Security Awareness
- Carsten Rehberg
Begriffsdefinitionen
Hier befinden sich die Definitionen häufiger Begriffe im Bereich der Security Awareness
A
Advanced Persistent Threat (APT)
Ein Advanced Persistent Threat ist ein gezielter Angriff durch Personen, die sowohl über die Zeit als auch über die Mittel verfügen, über einen langen Zeitraum hinweg die Infiltration eines Netzwerks zu planen und umzusetzen.
Es handelt sich um einen komplexen, zielgerichteten Angriff. ¹
Klassische Schutzmaßnahmen wie signaturbasierter Virenschutz sind gegen APTs nahezu wirkungslos und haben daher in den letzten Jahren zahlreiche Hersteller neue Ansätze und Produkte entwickelt, Next Gen Malware Protection oder Next Gen Antivirus (NG AV). ³
Adware
Adware ist Software, die Werbung auf Ihrem Computer einblendet ¹
Anonymisierender Proxyserver
Anonymisierende Proxyserver ermöglichen dem Benutzer, seine Surfaktivität im Internet zu verbergen. Er kann damit Websicherheitsfilter umgehen und zum Beispiel mit einem Firmencomputer auf gesperrte Seiten zugreifen. ¹
Attribution
Zuordnung einer IP-Adresse oder eines Domainnamens etc. zu einem Hacker bzw. der Hackergruppe ³
AutoRun-Wurm
AutoRun-Würmer sind Schadprogramme die sich die AutoRun-Funktion von Windows zunutze machen. Sie werden automatisch gestartet, wenn etwas an einen Computer angeschlossen wird. ¹
B
Backdoor-Trojaner
Mit Hilfe eines Backdoor-Trojaners kan ein Angreifer den Computer eines Benutzers ohne dessen Zustimmung übernehmen. ¹
Bootsektor-Malware
Bootsektor-Malware verbreitet sich, indem sie das spezielle Startprogramm ändert, das den Computer hochfährt. ¹
Botnet
Ein Botnet ist ein Verbund infizierter Computer, die von einem Hacker per Fernsteuerung kontrolliert werden. ¹
Browser-Hijacker
Browser-Hijacker ändern ohne Ihre Zustimmung die Standard-Startseite und die Suchmaschine Ihres Webbrowsers ¹
Brute-Force-Angriff
Bei einem Brute-Force-Angriff probieren Angreifer eine große Anzahl an möglichen Stichwort- oder Passwort-Kombinationen durch, um unberechtigt Zugriff auf ein System oder eine Datei zu erlangen. ¹
Buffer Overflow (Pufferüberlauf)
Ein Pufferüberlauf tritt ein, wenn ein Programm mit zu vielen Daten gefüttert wird. Dabei werden andere Teile des Computerspeichers überschrieben, was zu Fehlern oder Abstürzen führt. ¹
C
Command and Control Center
Ein Command and Control Center (C&C) ist ein Computer, der ein Botnet (also ein Netzwerk aus manipulierten Computern) steuert. Einige Botnets nutzen verteilte Command-and-Control-Systeme und sind dadurch besonders widerstandsfähig.
Es ist ein zentraler Server, der Befehle an gekaperte Rechner (Opfersysteme) verteilt und von diesen Informationen erhält. ¹
Computer Emergency Response Team (CERT)
siehe SOC ³
Computer Security Incident Response Team (CSIRT)
siehe SOC ³
Content Disarm & Reconstruction (CDR)
auch Sanitisation oder Datenwäsche genannt
Hierbei wird die Isolation im Gegensatz zu ReCoBS auf die Ebene der Inhalte verschoben. Dabei werden Anhänge abgefangen und so kodiert, dass bösartiger Code entfernt oder zerstört wird. Dies ist besonders hilfreich in Personalabteilungen, die täglich eine Vielzahl von Mails mit unbekannten Anhängen erhalten. ³
Cookie
Cookies sind Dateien, die auf Ihrem Computer abgelegt werden, damit Websites Informationen speichern können. ¹
Cyber Defense Center (CDC)
siehe SOC ³
Cyber Situational Awareness
Hierbei werden mit Hilfe von Suchmaschinenim Internet und / oder Darknet nach Daten des Kunden gesucht und Auswertungen dazu bereitgestellt. Typisch sind Informationen, wenn Aktivisten sich gegen einen Auftraggeber veranreden oder Attenatte planen. ³
D
Datendiebstahl
Von Datendiebstahl spricht man, wenn Daten nicht versehentlich verloren gehen, sondern absichtlich gestohlen werden. ¹
Datenleck
Als Datenleck bezeichnet man die unbefugte Offenlegung von Daten. Geschehen kann eine solche Offenlegung absichtlich (Datendiebstahl) oder unabsichtlich (Datenverlust) ¹
Datenverlust
Ein Datenverlust liegt vor, wenn Daten versehentlich (und nicht durch einen Diebstahl) an den falschen Ort geraten oder abhanden kommen. ¹
Deception
auch Bread Cumb oder Honey Token genannt
Ködertechnik zum Anlocken von Angreifern. Dabei werden auf den Arbeitsplätzen der Mitarbeiter gefälschte Hashes, die mit bekannten Hacker-Tools wie mimikatz ausgelesen werden. Der Hacker versucht, sich mit den Daten ins System eonzuloggen und fällt auf, da das System durch die fehlerhaften Passwörter den Zugang sperrt und den Angriff meldet. Der Unterschied zum Honeypot ist, dass es kein eigenes System zum Einsatz kommt. Vorteil ist, dass es kaum Fehlalarme gibt ³
Denial-of-Service-Angriff
Ein Denial-of-Service (DoS)-Angriff hindert Benutzer daran, auf einen Computer zuzugreifen oder eine Webseite aufzurufen. ¹
Distributed Component Object Model (DCOM)
von Microsoft definierte objektorientierte Interprozesskommunikation über ein Rechnernetz ²
DNS-Hijacking
Das Domain Name System (DNS) ist das Telefonbuch des Internets. Damit können Computer Namen von Websites wie www.sophos.de in IP-Adressen übersetzen und so miteinander kommunizieren. ¹
Dokument-Malware
Dokument-Malware macht sich Sicherheitslücken in Anwendungen zunutze, mit denen Dokumente gelesen oder bearbeitet werden können. ¹
Drive-by-Download
Beim Drive-by-Download wird ein Computer mit Malware infiziert, sobald der Benutzer eine schädliche Webseite aufruft. ¹
E
E-Mail-Malware
Bei E-Mail-Malware handelt es sich um Malware, die per E-Mail verbreitet wird ¹
E-Mail-Spoofing
Beim E-Mail-Spoofing wird die Absenderadressse für Social-Engineering-Zwecke gefälscht. ¹
Exploit
Bei einem Exploit wird eine bekannte Sicherheitslücke ausgenutzt, um auf einen Computer zuzugreifen oder um diesen zu infizieren. ¹
F
G
Gefälschter Virenschutz
Manche Antivirenprogramme sind Fälschungen: Sie geben sich als Virenschutz aus, melden aber nicht existierende Bedrohungen. Sie wollen den Benutzer verunsichern und ihn dazu bringen, Schadsoftware zu installieren und/oder Geld für ein unnötiges kostenpflichtiges Produkt auszugeben. ¹
Group Policy References (GPP)
Gruppenrichtlinieneinstellungen, mit denen Administratoren auf Clients bestimmte Konfigurationen bereitstellen können ²
H
Hacktivismus
Als Hacktivismus bezeichnet man Hackeraktivitäten, die politischen und gesellschaftlichen Interessen dienen und auf Unternehmen, Regierungen, Organisationen oder Einzelpersonen abzielen. ¹
Hoax
Hoaxes sind Falschmeldungen, mit denen Benutzer getäuscht oder betrogen werden sollen. ¹
Honeypot
Bei einem Honeypot handelt es sich um eine Falle, die jedoch nicht für gewöhnliche Benutzer gefährlich ist, sondern für diejenigen, die Böses im Schilde führen. Sicherheitsexperten legen diese Falle aus, um Hackerangriffe zu analysieren oder Malware-Samples zu sammeln. ¹
I
Indicator of Compromise (IOC)
IOC bezeichnet Hinweise auf eine Kompromittierung des Systems, wie beispielsweise bekannte IP-Adressen oder Domainnamen von Malware. Dies kann helfen, das Ausmaß zu verringern, bei möglicher Zuordnung der IP-Adressen zu den Hackergruppen ist sogar eine Zuordnung möglich, eine sogenannte Attribution. ³
Industrial Control Systems, ICS
industrielle Steuerungssysteme, die aus Soft- und Hardware sowie Vernetzungskomponenten bestehen ²
Information Security Management System (ISMS)
Managementsystem für Informationssicherheit, bestehend aus Prozessen und Regeln, die in einer Organisation die Informationssicherheit dauerhaft steuern, weiterentwickeln und verbessern sollten ²
Internetwurm
Bei Würmern handelt es sich um Malware, die sich im Internet oder in lokalen Netzwerken selbst kopiert und so verbreitet. ¹
J
K
Keylogging
Beim Keylogging werden Tastatureingaben heimlich von unbefugten Dritten aufgezeichnet. ¹
L
Local Administrator Password Solution (LAPS)
Mit LAPS lässt sich pro Client ein dynamisches Passwort generieren und im Active Directory hinterlegen. Es soll das (unsichere) Hinterlegen lokaler Administratorpasswörter in den Gruppenrichtlinien ablösen. ²
M
Malware
Malware ist die allgemeine Bezeichnung für Schadsoftware. Unter den Oberbegriff Malware fallen beispielsweise Viren, Würmer, Trojaner und Spyware. Viele verwenden die Begriffe Malware und Virus synonym. ¹
Manufacturing Execution System (MES)
eine prozessnah operierende Ebene eines mehrschichtigen Fertigungsmanagementsystems ²
Micro Segmentation
Im Unterschied zu Firewalls findet die Mikrosigmentierung vor jedem Endgerät statt. Dies eignet sich besonders gut, um unterschiedliche Applikationen im Rechenzentrum zu separieren. ³
Mikrovirtualisierung
Folgt der Grundidee von ReCoBS, allerdings läuft die Sandbox nicht auf dem gleichen System, sondern in einem eigenen Hypervisor, welcher für jede Website eine eigene virtuelle Maschine erzeugt. Daduch wird die Isolation erweitert und ein separater Download ermöglicht. ³
Mobile Malware
Bei Mobile Malware handelt es sich im Schadsoftware, die speziell für die Ausführung auf mobilen Geräten entwickelt wurde. ¹
N
Next Gen Malware Protection
je nach Hersteller unterschiedliches Sicherheitskonzept zum Schutz vor APT-Gruppen ³
Next Gen Antivirus (NG AV)
siehe Next Gen Malware Protection ³
O
Operational Technology (OT)
OT ist Hardware und Software, die eine Änderung durch die direkte Überwachung und/oder Kontrolle von physikalischen Geräten, Prozessen und Ereignissen im Unternehmen erkennen und verursachen kann. Dazu gehören etwa industrielle Kontroll- und SCADA-Systeme, aber auch alle anderen vernetzten Geräte, die mechanische oder physikalische Auswirkungen haben können. ²
P
Parasitenviren
Parasitenviren sind auch als Dateiviren bekannt und verbreiten sich, indem sie sich selbst an Programmdateien anhängen. ¹
Patches
Patches sind Software-"Flicken", die Fehler beheben und Sicherheitslücken in Betriebssystemen oder Anwendungen schließen. ¹
Pentest
Pentester versuchen, mit Hilfe von Hackertools alle Schwachstellen zu finden, die dann vom auftraggeber geschlossen werden können . ³
Phishing-E-Mail
Phishing versucht, Sie dazu zu bringen, Vertrauliche Informationen an unbekannte Dritte (Cyberkriminelle) weiterzugeben. ¹
Potentiell unerwünschte Anwendung (PUA)
Potentiell unerwünschte Anwendungen sind nicht unbedingt schädlich, eignen sich aber eher nicht zur Verwendung im Unternehmen und können Sicherheitsrisiken bergen. ¹
Q
R
Ransomware
Ransomware ist erpresserische Software. Sie versperrt Ihnen den Zugriff auf Ihre eigenen Dateien oder Ihren Computer - bis Sie ein Lösegeld zahlen. ¹
Runtime Application Self Protection (RASP)
Versucht, Web-Applikationen vor SQL-Injektion oder Cross-Site-Scripting zu schützen. Ähnlicher Schutz bieten auch Web Application Firewalls. ³
ReCoBS
Abk. für Remote Controlled Browsing System, auch Threat Isolation genannt
Dabei wird nicht mehr der lokale Browser, sondern ein speziell abgesicherter Browser auf einem isolierten System benutzt. Jede angeforderte Website wird über eine Engine gerendert und als HTML 5 zugestellt. Diese Lösungen sind vor allem bei Behörden und kritischen Infrastrukturen beliebt. Es gibt allerdings unschöne Einschränkungen, so funktionieren Downloads nicht ohne Weiteres. Wird nach Freigabe der Admins eine Software mit Schadcode heruntergeladen, ist der Schutz nicht mehr vorhanden. ³
Red Team / Blue Team, rotes und blaues Team, Red Team Assessment
Die roten Teams testen die Angriffswiderstandsfähigkeit der IT eines Unternehmens oder einer Organisation, indem sie versuchen, in die Systeme einzudringen und Angriffe zu simulieren (Red Team Assessment). Die blauen Teams bestehen aus den Sicherheitsverantwortlichen einer Organisation, sie sollen die IT von innen schützen. ²
Rootkit
Bei einem Rootkit handelt es sich um ein kleines Stück Software, das andere laufende Programme oder Prozesse verbirgt. ¹
S
Sandbox-Analyse
(auch Sandboxing genannt)
bei einer Sandbox-Analyse wird der Inhalt aus dem Internet in einer vorgeschalteten Sandbox, einem abgeschotteten Bereich innerhalb eines Betriebssystems, ausgeführt, um das Verhalten zu analysieren. Durch die Sandbox wird verhindert, dass Schadcode das System manipuliert. Die Analyse ist eine Technik zur Erkennung von Angriffen, die Vorteile gegenüber klassischen Virenschutz darstellt. ³
Security Information and Event Management (SIEM)
SIEM-Systeme sammeln Daten aus Netzwerkkomponenten, Systemen und Anwendungen, werten sie aus und korrelieren sie, um sicherheitsrelevante Vorfälle frühzeitig zu erkennen ²
Security Operations Center (SOC)
Organisationseinheit, die sich ausschließlich um die Cybersicherheit der IT-Systeme kümmert. Das schließt permanente Überwachung der Sicherheit via Sensorik ein aber auch das planvolle Reagieren bei Sicherheitsvorfällen ²
Server Message Block (SMB)
Netzwerkprotokoll für verschiedene Serverdienste in Rechnernetzen, etwa Datei- und Druckdienste ²
Sicherheitslücke
Sicherheitslücken sind Fehler in Softwareprogrammen. Hacker nutzen die Fehler aus, um Computer anzugreifen oder zu kompromittieren. ¹
Social Engineering
Social Engineering bezeichnet die Palette möglicher Methoden, mit denen Angreifer Ihr Opfer zu bestimmten Handlunge verführen. Meist bringen sie den Nutzer zum Aufrufen einer schädlichen Webseite oder zum Ausführen eines unerwünschten Dateianhangs. ¹
Soziale Netzwerke
Über soziale Netzwerke können Sie kommunizieren und Informationen austauschen. Diese Netzwerke lassen sich jedoch auch dazu missbrauchen, Malware zu verbreiten und persönliche Daten zu stehlen. ¹
Spam
Bei Spam handelt es sich um unaufgefordert versandte Werbe-E-Mails, also um die elektronische Version unliebsamer Werbepost im Briefkasten. ¹
Spearfishing
Beim Spearfishing handelt es sich um gezieltes Phishing mit gefälschten E-Mails. Einzelne Mitarbeiter eines Unternehmens sollen dazu verleitet werden, vertrauliche Informationen oder Benutzerdaten offenzulegen. ¹
Speicherprogrammierbare Steuerungen (SPS)
Gerät, das digital programmiert wird und der Steuerung einer Maschine oder Anlage dient. Gegensatz zur fest verdrahteten Steuerung ²
Spyware
Bei Spyware handelt es sich um Software, die Werbetreibenden oder Hackern ermöglicht, ohne Ihr Wissen an persönliche Daten zu gelangen. ¹
SQL-Injection
Die /wiki/spaces/intFsk/pages/6089031 ist ein Exploit, der sich den Umstand zunjtze macht, dass Software für Datenbankabfragen nicht immer gründlich prüft, ob eine Abfrage eventuell auch durch Formulareingaben eingeschleuste schädliche Kommandos enthält. ¹
Supervisory Control and Data Acquisition (SCADA)
Systeme zum Überwachen und Steuern technischer Prozesse ²
T
Tactics, Techniques and Procedures (TTP)
Gwht über IOCs hinaus und beschreibt die Tätergruppen, Ihre Vorgehsnweise und Werkzeuge. Ohne eienes Personal, welcjhes die Daten auswertet, sind die Daten kaum sinnvoll zu nutzen. ³
Threat Intelligence-based Ethical Red Teaming (TIBER-EU)
Rahmenwerk der Europäischen Zentralbank für kontrollierte Angriffe, um die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberattacken zu testen (siehe Anhang TIBER-EU). ²
Trojaner (Trojanisches Pferd)
Trojaner sind Schadprogramme, die sich als legitime Software ausgeben, um im Geheimen aber auch schädliche Funktionen ausführen. ¹
U
V
Verdächtige Dateien
Bei einer Systemprüfung markiert eine Endpoint-Sicherheitslösung jede Datei als unbedenklich, schädlich oder verdächtig. Weist eine Datei eine Reihe bedenklicher Merkmale oder Verhaltensmuster auf, wird sie als verdächtig markiert. ¹
Virus
Viren sind schädliche Computerprogramme, die sich auf andere Dateien ausbreiten können. ¹
W
Windows Management Instrumentation (WMI)
Microsofts Implementierung und Erweiterung des Standards Common Information Models (CIM) für das Management von IT-Systemen. ²
X
Y
Z
Zombie
Bei einem Zombie handelt es sich um eine infizierten Computer, der von einem Hacker ferngesteuert wird. Er ist einer großen Gruppe manipulierter Computer, die man Botnet nennt. ¹
Quellen
- Schreckxikon Computer- und Datensicherheit von A bis Z Sophos, 2017, 2017-02-16-ST-NA
- Sascha Herzog, Seitwärtsbewegungen, iX 12/2018, Seite 82 bis 87, http://ix.de/ix1812082 aus Sascha Herzog; Awareness; Gesammeltes Wissen; Red Teaming: Taktische Informationsbeschaffung; iX 4/2018, S.92
- Stefan Strobel, c't 6 / 2019 Seite 76
Anhänge