer Domain versenden dürfen. Verhindert einfaches E-Mail-Spoofing, aber kein vollständiger Schutz ohne DKIM und DMARC.
SSOS: Single Sign-On. Authentifizierungsverfahren, bei dem ein einmaliger Login Zugang zu mehreren Anwendungen gewährt — ohne erneute Passwort-Eingabe. Verbessert Sicherheit (zentrale Kontrolle) und Nutzerfreundlichkeit. Typisch implementiert über SAML oder OIDC.

TailgatingT: Physischer Social-Engineering-Angriff, bei dem ein Unbefugter einem berechtigten Mitarbeitenden durch eine gesicherte Tür folgt — ohne eigene Zugangsberechtigung. Setzt auf Höflichkeit und soziale Norm ('Tür aufhalten').
TOTPT: Time-based One-Time Password. Zeitabhängige Einmal-Passwörter, die typischerweise alle 30 Sekunden neu generiert werden (z.B. in Authenticator-Apps). Sicherer als SMS-OTP, aber angreifbar durch Echtzeit-Phishing. Schlechter als FIDO2/Passkeys.
TrojanerT: Schadsoftware, die sich als nützliches Programm tarnt, um Zugang zu einem System zu erhalten. Im Gegensatz zu Viren vermehrt sich ein Trojaner nicht selbst. Oft Einfallstor für weitere Malware, Backdoors oder Ransomware.
TTPT: Tactics, Techniques and Procedures. Beschreibt das Angriffsverhalten von Bedrohungsakteuren auf drei Abstraktionsebenen: taktisches Ziel (z.B. Initial Access), technische Methode (z.B. Spear-Phishing) und konkrete Vorgehensweise. Grundbegriff in MITRE ATT&CK.

VishingV: Voice-Phishing. Betrugsanrufe, bei denen Angreifer sich als IT-Support, Banken, Behörden oder Lieferanten ausgeben. Mit KI-Stimmklonen ('Voice Cloning') zunehmendes Risiko, da Stimmen von bekannten Personen täuschend echt imitiert werden können.

WhalingW: Spear-Phishing-Angriffe, die gezielt auf Top-Führungskräfte (C-Suite) abzielen — CEOs, CFOs, CISOs. Aufwändiger vorbereitet als normales Spear-Phishing, da hochwertige Ziele intensiver recherchiert werden.

XDRX: Extended Detection and Response. Weiterentwicklung von EDR, die Daten aus mehreren Sicherheitsschichten (Endpoint, Netzwerk, Cloud, E-Mail) integriert und korreliert, um komplexe Angriffe besser zu erkennen und zu bekämpfen.

Zero DayZ: Sicherheitslücke, die dem Hersteller noch unbekannt ist und für die noch kein Patch existiert. Angreifer, die einen Zero Day entdecken, können ihn unbemerkt ausnutzen ('0 Tage' für den Hersteller, um zu reagieren).
Zero TrustZ: Sicherheitsarchitektur, die keinem Nutzer oder Gerät automatisch vertraut — weder innerhalb noch außerhalb des Netzwerks. Jede Anfrage wird explizit authentifiziert, autorisiert und verschlüsselt. Prinzip: 'Never trust, always verify.'

Bereit, Awareness ernst zu nehmen?

30-Minuten-Demo. Wir zeigen Ihnen eine echte Phishing-Kampagne, ein Quartals-Reporting und das NIS2-Mapping — anhand Ihrer Branche.

Demo buchen →Kontakt aufnehmen