Glossar zur Identitätssicherheit

A B C D E F G H I K L M N O P R S T U V W Z

A

Abgleich

Ein Prozess, bei dem regelmäßig Identitätsdaten in einer Identitätsmanagementlösung mit den tatsächlich auf verwalteten Ressourcen vorhandenen Daten verglichen werden. Beim Abgleich werden Kontodaten korreliert, Unterschiede hervorgehoben und es kann ein Workflow zum Ausgeben von Warnungen oder zum Vornehmen von Änderungen an den Daten aufgerufen werden.

Active Directory

Eine Microsoft-Anwendung, die Authentifizierungs- und Autorisierungsressourcen für Microsoft Windows und andere Windows-Anwendungen bereitstellt.

Aggregation

Die Sammlung und Korrelation von Identitätsdaten aus Unternehmensanwendungen in einem zentralen Identitätsdatenspeicher.

Aktivitätsmonitoring

Eine Möglichkeit zum Monitoring von Benutzeraktionen (z. B. dem Zugriff auf Systeme, Datenänderungen) anhand von Protokolldaten, die von Systemen oder Anwendungen erfasst werden.

Anmeldeinformationen

Ein Mittel zur Authentifizierung einer beanspruchten Identität. Dies ist in der Regel der private Teil einer gekoppelten Identitätsbestätigung (die Benutzer-ID ist in der Regel der öffentliche Teil). Anmeldeinformationen können sich im Laufe der Zeit ändern und widerrufen werden.

Application Store oder App Store

Ein Dienst, der es Benutzern ermöglicht, Anwendungen zu durchsuchen und herunterzuladen.

Assertion

Eine Behauptung, wie z. B. eine bestimmte Identität oder die Mitgliedschaft in einer Gruppe. Erfordert in der Regel einen Nachweis über Anmeldedaten, d. h. die Kombination aus Benutzer-ID und Passwort.

Attestierung

Alternative Bezeichnung für Zugriffszertifizierung: Regelmäßige Überprüfung der Benutzerzugriffsprivilegien, um sicherzustellen, dass diese mit der Funktion des Benutzers übereinstimmen und den Richtlinien entsprechen.

Attribut

Eine einzelne Information, die mit einer digitalen Identität verknüpft ist. Beispiele für Attribute sind Name, Telefonnummer und Institutionszugehörigkeit. Jede identifizierende Information über einen Benutzer kann als Attribut dieses Benutzers betrachtet werden. Benutzer verfügen über Identitätsattribute, die jeweils auf einem oder mehreren Zielsystemen gespeichert sein können.

Attributbasierte Zugriffskontrolle

Eine Autorisierungsmethode, die Richtlinien basierend auf Merkmalen wie Abteilung, Standort, Manager und Tageszeit festlegt und durchsetzt.

Audit

Die unabhängige Überprüfung und Untersuchung von Aufzeichnungen und Aktivitäten, um die Angemessenheit von Systemkontrollen zu beurteilen, die Einhaltung etablierter Richtlinien und Betriebsverfahren sicherzustellen und notwendige Änderungen an Kontrollen, Richtlinien oder Verfahren zu empfehlen.

Auditmangel

Feststellung eines Prüfers, dass eine IT-Kontrolle nicht wirksam ist. Der Begriff wird häufig in SOX-Audits verwendet, um einen Kontrollmangel aufzuzeigen, der die Fähigkeit des Unternehmens zum zuverlässigen Reporting externer Finanzdaten beeinträchtigen könnte.

Auditprotokoll

Ein Protokoll, das Ereignisse aufzeichnet, die innerhalb eines Systems oder einer Anwendung aufgetreten sind. Ein Auditprotokoll kann beispielsweise alle Anmeldungen am System, die Namen der angemeldeten Personen, den Zeitpunkt der Anmeldung usw. enthalten.

Aufgabentrennung

Teilt Aufgaben in mindestens zwei Teile auf, um sicherzustellen, dass keine einzelne Person einseitig handeln kann, wenn die Auswirkungen irreversibler Handlungen die Fehlertoleranz oder Betrugstoleranz eines Unternehmens überschreiten.

Authentifizierung

Der Prozess, Vertrauen in die Gültigkeit der vom Antragsteller vorgelegten Kennung herzustellen, in der Regel als Voraussetzung für die Gewährung des Zugriffs auf Ressourcen in einem Informationssystem.

Authorization

Der Prozess, mit dem der Zugriff auf eine Informationsressource basierend auf einer festgelegten Richtlinie gewährt oder verweigert wird.

Autoritative Quelle

Das System, das den endgültigen Online-Wert für ein bestimmtes Identitätsattribut enthält. In manchen Fällen ist ein System autoritativ, weil es den Wert erstellt (z. B. die Mitarbeiter-ID-Nummer). In anderen Fällen ist ein System autoritativ, weil es der Ort ist, an dem ein Benutzer die Informationen eingeben muss (z. B. die Mobiltelefonnummer).

B

BYOA

Bring Your Own Application bezeichnet die Richtlinie, Mitarbeitern den Zugriff auf persönliche Anwendungskonten (z. B. Facebook, LinkedIn, TripIt) am Arbeitsplatz zu gestatten.

BYOD

Bring Your Own Device bezeichnet die Richtlinie, die es Mitarbeitern erlaubt, private Mobilgeräte (Laptops, Tablets und Smartphones) an ihren Arbeitsplatz mitzubringen und diese für den Zugriff auf vertrauliche Unternehmensinformationen und -anwendungen zu verwenden.

Basel II

Eine Reihe von Bankvorschriften des Basler Ausschusses für Bankenaufsicht, der das Finanz- und Bankwesen international reguliert. Basel II zielt darauf ab, die Kapitalstandards des Basler Ausschusses mit nationalen Vorschriften zu harmonisieren, indem es Mindestanforderungen an das Eigenkapital von Finanzinstituten festlegt, um finanzielle und operative Risiken zu begrenzen.

Bedrohungserkennung und -reaktion

Eine Reihe von Cybersicherheitspraktiken und -tools zur Erkennung und Neutralisierung böswilliger Aktivitäten, bevor Netzwerke, Systeme oder vertrauliche Informationen kompromittiert werden.

Bedrohungsvektor

Methoden oder Mechanismen, die Cyberkriminelle nutzen, um sich illegalen, unbefugten Zugriff auf Computersysteme und Netzwerke zu verschaffen.

Behebung

Die Handlung oder der Prozess zur Behebung eines Compliance-Problems, beispielsweise eines Richtlinienverstoßes.

Benutzerbereitstellung

Die Erstellung, Pflege, Aktualisierung und Löschung der digitalen Identität und Zugriffsrechte eines Benutzers für mehrere Ressourcen gleichzeitig – vor Ort, in der Cloud oder in einer hybriden Umgebung.

Berechtigung

Ein bestimmter Wert für ein Kontoattribut, meist eine Gruppenmitgliedschaft oder eine Genehmigung. Eine Sicherheitsberechtigung ist das Recht, das einem Benutzerkonto auf einem bestimmten System gewährt wird, um auf bestimmte Daten oder Funktionen zuzugreifen.

Berechtigungsausweitung

Eine Sicherheitslücke in der Zugriffskontrolle, die dadurch entsteht, dass Mitarbeiter im Laufe der Zeit durch Versetzungen, Beförderungen oder einfach im normalen Geschäftsverlauf Zugriffsrechte erwerben. Wenn Mitarbeiter Berechtigungen anhäufen, die über das hinausgehen, was sie für ihre Tätigkeit benötigen, setzen Unternehmen sich unnötigen Geschäftsrisiken aus.

Berechtigungsverwaltung

Ein Mechanismus zur zentralen Definition der Anwendungen und Dienste, für die ein Benutzer autorisiert werden kann. Es handelt sich um den Prozess der Gewährung, Verwaltung, Durchsetzung, Aufhebung und Pflege feingranularer Zugriffsberechtigungen (auch als „Autorisierungen“, „Privilegien“, „Zugriffsrechte“ oder „Regeln“ bezeichnet).

Bereitstellung

Der Prozess des Gewährens, Änderns oder Entfernens des Benutzerzugriffs auf Systeme, Anwendungen und Datenbanken basierend auf einer eindeutigen Benutzeridentität. Automatisierte Benutzerbereitstellung soll die Verwaltung von Benutzern und deren Zugriffsberechtigungen beschleunigen und vereinfachen. Dies geschieht durch die Automatisierung und Kodifizierung von Geschäftsprozessen wie Onboarding und Kündigung sowie die Verbindung dieser Prozesse mit mehreren Systemen.

Biometrische Daten

Ein physisches Merkmal oder Verhaltensmerkmal, das zur Identifizierung oder Verifizierung verwendet werden kann. Eine gute biometrische Erkennung sollte individuell und über einen längeren Zeitraum stabil sein, schnell und einfach präsentiert und verifiziert werden können und nicht leicht künstlich reproduzierbar sein.

C

CSV

Eine Datei mit kommagetrennten Werten ist eine Datendatei zur digitalen Speicherung von Daten, die in Form einer Tabelle oder Liste strukturiert sind. Dabei steht jedes zugehörige Element (Mitglied) einer Gruppe mit anderen Elementen in Verbindung, die ebenfalls durch Kommata getrennt sind.

Cloud Computing

Ein über das Internet bereitgestellter Computerdienst mit drei besonderen Merkmalen: Der Dienst wird auf Anfrage bereitgestellt, ist flexibel – ein Benutzer kann ihn jederzeit im gewünschten Umfang nutzen – und wird vollständig vom Dienstanbieter verwaltet (der Benutzer benötigt lediglich einen Webbrowser).

Compliance

Konformität mit einer klar definierten Spezifikation, Richtlinie, einem Standard oder Gesetz. Richtlinien können aus internen Anweisungen, Verfahren und Anforderungen oder aus externen Gesetzen, Vorschriften, Standards und Vereinbarungen abgeleitet werden. Diese Gesetze können straf- oder zivilrechtliche Sanktionen vorsehen oder Verordnungen sein.

Compliance management

Ein Oberbegriff für alle Tools, Systeme, Personen und Prozesse, die zur Einhaltung von Regeln und Governance-Richtlinien eingesetzt werden.

Cyberangriff

Jeder unbefugte Zugriff auf Computersysteme, digitale Geräte oder Netzwerke mit dem ausdrücklichen Ziel, Daten, Anwendungen oder andere digitale Assets zu verändern, zu blockieren, zu kontrollieren, zu löschen, zu zerstören, zu deaktivieren, zu stören, offenzulegen, zu manipulieren oder zu stehlen.

Cyberrisiko

Entsteht durch die Beeinträchtigung der Vertraulichkeit oder Integrität von Informationen oder Informationstechnologie und kann zu finanziellen Verlusten, negativen Betriebsauswirkungen und Schäden an Systemen, Organisationen, Regierungen und Menschen führen.

Cybersecurity-Audit

Eine umfassende Bewertung und Analyse der Cybersicherheit und der Cyberrisiken eines Unternehmens.

Cybersecurity-Risikobewertung

Eine Bewertung der Fähigkeit eines Unternehmens, seine Informationen und Informationssysteme vor Cyberbedrohungen zu schützen.

Cybersicherheit

Ein Begriff, der die Vielzahl von Tools, Systemen, Verfahren, Prozessen und Maßnahmen umfasst, die zum Schutz digitaler Ressourcen (z. B. Hardware, Software, Netzwerke, Daten) vor externen Cyberbedrohungen, böswilligen internen Akteuren und fahrlässigen Benutzern eingesetzt werden.

D

Dashboard

Ein Berichtsmechanismus, der Kennzahlen und Key Performance Indicators (KPIs) aggregiert und anzeigt. So können sie von allen Benutzern auf einen Blick überprüft und anschließend mithilfe zusätzlicher Business Intelligence (BI), Performance Management (PM) und Analysetools weiter ausgewertet werden.

Daten-Governance

Ein Verfahren für das Management von Daten während ihrer gesamten Existenz, von der Erfassung über die Nutzung bis zur endgültigen Entsorgung – mit dem Ziel, das Unternehmen in seiner Entwicklung zu unterstützen, zu schützen und strategisch zu fördern.

Datenschutz-Grundverordnung (DSGVO)

Ein Gesetz, das die Art und Weise regelt, wie Organisationen personenbezogene Daten verarbeiten und nutzen, die online von Verbrauchern erhoben werden.

Datenschutzverletzung

Ein Cybersicherheitsvorfall, der zur Offenlegung, Exfiltration oder Beschädigung sensibler, vertraulicher, privater oder geschützter Daten durch Unbefugte führt.

Datensicherheitsstandard (DSS) der Payment Card Industry (PCI)

Ein vom PCI Standards Council entwickelter Standard zur Verbesserung der Datensicherheit von Zahlungskonten. Der Standard umfasst 12 Kernanforderungen, darunter Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere wichtige Maßnahmen.

Delegation

Ein Prozess, bei dem ein Prüfer oder Genehmiger seine Entscheidungsbefugnis vorübergehend oder dauerhaft an einen anderen Benutzer übertragen kann.

Deprovisionierung

Ein Prozess zum Löschen eines Benutzerkontos in einem System.

Detektivkontrolle

Ein Verfahren, möglicherweise unterstützt durch Automatisierung, das zur Identifizierung von Ereignissen (unerwünscht oder erwünscht), Fehlern und anderen Vorkommnissen dient, die ein Unternehmen als wesentlich für sein Geschäft einstuft.

Dienstkonto

Ein gemeinsam genutztes Konto, das für die Kommunikation zwischen Anwendungen verwendet wird, wenn ein System einem anderen sicheren Zugriff gewähren muss.

Digitale Identität

Die digitale Version der analogen Identität einer Person, bestehend aus mehreren Konten, Anmeldeinformationen, Berechtigungen, Verhaltensweisen und Nutzungsmustern, die mit einer Einzelperson verknüpft sind.

E

Einhaltung gesetzlicher Vorschriften

Die Einhaltung von Gesetzen, Vorschriften, Standards, Richtlinien und Spezifikationen durch eine Organisation, die von Regierungen, Behörden, Handelsgruppen und anderen Gremien festgelegt wurden.

Einmalpasswort (OTP)

Ein Passwort, das nur für eine Anmeldesitzung oder Transaktion gültig ist und von einem Algorithmus generiert wird, wenn sich ein Benutzer authentifizieren muss. Das OTP wird üblicherweise an das Mobilgerät oder den Sicherheitstoken des Benutzers gesendet.

Eskalation

Ein Prozess zur Warnung, Benachrichtigung oder Delegierung einer Aktion, wenn ein Prüfer oder Genehmiger nach einer festgelegten Zeitspanne nicht auf eine Anfrage reagiert.

Extensible Access Control Markup Language (XACML)

Eine offene, XML-basierte Standardsprache zur Formulierung von Sicherheitsrichtlinien und Zugriffsrechten auf Informationen für Webdienste, Digital Rights Management (DRM) und Unternehmenssicherheitsanwendungen.

F

FedRAMP

Das Federal Risk and Authorization Management Program, das die Sicherheit von Cloud-Diensten und -Lösungen der US-Behörden gewährleistet.

Federal Information Security Modernization Act (FISMA)

US-Gesetzgebung, die Richtlinien und Sicherheitsstandards zum Schutz staatlicher Informationen und Operationen festlegt.

Funktionstrennung (SoD)

Eine interne Kontrolle zur Betrugsprävention, die sicherstellt, dass keine einzelne Person übermäßige Kontrolle über eine oder mehrere kritische Geschäftstransaktionen hat. Sie bezieht sich auf sich gegenseitig ausschließende Zugriffsrechte oder Rollen. Dabei wird die Verantwortung für vertrauliche Informationen oder riskante Aktionen aufgeteilt, sodass keine Einzelperson ein System kompromittieren kann. Als Sicherheitsprinzip dient es vor allem der Verhinderung von Betrug und Fehlern. Dieses Prinzip zeigt sich beispielsweise in der gelegentlichen Anforderung von zwei Unterschriften auf einem Bankscheck oder darin, dass eine Person ihre eigenen Workflow-Anfragen nicht autorisieren kann. Manchmal auch als Funktionstrennung bezeichnet.

Föderation

Eine Reihe von Vereinbarungen, die es einer Organisation ermöglichen, der Authentifizierung einer anderen Organisation zu vertrauen und basierend auf diesem Authentifizierungsergebnis eine Autorisierung zu erteilen. Ziel der Föderation ist es, Benutzern den nahtlosen Zugriff auf Ressourcen mehrerer Organisationen zu ermöglichen.

Föderierte Identität

Eine Lösung, die den sicheren Benutzerzugriff vereinfacht, indem sie mehrere Komponenten kombiniert – darunter Authentifizierung, Autorisierung, Zugriffskontrolle, Intrusion-Detection- und -Prevention-Systeme (IDPS) sowie Diensteanbieter.

G

Gemeinsames Konto

Eine Anmelde-ID für ein System oder eine Anwendung, die von mehreren Benutzern genutzt wird. Privilegierte Konten werden häufig von Administratoren gemeinsam genutzt, z. B. root, sa oder Administrator.

Genehmigungsworkflow

Ein Geschäftsprozess, der die Einholung von Genehmigungen autorisierter Benutzer für angeforderte Änderungen an Identitätsartefakten wie Benutzerzugriffsrechten oder Rollendefinitionen automatisiert.

Geschäftskontinuität

Die vorausschauende Planung und Vorbereitung, die erforderlich ist, um sicherzustellen, dass ein Unternehmen wichtige Betriebsabläufe im Fall einer Katastrophe, eines Notfalls oder eines anderen unerwarteten Ereignisses, das erhebliche Störungen verursacht, aufrechterhalten kann..

Geschützte Gesundheitsinformationen (PHI)

Daten über die vergangene, gegenwärtige oder zukünftige körperliche oder geistige Gesundheit oder Verfassung einer Person sowie genetische Informationen.

Governance

Das System von Regeln, Praktiken und Prozessen, nach denen eine Organisation geleitet, gemessen und kontrolliert wird.

Gramm-Leach-Bliley Act (GLBA)

Ein in den USA erlassenes Bundesgesetz, das regelt, wie Finanzinstitute mit privaten Informationen von Personen umgehen. Der GLBA verpflichtet Finanzinstitute, ihren Kunden schriftliche Datenschutzhinweise zur Verfügung zu stellen, in denen die Vorgehensweise beim Informationsaustausch erläutert wird.

Gruppe

Eine Gruppe von Benutzern zur Vereinfachung der Zugriffskontrolle auf Computersysteme. Traditionell sind Gruppen statisch: Man definiert eine Gruppe, indem man ihre Mitglieder einzeln auswählt. In dynamischen Gruppen werden jedoch alle Benutzer, die den angegebenen Suchkriterien entsprechen, als Mitglieder dieser dynamischen Gruppe betrachtet.

H

HIPAA (Health Insurance Portability and Accountability Act)

Bundesgesetz der Vereinigten Staaten zur Einführung standardisierter Mechanismen für den elektronischen Datenaustausch (EDI), die Sicherheit und Vertraulichkeit aller gesundheitsbezogenen Daten. HIPAA schreibt Sicherheitsmechanismen vor, um die Vertraulichkeit und Datenintegrität aller Informationen zu gewährleisten, die eine Person persönlich identifizieren.

HIPAA-Verstoß

Tritt auf, wenn jemand die im Federal Health Insurance Portability and Accountability Act (HIPAA) von 1996 festgelegten Regeln nicht einhält. Diese Vorschriften konzentrieren sich auf den Schutz der geschützten Gesundheitsinformationen (PHI) von Patienten.

Hierarchisches Rollenmodell

Bei der rollenbasierten Zugriffskontrolle definiert die Rollenhierarchie eine Vererbungsbeziehung zwischen Rollen. So kann beispielsweise die Rollenstruktur einer Bank alle Mitarbeiter als Mitglieder der Rolle „Mitarbeiter“ behandeln. Darüber können die Rollen „Abteilungsleiter“ und „Buchhalter“ stehen, die alle Berechtigungen der Rolle „Mitarbeiter“ erben.

Hybrid-IT

Hybrid-IT ist ein Ansatz für Enterprise Computing, bei dem ein Unternehmen einige IT-Ressourcen vor Ort (im Rechenzentrum) bereitstellt und verwaltet, für andere jedoch Cloud-basierte Dienste nutzt.

I

IAM-as-a-Service (IDaaS)

IAM-Software, die in der Cloud gehostet, als Cloud-Service bereitgestellt und von einem Drittanbieter verwaltet wird.

Identitäts- und Zugriffsverwaltung (IAM)

Software, die die Geschäftsprozesse zur Verwaltung elektronischer Identitäten und der zugehörigen Zugriffsberechtigungen automatisiert. Dadurch wird sichergestellt, dass Zugriffsrechte gemäß einer einheitlichen Richtlinienauslegung gewährt werden und alle Personen und Dienste ordnungsgemäß authentifiziert, autorisiert und geprüft werden..

Identitäts-Governance

Identitätsmanagement-Software, die Regeln, Praktiken und Prozesse zum Management und zur Kontrolle des Benutzerzugriffs auf kritische Anwendungen und Daten automatisiert. Identitäts-Governance ermöglicht es Unternehmen, Verantwortlichkeit und Transparenz zu verbessern, Compliance-Anforderungen zu erfüllen und Risiken besser zu managen.

Identitätsanbieter (IdP)

Ein System, das Identitätsinformationen für Prinzipale (Benutzer, Dienste oder Systeme) erstellt, pflegt und verwaltet und die Authentifizierung dieser Prinzipale für andere Diensteanbieter (Anwendungen) innerhalb einer Föderation oder eines verteilten Netzwerks bereitstellt.

Identitätsmanagement

Eine Sicherheitslösung zur Überprüfung und Zuweisung von Berechtigungen für digitale Entitäten, z. B. Personen, Systeme oder Geräte.

Identitätsschlüssel

Ein einzelner Wert, der von einem Identitätsspeicher verwendet (und in der Regel generiert) wird, um jede Identität eindeutig zu identifizieren.

Identitätsspeicher

Ein System, das Identitätsinformationen verwaltet. Ein Identitätsspeicher ist häufig eine maßgebliche Quelle für einige der darin enthaltenen Informationen.

Identitätswürfel

Eine mehrdimensionale Ansicht jeder Identität und der zugehörigen Zugriffsrechte und Attribute.

Insider-Bedrohung

Potenzielle Risiken von Betrug, Diebstahl, Sabotage oder Datenschutzverletzungen, die von Mitarbeitern innerhalb einer Organisation mit Zugriff auf vertrauliche Anwendungen und Daten ausgehen.

Interne Kontrollen

Prozesse, die Organisationen dabei helfen sollen, Betrug zu verhindern und aufzudecken und vertrauliche Vermögenswerte zu schützen. Interne Kontrollen sind in der Regel ein Mittel, mit dem die Prozesse und IT-Ressourcen eines Unternehmens überprüft, überwacht und gemessen werden.

K

Kontinuierliche Compliance

Der Einsatz von Prozessen und Tools zur automatisierten, konsistenten und vorhersehbaren Einhaltung von Compliance-Anforderungen, anstatt Compliance als einmaliges Ereignis zu behandeln.

Kontoverwaltung

Eine Reihe von Prozessen zur Verwaltung der Authentifizierung in verbundenen Systemen. Umfasst im Wesentlichen das Erstellen und Löschen von Benutzerkonten im verbundenen System.

Korrelation

Der Prozess der Zusammenführung von Identitätsdaten aus unterschiedlichen Datenquellen in einem gemeinsamen Schema, das eine Identität darstellt. Identitäten können automatisch mithilfe von Korrelationsregeln mit Anwendungskonten und Zugriffsrechten verknüpft oder manuell mithilfe eines Tools korrekt verknüpft werden.

L

LDAP (Lightweight Directory Access Protocol)

Protokollsatz für den Zugriff auf Informationen in Verzeichnissen. LDAP ermöglicht es nahezu jeder Anwendung auf nahezu jeder Computerplattform, Verzeichnisinformationen abzurufen.

Last-Mile-Bereitstellung

Der Prozess zur Implementierung von Änderungen an Zielressourcen basierend auf Änderungen im Benutzerlebenszyklus.

Lieferanten-Risikomanagement

Ein Rahmenwerk zur Identifizierung, Bewertung, Minderung, Verwaltung und Überwachung von Risiken im Zusammenhang mit Geschäftspartnern.

M

Management von Sicherheitsinformationen und -ereignissen (SIEM)

SIM (Security Information Management; Management von Sicherheitsinformationen) bietet Protokollverwaltung – Erfassung, Reporting und Analyse von Protokolldaten – zur Unterstützung der Berichterstattung zur Einhaltung gesetzlicher Vorschriften, des internen Bedrohungsmanagements und der Überwachung des Ressourcenzugriffs. SEM (Security Event Management; Management von Sicherheitsereignissen) verarbeitet Ereignisdaten von Sicherheitsgeräten, Netzwerkgeräten, Systemen und Anwendungen in Echtzeit, um Sicherheitsüberwachung, Ereigniskorrelation und Vorfallreaktion zu ermöglichen. Die Technologie kann zur Erkennung von Aktivitäten im Zusammenhang mit einem gezielten Angriff oder einer Sicherheitsverletzung eingesetzt werden und wird auch zur Erfüllung einer Vielzahl von gesetzlichen Anforderungen verwendet.

Maschinelles Lernen

Ein Teilbereich der künstlichen Intelligenz (KI), der es Systemen ermöglicht, automatisch Merkmale zu identifizieren, Informationen zu klassifizieren, Muster in Daten zu erkennen, Entscheidungen und Prognosen zu treffen und Erkenntnisse zu gewinnes.

Mikrosegmentierung

Eine Netzwerksicherheitspraxis, die Netzwerke in kleinere Zonen oder Mikrosegmente unterteilt, indem Anwendungs-Workloads segmentiert und einzeln gesichert werden; ein grundlegendes Element eines Zero-Trust-Sicherheitsansatzes.

Model Audit Rule (MAR)

Eine am 1. Januar 2010 in Kraft getretene Vorschrift, die nicht-öffentliche Versicherer in den USA verpflichtet, den Nachweis wirksamer Kontrollen über die Integrität von Finanzsystemen und -daten zu erbringen. Ähnlich wie Sarbanes-Oxley erfordert MAR mehr Transparenz, eine strengere Einhaltung interner Kontrollen und eine bessere Unternehmensführung.

Multi-Faktor-Authentifizierung

Ein Authentifizierungsprozess, der mehrere Elemente erfordert. Die Elemente sind üblicherweise in drei Kategorien eingeteilt: Etwas, das Sie wissen (ein Passwort, eine Passphrase oder eine PIN); etwas, das Sie besitzen (ein Token oder eine Chipkarte); oder etwas, das Sie „sind“ (ein Fingerabdruck, ein Stimmabdruck oder ein Netzhautscan).

N

NIS2-Richtlinie

Die zweite Version der NIS-Richtlinie, der ersten Cybersicherheitsrichtlinie der Europäischen Union; umfasst weitere Sektoren sowie Richtlinien für ihre einheitliche Umsetzung in den EU-Mitgliedstaaten.

NIST-Cybersicherheits-Framework

Das National Institute of Standards and Technology (NIST) ist eine dem US-Handelsministerium unterstellte Behörde. Das NIST-Cybersicherheits-Framework wurde entwickelt, um die Sicherheit kritischer Infrastrukturen in den USA zu verbessern. Diese umfassen Vermögenswerte, Systeme und Funktionen, die als lebenswichtig eingestuft sind.

Neu zuweisen

Eine Aktion, die die Verantwortung für die Durchführung einer Operation auf eine andere Person überträgt.

North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP)

Ein Framework, das entwickelt wurde, um die Zuverlässigkeit des nordamerikanischen Stromnetzes zu gewährleisten und das Anfang 2008 genehmigt wurde. Die CIP-Standards verpflichten Versorgungsunternehmen dazu, ihre kritischen Cyberanlagen zu identifizieren und zu sichern.

O

OAuth

Ein offener Standard für die Autorisierung. OAuth stellt ein Verfahren bereit, mit dem Clients auf Serverressourcen im Namen eines Ressourceninhabers zugreifen können (z. B. eines anderen Clients oder eines Endbenutzers). Endbenutzer können außerdem mithilfe von User-Agent-Umleitungen den Zugriff Dritter auf ihre Serverressourcen autorisieren, ohne ihre Anmeldeinformationen (normalerweise ein Benutzername-Passwort-Paar) weiterzugeben.

Offboarding

Ein Prozess zum Entfernen des Zugriffs, wenn Benutzer wie Mitarbeiter, Subunternehmer, Partner oder Kunden ein Unternehmen verlassen.

On-Premises oder „On-Prem“

Software, die auf Computern in den Räumlichkeiten (Gebäuden) der Person oder Organisation installiert und ausgeführt wird, die die Software nutzt, und nicht an einem entfernten Standort wie bei einem Cloud-Dienstleister.

Onboarding

Ein Prozess zur Zugriffsgewährung, wenn Benutzer, z. B. neue Mitarbeiter, Subunternehmer, Partner oder Kunden, einem Unternehmen beitreten.

OpenID

Ein offener Standard, der beschreibt, wie Benutzer über einen Drittanbieterdienst (sogenannte Relying Parties oder RP) authentifiziert werden können. Dadurch entfällt für Unternehmen die Notwendigkeit, eigene Authentifizierungssysteme bereitzustellen, und Benutzer können ihre digitalen Identitäten konsolidieren.

OpenID Connect

Ein offener Standard, der viele derselben Aufgaben wie OpenID erfüllt, jedoch API-freundlich und für native und mobile Anwendungen nutzbar ist. Der Standard ist eine einfache Identitätsschicht auf dem OAuth 2.0-Protokoll und ermöglicht es Clients, die Identität des Endbenutzers anhand der von einem Autorisierungsserver durchgeführten Authentifizierung zu überprüfen und grundlegende Profilinformationen des Endbenutzers interoperabel und REST-ähnlich abzurufen.

P

Passwort

Geheime Authentifizierungsdaten, die zur Zugriffskontrolle auf Systemdienste verwendet werden. Damit kann der Inhaber einer elektronischen Kennung bestätigen, dass er die Person ist, für die die Kennung ausgestellt wurde. Ein Berechtigungsnachweis, der nur der Benutzer kennt und der vom Authentifikator bestätigt werden kann.

Passwort zurücksetzen

Ein Prozess oder eine Technologie, die es Benutzern, die ihr Passwort vergessen oder eine Sperre ausgelöst haben, ermöglicht, sich mit einem alternativen Faktor zu authentifizieren und anschließend ein neues Passwort zu definieren.

Passwortmanagement

Automatisierung des Prozesses zur systemübergreifenden Kontrolle, Festlegung, Zurücksetzung und Synchronisierung von Passwörtern..

Passwortrichtlinie

Eine Reihe von Anforderungen bezüglich der Erstellung, Speicherung und Verwendung von Passwörtern. Diese Anforderungen schränken häufig verschiedene Merkmale von Passwörtern ein.

Passwortsynchronisierung

Eine Lösung, die ein Passwort eines Benutzers entgegennimmt und die Passwörter anderer Ressourcen so ändert, dass sie mit diesem Passwort übereinstimmen.

Prinzip der geringsten Privilegien

Ein Konzept, das den Zugriff eines Benutzers (z. B. auf Daten oder Anwendungen) oder die Art des Zugriffs (z. B. Lesen, Schreiben, Ausführen, Löschen) auf das für die Erfüllung seiner Aufgaben notwendige Minimum beschränkt.

Private Cloud

Eine Form des Cloud-Computing, die nur von einer Organisation genutzt wird oder die Cloud einer Organisation vollständig von anderen isoliert. Wenn ein Dienstleister öffentliche Cloud-Ressourcen nutzt, um eine Private Cloud zu erstellen, spricht man von einer Virtual Private Cloud.

Privilegiertes Konto

Ein privilegiertes Konto ist eine Anmelde-ID für ein System oder eine Anwendung, die erweiterte Zugriffsrechte als ein normaler Benutzer gewährt. Privilegierte Konten werden typischerweise von Systemadministratoren verwendet, um Systeme zu verwalten, Dienste auf Systemen auszuführen oder um eine Anwendung programmgesteuert mit einer anderen zu verbinden.

Präventive Kontrolle

Eine interne Kontrolle, die dazu dient, unerwünschte Ereignisse, Fehler und andere Vorkommnisse zu verhindern, die nach Einschätzung eines Unternehmens negative Auswirkungen auf sein Geschäft haben könnten.

R

Rechenzentrum

Eine Einrichtung zur Unterbringung von Computersystemen und zugehörigen Komponenten wie Servern (z. B. Webservern, Anwendungsservern, Datenbankservern), Switches, Routern, Datenspeichergeräten, Load Balancern, Drahtgitterkäfigen oder -schränken, Tresoren, Racks und zugehöriger Ausrüstung.

Regeln

Ein Satz vorgeschriebener Richtlinien, die von einer Organisation oder durch regulatorische Mandate festgelegt werden können.

Ressource

Ein System, eine Anwendung, eine Datenbank oder ein anderes Objekt, das von einem Identitätsverwaltungssystem verwaltet wird.

Reverse-Proxy

Software, die einen einzigen Authentifizierungspunkt für Webserver in einem internen Netzwerk bietet. Die Reverse-Proxy-Architektur hat den Vorteil, dass nicht für jede Webanwendung eine Software installiert werden muss.

Richtlinie

Ein verbindlicher, vorgeschriebener Satz von Regeln für die Geschäftsabwicklung, der von einem Unternehmen oder durch gesetzliche Vorgaben definiert wird.

Richtlinienbewertung

Regeln, die Richtlinien automatisch durchsetzen, indem sie einen Vorgang auf Richtlinienverstöße prüfen, bevor sie Zugriff gewähren.

Richtliniendurchsetzung

Präventive und detektive Maßnahmen, die automatisch sicherstellen, dass die Organisation die festgelegten Richtlinien einhält.

Risiko

Die Wahrscheinlichkeit, dass eine bestimmte Bedrohungsquelle eine bestimmte Schwachstelle eines Informationssystems ausnutzt (versehentlich auslöst oder absichtlich ausnutzt), und die daraus resultierenden Auswirkungen, falls dies eintritt.

Risikobasierte Authentifizierung

Ein Verfahren zur Anwendung unterschiedlich strenger Authentifizierungsprozesse basierend auf der Wahrscheinlichkeit, dass der Zugriff auf ein bestimmtes System zu dessen Kompromittierung führen könnte. Mit steigendem Risiko wird der Authentifizierungsprozess umfassender und restriktiver.

Risikobewertung

Der Prozess der Identifizierung von Risiken für die Systemsicherheit und der Bestimmung der Eintrittswahrscheinlichkeit, der daraus resultierenden Auswirkungen und zusätzlicher Schutzmaßnahmen zur Minderung dieser Auswirkungen.

Risikomanagement

Der gesamte Prozess der Identifizierung, Kontrolle und Minderung von Risiken.

Risikomanagement durch Drittanbieter

Der Prozess der Identifizierung, Bewertung und Steuerung von Risiken, die von externen Geschäftspartnern und Drittanbietern ausgehen, einschließlich Partnern, Dienstleistern, Lieferanten und Subunternehmern.

Risikomanagementstrategie

Eine Risikomanagementstrategie ist ein Rahmenwerk, das festlegt, wie ein Unternehmen Risiken bewertet, auf identifizierte Risiken reagiert, kontinuierlich nach neuen Risiken Ausschau hält und bekannte Risiken überwacht.

Risikominderung

Ein Prozess zur Verringerung der Wahrscheinlichkeit oder der Folgen einer Bedrohung. Möglichkeiten zur Risikominderung können die Beseitigung von Schwachstellen, die Stärkung interner Kontrollen oder die Reduzierung des Ausmaßes negativer Auswirkungen umfassen.

Role-Based Access Control (Rollenbasierte Zugriffskontrolle; RBAC)

Ein Modell, das den Benutzerzugriff basierend auf der Rolle eines Benutzers innerhalb einer Organisation beschränkt.

Rolle

Eine Rolle ist eine Sammlung von Berechtigungen oder anderen Rollen, die einer Identität den Zugriff auf Ressourcen und die Durchführung bestimmter Vorgänge innerhalb einer Organisation ermöglichen. Eine einfache Rolle ist eine Sammlung von Berechtigungen, die im Kontext eines einzelnen Systems definiert sind. Rollen vereinfachen die Sicherheitsverwaltung von Systemen und Anwendungen, indem sie gängige Berechtigungssätze kapseln und sie Benutzern als Pakete statt einzeln zuweisen.

Rollenerstellung

Der Prozess der Definition von Rollen innerhalb eines Rollenmodells und der Zuordnung dieser Rollen zu den entsprechenden Zugriffsrechten basierend auf Geschäftsprozessen und Aufgabenbereichen.

Rollenlebenszyklus-Management

Der Prozess der Automatisierung der Rollenerstellung, -änderung und -abschaffung, Rollengenehmigungen, Rollenzertifizierungen usw. und Rollenanalytik.

Rollenmanagement

Rollen und Rollenzuweisungen bleiben wahrscheinlich nicht über längere Zeit unverändert. Daher müssen sie verwaltet werden: Die mit einer Rolle verbundenen Berechtigungen müssen überprüft und aktualisiert werden, und die implizit oder explizit zugewiesenen Benutzer müssen überprüft und geändert werden. Das Rollenmanagement umfasst die Geschäftsprozesse, die diese Überprüfungen und Änderungen bewirken.

Rollenmodell

Eine schematische Beschreibung von Rollen, die Rollen und Rollenhierarchien, die Aktivierung von Subjektrollen, die Subjekt-Objekt-Vermittlung sowie Einschränkungen der Benutzer-/Rollenmitgliedschaft und der Aktivierung von Rollensätzen definiert. Ein Rollenmodell besteht aus Rollendefinitionen und impliziten oder expliziten Rollenzuweisungen.

Rollenzertifizierung

Die regelmäßige Überprüfung einer oder mehrerer Rollen, um sicherzustellen, dass die Rolle über die entsprechenden Zugriffsprivilegien verfügt und dass die Rollenmitglieder korrekt sind. Rollenzertifizierungen werden häufig als interne Kontrolle und zur Verhinderung einer Rollenvermehrung eingesetzt.

Rollenzuweisung

Der Prozess der Rollenzuweisung an Benutzer. Eine Rolle kann einem Benutzer implizit zugewiesen werden, d. h. einige Datenbanken umfassen eine Regel der Form „Benutzer, die die Anforderungen X erfüllen, sollen automatisch Rolle Y zugewiesen bekommen.“

S

SAML

Security Assertion Markup Language ist ein XML-basierter Standard für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Sicherheitsdomänen, d. h. zwischen einem Identitätsanbieter (Produzent von Assertions) und einem Dienstleister (Konsument von Assertions).

SOX-Compliance

Bezieht sich auf die Einhaltung des Sarbanes-Oxley Act (SOX), eines US-Bundesgesetzes aus dem Jahr 2002 zum Schutz von Investoren und Kunden vor betrügerischen Unternehmenspraktiken.

Sarbanes-Oxley Act (SOX)

Das Gesetz, auch bekannt als „Public Company Accounting Reform and Investor Protection Act“, wurde 2002 erlassen, um Anleger durch die Verbesserung der Genauigkeit und Zuverlässigkeit der Finanzberichterstattung von Unternehmen zu schützen. Die Verordnung betrifft alle in den USA börsennotierten Unternehmen.

Schatten-IT

Bezieht sich auf digitale Systeme, Geräte (z. B. PCs, Laptops, Tablets und Smartphones), Software, Anwendungen (d. h. in der Regel Standardsoftwarepakete) und Dienste (z. B. SaaS, PaaS und IaaS), die innerhalb eines Unternehmens ohne Wissen der IT-Abteilung genutzt werden.

Schnittstelle

Technologie, die es einem Benutzer ermöglicht, zu kommunizieren und Computersoftware zu verwenden. Dazu können Bildschirm, Tastatur, Maus, das Erscheinungsbild des Desktops, Zeichen, Farben, Hilfemeldungen usw. gehören.

Self-Service

Der Prozess, der es Benutzern ermöglicht, Zugriff auf Ressourcen über eine Self-Service-Schnittstelle, die den Antrag mithilfe eines Workflows zur Genehmigung an den/die zuständigen Vorgesetzten weiterleitet.

Sicherheitsverletzung

Die erfolgreiche Umgehung von Sicherheitskontrollen, die zu einem unbefugten Eindringen in ein System oder eine Anwendung führen kann. Ein Verstoß gegen die Kontrollen eines bestimmten Systems, der dazu führt, dass Informationsressourcen oder Systemkomponenten ungerechtfertigt offengelegt werden.

Sicherheitsverletzung

Ein Vorfall führt zu unbefugtem Zugriff auf digitale Daten, Anwendungen, Dienste, Netzwerke oder Geräte, wenn ein privater, geschützter oder vertraulicher logischer IT-Perimeter unbefugt betreten wird. Das Endergebnis ist ein unbefugter Zugriff auf Informationen.

Single Sign-On (SSO)

Ein Authentifizierungsprozess, bei dem der Benutzer mit einem Benutzernamen und Passwort auf mehrere Ressourcen innerhalb eines Unternehmens zugreifen kann. Dadurch entfällt die Notwendigkeit, sich bei einzelnen Anwendungen und Systemen separat zu authentifizieren und anzumelden.

Software-as-a-Service (SaaS)

Ein Softwareverteilungsmodell, bei dem Anwendungen von einem Anbieter oder Dienstleister gehostet und Kunden über das Internet zur Verfügung gestellt werden, in der Regel auf Pay-as-you-go-Basis. SaaS-Software wird von einem oder mehreren Dienstleistern bereitgestellt und remote verwaltet.

Solvency II

Ein risikobasierter Regulierungsrahmen, der für alle Versicherer in den EU-Mitgliedsstaaten gilt und 2012 in Kraft getreten ist. Solvency II zielt darauf ab, das Risikobewusstsein in die Governance, den Betrieb und die Entscheidungsfindung des europäischen Versicherungsgeschäfts zu integrieren.

Step-up-Authentifizierung

Verfahren zum Bestimmen der erforderlichen Authentifizierungsstufe basierend auf einer definierten Richtlinie für eine Ressource. Basierend auf der Bewertung der Richtlinien kann vom Benutzer verlangt werden, die Authentifizierungsstufe für den Zugriff auf eine bestimmte Ressource zu erhöhen (z. B. durch eine Multi-Faktor-Authentifizierung).

System für domänenübergreifendes Identitätsmanagement (SCIM)

Ein offener Standard zur Vereinfachung der Benutzerverwaltung in der Cloud durch die Definition eines Schemas zur Darstellung von Benutzern und Gruppen sowie einer REST-API für alle erforderlichen CRUD-Operationen (Erstellen, Lesen, Aktualisieren und Löschen).

T

Token

Software oder Hardware, die als Authentifizierungsfaktor für den Zugriff auf ein Informationssystem verwendet wird. Hardware-Token sind kleine Geräte, typischerweise in der Größe einer Kreditkarte oder eines Schlüsselanhängers, die ein Einmalkennwort berechnen. Ein Software-Token erfüllt dieselbe Funktion wie ein Hardware-Token, wird jedoch als Software auf einem Gerät installiert, das der Benutzer bereits besitzt – z. B. ein Mobiltelefon oder ein Tablet.

Transparenz

Die Verfügbarkeit umfassender Informationen, die für Rechenschaftspflicht, Risikomanagement und eine gemeinsame Entscheidungsfindung erforderlich sind.

U

Unternehmens-Risikomanagement

Ein strategischer Ansatz zur Identifizierung, Bewertung, Vorbereitung und Behebung von Risiken.

V

Verwaistes Konto

Ein Konto eines Benutzers, der das Unternehmen inzwischen verlassen hat. Verwaiste Konten entstehen direkt dadurch, dass Zugriffsrechte bei Kündigung oder Arbeitsplatzwechsel nicht entzogen werden. Sie stehen häufig im Fokus von IT-Auditoren, die nach Sicherheitsrisiken suchen.

Verzeichnis

Eine gemeinsam genutzte Informationsinfrastruktur zum Auffinden, Verwalten, Administrieren und Organisieren gemeinsamer Elemente und Netzwerkressourcen, darunter Datenträger, Ordner, Dateien, Drucker, Benutzer, Gruppen, Geräte, Telefonnummern und andere Objekte.

W

Wesentliche Schwäche

Feststellung eines Prüfers, dass eine IT-Kontrolle schwerwiegende Mängel aufweist. Der Begriff wird üblicherweise bei SOX-Audits verwendet, um anzuzeigen, dass eine wesentliche Falschdarstellung von Finanzdaten nicht verhindert oder erkannt werden kann.

Widerruf

Der Vorgang des Entfernens einer bestimmten Rolle oder Berechtigung von einem Benutzer basierend auf einer Entscheidung eines Prüfers während einer Zertifizierung.

Z

Zero Trust

Ein IT-Sicherheitsframework, das die Authentifizierung, Autorisierung und kontinuierliche Überprüfung aller Identitäten (Personen, Geräte oder andere als Benutzer bezeichnete Entitäten) sowohl vor als auch während des Zugriffs auf Daten und Anwendungen erfordert – unabhängig davon, ob sich der Benutzer innerhalb oder außerhalb des Unternehmensnetzwerks befindet.

Zertifizierung

Siehe Zugriffszertifizierungen

Zugriffsanforderung

Systeme oder Prozesse, mit denen ein neuer Zugriff angefordert, ein bestehender Zugriff geändert oder der Zugriff auf Ressourcen innerhalb einer Organisation entzogen wird.

Zugriffskontrolle

Die Systemkontrollen und die diesbezüglichen Prozesse, die Parteien die Fähigkeit und die Möglichkeit des Zugriffs auf Systeme gewähren oder verweigern (d. h. Kenntnisnahme oder Änderung von Informationen oder Materialien auf Systemen).

Zugriffsrechte

Die Zugriffsrechte eines Benutzers auf eine Systemressource, z. B. das Recht auf Zugriff, Anzeigen, Ändern, Erstellen oder Löschen.

Zugriffsverwaltung

Systeme oder Prozesse zur Kontrolle der Authentifizierung und Autorisierung für Ressourcen innerhalb einer Organisation, wie z. B. Dateien, Anwendungen, Systeme, Geräte usw. Das Zugriffsmanagement basiert häufig auf einem Rollen- und Regelbewertungssystem, um den Zugriff auf ein Objekt in der Organisation zu gewähren oder zu verweigern.

Zugriffszertifizierungen

Regelmäßige Überprüfung der Benutzerzugriffsprivilegien, um sicherzustellen, dass diese mit der Funktion des Benutzers übereinstimmen und den Richtlinien entsprechen. Zugriffszertifizierungen werden häufig als interne Kontrolle eingesetzt, um die Einhaltung des Sarbanes-Oxley Act und anderer Vorschriften sicherzustellen.