Glossar

zum Schwerpunktthema Kosten & Nutzen von IT-Sicherheit

Information:
Glossar zu HMD 248, erschienen im April 2006.
Zurück zur Glossarübersicht

A

Angriffsbaum
Top-down-Analyse von möglichen Angriffswegen eines Angreifers.
Annual Loss Expectancy - ALE
Annual Loss Expenditure
Die verbleibenden Kosten (oder Schäden) nach einem Investment in IT-Sicherheitsmaßnahmen.
Authentizität
Eigenschaft einer Information, wenn sie tatsächlich vom angegebenen Absender stammt.

B

BSI
Bundesamt für Sicherheit in der Informationstechnologie, eine Behörde der Bundesrepublik Deutschland, dem Innenministerium unterstellt.

C

CMMI (früher als CMM bezeichnet)
Das Capability Maturity Model Integration des SEI (Software Engineering Institut der Carnegie Mellon University) ist ursprünglich als 5-stufiges Modell entworfen, gemäß dem die Reife von Unternehmen bezüglich ihrer Qualitätssicherung beurteilt werden kann. Es ist in seiner aktuellen Form mit Methoden (Best Practice) unterlegt, die Unternehmen anwenden sollten, wenn sie eine bestimmte Reifestufe anstreben. Das SEI zertifiziert Unternehmen nach diesem Modell.
Common Criteria (CC)
Mit den Common Criteria for Information Technology Security Evaluation wurden 1998 auf internationaler Ebene Kriterien zur Prüfung und Bewertung der Sicherheit in der Informationstechnologie festgelegt. Außerdem wurden Anforderungen an die Vertrauenswürdigkeit von IT-Systemen formuliert.

D

Digitale Signatur
Sie dient der Zusicherung der Integrität, der Nachweisbarkeit und der Authentizität eines Dokumentes.

E

Exploit
Ein kurzes meist nur im Quelltext verfügbares Programm, das eine einzelne Sicherheitsschwäche in einem IT-System ausnutzt.

F

Firewall
Ein System aus Hard- und Software, das den Zugriff von Nichtbefugten beschränken soll, um die Sicherheit des eigenen Systems zu gewährleisten.

G

GSHB, Grundschutzhandbuch
Im IT-Grundschutzhandbuch des BSI werden Standardsicherheitsmaßnahmen für typische IT-Systeme empfohlen. Das Ziel dieser IT-Grundschutz-Empfehlungen ist es, durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standardsicherheitsmaßnahmen ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist und als Ausgangsbasis für hochschutzbedürftige IT- Systeme und Anwendungen dienen kann.

I

Integrität
Eigenschaft einer Information, wenn sie bei der Übertragung von der Quelle ohne ungewünschte Veränderungen bei der Senke ankommt.
IT-Sicherheit
Fachgebiet der Informationstechnologie, das sich mit der Sicherstellung der folgenden fünf Eigenschaften von IT-Systemen befasst: Integrität, Authentizität, Vertraulichkeit, Verfügbarkeit, Verbindlichkeit.
Als Begriff umfasst IT-Sicherheit die technischen, prozeduralen, organisatorischen und führungsbezogenen Anstrengungen zur Messung und Aufrechterhaltung bzw. Verbesserung der Sicherheit für informationstragende oder übermittelnde Informatik- und Kommunikationssysteme sowie die darauf basierenden Prozesse und Abläufe.
IT-Sicherheitsmanagement
Teilgebiet des IT-Managements, das sich um die IT-Sicherheit kümmert. Weil viele Ziele des IT- Sicherheitsmanagements mit den üblichen Zielen des IT- Managements konkurrieren, berichtet das IT- Sicherheitsmanagement nicht an das IT-Management, sondern ähnlich wie das Qualitätsmanagement direkt an die Geschäftsleitung.
IT-Sicherheitsniveau
Der kleinste Aufwand, der erforderlich ist, um die Sicherheitsmaßnahmen eines IT-Systems zu durchbrechen.

K

KonTraG
(Bundesdeutsches) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.

P

Passwort-Policy
Regelung zur Vergabe und zum Einsatz von Passwörtern.
Penetrationstest
Sie dienen dazu, festzustellen, inwiefern Unternehmensnetze angreifbar sind. Im Rahmen von Penetrationstests führen Spezialisten gezielte Angriffe auf die IT-Infrastruktur durch. Hierbei kommen automatische Scanner, Hacker-Tools, Exploits sowie individuell erstellte Angriffswerkzeuge zum Einsatz.

R

Return on Security Investment (ROSI)
Ein einfacher strategisch-ökonomischer Ansatz, der eine Monetarisierung der Informationssicherheit vornimmt, indem er vorhandene Risiken auf durchschnittliche Schäden pro Jahr umlegt. Dabei ist der ROSI gleich dem Verhältnis von der Summe aus eingesparten Schäden und Opportunitätsnutzen zu den Kosten der Sicherheitsinvestitionen.
Risikomanagement
Teilgebiet des Managements, das sich um die Risiken kümmert. Es ist der Prozess der Identifikation, der Beurteilung und der Reduzierung von Risiken auf ein akzeptierbares Niveau und die Implementierung der richtigen Mechanismen, um dieses Niveau beizubehalten. Es besteht also aus folgenden Teilen:
  1. Risikoidentifizierung (Welche Risiken gibt es überhaupt?)
  2. Risikoanalyse (Wie wahrscheinlich ist das Risiko und wie groß ist der mögliche Schaden?)
  3. Risikominderung (Einleitung von Maßnahmen, die zur Reduzierung des Risikos dienen)
  4. Beobachtung der Maßnahmen und der verbleibenden Restrisiken

S

Schutzbedarf
Der minimale Aufwand, den ein Angreifer haben soll, um die (meist noch) zu treffenden Schutzmaßnahmen zu durchbrechen.
Security Officers Management and Analysis Project (SOMAP)
Eine Open-Source-Initiative mit den Zielen, einen freien Katalog (Repository) von optimalen Verfahren zusammenzustellen sowie ein freies Tool (SOBF) für die Risikoanalyse zu erschaffen, das auf diesem Repository aufbaut.
Sicherheitskonzept
Mit der Erstellung eines Sicherheitskonzeptes werden die konzeptionellen Sicherheitsanforderungen festgehalten und die daraus resultierenden Sicherheitsmaßnahmen festgelegt.
Single-Sign-on (SSO)
SSO-Systeme sorgen dafür, dass sich ein Anwender nur einmal gegenüber einer dafür geschaffenen Instanz authentisieren muss und sich so mit einem einzigen Passwort an alle Systeme anmelden kann, für die er eine Zugangsberechtigung hat.

V

Verfügbarkeit
Eigenschaft eines IT-Systems, wenn es ohne unbeabsichtigte Störung arbeitet.
Vertraulichkeit
Eigenschaft einer Information, wenn sie nur vom vorgesehenen Empfänger gelesen werden kann.

Z

Zeitstempeldienst
Damit lässt sich die Korrektheit einer Zeitangabe in einer Nachricht zusichern. Dazu wird der Hashwert eines Dokumentes gemeinsam mit einer offiziellen Zeitangabe signiert. Der Ersteller verbürgt sich für die Existenz des signierten Dokumentes zu der angegebenen Zeit.
Zurechenbarkeit
Eigenschaft einer Information, wenn ihr Absenden oder ihr Empfang unabstreitbar einer Person oder einem System nachgewiesen werden kann.
Bestellen Sie ein Probeabo!
HMD Best Paper Award 2011
MKWI
IT-Governance Heft 10 befasst sich mit Datenschutz