Payment Card Industry Data Security Standard (PCI DSS) - Glossar, Abkürzungen und Akronyme
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Payment Card Industry Data
Security Standard (PCI DSS)
Glossar, Abkürzungen und
AkronymeBegriff Definition
AAA Authentication, Authorization and Accounting-Protokoll
Accounting Nachverfolgung von Netzwerkressourcen der Benutzer
Zugriffssteuerung Mechanismen, die die Verfügbarkeit von Informationen oder
informationsverarbeitenden Ressourcen auf autorisierte Personen oder
Anwendungen beschränken.
Account-Harvesting Auf Versuch und Irrtum beruhendes Verfahren zur Identifizierung
vorhandener Benutzerkonten. [Hinweis: Zu umfangreiche Informationen in
Fehlermeldungen können es Hackern erleichtern, Zugangsdaten zu ermitteln
und das System zu penetrieren bzw. mit Harvesting Systemdaten
abzuschöpfen oder das System zu gefährden.]
Kontonummer Zahlungskartennummer (Kredit- oder Debitkarte), die den Kartenaussteller
und das jeweilige Karteninhaberkonto identifiziert. Wird auch als Primary
Account Number (PAN) bezeichnet.
Händlerbank Mitglied des Bankkartenverbands, das Geschäftsbeziehungen mit Händlern
aufnimmt und pflegt, die Zahlungskartenzahlungen akzeptieren.
AES Advanced Encryption Standard. Blockcodierung, die im November 2001 vom
NIST übernommen wurde. Der Algorithmus ist im FIPS PUB 197
angegeben.
ANSI American National Standards Institute. Private, gemeinnützige Organisation,
die das freiwillige US-Standardisierungs- und
Konformitätsbewertungssystem verwaltet und koordiniert.
Antivirusprogramm Programme, die in der Lage sind, verschiedene Arten bösartiger Codes oder
Malware, z. B. Viren, Würmer, Trojanische Pferde, Spyware und Adware, zu
erkennen, zu entfernen und abzuwehren.
Anwendung Umfasst alle käuflich erworbenen und benutzerdefinierten
Softwareprogramme oder -programmgruppen, die für Endbenutzer
entwickelt wurden, einschließlich interner und externer (Web-
)Anwendungen.
Anerkannte Anerkannte Standards sind standardisierte Algorithmen (wie in ISO und
Standards ANSI) sowie bekannte marktübliche Standards (wie Blowfish), die den
Zweck starker Kryptografie erfüllen. Beispiele für anerkannte Standards sind
AES (128 Bit und höher), TDES (zwei oder drei unabhängige Schlüssel),
RSA (1024 Bit) und ElGamal (1024 Bit).
Asset Informationen oder informationsverarbeitende Ressourcen einer
Organisation.
Überwachungsprotok Chronologische Aufzeichnung von Systemaktivitäten. Enthält einen
oll Überwachungspfad zur hinreichenden Rekonstruktion, Überprüfung und
Untersuchung von Abfolgen von Umgebungen und Aktivitäten, die von
Anfang bis Ende einer Transaktion für Funktionen, Prozeduren oder
Ereignisse relevant sind. In einigen Fällen wird dieses Protokoll auch als
Sicherheitsüberwachungspfad bezeichnet.
Authentifizierung Prozess zur Überprüfung der Identität einer Person oder eines Prozesses.
Glossar, Abkürzungen und Akronyme 2Begriff Definition
Autorisierung Erteilung von Zugriffs- oder anderen Rechten für Benutzer, Programme oder
Prozesse.
Sicherung Datenkopie, die zu Archivierungszwecken bzw. zum Schutz vor
Beschädigung oder Verlust erstellt wird.
Karteninhaber Kunde, für den die Karte ausgestellt wurde bzw. Person, die zur Nutzung der
Karte berechtigt ist.
Karteninhaberdaten Vollständiger Magnetstreifen oder PAN, einschließlich einer der folgenden
Angaben:
• Name des Karteninhabers
• Ablaufdatum
• Servicecode
Karteninhaberdaten- Bereich des Computersystem-Netzwerks, in dem Karteninhaberdaten bzw.
Umgebung vertrauliche Authentifizierungsdaten gespeichert werden, sowie Systeme
und Segmente, die Karteninhaberdaten direkt verarbeiten, speichern oder
übertragen bzw. diese Vorgänge unterstützen. Durch eine adäquate
Netzwerksegmentierung, die Systeme zum Speichern, Verarbeiten oder
Übertragen von Karteninhaberdaten vom übrigen Netzwerk trennt, lässt sich
der Umfang der Karteninhaberdaten-Umgebung und somit auch der Umfang
der PCI-Prüfung verringern.
Kartenprüfwert oder Datenelement auf dem Magnetstreifen einer Karte, das anhand eines
Kartenprüfcode sicheren kryptografischen Prozesses die Datenintegrität auf dem Streifen
schützt und jede Änderung oder Fälschung aufdeckt. Wird je nach
Zahlungskartenunternehmen als CAV, CVC, CVV oder CSC bezeichnet. Im
Folgenden werden die von den jeweiligen Zahlungskartenunternehmen
verwendeten Bezeichnungen aufgeführt:
• CAV Card Authentication Value (JCB-Zahlungskarten)
• CVC Card Validation Code (MasterCard-Zahlungskarten)
• CVV Card Verification Value (Visa- und Discover-Zahlungskarten)
• CSC Card Security Code (American Express-Zahlungskarten)
Hinweis: Der zweite Typ von Kartenprüfwert oder -code ist die dreistellige
Zahl, die im Signaturfeld auf der Rückseite der Kreditkarte rechts neben der
Kreditkartennummer zu finden ist. Bei American Express-Karten ist der Code
eine vierstellige, ungeprägte Zahl über der Kartennummer auf der
Vorderseite der Zahlungskarte. Der Code ist der jeweiligen Karte eindeutig
zugeordnet und stellt das Bindeglied zwischen Kontonummer und Karte dar.
Hier eine Übersicht:
• CID Card Identification Number (American Express- und Discover-
Zahlungskarten)
• CAV2 Card Authentication Value 2 (JCB-Zahlungskarten)
• CVC2 Card Validation Code 2 (MasterCard-Zahlungskarten)
• CVV2 Card Verification Value 2 (Visa-Zahlungskarten)
Glossar, Abkürzungen und Akronyme 3Begriff Definition
Ersatzkontrollen Ersatzkontrollen können in Erwägung gezogen werden, wenn eine Entität
eine explizite Anforderung aufgrund von legitimen technischen oder
dokumentierten geschäftlichen Beschränkungen nicht erfüllen kann, das mit
der Anforderung verbundene Risiko durch die Implementierung anderer
Kontrollen jedoch ausreichend eingedämmt hat. Ersatzkontrollen müssen 1)
Zweck und Stringenz der ursprünglich angegebenen PCI DSS-Anforderung
erfüllen, 2) einen Angriffsversuch in ähnlichem Umfang abwehren, 3) andere
PCI DSS-Anforderungen nicht nur erfüllen, sondern übertreffen, und 4) das
mit der Nichterfüllung der PCI DSS-Anforderungen verbundene Risiko
ausgleichen.
CIS Center for Internet Security. Gemeinnütziges Unternehmen zur
Unterstützung von Organisationen bei der Reduzierung des Risikos von
Geschäfts- und E-Commerce-Unterbrechungen aufgrund unzulänglicher
technischer Sicherheitskontrollen.
Sicherheitsgefährdun Eindringen in ein Computersystem, wobei nicht autorisierte Offenlegung,
g Änderung oder Zerstörung von Karteninhaberdaten vermutet wird.
Konsole Bildschirm und Tastatur für den Zugriff auf bzw. die Steuerung von Server
bzw. Mainframecomputer in einer Netzwerkumgebung.
Kunde Person, die Waren, Dienste oder beides erwirbt.
Cookies Datenzeichenfolge, die zwischen einem Webserver und einem Webbrowser
zur Aufrechterhaltung einer Sitzung ausgetauscht wird. Cookies können
Benutzereinstellungen und persönliche Informationen enthalten.
Disziplin der Mathematik und Informatik, die sich mit Informationssicherheit
Kryptografie
und ähnlichen Themen befasst, insbesondere mit Verschlüsselung und
Authentifizierung sowie Anwendungen wie. Im Bereich der Computer- und
Netzwerksicherheit dient die Kryptografie der Zugriffssteuerung und dem
Datenschutz.
Datenbank Strukturiertes Format zur Organisation und Verwaltung einfach abrufbarer
Informationen. Beispiele für einfache Datenbanken sind Tabellen und
Kalkulationstabellen.
Data Base Datenbankadministrator. Person, die für die Verwaltung von Datenbanken
Administrator (DBA) verantwortlich ist.
DBA (Doing Business Firmenname. Die Ebenen der Erfüllungsüberprüfung basieren auf dem
As) Transaktionsvolumen eines DBA oder einer Einzelhandelskette (nicht auf
dem eines Konzerns, der über mehrere Ketten verfügt).
Standardkonten Vordefiniertes Systemanmeldekonto in einem ausgelieferten System, das
bei Erstinbetriebnahme den ersten Zugriff ermöglicht.
Standardkennwort Bei Auslieferung festgelegtes Kennwort für Systemadministrator- oder
Dienstkonten; ist gewöhnlich dem Standardkonto zugeordnet.
Standardkonten und -kennwörter werden veröffentlicht und sind allgemein
bekannt.
DES Data Encryption Standard (DES). Blockcodierung, die 1976 als offizieller
Federal Information Processing Standard (FIPS) für die USA gewählt wurde.
Nachfolger ist der Advanced Encryption Standard (AES).
Glossar, Abkürzungen und Akronyme 4Begriff Definition
DMZ Demilitarized Zone (Entmilitarisierte Zone). Als zusätzliche
Sicherheitsschicht zwischengeschaltetes Netzwerk zwischen einem privatem
und einem öffentlichem Netzwerk.
DNS Domain Name System oder Domain Name Service. System zum Speichern
von Informationen, die mit Domänennamen in einer verteilten Datenbank in
Netzwerken, z. B. dem Internet, verknüpft ist.
DSS Data Security Standard
Vier- oder Verfahren, bei dem mindestens zwei verschiedene Entitäten (normalerweise
Sechsaugenprinzip Personen) gemeinsam tätig sind, um vertrauliche Funktionen bzw.
Informationen zu schützen. Beide Entitäten sind gleichermaßen
verantwortlich für den physischen Schutz von Materialien, die in anfälligen
Transaktionen eingesetzt werden. Für Einzelpersonen dürfen diese
Materialien (z. B. den kryptografischen Schlüssel) nicht zugänglich sein.
Beim manuellen Generieren, Übertragen, Laden, Speichern und Abrufen
von Schlüsseln nach dem Vier- oder Sechsaugenprinzip sind mindestens
zwei Personen erforderlich, die nur ihren Teil des Schlüssels kennen, um
den gesamten Schlüssel rekonstruieren zu können. Siehe auch „Split-
Knowledge-Prinzip“.
ECC Elliptic Curve Cryptography (Kryptografie mit elliptischen Kurven).
Kryptografieverfahren für öffentliche Schlüssel basierend auf elliptischen
Kurven über endliche Felder.
Egress Ausgehender Datenverkehr eines Netzwerks, der über eine
Kommunikationsverbindung in das Netzwerk des Kunden gelangt.
Verschlüsselung Umwandlung von Informationen in eine nicht lesbare Form, die nur mithilfe
eines bestimmten kryptografischen Schlüssels entschlüsselt werden kann.
Anhand von Verschlüsselung können Informationen zwischen dem
Verschlüsselungs- und dem Entschlüsselungsvorgang (dem Gegenteil von
Verschlüsselung) vor nicht autorisierter Offenlegung geschützt werden.
FIPS Federal Information Processing Standard
Firewall Hardware, Software oder beides zum Schutz von Ressourcen in einem
Netzwerk vor Eindringlingen aus anderen Netzwerken. Jedes Unternehmen
mit einem Intranet, über das Mitarbeiter auf das Internet zugreifen können,
sollte über eine Firewall verfügen, um den Zugriff auf interne, private
Datenressourcen durch externe Personen zu verhindern.
FTP File Transfer Protocol
GPRS General Packet Radio Service (Allgemeiner paketorientierter Funkdienst).
Mobiler Datendienst, der Benutzern von GSM-Mobiltelefonen zur Verfügung
steht. Ist für die effiziente Nutzung begrenzter Bandbreite bekannt. GPRS ist
insbesondere für das Senden und Empfangen kleiner Datenmengen
geeignet, z. B. für E-Mails und Webbrowsing.
GSM Global System for Mobile Communications. Bekannter Standard für
Mobiltelefone. Aufgrund der Verbreitung des GSM-Standards ist
internationales Roaming zwischen verschiedenen Mobilfunkanbietern
inzwischen gang und gäbe und gibt Benutzern so die Möglichkeit, ihre
Mobiltelefone in vielen Teilen der Welt zu verwenden.
Glossar, Abkürzungen und Akronyme 5Begriff Definition
Host Hauptcomputerhardware, auf der sich Computersoftware befindet.
Hostinganbieter Bieten Händlern und anderen Dienstanbietern verschiedene Dienste an.
Dabei kann es sich sowohl um einfache als auch um komplexe Dienste
handeln: von gemeinsam genutztem Speicherplatz auf einem Server über
eine Reihe von „Einkaufswagen“-Optionen und Zahlungsanwendungen bis
hin zu Verbindungen zu Zahlungsgateways und -prozessoren und dem
dedizierten Hosting von nur einem Kunden pro Server.
HTTP Hypertext Transfer Protocol. Offenes Internetprotokoll zur Übertragung von
Informationen im World Wide Web.
ID Identität
IDS/IPS Intrusion Detection System/Intrusion Prevention System. Wird zur
Identifizierung und Warnung vor Angriffsversuchen auf Netzwerke oder
Systeme verwendet. Es besteht aus Sensoren, die Sicherheitsereignisse
generieren, einer Konsole, die Ereignisse und Warnungen überwacht und
die Sensoren kontrolliert sowie einem zentralen Modul, das die von den
Sensoren protokollierten Ereignisse in einer Datenbank protokolliert. Es
verwendet ein Regelsystem, um bei erkannten Sicherheitsereignissen
Warnungen zu generieren. Durch ein IPS wird zudem der Eindringversuch
verhindert.
IETF Internet Engineering Task Force. Große offene internationale Community
von Netzwerkdesignern, Betreibern, Anbietern und Forschern, die sich mit
der Entwicklung der Internet-Architektur und dem reibungslosen Betrieb des
Internets beschäftigt. Diese Community steht allen Interessierten offen.
Informationssicherhei Schutz von Informationen zur Gewährleistung von Vertraulichkeit, Integrität
t und Verfügbarkeit.
Informationssystem Diskreter Satz strukturierter Datenressourcen, der zur Erfassung,
Verarbeitung, Verwaltung, Verwendung, gemeinsamen Nutzung,
Verbreitung oder Anordnung von Informationen verwendet wird.
Ingress Eingehender Datenverkehr, der über eine Kommunikationsverbindung und
das Netzwerk des Kunden in das Netzwerk gelangt.
Intrusion Detection Siehe IDS.
Systems
IP Internet Protocol. Netzwerkprotokoll, das Adress- und einige
Steuerungslinformationen enthält, mit deren Hilfe Pakete weitergeleitet
werden können. IP ist das primäre Netzwerkprotokoll unter den
Internetprotokollen.
IP-Adresse Numerischer Code, der zur eindeutigen Identifizierung eines Computers im
Internet dient.
IP-Spoofing Von Eindringlingen verwendetes Verfahren, um sich unbefugten Zugriff auf
Computer zu verschaffen. Der Eindringling sendet trügerische Mitteilungen
an einen Computer mit einer IP-Adresse, die scheinbar von einem vertrauten
Host stammt.
Glossar, Abkürzungen und Akronyme 6Begriff Definition
IPSEC Internet Protocol Security. Standard zur Sicherung von IP-Kommunikation
durch Verschlüsselung und/oder Authentifizierung aller IP-Pakete. IPSEC
bietet Sicherheit auf Netzwerkebene.
ISO International Organization for Standardization. Internationale
Nichtregierungsorganisation von Normungsinstituten aus über 150 Ländern
mit einem Vertreter pro Land. Die Zentrale der Organisation befindet sich in
Genf, von wo aus das System koordiniert wird.
ISO 8583 Etablierter Standard für die Kommunikation zwischen Finanzsystemen.
Schlüssel In der Kryptografie ist ein Schlüssel ein Algorithmuswert, der auf
unverschlüsselten Text angewendet wird, um diesen zu verschlüsseln. Die
Länge des Schlüssels bestimmt in der Regel, wie schwierig die
Entschlüsselung des Textes der jeweiligen Mitteilung ist.
L2TP Layer 2 Tunneling Protocol. Protokoll zur Unterstützung von VPNs (Virtual
Private Networks).
LAN Local Area Network. Kleines Computernetzwerk – oft in einem Gebäude
oder in mehreren Gebäuden.
LPAR Logical Partition. Abschnitt einer Festplatte, der nicht zu den primären
Partitionen gehört. Er wird in einem Datenblock definiert, auf den die
erweiterte Partition verweist.
MAC Message Authentication Code
Magnetstreifendaten Im Magnetstreifen verschlüsselte Daten, die bei Transaktionen zur
(Spurdaten) Autorisierung verwendet werden, wenn die Karte in physischer Form
verwendet wird. Diese Magnetstreifendaten müssen nach der
Transaktionsautorisierung von den Entitäten nicht in vollständiger Form
aufbewahrt werden. Dies bedeutet insbesondere, dass Servicecodes,
verfügbare Daten/Kartenprüfwert/-code und firmeneigene, reservierte Werte
nach der Autorisierung gelöscht werden müssen, während die
Kontonummer, das Ablaufdatum, der Name und der Servicecode je nach
geschäftlichem Bedarf extrahiert und gespeichert werden können.
Malware Bösartige Software. Sie wird in der Regel zur Infiltration oder Beschädigung
eines Computersystems ohne Wissen oder Erlaubnis des Inhabers
missbraucht.
Überwachung Kontinuierliche Beaufsichtigung eines Computernetzwerks durch ein
System. Dabei werden u. a. langsame Systeme oder Systemausfälle
überwacht und der Benutzer im Fall von Ausfällen oder anderen Alarmen
benachrichtigt.
MPLS Multi Protocol Label Switching
NAT Network Address Translation. Wird auch als Netzwerkmaskierung oder IP-
Maskierung bezeichnet. Änderung einer in einem Netzwerk verwendeten IP-
Adresse in eine andere IP-Adresse, die in einem anderen Netzwerk bekannt
ist.
Netzwerk Zwei oder mehr Computer, die zur gemeinsamen Ressourcennutzung
miteinander verbunden sind.
Glossar, Abkürzungen und Akronyme 7Begriff Definition
Netzwerkkomponente Zu Netzwerkkomponenten gehören u. a. Firewalls, Switches, Router,
n drahtlose Zugriffspunkte, Netzwerkgeräte und sonstige
Sicherheitsvorrichtungen.
Network Security Automatisches Tool, das Händler- bzw. Dienstanbietersysteme über eine
Scan Remoteverbindung auf Sicherheitsrisiken überprüft. Nicht intrusiver Test, bei
dem Systeme mit externer Verbindung basierend auf IP-Adressen mit
externer Verbindung abgesucht werden und über Dienste, die im externen
Netzwerk verfügbar sind (d. h. Dienste, die im Internet verfügbar sind),
Bericht erstattet wird. Sicherheitsrisiken in Betriebssystemen, Diensten und
Geräten, die von Hackern für Angriffe auf das private
Unternehmensnetzwerk verwendet werden können, werden durch Scans
ermittelt.
NIST National Institute of Standards and Technology. Nicht-regulative Behörde
der technologischen Administration des US-Handelsministeriums. Ziel dieser
Behörde ist es, die Innovation und industrielle Wettbewerbsfähigkeit der
USA durch Unterstützung von Messwissenschaft, Standards und
Technologie zu fördern und so die wirtschaftliche Stabilität und den
Lebensstandard zu verbessern.
Benutzer, die keine Alle Personen, außer Kunden, die auf Systeme zugreifen, u. a. Mitarbeiter,
Kunden sind Administratoren und Dritte.
NTP Protokoll zur Synchronisation der Uhren von Computersystemen über
paketgeschaltete Datennetzwerke mit variabler Wartezeit.
OWASP Open Web Application Security Project (siehe http://www.owasp.org)
Zahlungskarteninhab Der Teil des Netzwerks, in dem Karteinhaberdaten bzw. vertrauliche
er-Datenumgebung Authentifizierungsdaten gespeichert sind.
PAN Primary Account Number. Die Zahlungskartennummer (Kredit- oder
Debitkarte), die den Kartenaussteller und das jeweilige Karteninhaberkonto
identifiziert. Sie wird auch Kontonummer als Kontonummer bezeichnet.
Kennwort Eine Zeichenfolge, die als Echtheitsbestätigung des Benutzers dient.
PAD Packet Assembler/Disassembler. Kommunikationsgerät, das ausgehende
Daten formatiert und Daten aus eingehenden Paketen extrahiert. In der
Kryptografie ist der One-Time-PAD ein Verschlüsselungsalgorithmus mit
einer Kombination aus Text und einem Zufallsschlüssel oder „PAD“, der die
gleiche Länge wie der Klartext hat und nur einmal verwendet wird. Wenn der
Schlüssel außerdem wirklich zufallsgeneriert ist, niemals wieder verwendet
und streng vertraulich behandelt wird, ist der One-Time-PAD nicht zu
entschlüsseln.
PAT Port Address Translation. Feature eines (NAT) Network Address
Translation)-Geräts, das TCP (Transmission Control Protocol)- oder UDP
(User Datagram Protocol)-Verbindungen mit einem Host und Anschluss
eines externen Netzwerks in Verbindungen mit einem Host und Anschluss
eines internen Netzwerks übersetzt.
Glossar, Abkürzungen und Akronyme 8Begriff Definition
Patch Schnelle Reparatur eines Programmabschnitts. Treten während der Beta-
bzw. Testphase oder nach der formellen Herausgabe der Produktversion
Probleme auf, wird Benutzern als Schnelllösung ein Patch zur Verfügung
gestellt.
PCI Payment Card Industry
Penetration Erfolgreiche Umgehung von Sicherheitsmechanismen und Erlangen des
Zugriffs auf ein Computersystem.
Penetrationstest Sicherheitsorientiertes Absuchen eines Computersystems oder Netzwerks,
um Sicherheitsrisiken zu ermitteln, die von Hackern ausgenutzt werden
können. Darüber hinaus können diese Tests auch tatsächliche
Penetrationsversuche beinhalten. Ziel eines Penetrationstests ist es,
Sicherheitsrisiken zu ermitteln und Verbesserungen der Sicherheit zu
empfehlen.
PIN Personal Identification Number
Richtlinie Unternehmensweite Regeln in Bezug auf zulässige Nutzung von
Computerressourcen, Sicherheitspraktiken und Anleitung bei der
Entwicklung betrieblicher Prozeduren.
POS Point-of-Sale
Prozedur Beschreibende Schilderung einer Richtlinie. Eine Prozedur beschreibt die
Umsetzung und Durchführung einer Richtlinie.
Protokoll Vereinbartes Kommunikationsverfahren innerhalb von Netzwerken.
Spezifikation, die die Regeln und Prozeduren beschreibt, die von
Computerprodukten bei Aktivitäten in einem Netzwerk befolgt werden
sollten.
Öffentliches Netzwerk Ein von einem Telekommunikationsanbieter oder einem anerkannten
Privatunternehmen eingerichtetes und betriebenes Netzwerk, das dem
Zweck dient, Datenübertragungsdienste für die Öffentlichkeit bereitzustellen.
Die Daten müssen für die Übertragung über öffentliche Netzwerke
verschlüsselt werden, da Hacker sie mühelos abfangen, ändern und
umleiten können. Beispiele für öffentliche Netzwerke, die dem PCI DSS-
Standard entsprechen, sind das Internet, GPRS und GSM.
PVV PIN Verification Value. Codierung auf dem Magnetstreifen einer
Zahlungskarte.
RADIUS Remote Authentication and Dial-In User Service. Authentifizierungs- und
Accounting-System. Überprüft die Richtigkeit von an den RADIUS-Server
geleiteten Benutzernamen und Kennwörtern und autorisiert anschließend
den Zugriff auf das System.
RFC Request for Comments (Aufforderung zu Kommentaren)
Neuverschlüsselung Änderung der kryptografischen Schlüssel, um den Umfang der mit dem
gleichen Schlüssel zu verschlüsselnden Daten zu begrenzen.
Glossar, Abkürzungen und Akronyme 9Begriff Definition
Risikoanalyse Vorgang, bei dem wertvolle Systemressourcen und Bedrohungen
systematisch identifiziert und Verlustpotenziale basierend auf geschätzten
Vorkommenshäufigkeiten und -kosten quantifiziert werden. Auf Wunsch
kann dieser Vorgang auch Empfehlungen zur Zuweisung von Ressourcen
für Gegenmaßnahmen umfassen, um das Risiko einer systemweiten
Gefährdung zu minimieren. Risikobewertung.
Router Hardware oder Software, mit der zwei oder mehr Netzwerke miteinander
verbunden werden. Dient als Sortierer und Interpreter und leitet
Informationsabschnitte anhand von Adressen an ihre jeweiligen Zielorte.
Softwarerouter werden manchmal auch als Gateways bezeichnet.
RSA Algorithmus für die Verschlüsselung öffentlicher Schlüssel, der 1977 von
Ron Rivest, Adi Shamir und Len Adleman vom Massachusetts Institute of
Technology (MIT) beschrieben wurde. Der Name des Algorithmus (RSA)
ergibt sich aus den Anfangsbuchstaben ihrer Nachnamen.
Entschärfung Löschen vertraulicher Daten aus einer Datei, einem Gerät oder einem
System bzw. Änderung von Daten, um sie für Angreifer unbrauchbar zu
machen.
SANS SysAdmin, Audit, Network, Security Institute (siehe www.sans.org)
Sicherheitsbeauftragt Hauptverantwortlicher für sicherheitsrelevante Angelegenheiten in einem
er Unternehmen.
Sicherheitsrichtlinie Reihe von Gesetzen, Regeln und Praktiken, die die Verwaltung, den Schutz
und die Verteilung von vertraulichen Informationen innerhalb eines
Unternehmens regeln.
Vertrauliche Sicherheitsinformationen (Kartenprüfcodes/-werte, vollständige Spurdaten,
Authentifizierungsdat PINs und PIN-Blöcke), die zur Authentifizierung von Karteninhabern
en verwendet werden und als Klartext oder in anderer ungeschützter Form
auftreten. Die Offenlegung, Änderung oder Vernichtung dieser Informationen
kann die Sicherheit von Verschlüsselungsgeräten, Informationssystemen
oder Karteninhaberdaten gefährden oder für betrügerische Transaktionen
verwendet werden.
Aufgabentrennung Aufteilung von Aufgaben in einer Funktion auf verschiedene Einzelpersonen,
sodass keine dieser Personen allein den Prozess sabotieren kann.
Computer, der anderen Computern Dienste zur Verfügung stellt, z. B.
Server
Kommunikationsverarbeitung, Dateispeicherung oder Zugriff auf eine
Druckeinrichtung. Zu den Servertypen gehören u. a. Web-, Datenbank,
Authentifizierungs-, DNS-, Mail-, Proxy- und NTP-Server.
Servicecode Drei- oder vierstellige Zahl auf dem Magnetstreifen einer Karte, die die
Akzeptanzanforderungen und -einschränkungen bei einer
Magnetstreifentransaktion festlegt.
Glossar, Abkürzungen und Akronyme 10Begriff Definition
Dienstanbieter Geschäftsentität, die weder Kreditkartengesellschaft noch Händler ist und
somit nicht direkt an der Verarbeitung, Speicherung, Übertragung und
Vermittlung von Transaktionsdaten und/oder Karteninhaberinformationen
beteiligt ist. Dazu gehören auch Unternehmen, die Händlern,
Dienstanbietern oder Mitgliedern Dienste anbieten, die die Sicherheit von
Karteninhaberdaten kontrollieren oder sich darauf auswirken können.
Beispiele umfassen Managed Service-Anbieter, die verwaltete Firewalls, IDS
und andere Dienste anbieten, sowie Hostinganbieter und andere Entitäten.
Entitäten wie Telekommunikationsunternehmen, die nur
Kommunikationsverbindungen ohne Zugriff auf die Anwendungsebene der
Kommunikationsverbindungen bereitstellen, gehören nicht zu dieser Gruppe.
SHA Secure Hash Algorithm. Ein Satz miteinander verwandter kryptografischer
Hash-Funktionen. SHA-1 ist die am häufigsten verwendete Funktion. Durch
die Verwendung eines eindeutigen Streuwertes bei der Hash-Funktion wird
das Risiko von identischen Hash-Werten verringert.
SNMP Simple Network Management Protocol. Unterstützt die Überwachung von
Geräten in einem Netzwerk auf jegliche Zustände, die die Aufmerksamkeit
eines Administratoren erfordern.
„Split-Knowledge- Sicherheitsvorkehrung, bei der zwei oder mehr Entitäten separate
Prinzip“ Schlüsselkomponenten kennen, die nur zusammen den kryptografischen
Schlüssel ergeben.
SQL Structured Query Language. Computersprache zum Erstellen, Ändern und
Abrufen von Daten aus relationalen Datenverwaltungssystemen.
SQL-Injektion Form eines Angriffs auf eine datenbankgesteuerte Website. Dabei nutzt der
Angreifer einen unsicheren Code auf einem mit dem Internet verbundenen
System aus, um nicht autorisierte SQL-Befehle auszuführen. Bei Angriffen
mit SQL-Injektion können Eindringlinge normalerweise unzugängliche
Informationen aus einer Datenbank entwenden und/oder sich über den
Computer, der die Datenbank hostet, Zugriff auf die Hostcomputer einer
Organisation verschaffen.
SSH Secure Shell. Protokolle zur Verschlüsselung von Netzwerkdiensten, z. B.
Remoteanmeldung oder Remotedatenübertragung.
SSID Service Set Identifier. Name, der einem drahtlosen WiFi- oder IEEE 802.11-
Netzwerk zugewiesen wird.
SSL Secure Sockets Layer. Etablierter Industriestandard, nach dem der Kanal
zwischen Webbrowser und Webserver verschlüsselt wird, um eine
vertrauliche und zuverlässige Datenübertragung über diesen Kanal zu
gewährleisten.
Glossar, Abkürzungen und Akronyme 11Begriff Definition
Starke Kryptografie Allgemeiner Begriff für extrem schwer zu analysierende Kryptografie. Das
heißt, der kryptografische Schlüssel bzw. die geschützten Daten werden
aufgrund der kryptografischen Methode (Algorithmus oder Protokoll) nicht
verfügbar gemacht. Die Stärke ist vom verwendeten kryptografischen
Schlüssel abhängig. Die effektive Länge des Schlüssels sollte mit der
Mindestlänge der Schlüssel aus vergleichbaren Empfehlungen für die
Mindestschlüssellänge übereinstimmen. Als Quellen für die empfohlene
Mindeststärke dienen die NIST Special Publication 800-57, August 2005
(http://csrc.nist.gov/publications/), und andere Empfehlungen, die folgende
vergleichbare Sicherheitsanforderungen für Mindestschlüssellängen erfüllen:
• 80 Bit für Systeme, die auf der Verschlüsselung durch geheime
Schlüssel basieren (z. B. TDES)
• 1024-Bit-Modulo für Algorithmen öffentlicher Schlüssel basierend
auf Faktorisierung (z. B. RSA)
• 1024 Bit für den diskreten Logarithmus (z. B. Diffie-Hellman) mit
einer Mindestgröße von 160 Bit einer großen Untergruppe (z. B.
DSA)
• 160 Bit für Kryptografie mit elliptischen Kurven (z. B. ECDSA)
Systemkomponenten Beliebige Netzwerkkomponenten, Server oder Anwendungen, die in die
Karteninhaberdaten-Umgebung eingebunden oder mit ihr verbunden sind.
TACACS Terminal Access Controller Access Control System.
Remoteauthentifizierungsprotokoll.
Fälschungssicherheit System, bei dem Änderungen oder Beschädigungen selbst für einen
Angreifer mit physischem Zugriff auf das System schwierig vorzunehmen
sind.
TCP Transmission Control Protocol
TDES Triple Data Encription Standard – wird auch als 3DES bezeichnet.
Blockcodierung, die aus der DES-Codierung durch dreimalige Verwendung
gebildet wird.
TELNET TELephone NETwork (Telefonnetzwerk-Protokoll). Wird in der Regel zur
Bereitstellung von benutzerorientierten Befehlszeilen-Anmeldesitzungen
zwischen Hosts im Internet verwendet. Programm, das ursprünglich zur
Emulation eines einzelnen Terminals entwickelt wurde, das mit dem anderen
Computer verbunden ist.
Bedrohung Zustand, durch den Informationen oder
Informationsverarbeitungsressourcen absichtlich oder versehentlich verloren
gehen bzw. geändert, verfügbar gemacht oder unzugänglich gemacht oder
auf andere für das Unternehmen schädigende Weise beeinträchtigt werden.
TLS Transport Layer Security. Wurde mit dem Ziel entwickelt, Datensicherheit
und -integrität zwischen zwei kommunizierenden Anwendungen zu
gewährleisten. TLS ist der Nachfolger von SSL.
Token Vorrichtung zur dynamischen Authentifizierung.
Transaktionsdaten Daten im Zusammenhang mit elektronischem Zahlungsverkehr.
Glossar, Abkürzungen und Akronyme 12Begriff Definition
Abschneiden Entfernen von Datensegmenten. Beim Abschneiden von Kontonummern
werden in der Regel die ersten 12 Ziffern gelöscht, während nur die letzten
vier Ziffern verbleiben.
2-Faktoren- Authentifizierung, bei der Benutzer zwei Anmeldeinformationen angeben
Authentifizierung müssen, um Zugriff auf ein System zu erhalten. Anmeldeinformationen
bestehen aus einem physischen Element, z. B. Smartcards oder
Hardwaretoken, und einer abstrakten Komponente, z. B. einem Kennwort.
Um Zugriff auf ein System zu erhalten, muss der Benutzer beide Elemente
vorweisen können.
UDP User Datagram Protocol.
Benutzer-ID Eine Zeichenfolge, die zur eindeutigen Identifizierung eines Benutzers in
einem System dient.
Virus Programm oder Codeabschnitt, die sich vervielfachen und Software oder
Daten ändern oder zerstören können.
VPN Virtual Private Network. Privates Netzwerk, das über einem öffentlichen
Netzwerk eingerichtet wurde.
Sicherheitsrisiko Schwachstelle in Systemsicherheitsprozeduren, Systemdesign,
Implementierung oder internen Kontrollen, die zur Verletzung der
Sicherheitsrichtlinien des Systems ausgenutzt werden kann.
Schwachstellenscan Scans, die zur Ermittlung von Sicherheitsrisiken in Betriebssystemen,
Diensten und Geräten durchgeführt werden, die von Hackern für Angriffe auf
das private Unternehmensnetzwerk verwendet werden können.
WEP Wired Equivalent Privacy. Protokoll, das zufälliges Mithören verhindert und
mit herkömmlichen drahtgebundenen Netzwerken vergleichbare
Vertraulichkeit gewährleisten soll. Bietet keine adäquate Sicherheit gegen
vorsätzliches Mithören (z. B. bei der Kryptoanalyse).
WPA WiFi Protected Access (WPA und WPA2). Sicherheitsprotokoll für drahtlose
(WiFi-) Netzwerke. Wurde wegen mehrerer schwerwiegender
Schwachstellen im WEP-Protokoll entwickelt.
XSS Cross-Site-Scripting. Ein Typ von Sicherheitsrisiko, das in der Regel in
Webanwendungen auftritt. Kann von Angreifern dazu verwendet werden,
höhere Berechtigungen für vertrauliche Inhalte, Sitzungscookies und eine
Reihe anderer Objekte zu erlangen.
Glossar, Abkürzungen und Akronyme 13Sie können auch lesen
