Glossar – Fachbegriffe erklärt

Ein gezielter, lang andauernder Angriff durch gut ausgestattete Angreifer (oft staatlich gefördert). APT-Akteure spionieren Unternehmen über Monate oder Jahre aus, ohne entdeckt zu werden. Ziel ist meist Industriespionage oder Sabotage, nicht schneller finanzieller Gewinn.

Kopie von Daten auf einem separaten Medium oder Ort, um bei Datenverlust (Ransomware, Hardware-Defekt) wiederherstellen zu können. Die 3-2-1-Regel: 3 Kopien, auf 2 verschiedenen Medien, 1 davon außerhalb des Unternehmens (Offsite oder Cloud).

Planung dafür, wie ein Unternehmen auch nach einem schwerwiegenden Vorfall (Ransomware, Brand, Stromausfall) weiterbetrieben werden kann. Umfasst Wiederherstellungspläne, Notfallarbeitsplätze und Kommunikationsstrukturen.

Angriff, bei dem E-Mail-Konten von Führungskräften oder Lieferanten kompromittiert oder gefälscht werden, um betrügerische Überweisungen oder Datenherausgabe zu veranlassen. Auch als CEO-Fraud bekannt. Verursacht jährlich Milliardenschäden weltweit.

Methode, bei der ein Angreifer systematisch alle möglichen Passwortkombinationen durchprobiert, bis die richtige gefunden wird. Kurze, einfache Passwörter sind in Sekunden geknackt. Schutz: lange Passwörter, MFA, Account-Lockout nach Fehlversuchen.

Richtlinie, die Mitarbeitern erlaubt, eigene private Geräte (Smartphones, Laptops) für Arbeitszwecke zu nutzen. Erhöht Flexibilität, aber auch Risiken: IT hat weniger Kontrolle über Sicherheitseinstellungen privater Geräte. Erfordert klare Richtlinien und MDM.

Server, über den Angreifer infizierte Geräte (Botnet) fernsteuern. Nach einer Malware-Infektion verbindet sich das Schadprogramm mit dem C2-Server und erhält Befehle: Daten stehlen, Ransomware ausführen, weitere Systeme angreifen.

Automatisierter Angriff, bei dem gestohlene Benutzername/Passwort-Kombinationen aus früheren Datenlecks systematisch auf anderen Diensten ausprobiert werden. Funktioniert, weil viele Menschen dasselbe Passwort auf mehreren Seiten verwenden. Schutz: einzigartige Passwörter für jeden Dienst.

E-Mail-Authentifizierungsverfahren, das jede ausgehende E-Mail mit einer digitalen Signatur versieht. Empfänger können prüfen, ob die E-Mail tatsächlich vom angegebenen Server der Domäne stammt und nicht verändert wurde. Teil des E-Mail-Sicherheitstrios SPF/DKIM/DMARC.

E-Mail-Richtlinie, die festlegt, was mit E-Mails passiert, die SPF oder DKIM nicht bestehen: zustellen, in Quarantäne, ablehnen. Schützt die eigene Domäne vor Missbrauch durch Angreifer. Liefert auch Berichte, wer E-Mails im Namen Ihrer Domäne versendet.

Weiterentwicklung klassischer Antivirus-Software. EDR überwacht Endgeräte kontinuierlich auf verdächtiges Verhalten (nicht nur bekannte Signaturen), ermöglicht Forensik nach einem Vorfall und kann automatisch auf Bedrohungen reagieren (z.B. Prozess beenden, Gerät isolieren).

Code oder Technik, die eine Sicherheitslücke (Vulnerability) in Software ausnutzt, um unautorisierte Aktionen auszuführen. Zero-Day-Exploit: Angriff auf eine Lücke, für die noch kein Patch existiert. Schutz: schnelles Patchen bekannter Lücken.

System, das den Netzwerkverkehr nach Regeln filtert. Blockiert unerwünschte Verbindungen. Next-Generation Firewalls (NGFW) analysieren zusätzlich Anwendungen und Inhalte. Eine Firewall ist kein Allheilmittel – sie schützt nicht vor Angriffen über erlaubte Protokolle (z.B. verschlüsseltes HTTPS).

System zur Verwaltung von Benutzeridentitäten und deren Zugriffsrechten auf Systeme und Ressourcen. Umfasst Authentifizierung (wer bist du?), Autorisierung (was darfst du?) und Auditing (was hast du getan?). Beispiele: Active Directory, Azure AD, Okta.

Schriftlicher Plan, der festlegt, wie ein Unternehmen auf Sicherheitsvorfälle reagiert. Enthält Rollen, Verantwortlichkeiten, Kommunikationswege, technische Schritte und rechtliche Pflichten. Muss offline verfügbar sein und regelmäßig geübt werden.

Technik, bei der sich Angreifer nach dem initialen Einbruch seitwärts im Netzwerk bewegen – von System zu System –, um Zugriffsrechte zu eskalieren und weitere Ziele zu kompromittieren. Netzwerksegmentierung und Least Privilege begrenzen lateral movement.

Sicherheitsprinzip: Jeder Benutzer und jeder Prozess erhält nur die minimalen Rechte, die für seine Aufgabe notwendig sind – nicht mehr. Begrenzt den Schaden bei kompromittierten Konten und verhindert, dass Angreifer sich einfach durch das Netzwerk bewegen können.

Anmeldung mit mindestens zwei unabhängigen Faktoren: Wissen (Passwort), Besitz (Authenticator-App, Hardware-Token) oder Biometrie (Fingerabdruck). Selbst wenn ein Passwort gestohlen wird, kann sich der Angreifer ohne den zweiten Faktor nicht anmelden. Eine der wirksamsten Einzelmaßnahmen gegen Kontoübernahmen.

Patch: Software-Update, das eine Sicherheitslücke schließt oder Fehler behebt. Patch-Management: der systematische Prozess, Patches zeitnah zu identifizieren, zu testen und auszurollen. Ungepatchte Systeme sind eines der häufigsten Einfallstore für Angreifer.

Betrugsversuch per E-Mail, SMS (Smishing) oder Telefon (Vishing), der Empfänger dazu bringt, Zugangsdaten preiszugeben, Malware zu installieren oder Geld zu überweisen. Spear-Phishing: gezielter Angriff auf eine spezifische Person mit persönlichen Informationen.

Schadsoftware, die Dateien verschlüsselt und Lösegeld für die Entschlüsselung fordert. Moderne Ransomware exfiltriert Daten vor der Verschlüsselung (Double Extortion): Zahle oder wir veröffentlichen deine Daten. Schutz: Backups, MFA, Patch-Management, Netzwerksegmentierung.

RPO (Recovery Point Objective): maximaler Datenverlust, der tolerierbar ist. Bestimmt, wie häufig Backups gemacht werden müssen. RTO (Recovery Time Objective): maximale Ausfallzeit, bis ein System wiederhergestellt sein muss. Beide Werte müssen pro System definiert und im BCM-Plan berücksichtigt werden.

Manipulation von Menschen statt Maschinen. Angreifer nutzen psychologische Techniken – Dringlichkeit, Autorität, Vertrauen, Angst – um Mitarbeiter dazu zu bringen, sensible Informationen preiszugeben oder Aktionen auszuführen, die sie sonst nicht täten. Technische Schutzmaßnahmen helfen hier kaum; Awareness-Training ist entscheidend.

DNS-Eintrag, der festlegt, welche Server berechtigt sind, E-Mails im Namen einer Domäne zu versenden. Empfänger-Server prüfen, ob die eingehende E-Mail von einem autorisierten Server stammt. Verhindert einfaches Spoofing von Absenderadressen.

Informationen über aktuelle Bedrohungsakteure, ihre Taktiken und Angriffsmethoden. Hilft Unternehmen, sich proaktiv auf bekannte Angriffsmuster vorzubereiten. Quellen: BSI-Warnmeldungen, CERT-Bund, MITRE ATT&CK-Framework, kommerzielle Feeds.

DSGVO-Begriff: dokumentierte Sicherheitsmaßnahmen, die ein Unternehmen ergriffen hat, um personenbezogene Daten zu schützen. Umfasst Zugriffskontrolle, Verschlüsselung, Backup, physische Sicherheit, Mitarbeiterschulungen und mehr.

Verschlüsselter Tunnel zwischen Gerät und Unternehmensnetzwerk (oder VPN-Anbieter). Schützt Datenübertragung in unsicheren Netzwerken (Hotel-WLAN, Homeoffice). Wichtig: VPN ist kein Allheilmittel – das Endgerät muss ebenfalls sicher sein. Empfohlene Protokolle: WireGuard (modern, schnell), OpenVPN.

Sicherheitslücke, die dem Hersteller noch unbekannt ist – es gibt also noch keinen Patch ("null Tage" zum Reagieren). Zero-Day-Exploits sind besonders gefährlich und oft teuer auf dem Schwarzmarkt. Schutz: Verhaltensbasierte Erkennung (EDR), Netzwerksegmentierung, Least Privilege.

Sicherheitsmodell, das kein Gerät und keinen Benutzer automatisch vertraut – auch nicht innerhalb des Firmennetzwerks. Jeder Zugriff wird authentifiziert und autorisiert. Grundprinzip: "Never trust, always verify." Umsetzung: MFA, Conditional Access, Netzwerksegmentierung, kontinuierliche Überwachung.